View Full Version : DSO exploit del menga, come diavolo si leva?
ciao! allora, ho lasciato il pc mezzora a un amica per navigare, da quando l'ho ripreso la mia pagina iniziale si cambia di continuo in realserarch.com, questa cosa e' abbastanza fastidiosa, anche perche' ogni volta mi inserisce una sfilza di preferiti porno che mi occupano spazio e rompono. Ho provato a scaricare spybot e gli ho fatto fare una ricerca, ha trovato sto DSO EXPLOIT, l'ho eliminato una volta, poi sono andato nelle utilytis e ho selezionato il file in sola lettura per l'host, ho spuntanto quello per non modificare la pagina iniziale, sono andato nelle pagine e ho messo solo la pagina iniziale che voglio. Chiudo spybot, avvio IE e mi ritrovo realsearch.
riapro spybot, vado a vedere e le case si sono tolte lo spunto, allora lo rifaccio, rifaccio tutto.
riapro IE, evviva, da CAPO!
allora faccio di nuovo lo scan, trova DSO EX, lo elimino. Mi viene lo scrupolo, rifaccio immediatamente lo scan... E ME LO RITROVA anche se lo aveva appena tolto! e va avanti, se rifaccio lo scan ogni volta me lo trova, lo toglie, e poi lo ritrova!!
aiuto :)
Credo sia un bug di Spybot, anche a me lo da... Cmq, per questo genere di problemi, prova con CWShredder.. Già che ci sei fai una passatina anche con Ad-Aware, e se non funziona prova X-Cleaner, uno scanner online che puoi trovare su http://www.spywareguide.com (io l'ho provato qualche ora fa e mi sta salvando la vita.. o meglio, sta salvando quella del mio PC). Se non funziona in nessuno di questi modi, tenta con uno scanner online (TrendMicro, Symantec, Panda) e semmai, come ultima possibilità, log di HijackThis :D
Byez!
Sifr
Originariamente inviato da VdW
ciao! allora, ho lasciato il pc mezzora a un amica per navigare, da quando l'ho ripreso la mia pagina iniziale si cambia di continuo in realserarch.com, questa cosa e' abbastanza fastidiosa, anche perche' ogni volta mi inserisce una sfilza di preferiti porno che mi occupano spazio e rompono. Ho provato a scaricare spybot e gli ho fatto fare una ricerca, ha trovato sto DSO EXPLOIT, l'ho eliminato una volta, poi sono andato nelle utilytis e ho selezionato il file in sola lettura per l'host, ho spuntanto quello per non modificare la pagina iniziale, sono andato nelle pagine e ho messo solo la pagina iniziale che voglio. Chiudo spybot, avvio IE e mi ritrovo realsearch.
riapro spybot, vado a vedere e le case si sono tolte lo spunto, allora lo rifaccio, rifaccio tutto.
riapro IE, evviva, da CAPO!
allora faccio di nuovo lo scan, trova DSO EX, lo elimino. Mi viene lo scrupolo, rifaccio immediatamente lo scan... E ME LO RITROVA anche se lo aveva appena tolto! e va avanti, se rifaccio lo scan ogni volta me lo trova, lo toglie, e poi lo ritrova!!
aiuto :)
il dso è un exploit inserito nelle pagine html, che consente di eseguire codice arbitrario sulla tua macchina sfruttando una vulnerabilità di explorer. La rimozione è tanto semplice quanto efficace, installa tutte le patch e nello specifico il service pack 1 di IE 6.0 dopo di che esegui seacrh & destroy e magicamente tutto sparira!!!!!
ho gia' installato tutte le patch e l'sp1 di win xp pro, IE ha un sp1 a parte?
guarda in windows update, se cè ancora qlk da installare, io con il tuo stesso problema, dopo aver messo tutte le patch per explorer, e dopo aver ripulito con spybot ho risolto tutto!
Ciao, :)
cmq io mi riferivo al fatto che Spybot cancella l'exploit, puoi lo ritrova, lo ricancella, lo ritrova, lo ricancella etc.. :D Quando poi in realtà non era neanche presente (per questo parlavo di bug di SpyBot, che se non sbaglio anche altri utenti hanno avuto).
Ciao! :D
Sifr
Originariamente inviato da Sifr
Ciao, :)
cmq io mi riferivo al fatto che Spybot cancella l'exploit, puoi lo ritrova, lo ricancella, lo ritrova, lo ricancella etc.. :D Quando poi in realtà non era neanche presente (per questo parlavo di bug di SpyBot, che se non sbaglio anche altri utenti hanno avuto).
Ciao! :D
Sifr
Ciao,
confermo il bug, chi ha voglia di leggere l'inglese, questo e ciò che dicono sul forum di spybot: http://forums.net-integration.net/index.php?showtopic=15308&st=0&hl=dso+exploits
beh questo vuol dire che devo cercare da qualche altra parte la cosa che mi cambia sempre la pagina iniziale... qualcuno ha qualche idea?
Hai già provato con tutti i programmi scritti sopra? Se sì, puoi provare a postare il log di HJT ;)
si li ho provati, e non hanno funzionato.
Il log di hjt non so cosa sia... :(
Devi scaricare HiJackThis, un programma che genera un log di ogni cosa che viene avviata al caricamento del sistema e\o si può ricollegare al browser. Devi scaricare questo programma (http://www.spychecker.com/program/hijackthis.html), lanciarlo, salvare il log e postarlo qui ;)
Byez
Sifr
ok,
da notare che oltre a cambiarmi la pagina iniziale su realserach.com mi fa anche aprire nella stessa finestra una pagine che si chiama tymy.com e poi una che si chiama 100.ilian,com (o qualcosa del genere...)
inoltre la velocita diventa qualcosa di indegno.... e a volte manco si aprono + le pagine.
allora questo e' il log:
Logfile of HijackThis v1.97.7
Scan saved at 11.40.01, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\kernelz-m.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuam.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Documents and Settings\Roland\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
saluti speranzosi :)
Ciao,
ho dato un'occhiata veloce al tuo log e purtroppo ci sono un sacco di schifezze.
Per prima cosa direi di rimuovere questi eseguibili e fixxare con hijackthis tutti i riferimenti a queste voci (guarda bene, ce ne sono molti)
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
Cancella completamente la cartella C:\Programmi\Web_Rebates ... non so cosa sia, ma tanto è una schifezza
Naturalmente via tutti i temp, i temp di internet e il ripristino della configurazione.
Scaricati poi la versione aggiornata di hijackthis e riposta il log dopo la ripulita perchè penso ci sia anche dell'altro
toglierei anche queste
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
consiglio anche un bel passaggio antivirus
http://housecall.trendmicro.com/housecall/start_corp.asp
come antivirus va bene anche il pc cillin 2002 aggiornato a oggi? perche' a navigare ho dei problemi (sul forum infatti vengo da un altro pc).
dunque, ho fatto quello che gentilmente mi avete consigliato ma il risultato e' stato purtroppo deludente, infatti le righe che ho fixato sono tornate... la riga con winmm64 non l'ho tolta perche' non sono riuscito a togliere il file in quanto mi dice che e' utilizzato da windows...
cmq, questo log dello scan fatto subito il fixed (dopo aver chiuso e riaperto hijack)
Logfile of HijackThis v1.97.7
Scan saved at 13.25.18, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
E:\Programmi\HijackThis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
le righe con wuamgrd e wuam e gli altri simili sono tornate, io avevo tolto tutte le righe con quel comando...
questo e' il log dopo aver riavviato il pc
Logfile of HijackThis v1.97.7
Scan saved at 13.32.57, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\Programmi\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{303AE7AB-0D40-410E-912C-2482234BA67A}: NameServer = 212.17.192.216 212.17.192.56
vi ringrazio per l'aiuto che mi state dando :)
io mi fido ciecamente di quello che mi dite, ma per curiosita' mi spiegate cosa sto togliendo? :D
mi e' venuto in mente che wuamgrd e sti cosi' li' ce li ho nel win.ini per l'esec automatica, li levo anche da li?
prova a farlo da provvisoria ...
o termina quei due processi prima di fixare...
se vai in provvisoria vedi anche di eliminarli quei files
quei file li avevo eliminati, l'unico che non si cancellava era il winmm64... gli altri pero' sono tornati da soli. erano stati cestinati.
cmq, aggiornamento in tempo reale: pc cillini mi ha trovato che il file wuam.exe in system 32 e' infettato dal bkdr_spyboter.cf, che non ha un nome troppo terrificate devo dire... sara' lui la causa? l ostesso virus infetta anche il file _restore{52b7662f -ECCETERA-.exe
Originariamente inviato da VdW
mi e' venuto in mente che wuamgrd e sti cosi' li' ce li ho nel win.ini per l'esec automatica, li levo anche da li?
Ciao,
Si, devi toglierli anche da win.ini e ovunque altro siano
bisogna che scarichi la versione nuova di hijackthis, la 1.98.2
Quella che hai non trova tutto.
Scarica la nuova e riposta il log
quella vers li' e' scaricata dal link che mi hai passato, quella nuova dove la trovo se non li'?
prova qui... molti mirrors non vanno
http://www.softpedia.com/public/cat/10/17/10-17-69.shtml
sì..
assicurati a questo punto di effettuare prima una pulizia approfondita con l'antivirus...
eseguila da provvisoria dopo aver disattiva to il system restore...
così avrai più possibilità di successo
come disattivo il system restore?
come avvio in modalita provvisoria con xp? idem al 98? va beh provo :P
ho provato a togliere il wuamgrd.exe dall'ini ma non e' servito, all'avvio succesivo si rimette nell'ini, adesso provo a fare questo in modalita provvisoria.
il file _restore eccetera posso cancellarlo o e' importante?
il file wuamgrd.exe cmq l'ho cancellato e non sembra essere tornato
il log della nuova vers:
Logfile of HijackThis v1.98.2
Scan saved at 14.30.47, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
E:\Programmi\HijackThis\vers nuova\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra 'Tools' menuitem: Launch Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
Originariamente inviato da wgator
Cancella completamente la cartella C:\Programmi\Web_Rebates ... non so cosa sia, ma tanto è una schifezza
Schifezza che tra l'altro ho avuto io ieri :D (Insieme a NewDotNet).. Vabbè, visto che non ve ne frega niente di quello che ho avuto io ieri :D :D passo subito al dunque: web_rebates è un bel po' bastardo, in quanto ti crea un sacco di files in diverse cartelle... fai una scansione online con http://www.spywareguide.com/txt_onlinescan.html e poi da' un'occhiata a
questo (http://www.securemost.com/articles/rm_toprebates.htm) per altre info su come distruggerlo (buona fortuna :D).
Byez!
Sifr :sofico:
Ciao,
prova così:
pannello di controllo->sistema->ripristino configurazione del sistema
metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"
Verifica bene di aver cancellato tutti i file presenti nelle cartelle temporanee e nella temporanea di internet, poi vai in windows/downloaded program files e cancella tutto quello che c'è.
Cancella di nuovo (eventualmente da provvisoria) wuamgrd.exe e tutti i riferimenti che ha lasciato in giro (con hijackthis) ma anche spulciando win.ini ecc.
Incrocia le dita e riavvia ;)
Originariamente inviato da Sifr
Schifezza che tra l'altro ho avuto io ieri :D (Insieme a NewDotNet).. Vabbè, visto che non ve ne frega niente di quello che ho avuto io ieri :D :D passo subito al dunque: web_rebates è un bel po' bastardo, in quanto ti crea un sacco di files in diverse cartelle... fai una scansione online con http://www.spywareguide.com/txt_onlinescan.html e poi da' un'occhiata a
questo (http://www.securemost.com/articles/rm_toprebates.htm) per altre info su come distruggerlo (buona fortuna :D).
Byez!
Sifr :sofico:
lo scanner online non ha rilevato nulla, dal secondo sito che mi hai dato ho scaricato pespatrol prima di fare tutto il procedimento, e lo scan di pespatrol non ha rilevato nulla di inerete al webrates, posso stare tranquillo per quello?
Originariamente inviato da wgator
Ciao,
prova così:
pannello di controllo->sistema->ripristino configurazione del sistema
metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"
Verifica bene di aver cancellato tutti i file presenti nelle cartelle temporanee e nella temporanea di internet, poi vai in windows/downloaded program files e cancella tutto quello che c'è.
Cancella di nuovo (eventualmente da provvisoria) wuamgrd.exe e tutti i riferimenti che ha lasciato in giro (con hijackthis) ma anche spulciando win.ini ecc.
Incrocia le dita e riavvia ;)
ALE'!!! sembra aver funziona!! vi amo tutti!! :)
adesso, per curiosita, questa bella roba che cosa ha fatto/faceva al mio pc? come me la sono beccata? devo strozzare qualcuno?
ho lasciato il pc mezzora a un amica per navigare
io un sospetto ce l'ho....
:sofico: :sofico: :oink:
Originariamente inviato da VdW
ALE'!!! sembra aver funziona!! vi amo tutti!! :)
adesso, per curiosita, questa bella roba che cosa ha fatto/faceva al mio pc? come me la sono beccata? devo strozzare qualcuno?
Ciao,
spero che regga :D
Mah, di solito tutta quella porcheria si becca viaggiando senza adeguate protezioni su siti diciamo... underground...
donnine nude, suonerie per cell, warez e scaricando materiale tramite p2p ecc.
Per una certa protezione preventiva:
- Assicurati di avere attivato ICF (il firewall nativo di win XP)
tramite start->impostazioni->connessioni di rete->connessione che usi per internet->tasto destro del mouse->proprietà->avanzate Controlla che ci sia la spunta su "proteggi il computer e la rete ecc.
- Mantieni il computer ben aggiornato con windows update
- installa spybot 1.3 e scansiona ogni 2 o 3 giorni almeno
-installa anche ad-aware e scansiona sempre ogni 2 o 3 giorni
- ricordati di tenere aggiornati antivirus, spybot e ad-aware
- limita il più possibile le tue escursioni su siti malfamati e in ogni caso dopo esserci andato fai un po' di scansioni.
Per configurare al meglio spybot e ad-aware, se hai dubbi chiedi pure sul forum
ho il sospetto che qualcuno abbia cliccato "accetta" in uno dei vari prog da scaricare che appaiono nei suddetti siti...
cmq, finche' io non mi metto a scaricare qualcosa non mi becco schifezze se non quelle leggere giusto?
cmq grazie ancora
belle bionde e cliccano sempre "accetta"
:D :D :D
Originariamente inviato da netquik
belle bionde ...
eh..magari :D
Originariamente inviato da VdW
lo scanner online non ha rilevato nulla, dal secondo sito che mi hai dato ho scaricato pespatrol prima di fare tutto il procedimento, e lo scan di pespatrol non ha rilevato nulla di inerete al webrates, posso stare tranquillo per quello?
Non so.. a me pestpatrol ha detto la stessa cosa (cioè che nn c'era traccia) eppure dopo, controllando che i files segnalati dal sito che ti ho dato prima effettivamente non fossero più presenti, ho trovato qualche traccia lo stesso :cry: :cry: Visto che sono quasi 100 files, ho rinunciato a controllarli tutti, limitandomi a prenderne 2 o 3 a caso.. In ogni caso, il virus non è più attivo, non è in grado di avviarsi, nè di compiere i suoi malvagi scopi, però non posso assicurarti che è SPARITO DEL TUTTO. :( :( :(
Originariamente inviato da wgator
Ciao,
prova così:
pannello di controllo->sistema->ripristino configurazione del sistema
metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"
Giusto per curiosità... Ma quali benefici porta il disattivamento del system restore? Praticamente i virus sono in grado di riconfigurare una vecchia configurazione se si trovano in "difficoltà"?
Byez
Sifr
no...
lo si disattiva per dare la possibilità agli antivirus di eliminare i file infetti che sono presenti in un ripristino...
poi di solito quando si diattiva i files vngono già eliminati quindi...
comunque è solo per questo
sifr scusa, ma non credo sia webrates il tuo problema, insomma anche quel sito mi pare che la faccia un po' troppo lunga, sopratutto perche' nella cartella di webrates c'e' un file readme con scritto come disinstallarlo, io ho seguito quelle istruzioni ed e' andato tutto bene non ho + tracce di sto prog.
Tra l'altro io ho capito dove l'avevo preso, dai temi di win xp del sito xptheme.org, infatti se scarichi i file boot sono degli exe e durante i vari passaggi ti chiedono se vuoi installare webrates e la prima volta non me ne sono accorto e gli ho dato ok, basta spuntare la casella e non te lo installano.
Controlla gli ultimi prog che hai installato magari ti e' capitata la stessa cosa! :)
Originariamente inviato da netquik
no...
lo si disattiva per dare la possibilità agli antivirus di eliminare i file infetti che sono presenti in un ripristino...
poi di solito quando si diattiva i files vngono già eliminati quindi...
comunque è solo per questo
poi conviene riattivarlo?
certo... se lo usi e non hai problemi... devi riattivarlo
Originariamente inviato da VdW
sifr scusa, ma non credo sia webrates il tuo problema, insomma anche quel sito mi pare che la faccia un po' troppo lunga, sopratutto perche' nella cartella di webrates c'e' un file readme con scritto come disinstallarlo, io ho seguito quelle istruzioni ed e' andato tutto bene non ho + tracce di sto prog.
Tra l'altro io ho capito dove l'avevo preso, dai temi di win xp del sito xptheme.org, infatti se scarichi i file boot sono degli exe e durante i vari passaggi ti chiedono se vuoi installare webrates e la prima volta non me ne sono accorto e gli ho dato ok, basta spuntare la casella e non te lo installano.
Controlla gli ultimi prog che hai installato magari ti e' capitata la stessa cosa! :)
No, mi si è installato di nascosto per forza.. :)
Mi capita spesso di controllare i processi del task manager, e ti posso assicurare che fino a 2 o 3 giorni fa non ce l'avevo... Cmq, andando su pannello di controllo --> installazione applicazioni e cliccando su remove.. Beh, è partita la disinstallazione, ho riavviato il PC e magicamente AV e FireWall erano fuori uso (Strana coincidenza, no?). Ho risolto con HiJackThis, fissando delle voci che ancora erano rimaste... Forse tutti quei files sono un po' troppi, ma secondo me webrebates è un bastardone lo stesso :( :(
Byez! :D
Sifr
oltre ad averlo disinstallato dai prog hai anche cancellato le 2 cartelle? ne rimane una in windows "webrebates" e una... non so + dove cmq si chiama "itoprebates" mi pare. In + devi ancora cancellare il file webrebates.exe.altro che non ricordo dove sta. Usando cerca te lo trova
Sì sì, ma adesso questi files li ho tolti tutti (o quasi... spero :D) ;) :)... E' solo che è stata un po' dura trovarli tutti, anche perchè alcuni di quelli elencati nel sito esistono veramente ed appartengono al virus :D
Byez
Sofr
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.