PDA

Visualizza versione completa : Sospetto di infezione


eledrago
10-12-2005, 23.45.02
Ciao a tutti,

da qualche giorno se faccio una ricerca su Google, Yahoo e altri motori di ricerca ottego dei link apparentemente coerenti col richiesto ma se ci clicco sopra finisco su altri motori di ricerca minori molto noiosi. Potrei avere un qualche "malware"... o è una nuova "politica" dei motori di ricerca?
Qualcuno può darmi delle dritte?
Grazie, ciao.

Lionsquid
11-12-2005, 00.35.32
non è detto

sono sempre più numerosi sti metamotori, noiosi e spesso pieni di tranelli

la cosa più semplice da fare è fare un controllo con hijackthis e salvare il log, poi lo alleghi qui .... ci daremo un'occhiata ;)

eledrago
11-12-2005, 10.34.39
Grazie per la dritta.
Ho allegato il file...aspetto...grazie,
ciao.

eledrago
11-12-2005, 10.38.53
Grazie al suggerimento ho trovato un sito che fa in tempo reale, non so se in modo affidabile, l'analisi del logfile.

L'indirizzo è http://www.hijackthis.de/

... se non si può dare la URL cancellatela e scusatemi.

Ciao

Lionsquid
11-12-2005, 11.38.55
no, no...nessun problema per il link (Y) (solo i siti personali non è permesso metterli nel post ma solamente nella sign) il sito è ben conosciuto e molto usato, solo che non sempre lo si consiglia a chi è alle prime armi nell'analisi dei processi...

molti suggerimenti dati per "sospetti" in realtà sono processi normali e regolarissimi, non bisogna quindi prenderlo alla lettera

però i processi maligni ben conosciuti li marca correttamente di solito

adesso do un'occhiata al tuo log

Lionsquid
11-12-2005, 11.51.13
non ho trovato nulla di evidentemente malware eccetto 2 sospetti

uno mi è sconosciuto e non sono certo che abbia qualcosa di malware in se (dovrei indagare meglio ma non ho tempo)

O4 - HKLM\..\Run: [RegPure] C:\Programmi\RegistryPurifier\bin\Release\RgPurify .exe -startup


l'altro sospetto è relativo ai servers ukraini che hai inseriti

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E9DEA8E-B984-4AE1-AE3E-E6F37BA072BA}: NameServer = 85.255.115.22 85.255.112.157
O17 - HKLM\System\CCS\Services\Tcpip\..\{613C1728-C794-40F8-9745-BFC6B91D52C8}: NameServer = 85.255.115.22,85.255.112.157
O17 - HKLM\System\CCS\Services\Tcpip\..\{773A7CBF-BFCD-4946-9278-954579F93B54}: NameServer = 85.255.115.22,85.255.112.157

a meno che tu non ti connetta da quell'area geografica non ne capisco l'uso... http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=85.255.115.22&submit.x=16&submit.y=7



adesso scappo... ciao

eledrago
11-12-2005, 12.09.35
Mille grazie...

il primo sospetto è in realtaà una utility che uso per pulire il registro...i siti Ukraini...non ho idea...cerco quelle chiavi di registro e le elimino al volo...

Mille grazie per gli help...siete sempre i migliori.

Ciao.

Lionsquid
11-12-2005, 17.14.54
per le chiavi usa lo stesso hijackthis

quel registrupurifier non lo conosco ... ci sono in giro un sacco di prg "antiSpy" che in realta installano trojan a mai finire

winfix, registryrepair, etc (devo ricordarmi di farne un'elenco, può essere utile)

eledrago
11-12-2005, 20.03.34
...fatto eliminate le chiavi "strane" dal registro...cmq, dopo un riavvio, trovo ancora quei famigerati metamotori in alcune ricerche...

Registry Purifier l'ho trovato su http://www.jd-edv-consulting.de/

e lo sto provando...sembra discreto...offre due tipi diversi di scansione del registro...

se, tuttavia, mi dici che può essere fonte di spyware lo elimino e reinstallo l'immagine del S.O.

Ciao

Lionsquid
12-12-2005, 10.32.16
Originariamente inviato da eledrago
...fatto eliminate le chiavi "strane" dal registro...cmq, dopo un riavvio, trovo ancora quei famigerati metamotori in alcune ricerche...

Registry Purifier l'ho trovato su http://www.jd-edv-consulting.de/

e lo sto provando...sembra discreto...offre due tipi diversi di scansione del registro...

se, tuttavia, mi dici che può essere fonte di spyware lo elimino e reinstallo l'immagine del S.O.

Ciao

un momento.. i metamotori restituiti da google non sono dovuti a spyware o roba del genere... purtroppo google li indicizza e quindi li sforna a noi... dovrebbe essere google a segarli a monte, ma sarà questione di tempo... aumentano continuamente e prima o poi prenderanno provvedimenti (il danno principale è per loro infatti)

quanto al registry purifier io NON dico che può essere fonte di spy, dico che ci sono parecchi sw che lo fanno, ma il registry purifier non lo conosco e pertanto non mi pronuncio, la mia segnalazione era di sospetto proprio per la mia ignoranza sul programma...

andrebbe monitorato, ma al momento non ho il tempo per tali sperimentazioni

per cui, continua ad usarlo, magari è solamente un buon programma.. se è un fake, prima o poi lo si scoprirà ;)

eledrago
12-12-2005, 17.06.16
...ricevuto...se ho delle buone impressioni dal programma le comunico...ciao e grazie ancora