La ricerca con Google su IE porta a siti sospetti

[cyber]

Ciao ragazzi,
ho bisogno del vostro aiuto. Da questa mattina con IE eseguendo una qualsiasi ricerca con google tutti i risultati (apparentemente corretti) portano a siti porno o simili. Ho già provato con vari tools ma niente.

Antivir non mi rivela nessun virus, tramite Spybot ho già eliminato tutto l'eliminabile e ora sembra tutto pulito e con HijackThis ho eliminato le voci sospette, qui trovate il suo log:

####################################################

Logfile of HijackThis v1.99.1
Scan saved at 17.58.55, on 31/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Babylon\Babylon-Pro\Babylon.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Clipdiary\clipdiary.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\SkypeMate\SkypeMate.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Luca\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [clipdiary] C:\Programmi\Clipdiary\clipdiary.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SkypeMate] C:\Programmi\SkypeMate\SkypeMate.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BE98ED1-91FE-4E7B-A205-76C4AE345790}: NameServer = 85.37.17.16,85.38.28.68
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

####################################################

Che altro posso provare?

[FOXYLADY]

Prova a scansionare anche con questi due
http://www.superantispyware.com/
http://www.ewido.net/en/

[cyber]

Ti ringrazio,
allora superantispyware non mi ha rilevato niente mentre l'AVG ne ha rilevati ben 18. Purtroppo una volta eliminati il problema non è risolto, altre idee?

[giacomo_uncino]

prova a ripulire il sistema con ccleaner (solo la pulizia-cleaner- lascia perdere la voce "Problemi" ) E se continua prova se lo fa anche con Firefox o Opera e già che ci sei aggiungi Siteadvisor (molto utile)

[cyber]

No, lo dico subito, con firefox non mi da nessun problema, comunque ora provo anche con CCleaner

[cyber]

Dunque,
ho pulito anche con CCleaner ma niente da fare, comunque AVG mi trova sempre questa voce in memoria che ho provato ad eliminare più volte ma senza successo:



Se provo ad utilizzare i risultati della ricerca in IE con windows in modalità provvisoria mi da sempre una pagina d'errore come se tutte le richieste venissero girate ad un servizio non attivo.

[cyber]

Vorrei provare a cancellare a mano delle voci di registro ma ovunque si parla di chiavi HKLM\... ? Che cavolo sono? Io tutte le chiavi che conosco iniziano per HKEY\...

boh

[_MC5_]

Quote:

Originariamente inviato da cyber

...... ovunque si parla di chiavi HKLM\... ? Che cavolo sono? Io tutte le chiavi che conosco iniziano per HKEY\...

boh

HKLM = HKEY_LOCAL_MACHINE

[cyber]

Quote:

Originariamente inviato da _MC5_

HKLM = HKEY_LOCAL_MACHINE

Ma veramente? No guarda non ci posso credere è da ieri che ci sto diventando scemo... ma vaff

grazie

[bReAkDoWn]

Se non riesci a risolvere, servono log più approfonditi.
Dovresti scaricare gmer (www.gmer.net) e fare due scansioni: rootkit e autostart, copiare i risultati (gmer ha direttamente il pulsante copy) e incollarli in un messaggio qua sul forum. Assicurati che in entrambe le scansioni NON sia selezionata l'opzione show all e lascia tutte le altre opzioni così come sono. Infine, durante la scansione rootkit non utilizzare il pc e cerca di chiudere tutte le applicazion aperte.

[cyber]

Allora,
per il momento sembra che abbia risolto utilizzando direttamente il regedit in modalità provvisoria cancellando a mano le voci dal registro dopo aver svuotato la cache di IE. Credo che il problema sia stato risolto anche se prima di cantar vittoria vorrei aspetatre qualche giorno. Vi faccio sapere.

Ciao e grazie a tutti.