PDA

Visualizza versione completa : Malware che modifica Home page browser


furiadicheb
25-01-2009, 21.34.14
Salve a tutti prima di ogni cosa sono un nuovo utente del forum.

Io uso Firefox e oggi dopo aver scaricato un software freeware per la masterizzazione il browser apre ogni volta una home page diversa da quella impostata da me...non ricordo come si chiamano questo tipo di malware però ora nn so come toglierlo....a squared free mi da tutto nella norma...

furiadicheb
26-01-2009, 20.20.44
Allora sembra che ho individuato il colpevole....infatti dopo aver scaricato starburn della rocketdivision da allora mi modificava la home page con un GOGGLE MODIFICATO per rocket division....

però ora per esempio mi rimane nel tasto destro dove al posto di cerca su google mi da cerca su rocket division...

leofelix
26-01-2009, 22.00.37
benvenuto nel forum di wintricks,

se non hai ancora disinstallato lo starn burn, ti suggerirei di farlo immediatamente.

ora se hai IE 7.0 posizionati col mouse sull'icona di IE 7 nel desktop, selezionala e cliccaci su col pulsante destro, quindi va sul menu "proprietà", ora vai sulla linguetta "avanzate" (in alto) e clicca sul pulsante "reimposta"
Se invece usi IE 6, stessa procedura con la differenza che troverai un pulsante con scritto qualcosa come "reimposta la pagina iniziale del browser..".

Ora dai una bella pulita ai files temporanei e tracce di navigazione col gratuito CCleaner
Ecco il link diretto al download della versione senza yahoo toolbar:

http://www.ccleaner.com/download/builds/downloading-slim

----

Ora se non lo utilizzi di già scarica SpyBot Search & Destroy 1.6.2
http://news.wintricks.it/software/sicurezza-privacy/28231/spybot-search-destroy-1.6.2/
durante l'installazione ti verrà proposto di attivare il modulo Teatimer, non farlo.
Aggiorna il programma, imposta la modalità avanzata e fagli fare una "scansione del solo spyware".
Non dimenticare di usare la funzione di immunizzazione


Scarica anche MalwareBytes'AntiMalware 1.33

http://www.gt500.org/malwarebytes/mbam-setup.exe (gratuito, leggero senza protezione permanente, in italiano e molto efficiente ed efficace, non va in conflitto con alcun antivirus noto)
Installalo, aggiornalo, e fagli fare una scansione veloce del sistema.

Una volta pulito il sistema, come auspico, puoi installare come programma di masterizzazione il gratuito, in italiano e soprattutto senza spyware incluso CD Burner XP (per win2000/XP/Vista)

http://cdburnerxp.se/it/download

(Y)

Se qualcosa non ti è chiaro chiedi pure, nel caso non riuscissi a risolvere, scarica HiJackThis sul desktop
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

lancialo, appena si apre clicca su "Do a system scan and save a log file" e copiane e incollane il contenuto nel post seguente.

Attendo tue notizie spero positive.
ancora benvenuto a bordo :w:

Lionsquid
27-01-2009, 00.12.02
caspita che benvenuto!! :)

furiadicheb
27-01-2009, 08.34.17
Grazie ragazzi chiarissimo tutto.Non usando IE ma Firefox vuoi dire praticamente che devo ricambiare la home page iniziale vero?

Comunque ho disinstallato starburn ora devo solamente beccare sto spyware...

vi faccio sapere

leofelix
27-01-2009, 13.47.42
sostanzialmente è come dici, ma il fatto di usare un browser differente da Internet Explorer non deve far dimenticare che IE è una componente di sistema e anche molto importante.

Se anche effettuando delle ricerche da google poi vieni indirizzato verso le pagine della rocket division o altre che non vuoi visitare, allora non si tratta di reimpostare solo la home page di IE: è evidente che lo spyware contratto è molto più dannoso di quanto si possa credere, è uno Hijacker (non si faccia confusione col termine Hacker) un programma malevolo che non solo dirotta la home page di un browser, ma può modificare il desktop, i motori interni di rierca dei browser e anche i parametri di connessione.

Quindi per beccare quello spyware, non ti resta che utilizzare i programmi che ti ho indicato e apportare quelle modifiche a IE
ciao:)

furiadicheb
27-01-2009, 15.04.08
scusate un momento l'OT quando scarico l'ultima versione di malwarebyte mi dice che sono necessari i privilegi di amministratore per installare questa versione...che vuol dire???

premetto che se vado in pannello di controllo - account utente io sono amministratore

io uso Widows Vista (purtroppo) :grrr:

Semi.genius
27-01-2009, 18.15.49
scusate un momento l'OT quando scarico l'ultima versione di malwarebyte mi dice che sono necessari i privilegi di amministratore per installare questa versione...che vuol dire???

premetto che se vado in pannello di controllo - account utente io sono amministratore

io uso Widows Vista (purtroppo) :grrr:

è l'uac..il tuo amministratore è sotto il suo influsso. Perciò sopra sopra l'eseguibile fai tasto destro-->Esegui come amministratore.

furiadicheb
27-01-2009, 18.53.16
non funziona comunque......mi dice sempre che non ho i privilegi e non riesco manco ad aggiornare malwarebyte co sto sistema operativo della cippa ed ho pure disabilitato il UAC

vabbè significa che scaricherà l'ultima versione dal sito del produttore

Semi.genius
27-01-2009, 18.56.39
non funziona comunque......mi dice sempre che non ho i privilegi e non riesco manco ad aggiornare malwarebyte co sto sistema operativo della cippa ed ho pure disabilitato il UAC

Tasto destro-->proprietà c'è il tasto annulla blocco?

furiadicheb
27-01-2009, 19.08.48
no non c'è ....ma credo tu ti riferisca all'installazione....io non riesco ad aggiornare il software e quando deve fare l'installazione mi da quell'errore

furiadicheb
27-01-2009, 19.18.50
non riesco ad installar manco un software scaricato ora :eek: ....dubito che sia l'UAC sinceramente....fino ad adesso è sempre andato tutto liscio...

ora ho provato a riscaricare completamente malwarebyte ed ho fatto anche annulla blocco come mi hai detto ma niente da fare

Semi.genius
27-01-2009, 20.28.20
non riesco ad installar manco un software scaricato ora :eek: ....dubito che sia l'UAC sinceramente....fino ad adesso è sempre andato tutto liscio...

ora ho provato a riscaricare completamente malwarebyte ed ho fatto anche annulla blocco come mi hai detto ma niente da fare

potresti avere un rootkit...ti conviene fare una scansione con gmer.

furiadicheb
27-01-2009, 20.54.18
ok risolto il fatto dei permessi...era la versione in italiano di malwarebyte che mi dava l'errore ...quella in inglese funziona invece.....boh.....

Comunque .....

per il problema spyware

ho usato cleaner..
ho fatto la scnasione con malware byte e mi dava un trojan che ho eliminato
ho fatto la scansione con Spybot e non mi ha rilevato nulla ....
Ho reimpostato come consigliato IE7....

però ora rimane il problema di quanto per esempio selezione una frase e col destro clicco su cerca su google invece mi esce cerca su rocketdivision...

è rimasto sto problema che credo faccia capire come lo spyware purtroppo ci sia ancora.

vi posto un loh hijackthis

cascavel
27-01-2009, 22.37.48
ok risolto il fatto dei permessi...era la versione in italiano di malwarebyte che mi dava l'errore ...quella in inglese funziona invece.....boh.....

Comunque .....

per il problema spyware

ho usato cleaner..
ho fatto la scnasione con malware byte e mi dava un trojan che ho eliminato
ho fatto la scansione con Spybot e non mi ha rilevato nulla ....
Ho reimpostato come consigliato IE7....

però ora rimane il problema di quanto per esempio selezione una frase e col destro clicco su cerca su google invece mi esce cerca su rocketdivision...

è rimasto sto problema che credo faccia capire come lo spyware purtroppo ci sia ancora.

vi posto un loh hijackthis
disattiva il tuo antivirus e sistemi di sicurezza vari e scarica combofix sul desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe : tasto destro suul'icona e scegli esegui come amministartore, accetta il disclaimer e fai fare la sansione al tool senza far nulla con il pc. allega il log della scansione al prossimo post in formato *.txt altrimenti occupiamo due pagine di forum

leofelix
28-01-2009, 01.05.12
oltre alla scansione col Combofix come ti ha suggerito cascavel (a proposito, ben tornato cascavel :) )...
ho visto adesso il tuo log:
usi contemporaneamente il Mc Afee Viruscan Plus e AVG 8 antivirus: due antivirus nello stesso sistema possono causare conflitti, crash, e falsi positivi.
Meglio disinstallarne uno quindi.
Il Mc Afee poi non è del tutto compatibile con lo SpyBot ed entrambi gli antivirus, poi ehm in quanto a rilevazione lasciano a desiderare e sono piuttosto esigenti in termini di risorse.

Vedo che usi OnLine Armor come firewall che costituisce già un'ottima linea difensiva: spero quindi tu non abbia installato anche il firewall del Mc Afee Viruscan plus; verifica per favore, anche due personal firewall nel sistema non possono che causare problemi.

C'è ancora una promozione per usare per 6 mesi gratis uno dei migliori antivirus in commercio, l'Avira AntiVir PREMIUM 8.2, eventualmente, una volta risolto potresti prenderlo in considerazione (nella sezione segnalazioni web di wintricks ovvero Qui (http://forum.wintricks.it/showthread.php?t=140501) )

a presto

furiadicheb
28-01-2009, 12.36.40
si mcfee ce l'ho solo perchè il pc è nuovo e volevo sfruttare i 60 giorni di promozione :D

poi l'avrei comunque tolto sicuramente.

in effetti il firewall di mcafee era attivo ...ora disabilitato....

furiadicheb
28-01-2009, 14.29.12
Ragazzi non riesco ad eseguire combofix nemmeno se eseguo come amministratore e faccio annulla blocco...eppure ho l'UAc disabilitato

cascavel
28-01-2009, 17.10.33
Ragazzi non riesco ad eseguire combofix nemmeno se eseguo come amministratore e faccio annulla blocco...eppure ho l'UAc disabilitato
elimina la copia di combofix presente sul desktop,spegni il tuo antivirus, scaricalo nuovamente http://download.bleepingcomputer.com/sUBs/ComboFix.exe , non cliccare sull'icona desktop ma premi start, scegli esegui e nel box bianco di esegui copia ed incolla questo comando evidenziato: "%userprofile%\desktop\combofix.exe" /killall (cosi' com'e' virgolette comprese) premi OK e fai compiere la scansione senza far nulla con il pc. allega il log.

p.s. ciao Leo, grazie ... passavo di qui

leofelix
28-01-2009, 19.31.38
@ furiadicheb
a me viene il sospettino che tu abbia attivo il DEP (Data Execution Prevention)
http://windowshelp.microsoft.com/Windows/en-US/Help/1d9bb9b4-f6ba-466d-ac2b-7b8c4f8361611033.mspx

E forse è solo per questo che non riesci solo a eseguire determinati programmi o utilities

cippico
29-01-2009, 08.50.19
scusate se mi intrometto...

ma non bastava gia´ UAC?

quali sono le differenze?

grazie e ciaooo

furiadicheb
29-01-2009, 18.49.12
non riesco a far partire combofix ho provato più volte....

leofelix
30-01-2009, 01.05.53
non riesco a far partire combofix ho provato più volte....

prova a rinominarlo per esempio abcd.exe

e vedi se ora riesci ad eseguirlo

furiadicheb
30-01-2009, 13.21.51
provato e non va comunque.....mi dice na volta installazione non riuscita...n'altra che non ho i permessi...n'altra un altra cosa....mah

ma hijackthis non va bene...?

potrei provare a fare una scansione rootkit con gmer

leofelix
30-01-2009, 17.10.56
HijackThis non è sufficiente in certi casi.
Ma sei certo di essere amministratore di sistema?
Inoltre hai provato ad eseguire lo strumento cliccandoci sopra col pulsante destro del mouse e poi nel menu a tendina su "esegui come amministratore"?

Altra domanda: il sistema Vista che usi è a 32 bit o 64 bit? (non il processore, intendo proprio l'OS).

In ogni caso puoi tentare una scansione con Gmer sempre che tu riesca ad eseguirlo.

Io sono del parere che tu abbia installati troppi programmi di sicurezza che vanno in conflitto e ti bloccano anche l'esecuzione di files del tutto legittimi.

Senza contare che ho appena letto che OnLine Armor 3 soffre di alcuni problemi (proprio da leolas che è uno dei tester italiani di questo ottimo firewall), non solo su Vista e che è stata rilasciata la ver 3.1 beta ufficiale anche in italiano per correggerli.

Io al posto tuo per il momento installerei Comodo Internet Secuity 3.5 (senza l'antivirus incluso, senza le barrette per IE che propone e senza il modulo Defense + che in Vista potrebbe dare fastidio) in attesa della versione finale di OnLine Armor 3.1

furiadicheb
30-01-2009, 17.24.12
la scansione con Gmer riesco a farla....

Vista è a 32 bit

guarda allora di programmi di sicurezza ne ho forse troppi hai ragione ma solo due sono attivi come processi diciamo...e sono AVG e Onlinearmor
gli altri sono spybot malwarebyte a squaredfree e superantispayware

so troppi eh? :D

comunque ora posto la scansione con gmer

leofelix
30-01-2009, 17.46.03
nemmeno troppi in definitiva come programmi di sicurezza rispetto a prima.

Premetto che non uso più da tempo AVG antivirus(l'ho usato fino alla versione 6.0, ho testato la 7.0 beta per bocciarlo, ho provato la 7.5 pro e non l'ho ritenuto più all'altezza, la versione 8.0 inoltre ha causato troppi problemi anche gravi ai suoi utilizzatori: risultato almeno io non lo consiglierei nemmeno al mio "miglior nemico";)), quindi non so se va in conflitto con OnLine Armor free che in ogni caso è un personal firewall, e un personal firewall e un antivirus assieme sono cosa buona e giusta.

In quanto a Gmer eccoti un bel manuale

http://www.pcalsicuro.com/main/guida-a-gmer/

P.S ritengo inutile utilizzare anche a-squared free 4.0 : integra anche un motore antivirus e sono aumentati i falsi positivi, in Vista non dimenticare che hai anche Windows Defender come antispyware e che lavora in tempo reale.
Gli altri antispyware che usi bastano e avanzano

leofelix
30-01-2009, 17.58.55
lcomunque ora posto la scansione con gmer

ehm
quando hai aperto Gmer ti è apparso un avviso del genere "WARNING!!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system?”?

E nella ricerca rootkit ti ha segnalato delle voci in rosso?

furiadicheb
30-01-2009, 20.15.16
si quella guida l'ho trovata anche io sul web oggi ...

no non mi ha dato scritte in rosso o avvisi.

nella scansione che ho postato c'erano solo scritte nere.

E dato che non sono esperto non ho toccato nulla.

Anche perchè nella guida consiglia di togliere solo le voci in nero del tipo ADS se non sbaglio.

quindi se mi sconsigli AVG quale antivirus consigli?Avira? Avast?

comunque ricapitolando la spyware rochetdivision mi sa che ancora sta la...visto che con il tasto destro esce sempre cerca con rochetdivision search.....

comunque ora capisco perchè tutti criticavano Vista....con XP mai problemi ...

leofelix
30-01-2009, 20.50.29
allora,
io con Vista ti confesso che non ho alcun problema, anzi lo trovo fatto molto bene come OS, ma a parte questo, non si direbbe tu abbia contratto rootkit

Intanto ti suggerirei di effettuare subito windowsupdate, non vorrei tu avessi il sistema infetto da un worm che appesta sistemi non aggiornati.

Quindi scarica al riavvio questo strumento di rimozione gratuita:

http://www.protectorplus.com/download/cleandownadup.exe

sul desktop, quindi eseguilo e fagli fare una scansione: se c'è quel che sospetto, lo dovrebbe rimuovere.

Come antivirus ti suggerirei di usare Avira free o PREMIUM (c'è una promozione per averlo gratis per 6 mesi, te l'ho segnalata a inizio discussione)
Come Personal Firewall: Comodo Internet Security 3.5 (escludendo dalla installazione l'antivirus opzionale e il modulo Defense + che in Vista può creare problemi)

Naturalmente vanno disinstallati prima AVG e OnLine Armor 3.0.
Come antispyware direi che Windows Defender, MalwareBytes' AntiMalware e SpyBot Search & Destroy 1.62 sono più che sufficienti.

Attendo tue notizie

furiadicheb
31-01-2009, 11.51.37
ok allora clean up download non ha rilevato nullla.

furiadicheb
31-01-2009, 13.15.52
sapete la novità ? non riesco ad installare nemmeno avira ....

mah

ok come non detto sembra che onlinearmor dava un pò fastidio nelle installazione...forse per questo mi dava errore ....sono riuscito ad installare avira e ora sto installando comodo firewall

e vediamo se riesco a far partire combofix per togliere lo spyware di starburn

furiadicheb
31-01-2009, 23.48.47
ed ecco il log di combofix

tamir
04-05-2010, 15.23.49
ciao a tutti
leggo adesso questa discussione ed utilizzando starburn da diverso tempo senza mai aver avuto problemi mi permetto di dirvi che forse l'apertura di una nuova pagina web non la preferita dipende dal tipo di installazione che si è fatta con SB in versione full modifica la pagina iniziale del brownser ed alla chiusura del programma di masterizzazione apre la pagina del produttore.
scusatemi di questa mia intrusione mà credo prorio che SB non abbia problemi
ciao ciao