|
| Precedente :: Successivo |
| Autore |
Messaggio |
saphir
Comune mortale
Registrato: 24/05/06 17:31
Messaggi: 2
|
 Inviato: 24 Mag 2006 18:13 Oggetto: sgrunt dialer |
 |
|
Ciao a tutti, sono nuova ed ho bisogno del vostro aiuto. Outpost Pro v.3.5 mi ha trovato il dialer sgrunt e precisamente me lo ha localizzato nelle seguenti chiavi: | Codice: | HKCU\software\microsoft\Windows\CurrentVersion\InternetSetting\Zonemap\Domains\sgrunt.biz\www\*
HKCU\software\microsoft\Windows\CurrentVersion\InternetSetting\ZoneMap\Domains\sgrunt.biz\www
HKCU\software\microsoft\Windows\CurrentVersion\InternetSetting\ZoneMap\Domais\sgrunt.biz\*
HKCU\software\microsoft\Windows\CurrentVersion\InternetSetting\ZoneMap\Domains\sgrunt.biz |
ed ogni volta lo rileva e lo mette in quarantena.
Premetto che non sono esperta di computer, ho installato programmi come spybot, ad-aware,ewido suite e a2squared che però non lo rilevano. Ho scaricato HijacThis, ma non riesco a capire dov'è il dialer nè riesco a interpretare il log che vi posto, sperando che possiate aiutarmi. 
saphir
Logfile of HijackThis v1.99.1
Scan saved at 18.11.32, on 24/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmi\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\INVISI~1\invtray.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Marinella\Documenti\Programmi scaricati\hijackthis\HijackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.fastweb.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.tiscali.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://security.kolla.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmi\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Invisible Secrets 4] "C:\PROGRA~1\INVISI~1\invtray.exe"
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\Marinella\Documenti\Programmi scaricati\hijackthis\HijackThis.exe /startupscan
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll C:\Programmi\Agnitum\Outpost Firewall\wl_hook.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
| Top |
|
 |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 24 Mag 2006 18:45 Oggetto: |
|
|
Innanzitutto ben arrivata !
Una cosa: HijackThis andrebbe messo in una cartella in C: e lanciato da li.
Vediamo..il tuo log non mi pare malaccio..l'unica cosa che mi lascia perplesso è
| Citazione: | | O4 - HKCU\..\Run: [Invisible Secrets 4] "C:\PROGRA~1\INVISI~1\invtray.exe" |
semplicemente perchè è una applicazione che non conosco..magari a te è nota
Poi
| Citazione: | R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.fastweb.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.tiscali.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://security.kolla.de/ |
non sono un male, ma li hai impostati tu così ?
Hai fatto tutti gli aggiornamenti di Windows? Nel dubbio visita WindowsUpdate
Per il resto, aspettiamo holifay, l'esperta in pulizia...  |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 24 Mag 2006 19:01 Oggetto: |
|
|
Ciao Saphir e bene arrivata 
Secondo me non hai il dialer sgrunt, almeno a vedere l tuo log 
Outpost che io però uso in versione free come semplice firewall, ti rileva le chiavi di registro infette (come ho capito dal tuo messaggio) o ti rileva un tentativo di connessione da parte di sgrunt?
Se ti rileva solo l'alterazione del registro, probabilmente avrai un valore DWORD = 4, come nell'immagine che ti allego che ho preso dal mio PC
Non è che anche io ho sgrunt ma è Spybot Search & Destroy che ha aggiunto questa voce quando ho scelto l'opzione "Immunizza". Se il valore è 4, significa che il tuo Internet Explorer non potrà mai andare in quei siti.
Lo verifichi facilmente anche senza aprire l'editor del registro di sistema. Apri IE e clicca sul menu Strumenti>>Opzioni Internet. Poi seleziona il Tab "Protezione" e clicca sull'icona "Siti con restrizioni" (il cartello rosso di divieto). Poi clicca sul pulsante Siti... e ti mostrerà l'elenco dei siti attualmente bloccati. Sfoglia l'elenco e troverai il tuo sgrunt.biz
Se però vuoi stare tranquilla al 200%, scaricati Killsgrunt e guarda se trova qualcosa.
Ciao! |
|
| Top |
|
|
saphir
Comune mortale
Registrato: 24/05/06 17:31
Messaggi: 2
|
| Inviato: 25 Mag 2006 18:19 Oggetto: |
|
|
Grazie a entrambi  , siete stati molto esaurienti e utili e mi avete un po' tranquillizzata.
Per quanto riguarda la prima domanda e cioè la citazione:
O4 - HKCU\..\Run: [Invisible Secrets 4] "C:\PROGRA~1\INVISI~1\invtray.exe"
è un programma poco noto, che ho installato da un po' e funziona molto bene: non solo usa diversi metodi di criptazione, ma anche sistemi di blocco per applicazioni che non vogliamo fare usare ad altri, e volendo si nascondono file entro foto o file wav, ecc. si chiama Invisible Secret, se vi può tornare utile, di Neobyte Solution.
Per quanto riguarda la seconda citazione:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.fastweb.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.tiscali.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.interfree.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://security.kolla.de
la mia pagina iniziale di internet explorer è quella di fastweb e non so perchè in modalità provvisoria sia, invece, quella dell'acer ( che è il mio portatile) dall'ultima formattazione...non me lo so spiegare
Le altre sono sì dei siti che visito, ma non so perchè siano in memoria dato che cancello sempre cronologia, cookies e file temporanei. E' un male che ci siano? E' meglio cancellare quelle voci? 
Che mi dite di questa? :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
a me sembra si tratti di una toolbar, e non ne ho installata nessuna.
E questa?:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
è meglio cancellarle?
Mi sembra di approffittare un po' troppo della vostra gentilezza, ma non sono esperta e ho già dovuto formattare il pc 3 volte e non vorrei doverlo rifare....
KillSgrunt l'ho provato, ma non mi rileva il dialer. Sei stata davvero utile a mostrami quella chiave, non avevo certo pensato che una modifica di spybot potesse far sembrare all'antispyware di Outpost che si tratti di un dialer. Mi sono connessa ora, ho salvato il tuo post e vado subito a controllare. Gli aggiornamenti li faccio sempre tranne il service pack2 perchè mi hanno detto degli amici che dopo aver aggiornato il loro portatile col 2 il pc non riconosceva più le periferiche e ed alcuni è andato in blocco e non si riavviava....
Ancora mille, e mille grazie e ancora scuse per i lunghissimi post  Sono contenta di aver trovato questo forum così imparerò qualcosa saphir |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 26 Mag 2006 12:21 Oggetto: |
 |
|
E' normale che in modalità provvisoria la home page sia quella della Acer, dato che c'è questa voce di default nel registro:
| Citazione: | | R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/ |
Queste voci le installa automaticamente Internet Explorer e fanno parte delle sue funzionalità.
| Citazione: | R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx |
Il SP2 secondo me va installato comunque: non si può girare in Internet con computer in cui le vulnerabilità non siano state corrette. Ti esponi a rischi inutili. Le difficoltà con periferiche driver e quant'altro sono abbastanza vere, ma superabili. Se non lo fossero: come farebbero a vendere tutti i nuovi PC con SP2 preinstallato?
Ciao |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
