Virus/spyware: www.yoby.net

[matrix866]

Ragazzi mi sono preso questo virus o spyware fastidiossisimo!!!
Ogni qual volta faccio una ricerca veloce con google tramite la finestrina di Firefox tenta di aprirmi questa pagina dove è ben visibile il suffisso "www.yoby.net".
Mi ha cambiato anche la pagina iniziale di IE e non so cos'altro. Ho usato Lavasoft ad-aware personal ma non mia ha cambiato niente.
Uso windows vista.

P.S. Togliete il XXX dopo il www per far funzionare il link

[xcdegasp]

fai una passata di HiJackThis e nella sezione corretta, ossia "aiuto sono infetto" posta il log

[matrix866]

Quote:

Originariamente inviato da xcdegasp

fai una passata di HiJackThis e nella sezione corretta, ossia "aiuto sono infetto" posta il log

risolto reinstallando FF

[ania]

Quote:

Originariamente inviato da matrix866

Ragazzi mi sono preso questo virus o spyware fastidiossisimo!!!
Ogni qual volta faccio una ricerca veloce con google tramite la finestrina di Firefox tenta di aprirmi *questa* pagina dove è ben visibile il suffisso "www.yoby.net".
Mi ha cambiato anche la pagina iniziale di IE e non so cos'altro.
Ho usato Lavasoft ad-aware personal ma non mia ha cambiato niente.
Uso windows vista.

Visto che vieni dirottato su di una pagina particolare dall'attività di un malware, NON mi sembra una buona idea, porre su questo forum il link funzionante a quella pagina, perchè un utente attento e scafato sicuramente non ci va a clickare sopra, ma magari un utente alle prime armi, potrebbe farlo .

Quindi ti suggerisco di togliere quel link, visto che per te essere dirottato su quel link è cosa spiacevole, non vedo perchè rischiare di fare avere ad altri il medesimo tuo problema.

Se proprio vuoi indicare il link a quella pagina, metti un link non funzionante, ed indica la modifica da apportare per renderlo funzionante, chi vorrà andare a verificare, prenderà opportune cautele e -volendo- visiterà la pagina, ma almeno, l'utente newbie dovrà quanto meno riflettere sui rischi che potrebbe correre, e porre in essere tutta una procedura per arrivare a quella pagina.

ciao!!!

[Bugs Bunny]

Quote:

Originariamente inviato da matrix866

risolto reinstallando FF

forse è meglio se posti il log per controllare. comunque contento tu...

[black92]

Quote:

Originariamente inviato da Bugs Bunny

forse è meglio se posti il log per controllare. comunque contento tu...

..che ti devo di XD

[wearethechampions]

infatti, reinstallando FF non hai concluso nulla, perchè magari il problema non c'è più ma lo spyware comunque rimane nelle viscere del sistema.....
ti consiglio di postare un log di HJT, un programma per analizzare tutte le parti del istema in cui si potrebbe annidare un malware e postarlo qui. Per ulteriori informazioni : http://www.hwupgrade.it/forum/showthread.php?t=937676
troverai tutto su HiJackThis

[matrix866]

Quote:

Originariamente inviato da ania

Visto che vieni dirottato su di una pagina particolare dall'attività di un malware, NON mi sembra una buona idea, porre su questo forum il link funzionante a quella pagina, perchè un utente attento e scafato sicuramente non ci va a clickare sopra, ma magari un utente alle prime armi, potrebbe farlo .

Quindi ti suggerisco di togliere quel link, visto che per te essere dirottato su quel link è cosa spiacevole, non vedo perchè rischiare di fare avere ad altri il medesimo tuo problema.

Se proprio vuoi indicare il link a quella pagina, metti un link non funzionante, ed indica la modifica da apportare per renderlo funzionante, chi vorrà andare a verificare, prenderà opportune cautele e -volendo- visiterà la pagina, ma almeno, l'utente newbie dovrà quanto meno riflettere sui rischi che potrebbe correre, e porre in essere tutta una procedura per arrivare a quella pagina.

ciao!!!

Fatto. A me col FF non fa aprire la pagina avendo il blocco Javascript!

[matrix866]

Ecco il log, non mi pare ci sia niente fuori posto...anche perchè windows defender ha identificato un troiano e lo ha eliminato. Poi il link in firefox chiaramente è rimasto!

Logfile of HijackThis v1.99.1
Scan saved at 13.31.49, on 24/04/2007


Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ESET\nod32kui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\ALCXMNTR.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Vista\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.alice.it
O15 - Trusted Zone: http://*.alicemessenger.alice.it
O15 - Trusted Zone: http://*.messenger-wizard.rossoalice.alice.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{11E30938-96E1-46B5-98C9-4AB3EC1AD8F5}: NameServer = 85.37.17.49,151.99.125.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\Windows\system32\btxppanel.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

[wearethechampions]

ma si parla di windows vista?

[matrix866]

Quote:

Originariamente inviato da wearethechampions

ma si parla di windows vista?

si

[wearethechampions]

allora non saprei, questi mi sembrano sospetti, MA NON LI FIXARE; non sono sicuro......mi raccomando!

Quote:

Originariamente inviato da matrix866

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.alice.it
O15 - Trusted Zone: http://*.alicemessenger.alice.it
O15 - Trusted Zone: http://*.messenger-wizard.rossoalice.alice.it

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\Windows\system32\btxppanel.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)


O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

[matrix866]

Quote:

Originariamente inviato da wearethechampions

allora non saprei, questi mi sembrano sospetti, MA NON LI FIXARE; non sono sicuro......mi raccomando!

Ok aspetto conferme prima di fixare!

[juninho85]

Quote:

Originariamente inviato da xcdegasp

fai una passata di HiJackThis e nella sezione corretta, ossia "aiuto sono infetto" posta il log

quali di queste parole non è chiara?

[c.m.g]

Quote:

Originariamente inviato da wearethechampions

ma si parla di windows vista?

ma vista non era il sistema operativo più sicuro del mondo?

[wearethechampions]

Quote:

Originariamente inviato da c.m.g

ma vista non era il sistema operativo più sicuro del mondo?

[matrix866]

Quote:

Originariamente inviato da c.m.g

ma vista non era il sistema operativo più sicuro del mondo?

Vista=XP+Aero+qualche miglioria+tanta incompatibilità iniziale, hardware e software.

[xcdegasp]

direi che un beryl su linux ha più compatibilità, è più sicuro e in fin dei conti è più performante.. se consideri che il tutto è costo "0" ..

[black92]

Quote:

Originariamente inviato da matrix866

Vista=XP+Aero+qualche miglioria+tanta incompatibilità iniziale, hardware e software.

Quote:

Originariamente inviato da xcdegasp

direi che un beryl su linux ha più compatibilità, è più sicuro e in fin dei conti è più performante.. se consideri che il tutto è costo "0" ..

Io che utilizzo anche Vista da un bel pezzo, posso assicurarti che non è XP+Aero+ , e non è un parere personale, comunque.

@xcdegasp:

1/5 sa usare e configurare linux=fine della storia e del problema. Linux non si può paragonare a windows in termini di praticità/configurazione hw ecc..


E poi molti fraintendono che con la parola "sistema + sicuro microsoft" si intenda il sistema operativo più sicuro al mondo ecc..., il tutto ingigantito da una miriade di chiacchere infondate e sentiti dire. Come sempre l'utente sta dietro al pc. Il pc fa quello che vogliamo noi.

@MAtrix886

3°Volta:

Posta nella sez apposita

[matrix866]

Quote:

Originariamente inviato da black92

Io che utilizzo anche Vista da un bel pezzo, posso assicurarti che non è XP+Aero+ , e non è un parere personale, comunque.

@xcdegasp:

1/5 sa usare e configurare linux=fine della storia e del problema. Linux non si può paragonare a windows in termini di praticità/configurazione hw ecc..


E poi molti fraintendono che con la parola "sistema + sicuro microsoft" si intenda il sistema operativo più sicuro al mondo ecc..., il tutto ingigantito da una miriade di chiacchere infondate e sentiti dire. Come sempre l'utente sta dietro al pc. Il pc fa quello che vogliamo noi.

@MAtrix886

3°Volta:

Posta nella sez apposita

Anche io uso Vista da un po' e confermo che non ha tanto di più rispetto ad xp o per lo meno ne è la normale evoluzione,non come quando si è passati da ME a XP dove c'è stata una piccola rivoluzione.

Ho già postato nella sezione apposita ma ho avuto + risposte qua che la...