Interenet Private Zone

[Kuma]

Kuma chi ti ha dato quel distintivo???

Me lo sono fatto

[babil]

ciao sono sempre babil, vista la vostra bravura e disponibilità vi mando un altro log di un altro PC ditemi se c'è qualcosa che va eliminato o qualcosa da fare e se c'è un .exe che parte in automatico. grazie ciao . in + io ho l'adsl per cui anche se è presente qualche cosa il suo eseguibile non dovrebbe darmi problemi durante la connessione ad internet giusto?

HJT.txt

Modificato August 26, 2005 da babil

[Kuma]

Ciao Babil...

Per prima cosa se hai installato KAZAA, rimuovilo da "Installazione Applicazioni"

Poi.... stessa procedura; devi usare questi programmi:

Killsgrunt

Script per riparare la trusted zone

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Quindi:

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia KillSgrunt

avvia il file per riparare la TRUSTED ZONE

(click con il tasto destro sul file e seleziona Installa)

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked

O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\system32\KDP1251.dl

O2 - BHO: Core Library - {F281FFC7-6C63-4bf9-83F2-AB7A6157B109} - C:\WINDOWS\system32\kdpupd.dll

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\system32\kdpupd.dll

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\system32\KDP1251.dll"

O14 - IERESET.INF: START_PAGE_URL=http://www.centoper.it/

O15 - Trusted Zone: www.linkautomatici.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

Trova e se ci sono elimina questi files

KDP1251.dll

kdpupd.dll

veevo.dll

Apri il registro di Windows (Start\Esegui > regedit)

cerca queste chiavi ed elimina i valori in rosso:

HKEY_CLASSES_ROOT\clsid\{6cdf3c49-20e6-48d7-811b-9f5dd17f1d90}

HKEY_CLASSES_ROOT\clsid\{6e1c5e3d-a8e6-4a92-820f-bfcfe45ba158}

HKEY_CLASSES_ROOT\clsid\{6e34d984-4054-45e3-8452-0159a2f0d232}

HKEY_CLASSES_ROOT\clsid\{f281ffc7-6c63-4bf9-83f2-ab7a6157b109}

HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6cdf3c49-20e6-48d7-811b-9f5dd17f1d90}

HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6e1c5e3d-a8e6-4a92-820f-bfcfe45ba158}

HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6e34d984-4054-45e3-8452-0159a2f0d232}

HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{f281ffc7-6c63-4bf9-83f2-ab7a6157b109}

HKEY_LOCAL_MACHINE\software\classes\clsid\{6cdf3c49-20e6-48d7-811b-9f5dd17f1d90}

HKEY_LOCAL_MACHINE\software\classes\clsid\{6e1c5e3d-a8e6-4a92-820f-bfcfe45ba158}

HKEY_LOCAL_MACHINE\software\classes\clsid\{6e34d984-4054-45e3-8452-0159a2f0d232}

HKEY_LOCAL_MACHINE\software\classes\clsid\{f281ffc7-6c63-4bf9-83f2-ab7a6157b109}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6cdf3c49-20e6-48d7-811b-9f5dd17f1d90}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6e1c5e3d-a8e6-4a92-820f-bfcfe45ba158}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6e34d984-4054-45e3-8452-0159a2f0d232}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{f281ffc7-6c63-4bf9-83f2-ab7a6157b109}

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

Collegati per una scansione On-line a:

Kaspersky

rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

[babil]

ti ringrazio , volevo sapere se secondo te posso aver avuto problemi nella bolletta collegandomi ad internet in questo peridodo con questa situazione (ho l'adsl) , grazie babil

ps: come mai devo togliere kazaa?

mi spiego meglio:

è possibile che in questo periodo con questa situazione possa aver avuto problemi con la bolletta collegandomi ad internet (ho l'adsl) ? posso essermi collegato tramite uno di questi programmi a pagamento o sto tranquillo? grazie ciao

(lo so che sono un rompi....) ma come mai è meglio togliere tutto quelle voci di registro oltre a quelle da fixare con hjt? (è che mi piace anche capirne un pò di +)

Modificato August 26, 2005 da babil

[Yusuke]

Detto in parole semplici... il Kazaa pullula di spyware... :ranting2:

Se hai l'ADSL puoi stare tranquillo, i dialer non attaccano con lei

[babil]

perfetto !!!! solo una cosa come mai mi dici di togliere le voci in rosso del registro di sistema ? grazie

[Kuma]

Da START\ESEGUI digita > regedit

ti si aprirà il registro di sistema e potrai vedere le chiavi:

Cliccando due volte sul nome della chiave potrai espandere le sottochiavi e cliccando sulle sottochiavi espanderle ulteriormente

Individua quindi il numero indicato, facendo attenzione che sia esattamente quello.

Quindi cliccaci sopra con il tasto destro e seleziona "elimina"

[babil]

no scusa forse mi sono spiegato male non ti chiedevo come si fa quello lo so ti domandavo il perchè. grazie ciao

[Yusuke]

Perchè sono voci aggiunte da virus che modificano il registro di sistema, togliendole torna tutto alla normalità

[babil]

grazie senti ti mando un log per analizzarlo e poi ti volevo chiedere nel salvare il log o nel fare qualsiasi cosa con il file sia log che txt mi da un problema cioe mi dice minaccia mhtmlredir.exploit e me lo elimina direttamente e non riesco a salvarlo infatti per fare questo mi sono ammazzato ora non so se è un falso positivo o se c'è qualcosa che non va e come posso fare in qualunque dei due casi per far si che hijackthis non mi dia questo problema ?grazie babil per favore è urgente

Hijackthis.txt.txt

Modificato August 29, 2005 da babil

[Bonovox767]

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\MAIN.MHT!http://207.44.186.186/b/online.chm::/on-line.ex e

E fai un update al tuo pc, con windows Update...

[Guest lucass]

Ciao anche questi sono da eliminare

R3 - Default URLSearchHook is missing

O4 - Global Startup: NkbMonitor.exe.lnk.disabled

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

poi per sicurezza fai analizzare questo file:

hphupd05.exe Percorso:C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}

con Virus Total e Jotti e vedi cosa ti dicono entrambi i risultati,poi se non li hai scaricati questi programmi sono tutti free e usali per fare le scansioni meglio se in modalita provvisoria

Microsoft Antispy

Spybot 1.4

Ad-ware 1.6+Lingua Italiana

CwShredder

Spyware Blaster

RegSeeker

Ccleaner

-----------------------------------------------------------

Assicurati di visualizzare i file e le cartelle nascoste:

Start>Pannello di controllo>Opzioni cartella>Portati sulla scheda visualizzazione>Metti la spunta nella casella "Visualizza file e cartelle Nascoste">Applica>OK

DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA

(Start>pannello di controllo>Sistema>portati sulla scheda "Ripristino di configurazione di Sistema>Metti la spunta nella casella>Applica>OK)

Avvia in modalita provvisoria

(Dopo aver eseguito il passaggio sopra indicato riavvia il pc,dopo la schermata della RAM(Le prime scritte)premi in continuazione il tasto F8 e scegli l'opzione "Avvia in modalita Provvisoria")

e fai le scansioni con i programmi scaricati poi con ccleaner(lascia le spunte come le trovi)clicca su ANALIZZA una volta finito di analizzare su AVVIA CLEANER poi apri regseeker,clicca su pulisci registro (assicurati che ci sia la spunta nella caselle "copia voci rimosse"che si trova in basso a destra) ed elimina le chiavi inutili

Modificato August 29, 2005 da lucass

[Bonovox767]

Giusto Lucass...

Solo:

O4 - Global Startup: NkbMonitor.exe.lnk.disabled , dovrebbe essere relativo ad un software della Nikon

Mentre C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E} , dovrebbe essere l'update per il programma HP Photosmart

[Guest lucass]

si ma dice disabled che significa disabilitato quindi non serve quel programma e va eliminato per l'altra voce non ho detto di rimuoverla ma di far analizzare quel file dato che come processo è sconosciuto in avvio automatico se il processo è in C oppure altrove è relativo all'aggiornamento ma in avvio automatico da quello che ho capito no

http://startup.iamnotageek.com/srch-hphupd05.exe.html

http://www.bleepingcomputer.com/startups/h...5.exe-2026.html

http://castlecops.com/s5064-hphupd05_exe.html

Modificato August 29, 2005 da lucass

[Bonovox767]

Ma infatti non era una critica, Gianluca, ma solo una libera interpretazione

[Guest lucass]

ma infatti non ho detto niente ho solo spiegato in base a cosa ho messo quelle voci

[Bonovox767]

I know

[babil]

grazie per cui alla fine bonovox devo eliminare solo quel O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\\MAIN.MHT!http://207.44.186.186/b/online.chm::/on-line.exe ed anche R3 - Default URLSearchHook is missing

e O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) o gli ultimi due no? per il resto è tutto a posto? ed eliminando questi non mi darà + problemi con hijackthis ed exploit? grazie mille

PS: ma poi quel problema con hijackthis è un virus o falso positivo o altro?

PS2: l'update serve per i service pack o solo per aggirnare XP?

Modificato August 29, 2005 da babil

[Guest lucass]

I know

82635[/snapback]

Allora si elimina quelle voci indicate da entrambi,per gli exploit non centrano niente quelle voci gli exploit sono degli Attacchi ad un sistema informatico (un server od una serie di server) approfittando delle carenze di sicurezza del sistema operativo o del software che gestisce i server o loro funzionalità,se l'attacco con exploit viene bloccato puoi stare piu che tranquillo ma come ti è stato detto da Bono devi aggiornare windows tramite windows update altrimenti se ti capita un exploit che sfrutta una falla che tu non hai pachato sono cavoli :andy: :andy:

PS:Fammi sapere per piacere il risultato di quel fine che ti ho chiesto di analizzare grazie mille

[babil]

ok grazie comunque si quei due file sono del prog per stampare le foto della nikon digitale e per la stampante hp

[Guest lucass]

Ciao ma io ti chiedevo questo file

hphupd05.exe Percorso:C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}

lo so che è della stampante(in apparenza)ma che ci sta a fare in avvio automatico,in poche parole appena accendi il pc viene caricato io per sicurezza una controllatina a quel file la darei se poi tu sei sicuro al 100% ben venga!!

[babil]

ok per il resto come sto messo? e l'update è solo per i service pack? in più (lo so che sono un rompi) così risolvo il problema con hijackthis no perchè sul pc dell'ufficio non mi da problemi a casa mi da quel problema che non mi fa memorizzare il log dicendomi che dentro c'è un virus appunto exploit . grazie babil

Modificato August 29, 2005 da babil

[Guest lucass]

ciao a me non rompi, stai tranquillo chiedi tutto quello che vuoi e se so rispondere risponderò,si io ti consiglierei di passare al service pack 2 ti conviene hai piu funzioni,maggior "sicurezza"ecc ecc per il log per me eliminando quelle voci è apposto ti dico solo che non avevi niente nel pc quelle voci indicate erano solo per fare pulizia,quel file dici che è pulito quindi ancora meglio,per l'exploit penso che sia un falso positivo se puoi indicazi il nome dell'exploit io direi che per maggior sicurezza quando hai tempo di fare una di questa 3 scansioni on-line

Panda Active Scan

Trend Micro House Call

Kaspersky Scanner

Modificato August 29, 2005 da lucass

[babil]

Prima di tutto grazie ancora poi ti dico quello che mi dice il pc in ufficio aprendo il log che ho portato da casa Tipo scansione: Auto-Protect Scansione

Evento: Minaccia trovata.

Minaccia: MHTMLRedir.Exploit

perchè lo strano è che se uso hijackthis qui in ufficio non mi da problemi e salva il log , invece sul log di casa mi dice queste cose e mi elimina automaticamente il file con il log e lo mette in quarantena se invece disabilito auotprotect non mi da problemi ed in + anche se faccio copia ed incolla e lo metto su un altro file di testo me lo da lo stesso dicendomi che la minaccia è nel documento per cui è una delle cose scritte nel log a dare problemi credo. ciao grazie babil

PS. proverò comunque a fare tutto cio che mi hai consigliato

PS: posso ogni tanto mandarvi il log per farlo controllare?

Modificato August 29, 2005 da babil

[Bonovox767]

Ti dice che ha trovato un Trojan, qual'è appunto MHTMLRedir.Exploit , che essendo un Exploit, non puoi rimuovere

Fai come ti abbiamo detto sia Gianluca che io.

Prima cosa vai di windowsupdate, e dopo ne riparliamo...

E fa contento anche Gianluca facendo quell'analisi che ti ha richiesto