Olimpo Informatico

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

Buon Natale e buon Anno a tutti.....ringrazio in anticipo chi può aiutarmi.
Come già scritto nell'oggetto, da una settimana, cliccando sul titolo di uno dei siti trovati con google, anzichè apparirmi il sito corrispondente, mi appare un sito diverso (solitamente siti commerciali o sex ma oggi anche su e-bay americano)
Se invece digito l'indirizzo www...... tutto funziona correttamente.
Mi pare che i problemi sono iniziati dopo il passaggio da explorer 6 a 7.
ecco il log di HijackThis

Mysteria · Eroe Registrato: 06/07/07 23:29 Messaggi: 50

Avevo lo stesso problema sul pc di mio padre , credo si tratti proprio di virus Smile

bdoriano

Ok. Dovrebbe essere un reindirizzamento del browser... Think

Sei sicuro che il log di hijackthis sia completo, mi sembra sia scarno. Rolling Eyes

Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

Ti ringrazio per il gran dettaglio.
Prima di agire però è bene che tu sappia quello che ho fatto.....da ignorantone.
Ho aperto il PC di mio figlio, ho eseguito regedit....idem sul mio, ed ho cominciato a cancellare tutte le cartelle in più che avevo che mi parevano dubbie....poi quelle dove trovavo Ati2evxxx.
Sicuramente ho fatto una scemenza.

bdoriano

Start
Programmi
Accessori
Utilità di sistema
Ripristino configurazione di sistema
Ripristina uno stato precedente del computer

e vediamo cosa possiamo fare...

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

eccomi qui. Ho ripristinato il sistema all'8/12 (se cliccavo su mese precedente non succedeva nulla) Comunque a quella data mi pare andasse tutto ok.
Ecco ora la foto:
Logfile of HijackThis v1.99.1
Scan saved at 20.24.15, on 25/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\prova\Desktop\HijackThis.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

bdoriano.....mi hai abbandonato ?....il problema permane !

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

bdoriano

Riecchime... Razz

Hai fatto questi passaggi:

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

Grazie!...fatto....ecco quanto richiesto:

Logfile of HijackThis v1.99.1
Scan saved at 23.43.40, on 27/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\prova\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCF5E657-4DE4-4863-9C11-C8A59B5584AA}: NameServer = 85.255.114.53 85.255.112.123
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Username "prova" - 27/12/2007 23.26.18 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdjud.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{BCF5E657-4DE4-4863-9C11-C8A59B5584AA}
"nameserver"="85.255.114.53" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{F53FF0B3-4250-46ED-90BF-0BA9C5385526}
"DhcpNameServer"="85.255.114.53,85.255.112.123" <Value cleared.

Svuotata la cache del resolver DNS.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Other
C:\WINDOWS\TEMP\kdjud.ren 72749 13/06/2007

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="\"C:\\Programmi\\QuickTime\\QTTask.exe\" -atboottime"
"!AVG Anti-Spyware"="\"C:\\Programmi\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"TkBellExe"="\"C:\\Programmi\\File comuni\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="C:\\Programmi\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

bdoriano

Si verifica ancora il problema?

Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

grazie bdoriano
dopo aver seguito le tue istruzioni il problema è scomparso
....ma dove stava il problema ?
vedo che la riga 17 cui si riferiva chemicalbit e che era sparita è ora ritornata !
....sono pensionato, ma mi piace capire !

bdoriano

Il problema era dovuto a queste righe:

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

eseguendo HiJackThis in modalità provvisoria non appare la riga 17 !

bdoriano

Prova a fixarla in modalità normale.

vittocre · Semidio Registrato: 06/04/07 00:24 Messaggi: 239

la riga 17 anche in modalità normale non appare più.
...si è sistemato da solo ?

bdoriano

Forse si... Think

Fai i passaggi che ti ho indicato con Kaspersky.