aiuto REDIRECT internet..!

Le085

che browser hai?

Acquarius

Ciao, Internet explorer 7.0

Totocellux

dimmi se esiste realmente il file wininit.ini, ed eventualmente posta il contenuto.

In teoria non dovrebbe esistere, perchè è un file che Windows utilizza per operare delle attività alla ripartenza successiva del s.o., quindi questo meccanismo viene creato a fronte di una procedura di installazione di un qualche programma, al fine di ultimare la procedura alla ripartenza del pc (pulitura dei file temporanei etc. etc.); subito dopo, però, dovrebbe essere cancellato dal programma stesso che lo ha creato.

Se esiste in condizioni ormali (quindi è questo il motivo per cui Spybot Search & Destroy non può crearlo o modificarlo), è segno che viene creato e protetto dal malware, per compiere ad ogni partenza delle operazioni ben precise.

Acquarius

Ciao non sò il nome del malware..ma ecco cosa riporta il file di HIjackThis eseguito come aministratore.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 8.34.07, on 23/04/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18226)

Boot mode: Normal

Running processes:

C:Windowssystem32Dwm.exe

C:Windowssystem32 askeng.exe

C:WindowsExplorer.EXE

C:WindowsSystem32igfxtray.exe

C:WindowsSystem32hkcmd.exe

C:WindowsSystem32igfxpers.exe

C:Program FilesApoint2KApoint.exe

C:Program FilesIntelIntel Matrix Storage ManagerIAAnotif.exe

C:Windowssystem32igfxsrvc.exe

C:Program FilesHpQuickPlayQPService.exe

C:Program FilesHewlett-PackardHP Quick Launch ButtonsQLBCTRL.exe

C:Program FilesWindows DefenderMSASCui.exe

C:Program FilesHewlett-PackardHP Wireless AssistantHPWAMain.exe

C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe

C:Program FilesHpHP Software UpdatehpwuSchd2.exe

C:Program FilesWindows Sidebarsidebar.exe

C:Program FilesWindows LiveMessengermsnmsgr.exe

C:Program FilesWindows Media Playerwmpnscfg.exe

C:UsersAcquariusAppDataLocalcgyqs.exe

C:Program FilesSpybot - Search & DestroyTeaTimer.exe

C:Program FilesHewlett-PackardHP wireless AssistantWiFiMsg.EXE

C:Program FilesApoint2KApMsgFwd.exe

C:Windowssystem32wuauclt.exe

C:Program FilesHewlett-PackardSharedHpqToaster.exe

C:Program FilesApoint2KApntex.exe

C:Program FilesWindows LiveContactswlcomm.exe

C:Program FilesInternet Explorerieuser.exe

C:Program FilesInternet Exploreriexplore.exe

c:program filesaolaol toolbar 5.0AolTbServer.exe

C:Windowssystem32MacromedFlashFlashUtil10b.exe

C:UsersAcquariusDownloadsProgramsHiJackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = Live Search

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = Yahoo! Italia

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = mioAOL | Compaq

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = Live Search

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = Live Search

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = mioAOL | Compaq

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =

R3 - URLSearchHook: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:Program FilesITALIA_version bITA1.dll

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll

O2 - BHO: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:Program FilesITALIA_version bITA1.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:Program FilesSpybot - Search & DestroySDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:PROGRA~1COMMON~1SYMANT~1IDSIPSBHO.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_03inssv.dll

O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:Program FilesAOLAOL Toolbar 5.0aoltb.dll

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesCommon FilesMicrosoft SharedWindows LiveWindowsLiveLogin.dll

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:Program FilesAOLAOL Toolbar 5.0aoltb.dll

O3 - Toolbar: ITALIA version Toolbar - {323d5e65-9ec7-481e-a888-5bbe30b80dfb} - C:Program FilesITALIA_version bITA1.dll

O4 - HKLM..Run: [igfxTray] C:Windowssystem32igfxtray.exe

O4 - HKLM..Run: [HotKeysCmds] C:Windowssystem32hkcmd.exe

O4 - HKLM..Run: [Persistence] C:Windowssystem32igfxpers.exe

O4 - HKLM..Run: [Apoint] C:Program FilesApoint2KApoint.exe

O4 - HKLM..Run: [iAAnotif] "C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe"

O4 - HKLM..Run: [QPService] "C:Program FilesHPQuickPlayQPService.exe"

O4 - HKLM..Run: [QlbCtrl] %ProgramFiles%Hewlett-PackardHP Quick Launch ButtonsQlbCtrl.exe /Start

O4 - HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide

O4 - HKLM..Run: [hpWirelessAssistant] C:Program FilesHewlett-PackardHP Wireless AssistantHPWAMain.exe

O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesAheadLibNeroCheck.exe

O4 - HKLM..Run: [AVP] "C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe"

O4 - HKLM..Run: [WinampAgent] "C:Program FilesWinampwinampa.exe"

O4 - HKLM..Run: [HP Software Update] C:Program FilesHpHP Software UpdateHPWuSchd2.exe

O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 9.0ReaderReader_sl.exe"

O4 - HKCU..Run: [sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun

O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background

O4 - HKCU..Run: [WMPNSCFG] C:Program FilesWindows Media PlayerWMPNSCFG.exe

O4 - HKCU..Run: [cgyqs] "c:usersacquariusappdatalocalcgyqs.exe" cgyqs

O4 - HKCU..Run: [spybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe

O4 - HKUSS-1-5-19..Run: [sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVIZIO LOCALE')

O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')

O4 - HKUSS-1-5-20..Run: [sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVIZIO DI RETE')

O8 - Extra context menu item: &AOL Toolbar Cerca - c:program filesaolaol toolbar 5.0 esourcesit-itlocalsearch.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~3Office12EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0SCIEPlgn.dll

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~3Office12ONBttnIE.dll

O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:Program FilesAOLAOL Toolbar 5.0aoltb.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3Office12REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:Program FilesSpybot - Search & DestroySDHelper.dll

O13 - Gopher Prefix:

O17 - HKLMSystemCCSServicesTcpip..{784E965A-2555-4594-98FA-F39DC6AC5936}: NameServer = 151.99.125.1,151.99.0.100

O20 - AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0 3hook.dll

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe

O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:Program FilesHewlett-PackardHP Quick Launch ButtonsCom4Qlb.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:Program FilesHewlett-PackardSharedhpqWmiEx.exe

O23 - Service: Intel Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesCommon FilesLightScribeLSSrvc.exe

O23 - Service: NBService - Nero AG - C:Program FilesNeroNero 7Nero BackItUpNBService.exe

O23 - Service: NMIndexingService - Nero AG - C:Program FilesCommon FilesAheadLibNMIndexingService.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:Program FilesSpybot - Search & DestroySDWinSec.exe

O23 - Service: Symantec Core LC - Unknown owner - C:PROGRA~1COMMON~1SYMANT~1CCPD-LCsymlcsvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:Windowssystem32DRIVERSxaudio.exe

--

End of file - 9287 bytes

Totocellux

prima osservazione:

avevi precedentemente installata la Suite Norton Internet Security, e all'atto della disinstallazione un pezzo (cioè un servizio) è rimasto ancora appeso:

O23 - Service: Symantec Core LC - Unknown owner - C:PROGRA~1COMMON~1SYMANT~1CCPD-LCsymlcsvc.exe

ma non è questo il problema, bensì:

* C:UsersAcquariusAppDataLocalcgyqs.exe

* O4 - HKCU..Run: [cgyqs] "c:usersacquariusappdatalocalcgyqs.exe" cgyqs

non riesco, senza avere il file tra le mani ..... ehm nel mio pc , a dirti qualcosa in più.

Di certo non è un pezzo di s.o., tantomeno di un programma conosciuto, qiundi tutto lascia presupporre che sia la manifestazione di un malware, e potrebbe essere associato ai problemi che hai evidenziato.

apix_1024

dopo aver eliminato la voce di registro ed il file che ti ha segnalato toto, prova questo: ComboFix - Download - UpYou

lo fai girare da amministratore e dovrebbe pulirti per bene il pc. a me ha sempre levato tutto lo sporco su tutti i pc anche i più infetti!

megthebest

vedo anche una marea di toolbar credo che alcune delle pagine caricate possano dipendere da quelle...

certo è che quella minaccia cgyqs.exe è al momento sconosciuta anche negli archivi dei migliori antivirus e antispy/rootkit il che non è bello:AAAAH:

Acquarius

Ciao, allora ho disinstallato due toolbar..(da pannello di controllo..ecc) poi ho eseguito HIjackThis ed ho fixato la voce segnalata da toto ovvero:

* O4 - HKCU..Run: [cgyqs] "c:usersacquariusappdatalocalcgyqs.exe" cgyqs

Ho eseguito Spybot ed ora non ha riscontrato nessuna minaccia..e finalmente il problema sembra e speriamo risolto.

grazie amici per la consulenza a buon rendere..!

apix_1024

perfetto. tieni sempre sotto mano combofix che fa tutto quello che hai fatto tu da solo in automatico

Acquarius

Ciao di nuovo, posso escludere windows defender e lasciare attivi solo kaspersky e Spybot quali vantaggi e/o svantaggi ci sono..?

Totocellux

Puoi benissimo disattivare Windows Defender, ma ci sarà la necessità di attivare il modulo TeaTimer di SpyBot S&D: questo fungerà da motore di rilevazione in tempo reale (come quello di Defender).

Ti dovrai abituare alle indicazioni che ti mostrerà TeaTimer, in quanto più pressanti di quelle di Defender, oltre al fatto che avrà bisogno di maggiori risorse:

il processo di Defender in Windows Vista (msacui.exe) pesa pochissimo, al contrario di quello di Spybot (teatimer.exe). Quest'ultimo, dal canto suo però, ha un sistema di protezione molto più completo, che comprende anche il controllo delle modifiche del registro di configurazione