Olimpo Informatico

[ten]

e allora !!!!
e' la mia prima volta ...ad un forum.
Che emozione !!!!
passo al mio problema (spesso vengo reindirizzato ad altri siti)
ecco il file log di hijackthis......c'e' qcs di strano ???
grazie x una risposta
ciao
Logfile of HijackThis v1.99.1
Scan saved at 21.26.43, on 11/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\PowerDVD\PDVDServ.exe
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Loris\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=011606 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe" "ZyXEL\USB ADSL"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C28213CC-8F8B-4A66-8BAC-C0095A2A0EEA}: NameServer = 85.255.114.197,85.255.112.159
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Servizio di framework di McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[holifay]

Ciao ten e benvenuto nei nostri forum, vedrai che i troverai bene

Il tuo log non è mica male sai? Credo che il reindirizzamento sia causato dai DNS che stai usando: usi un provider ukraino?

OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Credo di no quindi la voce

[ten]

ciao halifax
ma x eliminare la "riga" O18 che passi devo seguire ??
SUPER inesperto......
grazie
ciao

[ten]

ops.......holifay

[holifay]

[ten]

opla' !
ho fix..ato la riga 17
mi sono riconnesso, mi reindirizza,rifaccio il log e mi ricompare ancora O17...sara' il numerello che porta rogna ?

thanx

Logfile of HijackThis v1.99.1
Scan saved at 19.31.27, on 12/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\PowerDVD\PDVDServ.exe
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=011606 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe" "ZyXEL\USB ADSL"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E12D155C-487A-484D-8A27-CECC4F30AD85}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Servizio di framework di McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[holifay]

no, adesso la riga 17 va bene: è il DNS del tuo provider internet

Potresti fare qualche esempio: su quali siti ti reindirizza? Quando visiti qualche sito particolare o sempre?

Elimina dal log la riga O1 - Hosts: localhost 127.0.0.1 e controlla con un nuovo log se l'hai cancellata.

Dopo che hai fatto, con HijackThis, apri l'Hosts manager e controlla se è presente qualche valore anomalo, cioè qualche riga che non inizia con il #.
Se è presente copia/incollala qui

Ciao


PS: ma perchè non hai provato Kaspersky?

[ten]

ho fixato la O1 ed ora e' cancellata
apro host manager ma e' vuoto !!!!
e adesso ??

[ten]

dimenticavo :
- mi reindirizza ad altri siti quando (dopo aver cercato con google) clicco sui risultati: mi indirizza vs altri motori di ricerca (ad es search.starware.com); lo scherzetto non lo fa se accedo ai siti web dai miei PREFERITI
- da kaspersky non ho fatto lo scan del disco xche' lo faceva in linea: e' meglio scaricarsi laversione trial ??

grazie
ciao

[holifay]

Per il file hosts io ti consiglio di metterci questo: copi/incolli tutto il contenuto dentro al tuo.

Ma a Google come accedi? Dal link dei preferiti, digitandolo manualmente o in altro modo?

Scaricati Adaware aggiornalo online e fai una bella scansione del PC. Cancella quello che trova.

E kaspersky, proprio non ti piace?

[ten]

a Google accedo dai Preferiti.
Ho notato che sulla barra di internet sul fondo dello schermo (x intenderci quella sopra alla barra delle applicazioni) dopo aver cliccato sul sito che mi interessa, mi reindirizza (quasi) sempre al sito 85.255.117.5 e a sua volta ad altri motori di ricerca/siti...

ps avevo gia' adaware che, dopo lo scan, mi dava come "infetti" solo files negligibles: devo eliminare anche quelli ??

grazie
ciao

[holifay]

OK, forse ho capito il problema: proviamo con le maniere forti

Scaricati Fixwareout sul desktop e avvialo. Premi "Next", poi "Install". Accertati che la casella "Run fixit" sia selezionata e clicca "Finish".

Inizierà il fix: segui le istruzioni. Quando ti chiede di riavviare, riavvia il PC. Non preoccuparti se ci mette un po' a riavviarsi: è normale.

Al reboot segui le istruzioni. Al termine apri HijackThis, fai una scansione e premi "Fix" nuovamente su questa voce (che probabilmente sarà ricomparsa)

[ten]

uella !!!
sembrerebbe funzionare !!
ho seguito le tue/fixwareout istruzioni ed ora non mi reindirizza + ad altri siti.
l'unica cosa e' che non ho trovato la riga O17....
ti invio il log di fixwareout

ciao

Fixwareout ver 1.003
Last edited 04/09/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ikymd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Microsoft (R) Windows Script Host Versione 5.6
Random Runs removed from HKLM
"dmyki.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSVQN.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

[holifay]

OK! Direi che ci siamo

Per favore, stando attento a non avviarlo per errore. manda il file CSVQN.EXE (in C:\WINDOWS\System32\) zippato a Suspectfile. Poi cancellalo e svuota il cestino. Per trovarlo dovrai probabilmente abilitare la visualizzazione dei file nascosti/sistema

Infine ti raccomando ancora la scansione online con Kaspersky o Panda. Potrebbe essere rimasto qualcosa anche se non attivo, che non viene rilevato dal log di Hijackthis. Dopo la scansione salva il log e se c'è qualcosa postalo qui.


Ciao e buona Pasqua

[holifay]

Il file che avevi inviato era riconosciuto da ben pochi programmi:
http://suspectfile.sifree.net/forum/viewtopic.php?id=151


Grazie al tuo invio adesso verrà riconosciuto e inserito anche nei loro Database Virali

[paolobat]

Grazie mille.... con queste indicazioni ho risolto anch'io lo stesso problema