Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco
MiniLED di fascia media con local dimming a 192 zone, 144 Hz nativi e audio firmato Devialet. La prova strumentale riscontra colori affidabili e gaming reattivo, per un prodotto molto accessibile e convincente. Ma la soundbar aggiuntiva è quasi d'obbligo
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto
Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint
Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 31-08-2005, 22:20   #1
hackboyz
Senior Member
 
L'Avatar di hackboyz
 
Iscritto dal: Jun 2003
Città: Milano
Messaggi: 2378
WinMoviePlugIn / www.skymasters.biz?2015

Allora mi trovo un fastidiosissimo dialer/adware o quel che è

Sul desktop ci sono questi due cosi



E sono presenti anche in altre cartelle e vabbeh tanto sono link

All'avvio mi si apre una finestra e che mi fa aprire IE (in realtà io uso Maxthon) verso un sito porno

Ho fatto una ricerca sia con Google che sul forum ed è qualcosa di noto, ma provando coi metodi suggeriti (tra i quali anche questo manuale: http://www.megalab.it/articoli.php?id=690) non sono venuto a capo di nulla... ho provato in modalità provvisoria SpyBot, Ad-Aware ed altri ma nulla

Vi allego il log di hijackthis, rispetto ad altri viste in giro da me c'è molta meno roba, ma anche togliendoli manualmente nulla

Codice:
Logfile of HijackThis v1.99.1
Scan saved at 23.06.30, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programmi\ITE\Smart Guardian\ITESmart.exe
E:\WINDOWS\system32\sysmon.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Winamp\winamp.exe
E:\Programmi\Maxthon\Maxthon.exe
E:\Documents and Settings\Marco\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmartGuardian] E:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Copia di Winamp.lnk = E:\Programmi\Winamp\winamp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
Ah il dialer o quel che è si trova in windows/system32 e si chiama sysfind.exe
__________________
Opteron 165 2800 mhz 1.415V λ XP-120/Akasa 120mm λ DFI LP nF4 Ultra-D bios NF4LDB14 λ 2GB TeamGroup Elite λ Sapphire HD4850 512mb
hackboyz è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:27   #2
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Fixa:
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
Fai una scansione con ewido:http://download.ewido.net/ewido-setup.exe

Ultima modifica di andorra24 : 31-08-2005 alle 23:28.
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:32   #3
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz


juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:36   #4
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Se non riesci a risolvere in modalita' normale prova anche in modalita' provvisoria e con il ripristino di sistema disattivato
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:37   #5
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
Quote:
Originariamente inviato da andorra24
Fixa:
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
è un processo di windows xp
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:43   #6
hackboyz
Senior Member
 
L'Avatar di hackboyz
 
Iscritto dal: Jun 2003
Città: Milano
Messaggi: 2378
Quote:
Originariamente inviato da juninho85
è un processo di windows xp
Già ma cliccandoci sopra mi riporta tutto come prima, è lui l'infame, mi sa che ha ragione


Con hijackthis avevo già fixato le cose sospette ma ogni volta che riavvivavo mi si ripresentavano, ho fatto anche ricerche sul registro ma nulla

Ora provando a cliccare su sysmon in effetti sono ricomparse tutte

A questo punto lo disattivo e vediamo che succede
__________________
Opteron 165 2800 mhz 1.415V λ XP-120/Akasa 120mm λ DFI LP nF4 Ultra-D bios NF4LDB14 λ 2GB TeamGroup Elite λ Sapphire HD4850 512mb
hackboyz è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:44   #7
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Quote:
Originariamente inviato da juninho85
è un processo di windows xp
Qui dicono di no:
http://www.tasklist.org/task_sysmon_exe_3338.html
http://castlecops.com/s3648-sysmon_exe.html
http://vil.nai.com/vil/content/v_100381.htm
http://www.greatis.com/appdata/d/s/sysmon.exe.htm
Comunque consiglio una scansione antivirus: http://www.bitdefender.com/scan8/ie.html
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:48   #8
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
hai ragione,il componente di win xp ha estensione .ocx non .exe
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:51   #9
FOXYLADY
Senior Member
 
L'Avatar di FOXYLADY
 
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
E' anche un processo di windows
http://www.processlibrary.com/direct...smon/index.php
è da verificare se la posizione in system32 sia corretta, ma mi sembra di si.

Ciao
__________________
FOXYLADY è un MASCHIO!!

Un amico è una persona che sa tutto di te e nonostante questo gli piaci
FOXYLADY è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:54   #10
andorra24
Senior Member
 
L'Avatar di andorra24
 
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
Una bella scansioncina antivirus non gli fara' male.
andorra24 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 22:56   #11
juninho85
Bannato
 
L'Avatar di juninho85
 
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 29028
il sysmon aveva estensione .exe nei precendenti sistemi operativi,da win xo in poi ha estensione .ocx ma ha comunque le funzioni dei precendenti .exe
juninho85 è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 23:02   #12
FOXYLADY
Senior Member
 
L'Avatar di FOXYLADY
 
Iscritto dal: Oct 2004
Città: Milano
Messaggi: 2641
Quote:
Originariamente inviato da andorra24
Una bella scansioncina antivirus non gli fara' male.
Si, in effetti non mi sembra normale che sia inserito tra gli startup e poi come ha detto juninho l'estensione dovrebbe essere .ocx.
Segnalo comunque che l'analizzatore automatico lo rileva come sicuro, stiamo a vedere...

Ciao
__________________
FOXYLADY è un MASCHIO!!

Un amico è una persona che sa tutto di te e nonostante questo gli piaci
FOXYLADY è offline   Rispondi citando il messaggio o parte di esso
Old 31-08-2005, 23:46   #13
kizze
Member
 
L'Avatar di kizze
 
Iscritto dal: Sep 2004
Città: pisa
Messaggi: 210
Quote:
Originariamente inviato da hackboyz
Allora mi trovo un fastidiosissimo dialer/adware o quel che è

Sul desktop ci sono questi due cosi



E sono presenti anche in altre cartelle e vabbeh tanto sono link

All'avvio mi si apre una finestra e che mi fa aprire IE (in realtà io uso Maxthon) verso un sito porno

Ho fatto una ricerca sia con Google che sul forum ed è qualcosa di noto, ma provando coi metodi suggeriti (tra i quali anche questo manuale: http://www.megalab.it/articoli.php?id=690) non sono venuto a capo di nulla... ho provato in modalità provvisoria SpyBot, Ad-Aware ed altri ma nulla

Vi allego il log di hijackthis, rispetto ad altri viste in giro da me c'è molta meno roba, ma anche togliendoli manualmente nulla

Codice:
Logfile of HijackThis v1.99.1
Scan saved at 23.06.30, on 31/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programmi\ITE\Smart Guardian\ITESmart.exe
E:\WINDOWS\system32\sysmon.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Winamp\winamp.exe
E:\Programmi\Maxthon\Maxthon.exe
E:\Documents and Settings\Marco\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] E:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmartGuardian] E:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\system32\sysmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Copia di Winamp.lnk = E:\Programmi\Winamp\winamp.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
Ah il dialer o quel che è si trova in windows/system32 e si chiama sysfind.exe
E' UN MALWARE SGRUNT/MASTER 69...CAVOLO OGNI VOLTA CAMBIA NOME.
VA BE, LATUA SOLUZIONE E' SCARICA DA QUI IL PROGRAMMA KILLSGRUNT..MEGLIO SE LO LANCI DISATTIVANDO IL RIPRISTINO..
SALUTI AL FORUM...
__________________

kizze è offline   Rispondi citando il messaggio o parte di esso
Old 01-09-2005, 07:49   #14
hackboyz
Senior Member
 
L'Avatar di hackboyz
 
Iscritto dal: Jun 2003
Città: Milano
Messaggi: 2378
Allora killsgrunt è comodo perchè leva tutto in auto, ma non leva sysmon.exe che come dicevo sopra è quello che all'avvio riporta tutto come prima

Quindi da msconfig ho tolto all'avvio sysmon.exe e l'ho cancellatto dalla cartella system32

Per ora sembra tutto risolto, grazie a tutti
__________________
Opteron 165 2800 mhz 1.415V λ XP-120/Akasa 120mm λ DFI LP nF4 Ultra-D bios NF4LDB14 λ 2GB TeamGroup Elite λ Sapphire HD4850 512mb
hackboyz è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


 Hisense 55U7SE: tuttofare e accessibile, il MiniLED per film, sport e gioco Hisense 55U7SE: tuttofare e accessibile, il Min...
Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Kindle Scribe Colorsoft: riduce le cornici e div...
L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint L'IA cambia tutte le regole della sicurezza tra ...
L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 L'Europa conta nella tecnologia e può ess...
Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete: i bracci si esten...
Google condannata in Svezia: dovrà...
Samsung Foundry aggiorna la roadmap: il ...
La Cina risponde a NVIDIA con LongCat-2....
Godox C100: la prima fotocamera del marc...
Boom IA e affitti fuori controllo: chi l...
Le RTX 5000 abbattono il muro dei 4 GHz,...
Onimusha: Way of the Sword non sar&agrav...
Anche Microsoft anticipa al 2029 il pass...
Sei falle in AirDrop e Quick Share: cras...
Altri tagli in arrivo in casa XBOX: a ri...
Quando l'IA entra nei processi: due part...
La contea con più data center del...
Galaxy Ring 2, Samsung conferma lo svilu...
1TB e velocità di scrittura garan...
Volkswagen apre alla produzione europea ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 22:26.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v