WebRebates [Archivio] - Hardware Upgrade Forum

View Full Version : WebRebates

Sifr

12-08-2004, 10:07

Ciao a tutti, :D
stamattina aprendo il task manager ho notato fra i vari processi webrebates0.exe e webrebates1.exe; googlando ho scoperto che effettivamente sono processi di uno spyware, appunto webrebates.. Su internet non ho trovato molto a proposito, adesso sto facendo una scansione con Ad-Aware, Spybot S&D, Free-Av, CwShredder e compagnia bella, però intanto volevo sapere un paio di cosette:

a) Sapete dirmi cosa fa di preciso? Google non mi ha aiutato molto per scoprirlo :(

b) Come si cavolo si prende questo virus?!?! No perchè proprio ieri avevo fatto una scansione con Spybot ed era tutto ok! Gli unici momenti in cui ho staccato l'anti-virus ero scollegato da Internet! :(

c) Nel caso i vari programmi citati sopra non dovessero funzionare, esiste un removal tool oppure bisogna fare la procedura manuale?

d) Già che ci sono vi chiedo un'altra cosa: ma perchè Spybot mi da sempre come infettato da DSO Exploit? Ho letto che era un bug (mi sembra) di Spybot, ma non mi ricordo in quale 3d... E inoltre, sapete dirmi a cosa serve WildTangent, che sempre Spybot mi considera come robaccia?

Byez!
Sifr

Sifr

12-08-2004, 10:33

Vi posto anche il log di HJT... Ci sono alcune cose piuttosto strane!! :eek:

Logfile of HijackThis v1.97.7
Scan saved at 10.27.21, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\Post_it2Lite\Psn2Lite.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\PROGRA~1\POST_I~1\PSNGive.exe
c:\programmi\hp_officejet710\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Winamp\winamp.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/defaults/sb/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Programmi\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087020105875
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/DownloadManager.ocx
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37602.5176157407
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expressviewer/installer/ExpressViewerSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1

wgator

12-08-2004, 11:24

Ciao,

in effetti hai un po' di porcheria.
Ti conviene togliere un po' di spazzatura con i programmi che stai già usando, poi posta nuovamente il log di HjT però scarica l'ultima versione, stai usando quella vecchia.

Potrebbe essere una buona idea fare un passaggio con spyaudit: http://www.earthlink.net/spyaudit/ .. tanto per vedere cosa ti trova

Sifr

12-08-2004, 11:42

Ad-aware è stato praticamente inutile, ha solo tolto un paio di tracking cookies e 1 o 2 files da lui giudicati un po' più sospetti, ma nulla di particolare secondo me... Spybot S&D completamente inutile, adesso tra l'altro si è piantato :/ e non risponde più ai miei comandi :cry:

Sto continuando a scandire con Free-Av, ma finora non ha trovato un granchè.. Adesso sto provando l'antivirus online di trendmicro, però è piuttosto lento.. CWShredder non ha trovato nulla.. Adesso provo quel programmo che mi hai detto tu, poi vi faccio sapere.
Ciao!
Sifr

Sifr

12-08-2004, 12:05

Dopo una micro-scansione di 5 secondi spyaudit non mi ha visualizzato niente, a parte una pagina bianca.. Intanto stavo pensando a PestPatrol... che dici, lo installo? X-Cleaner di Spyware Guide (scanner online davvero fantastico!), mi sta trovando un bel po' di robetta, finisco le scansioni con gli Antivirus online e poi vi faccio sapere..
Ci vediamo fra un'oretta :D
Sifr

------------------------------------------------------------------

edit: ultimi aggiornamenti :D

-------------------------------------------------------------------

Ok, questo webrebeats è veramente bastardo (a proposito.. vado contro le regole del forum se mi auguro che i programmatori del viruz muoiano in quest'istante? :D)... Ecco cosa mi è successo:

WebRebates era presente nel pannello di controllo --> Installazione applicazioni e nel registro di sistema su Windows\CurrentVersion\Run.. ho disinstallato e cancellato la chiave nel registro: ho pensato che "al massimo i files vengono ricreati, non sarà mica dannoso!!" Beh, ho riavviato il PC e il firewall non si apriva, l'anti-vir era praticamente bloccato (la versione di scanning in background era disabilitata) e le pagine internet non mi si aprivano più!! :eek: Ho riavviato in modalità provvisoria, con HJT rimosso una voce relativa a questo maiale e ora FW + AV + INTERNET rifunzionano.. In compenso ancora ho processi e files strani ancora attivi, all'avvio di Winzozz inoltre mi viene detto che New Dot (Credo un collega di webrebates) non può essere avviato in quanto manca il file su C:\Programmi etc. etc..

Tanto per rallegrarci, il sito dello sviluppatore di HJT sembra irraggiungibile: http://www.spywareinfo.com/~merijn/ :cry: :cry:

Ad-aware, Free-Av, Spybot, CWShredder non trovano nulla di particolare, adesso devo riavviare l'antivirus online di trendmicro visto che dopo aver disinstallato (magari fosse davvero così!!) WebRebates dal pannello di controllo mi si è riavviato tutto.. Intanto la scansione con X-Cleaner, lo scanner online di spyware guide mi ha rimosso con successo un po' di schifezze varie.. Ultima cosa: ieri per sbaglio ho installato una barra di ricerca (tipo quella di google): mi sembra si chiamasse Qsearch, l'ho disinstallata e ora non ne vedo traccia.. Possibile che c'entri qualcosa?

Cmq, anche se non è l'ultima versione, vi posto il log di HJT dopo smanettamenti vari:

/***********************************************\
Logfile of HijackThis v1.97.7
Scan saved at 13.15.40, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\Post_it2Lite\Psn2Lite.exe
C:\PROGRA~1\POST_I~1\PSNGive.exe
c:\programmi\hp_officejet710\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\Winamp\winamp.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/defaults/sb/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087020105875
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/DownloadManager.ocx
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37602.5176157407
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expressviewer/installer/ExpressViewerSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1

/***********************************************\

marco24

17-08-2004, 18:33

Me lo sono pigliato anche io!!! :mad:

Sono bei momentoni :muro:

canturio

17-08-2004, 21:04

La scorsa settimana l'ho preso anch'io (installando eDonkey) e l'ho rimosso usando Adware Away, sia con Spybot che con Ad-Aware non riuscivo a rimuoverlo...
Mi trovavano sempre qualcosa anche dopo aver tolto i file indicati nelle scansioni.
:mad: :mad: :muro:

netquik

18-08-2004, 14:15

potete scaricare l'ultimo hijackthis

qui

http://www.majorgeeks.com/download3155.html

inoltre nel log sopra

vedo

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

che appartiene ad un notissimo spyware...

e mi sembra strano che adaware non abbia rilevato...

per curiosità hai usato ad-aware se aggiornato?

Sifr

18-08-2004, 15:16

Ho usato AD-Aware 6 aggiornato... Cmq sai dirmi cosa fa quello spyware?
Byez
Sifr :)

netquik

18-08-2004, 15:44

http://www.spywareguide.com/product_show.php?id=417

per ad-aware ti consiglio di passare a SE

se non erro gli aggiornametni escono solo per la nuova versione

Sifr

18-08-2004, 16:25

Grazie mille! :)

netquik

18-08-2004, 16:36

facci sapere

Sifr

18-08-2004, 19:34

Ciao, :)
credo di aver eliminato sia web_rebates che NewDot.net con lo scanner di spywareguide.com e poi andando a distruggere alcuni files nel sistema.. adesso scarico la nuova vers. di Ad-Aware e faccio una controllatina per sicurezza...
Ah, cmq sembra che entrambi gli spyware siano entrati quando per sbaglio ho installato QSEARCH, una stupidissima barra di ricerca (tipo quella di google), per cui se magari l'avete installata state attenti :cry:

Ciao
Sifr

netquik

18-08-2004, 19:36

bravo sifr e grazie della dritta!

Sifr

18-08-2004, 21:11

E di che? Grazie a voi che mi state aiutando! :)

Cmq ho fatto la scansione con Ad-Aware SE Personal aggiornato, è tutto ok, a parte un paio di cookies (shinystat) e una strana segnalazione di HiJacking di IE.. Praticamente mi dice che in una chiave del registro c'è come pagina principale about:blank anche se io vedo correttamente tiscali.it... Quindi sembra essere tutto a posto... :D
Posto un log di HJT per sicurezza, lo script segnalato da mrOZ considera sicuri praticamente tutti i processi...

Logfile of HijackThis v1.98.2
Scan saved at 21.07.55, on 18/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Simone\Yahoo\Messenger\yhexbmes0819.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Simone\Yahoo\Messenger\yhexbmes0819.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Simone\icqpro\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Simone\icqpro\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\Simone\Security\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/DownloadManager.ocx
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expressviewer/installer/ExpressViewerSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1

Byez! :D
Sifr

Plug & Pray!

19-08-2004, 18:05

Originariamente inviato da Sifr
sapete dirmi a cosa serve WildTangent, che sempre Spybot mi considera come robaccia?

Byez!
Sifr

L'ho trovato anche io su un pc che stò ripulendo da alcuni virus, spybot me lo segnala, ma non capisco cosa sia, e nemmeno il propietario del pc sa di cosa si tratti.....idee??:confused:

canturio

19-08-2004, 18:23

WildTangent è usato in alcuni giochi on-line, ma purtroppo non installa solo i file necessari per farli funzionare, ma a quanto sembra, anche spyware (http://www.wildtangent.com/)

Plug & Pray!

19-08-2004, 19:04

Capito....Grazie mille! :)

Sifr

19-08-2004, 19:48

Azz.... che Bastardone! :cry: :cry:

marco24

19-08-2004, 19:57

Cazzo io lo avevo tolto ma è risorto!!!

Ma possibile che neppure symantec scriva come rimuovere anche manualmente sta merdaccia?

Cippa... anche a me sta trovando un casino di roba spywareguide.com

Reboot e poi vi posto il mio log. UFFA :muro:

marco24

19-08-2004, 20:03

Logfile of HijackThis v1.98.2
Scan saved at 20.02.38, on 19/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Lexmark X74-X75\lxbbbmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Documents and Settings\Fabio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Collegamento a freepopsd.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

:cry:

netquik

19-08-2004, 20:26

O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"

e eleimina la cartella

ciao

marco24

19-08-2004, 20:32

La questione è che comunque in c:\programmi la cartella web_rebates non c'è!

netquik

19-08-2004, 20:46

uh?!

non è che è nascosta?

Sifr

19-08-2004, 21:01

Sì in effetti spywareguide è davvero ottimo come scanner!

Cmq, se hai PestPatrol puoi provare con quello (ti serve la vers. registrata per rimuovere quello che trova, se non sbaglio).

Visto che ci sono, vi posto questi 2 link con qualche info per rimuoverlo manualmente.. Molto interessante il secondo, avrete molto tempo per divertirvi :sofico: :sofico: :p

http://www.pestpatrol.com/PestInfo/e/ebates_moneymaker.asp

e...

http://www.securemost.com/articles/rm_toprebates.htm

Buona fortuna!!! :D

Sifr

Plug & Pray!

19-08-2004, 21:26

Ma pensa te...:rolleyes: il pc che ho ripulito aveva anche questo...
...TrojanDownloader.Win32.Agent.y.......comunque Kav5 sembra averlo rimosso completamente...(certo che il propietario non si fa mancare nulla e...:sofico: ) ora vediamo se si ripresenta o no, nel caso userò la procedura descritta nel link che hai dato....grassieee
;)

marco24

19-08-2004, 21:33

Forse ci sono riuscito con ScanSpyware... sembra non esserci più traccia. Ora però controllo il registro con il suddetto link. Meglio essere sicuri!!!

marco24

13-09-2004, 23:45

Eccallà... lascio il pc acceso connesso ad internet un'ora... senza nulla di aperto... soltanto explorer aperto su hwupgrade e torno a casa con webrebates bloccato dal firewall che cerca di accedere ad internet!!!
Perchè?
Non stavo scaricando assolutamente nulla.
Che fare?

Ronie

13-09-2004, 23:57

provate con
webroot spy sweeper...
funziona meglio di spybot e adware messi insieme :D

marco24

14-09-2004, 00:10

Ma cazzo... io dico come fa un'azienda come la Symantec a non aver creato un tool di rimozione per sta cippa di Webrebates?
In rete si trova poco o nulla!!! :mad:

lmdf

14-09-2004, 08:45

Originariamente inviato da Ronie
provate con
webroot spy sweeper...
funziona meglio di spybot e adware messi insieme :D

Quoto.
Spy sweeper trova un sacco di roba.
E'ottimo.
Ciao.

Sifr

14-09-2004, 13:45

Ciao,
io ormai credo di averlo stroncato (al massimo saranno rimasti un paio di files ormai innocui, disattivi, isolati e inutili), la difficoltà sta nel fatto che WEB-REBATES è davvero poco diffuso (circa lo 0.1 % di tutti gli spyware \ adware e così via) per cui non esistono appositi tool di rimozione. PestPatrol dice di essere in grado di rimuoverlo, in effetti trova moltissimi files relativi al suddeto porcone, tuttavia

a) non so se sono tutti

b) per rimuovere tutti devi comprare la versione PRO

per cui, ti dico un po' di cose da fare (che sono quelle che mi hanno permesso di dormire sogni tranquilli :D).

1) Vai su Installazione Applicazioni e rimuovi ogni voce relativa a NEWDOT.NET - WEBEREBATES - QSEARCH (ho motivo di credere che questa barra di navigazione sia complice!! :().

AD OGNI DISINSTALLAZIONE, RIAVVIA IL COMPUTER!!! (ovvero, non disinstallare tutto in una sola volta, è importante!).

Dopo aver rimosso web-rebates, quest'ultimo, oltre a non essere sparito del tutto, mi ha provocato la disattivazione di INTERNET - FIREWALL - ANTIVIRUS (non può essere una coincidenza!!). In questo caso, lancia HJT e rimuovi ogni voce relativa ai 3 progr. citati sopra, quindi rimuovi i files a cui fanno riferimento.

2)Riavvia di nuovo il computer, lancira PestPatrol e rimuovi manualmente (è una palla assurda, ma abb. importante) tutti i files che ti dice.

3)Controlla il sito che ho scritto prima per vedere se ancora è rimasto,

4)Fa una scansione online con lo scan di spywareguide.com

5)Riavvia e incrocia le dita :D :D

Bye
Simone

agma

15-09-2004, 16:02

Beccato anch'io :cry: :muro:
Ma da dove diavolo è entrato? Usa qualche porta in particolare? Il kerio e l'avg mi sono impazziti appena ho fatto un search su Themexp.org

Piano piano ho cancellato tutto manualmente e ora sto facendo una scansioni con tutto quello che ho, vedremo che succederà

Sifr

15-09-2004, 16:46

Azz.. allora confermi altri miei sospetti... anche themexp.org probabilmente è complice.. o forse un tema che hai scaricato da lì (themexp in questo caso non sarebbe particolarmente complice)...
Vi dico con precisione il percorso che ho fatto prima di beccare webrebates:

-> Navigo su themexp
-> Scarico un tema
-> Mentre lo installo, per sbaglio gli dico di installare anche QSEARCH
-> QSEARCH è una barra di navigazione, altamente inutile
-> Mi ritrovo con web-rebates fra i processi del task manager

Ora, non mi ricordo di preciso perchè, ma sono sicuro che le 2 cose sono collegate... c'erano strani riferimenti QSEARCH \ WEBREBATES, per cui credo che la barra di navigazione sia colpevole.. e visto che anche tu te lo sei beccato da themexp, o è lo stesso tema ke fa il lamer, oppure è themexp...

Bye
Sifr

agma

15-09-2004, 17:01

:eek:

Io ancora non avevo visto nulla su Themexp.org! Ho solo scritto una parola nella barra di ricerca in alto a destra e premuto invio ed è successo il finimondo!!!

Ho fatto una scansione con AVG, Ad-Aware SE 1.04 e Spybot, aggiornati.
Tutti e tre hanno trovato qualcosa che ho rimosso, anche Ad-Watch ha bloccato dei tentativi di modifica del regitro da parte di msbb.exe / webrebate0.exe e diverse altre schifezze che ho poi cercato e cancellato dal registro.
Per ora va tutto bene, ad-watch è aperto e non segnala anomalie, aspettiamo e vediamo che altro succede, intanto incrocio le dita :sperem: