Ciao ragazzi,
e' la prima volta che non riesco a togliere degli spyware, mi aprono pagine web in continuazione, sia in firefox che IE, ecco cosa ho fatto:

adaware e spybot aggiornati fatti andare da mod provvisoria, pulito tutto (c'era della gran roba), adaware non vede + niente, spybot vede sempre 3 voci nel registro che sono:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

il primo riesce a correggerlo gli altri 2 no, manco in modalita' provv.
Il primo poi si autorigenera ogni volta.

Il problema si presenta anche in modalita' provvisoria quindi deve essere un servizio o che so.

Ho provato anche altri programmi tra cui escan antivirus toolkit by kaspersky, ha trovato diversa roba, ma non la toglie se non acquisto il programma:
File C:\WINDOWS\system32\mfvidc32.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: Nessuna azione intrapresa.
di questi file look2me ce ne erano dei quintali che ho tutti cancellato, ma o si rigenerano o non li ho tolti tutti.

Object "minibug Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "searchexe Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "bearshare Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "redv Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "redv Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.

hai usato hijackthis? fai una scansione, e posta il file di log(comunque ti consiglio di andare nella sezione antivirus ed esporre il problema)

hai usato hijackthis? fai una scansione, e posta il file di log
velocissimo, grazie!

Ecco il log...

sembra OK però ho dei dubbi su
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
sai a cosa si riferiscono?

sembra OK però ho dei dubbi su
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
sai a cosa si riferiscono?
si dunque:
tutto quello che e' SynTp* riguarda il Synaptics TouchPad del portatile.
l'altro file QtZgAcer.EXE si riferisce ai tastini speciali del portatile, per fare partire il client di posta el. ecc. ecc.

Come faccio a risolvere?

Thanx

ho fatto un pò di ricerche con google allora scaricati xoftspy che sembra essere in grado di eliminare quell' ad-aware, facci sapere

ho fatto un pò di ricerche con google allora scaricati xoftspy che sembra essere in grado di eliminare quell' ad-aware, facci sapere
si questo l'avevo gia' provato, ma non mi ha trovato nulla di nuovo, scusa mi ero scordato il nome... :(

hai provato ewido?

hai provato ewido?
interessante, ha trovato qualcosa...
intanto ho beccato sto file jt0607dse.dll bloccato da winlogon.exe che fa sempre parte di look2me

Dunque il bastardo e' proprio look2me.
ewido lo vede e lo elimina, ma la volta dopo ci sono sempre 2 file nuovi con 2 nomi diversi, che lui vede, ma sembra non riuscire a bloccarne la fonte...

:help:

Dunque il bastardo e' proprio look2me.
ewido lo vede e lo elimina, ma la volta dopo ci sono sempre 2 file nuovi con 2 nomi diversi, che lui vede, ma sembra non riuscire a bloccarne la fonte...

:help:


senti, hai padronanza del registro di sistema?

vai su http://www.pchell.com/support/look2me.shtml e segui le istruzioni per eliminare quell'ad-aware,ciao

senti, hai padronanza del registro di sistema?
ma si abbastanza che mi consigli?

intanto ho trovato con un altro programma dell'altra roba, solo che anche questo e' a pagamento :(



Application Information

=======================



Application Version: ScanSpyware v3.8 build 3.8.0.4

Original Database: pests12-09-05.db

Updated Database: ssdb010406.db

Current Date: Wednesday, January 04, 2006 07:01:21 PM

__________________________________________________



Directories recognized:

=======================



__________________________________________________



Files recognized:

=================



[AGOBOT]

C:\WINDOWS\system32\atiphexx.exe



[AlCan.A]

C:\WINDOWS\system32\taskmgr.com



[OrbitExplorer]

C:\DOCUME~1\Luca\IMPOST~1\Temp\download.exe



[RBOT.OR]

C:\WINDOWS\system32\atiphexx.exe



__________________________________________________



Registry keys recognized:

=========================



[SavingsHound]

HKEY_CLASSES_ROOT\s



[SavingsHound]

HKEY_LOCAL_MACHINE\Software\Classes\s



__________________________________________________



Registry values recognized:

===========================



__________________________________________________



Cookies recognized:

===================



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[2].txt



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[3].txt



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[1].txt



__________________________________________________

vai su http://www.pchell.com/support/look2me.shtml e segui le istruzioni per eliminare quell'ad-aware,ciao
ciao,
quella pagina l'avevo gia' vista, purtroppo i file come hai potuto vedere dai miei post sono diversi come nome, quindi forse ho una variante del malware.

Ho scaricato anche il tool che dice in fondo e mi restituisce questo:

Files Found---


Guardian Key--- is called:

User Agent String---
{21158FCD-A142-EB64-4A2F-75434C2008EA}


che dici provo a cancellare tutto quello che ha a che fare con questa chiave?

si provaci ma ricorda di fare un backup del registro del sistema

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

e [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

di conseguenza rimuovi tutto quello che trovi qua e dentro runonce, runoncex, lo so che hai anche qualcosa che ti serve ma lo puoi sempre ripristinare ora capiamo dove quel file di merda.

Installa Antispyware della microsoft, e fai tutto con il pc scollegato, vedi se ti ricarica in automatico delle voci nel registro, poi vediamo cosa fare.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

e [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

di conseguenza rimuovi tutto quello che trovi qua e dentro runonce, runoncex, lo so che hai anche qualcosa che ti serve ma lo puoi sempre ripristinare ora capiamo dove quel file di merda.

Installa Antispyware della microsoft, e fai tutto con il pc scollegato, vedi se ti ricarica in automatico delle voci nel registro, poi vediamo cosa fare.
si ci avevo gia' guardato, dovrebbe esserci soltanto roba innoqua.
Il problema e' che sospetto che parta agganciandosi tramite winlogon per esempio, ma non c'e' un antispyware che parte prima del login stile scandisk o antivirus?

il toolkit di MS per gli spyware non becca nulla, gia' provato!

ora devo uscire, domani faro' altre prove, intanto grazie e mille per l'aiuto

fai una ricerca sul pc del file k8no0i53e8.dll.....

si ci avevo gia' guardato, dovrebbe esserci soltanto roba innoqua.
Il problema e' che sospetto che parta agganciandosi tramite winlogon per esempio, ma non c'e' un antispyware che parte prima del login stile scandisk o antivirus?

il toolkit di MS per gli spyware non becca nulla, gia' provato!

ora devo uscire, domani faro' altre prove, intanto grazie e mille per l'aiuto


Se vuoi la soluzione questa è una strada, se poi vuoi fare come ti pare, certo non posso obbligarti, ma solo dirti come faccio io a rimuoverli. :D

il tools microsoft rimuove abbastanza, comunque ogniuno ha le sue idee, comunque serve principalmente per evitare che altri si insidino nel sistema e eventualmente monitorizza i nuovi.

Comunque come hai fatto a prendere questa infezione?

scarica il tool di rimozione da questo link http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe

grazie al tool di rimozione dovresti aver risolto,facci sapere

grazie al tool di rimozione dovresti aver risolto,facci sapere
scaricato il tool e dice che non ha trovato nulla!
Che ci sia qualche altro spyware in giro?

Se vuoi la soluzione questa è una strada, se poi vuoi fare come ti pare, certo non posso obbligarti, ma solo dirti come faccio io a rimuoverli. :D

ma non te la prendere, solo che il problema persiste anche in modalita' provvisoria e visto che li' non dovrebbe caricare nulla dei programmi nella parte del registro che mi hai detto ho pensato fosse una prova superflua, se mi sbaglio sono pronto a correggermi.

il tools microsoft rimuove abbastanza, comunque ogniuno ha le sue idee,

Non e' una questione di idee e' una questione che l'ho provato e non mi trova niente!!!

Comunque come hai fatto a prendere questa infezione?
Il computer non e' mio, sul mio non entra mai niente, alla fine basta un antivirus, un firewall e il buon senso ;)

hai fatto la scansione in modalità provvisoria? scaricati questo programma su http://news.swzone.it/swznews-12056.php a me ha trovato un spyware che ad-aware non era riuscito a trovare ;)

prova ad usare anche questo tool su http://www.majorgeeks.com/download4166.html, sembra essere in grado di eliminare le varianti più recenti di Look2Me, facci sapere

prova ad usare anche questo tool su http://www.majorgeeks.com/download4166.html, sembra essere in grado di eliminare le varianti più recenti di Look2Me, facci sapere
allora siamo messi cosi', sono andato in mod. provv e ho fatto queste cose:
- questo tool non vede nulla, pero' tenta di eliminare lo stesso il look2me.
- poi ho scaricato bazooka che mi ha rilevato il Exploit Beehappyy.biz ho scritto il file .log, mi dava 2 file che ho cancellato.
- ewido continua a beccarmi i file di look2me allora sono andato in mod ripristino con il cd di windows e ho cancellato pure quelli, visto che neanche da mod provv riuscivo a cancellarli

ho riavviato... e tutto come prima evviva :muro:

adesso bazooka rileva un nuovo file che prima non rilevava (forse si e' creato all'avvio?) \system32\guard.tmp lo rileva sempre come beehappyy.biz
ewido invece vede i soliti due file di look2me che come ogni avvio cambiano nome, pero' uno dei due e' proprio guard.tmp, quindi per ewido si tratta di look2me per bazooka invece di beehappyy

vai qui http://www.kephyr.com/spywarescanner/library/exploit-beehappyy.biz/index.phtml dice come eliminare beehappyy.biz(a quanto pare non avevi solo Look2Me ma è strano che gli altri antispyware non lo abbiano rilevato)

prova anche ad usare pestpatrol che è un programma antispyware molto buono

prova ad usare dinuovo hijack e posta qui il file di log può darsi che stavolta trova qualcosa

allora siamo messi cosi', sono andato in mod. provv e ho fatto queste cose:
- questo tool non vede nulla, pero' tenta di eliminare lo stesso il look2me.
- poi ho scaricato bazooka che mi ha rilevato il Exploit Beehappyy.biz ho scritto il file .log, mi dava 2 file che ho cancellato.
- ewido continua a beccarmi i file di look2me allora sono andato in mod ripristino con il cd di windows e ho cancellato pure quelli, visto che neanche da mod provv riuscivo a cancellarli

ho riavviato... e tutto come prima evviva :muro:

adesso bazooka rileva un nuovo file che prima non rilevava (forse si e' creato all'avvio?) \system32\guard.tmp lo rileva sempre come beehappyy.biz
ewido invece vede i soliti due file di look2me che come ogni avvio cambiano nome, pero' uno dei due e' proprio guard.tmp, quindi per ewido si tratta di look2me per bazooka invece di beehappyy


Puoi rimuovere l'HD e collegarlo ad un sistema pulito?

Puoi individuare il nome dei file allora prova a cancellarli, senza avviare xp, e creare un file vuoto con lo stesso nome, e rendilo solo lettura.

http://www.pctools.com/spyware-doctor/

se hai norton internet security 2006 potresti fare finta di installarlo e vedere se ti trova in memoria qualcosa con la scansione pre-installazione.

Puoi rimuovere l'HD e collegarlo ad un sistema pulito?

Puoi individuare il nome dei file allora prova a cancellarli, senza avviare xp, e creare un file vuoto con lo stesso nome, e rendilo solo lettura.
no purtroppo e' un portatile, senno' l'avrei gia' fatto.
Tutto quello che posso fare e' partire in modalita' ripristino con il cd di windows xp

no purtroppo e' un portatile, senno' l'avrei gia' fatto.
Tutto quello che posso fare e' partire in modalita' ripristino con il cd di windows xp


Anche hai portatili può rimuovere l'hd.... prova i programmi ..

http://www.pctools.com/spyware-doctor/

se hai norton internet security 2006 potresti fare finta di installarlo e vedere se ti trova in memoria qualcosa con la scansione pre-installazione.
allora questo tool mi sembra di gran lunga il migliore tra quelli provati.
Mi ha rilevato un bel po' di roba, ecco il log.
Il tutto parte da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Paths dove viene richiamato il file, ma sinceramente non so se posso cancellare e che cosa.

allora questo tool mi sembra di gran lunga il migliore tra quelli provati.
Mi ha rilevato un bel po' di roba, ecco il log.
Il tutto parte da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Paths dove viene richiamato il file, ma sinceramente non so se posso cancellare e che cosa.


Spyware doctor è uno dei più bravi nel trovare questa merda, fidati quello che lui dice essere merda è merda....


:-)

Spyware doctor è uno dei più bravi nel trovare questa merda, fidati quello che lui dice essere merda è merda....


:-)
Ce l'ho fatta!!!!
Ragazzi ho eliminato il bastardo!!! :sofico: :cool: :Prrr:

Ci sono riuscito solo tramite l2mfix
http://forums.techguy.org/security/345137-difficult-problem-fixes.html
http://www.atribune.org/downloads/l2mfix.exe
http://www.downloads.subratam.org/l2mfix.exe

dalla prima pagina linkata c'e' scritto che e' l'unico che riesce ad eliminarlo definitivamente.

Se vi interessa ecco il log di quello che ha fatto...

grazie a tutti siete stati magici! A buon rendere!

sono di nuovo qui:
altro pc mega infettato da spyware, virus e pure 1 rootkit.

Ho tolto tutto, ma si vede che qualche bastardo mi ha tolto l'uso del windows firewall.
Quando cerco di abilitarlo dal centro di sicurezza del pc mi dice: "Impossibile visualizzare le impostazioni di windows firewall. Si e' verificato un problema non identificato".

Forse sono stati modificati dei valori nel registro, ma non so come ripristinarlo, avete idee?

Puoi provare con queste soluzioni (http://support.microsoft.com/default.aspx?scid=kb%3Bit%3B892199)...
Oltre ovviamente a controllare che il relativo servizio sia avviato e impostato su automatico, via Start>Esegui>services.msc
Nel caso il servizio fosse addirittura mancante, si tratta di ripristinare la relativa chiave di registro, cioè HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess.
Fammi sapere se il KB microsoft non serve e ti posto la mia.

Puoi provare con queste soluzioni (http://support.microsoft.com/default.aspx?scid=kb%3Bit%3B892199)...
Oltre ovviamente a controllare che il relativo servizio sia avviato e impostato su automatico, via Start>Esegui>services.msc
Nel caso il servizio fosse addirittura mancante, si tratta di ripristinare la relativa chiave di registro, cioè HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess.
Fammi sapere se il KB microsoft non serve e ti posto la mia.
si dunque il problema non e' solo che il servizio e' disabilitato, ma in services manca del tutto!
Sono andato a confrontare con il mio pc la chiave che dici tu e difatti molte parti erano mancanti, le ho esportate e importate sul pc ex-infetto ma ancora niente.
poi ho notato che manca addirittura la voce (e tutte le sottovoci) sotto
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum\Root\LEGACY_SHAREDACCESS

credo sia fondamentale no? Ecco il problema e' che questa voce non me la fa importare dal file generato dal mio registro.

Idee?

ok non me le faceva inserire perche' dovevo cambiare le autorizzazioni sulla chiave di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Enum

pero' il servizio ancora non e' riapparso :muro: :muro:

Start>Esegui>
regsvr32 c:\windows\system32\atl.dll & regsvr32 c:\windows\system32\hnetcfg.dll.
Riavvia e prova ad avviare il firewall.
Se niente ancora, leggi questo articolo. (http://windowsxp.mvps.org/sharedaccess.htm)

grande mancavano anche queste info nel registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\SharedAccess

ora e' tornato il servizio ICS, e' attivo e cosi' anche il firewall!


pero' ancora il centro di sicurezza non e' del tutto a posto, credo abbia modificato anche li' le chiavi di registro...
praticamente non si vede la visualizzazione classica con scritto se il firewall e' attivato o meno...

grandeeeee ho risolto!

Metto a disposizione di tutti i due file di registro che mi hanno aiutato a mettere a posto il centro di controllo e il servizio di windows firewall/condivisione internet.
Ovviamente sono da rinominare togliendo l'estensione .txt ;)

GRAZIE James Axton