Maledetto Malware

[ZackS]

Non riesco a toglierlo, mi sostituisce la pagina iniziale con una maledetta pagina "Search of" (nella barra degli indirizzi compare "about:blank"), come se non bastasse, carica un popup che mi avverte della presenza di uno spyware (anche la prese per il culo).

Ecco cosa ho fatto:

- Scansionato l'Hd con Ad-aware, mi rileva una dll, un processo e delle chiavi nel registro, in apparenza elimina tutto.
- Pulito il registro e lo Startup con RegCleaner.
- Eliminato i file temporanei di internet
- Eliminato un plug-in sospetto

Dopo un tot di sessioni con Explorer, mi compare nuovamente come pagina iniziale "Search of".
Per l'ennesima volta eseguo Ad-aware, rileva sempre il solito processo, chiave e dll, quest'ultima però con un nome diverso.

Esiste qualche altro tool?

[Jaguar64bit]

Prova con Spybot Rc5.

[ZackS]

Codice PHP:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\mapiicon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
F:\Programmi\FlashFXP\FlashFXP.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sliver\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://homepage.com
%[email protected]/search/[/url] (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://homepage.com
%[email protected]/search/[/url] (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = [url]http://homepage.com
%[email protected]/search/[/url] (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url]http://homepage.com
%[email protected]/search/[/url] (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.73.172.196:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = [url]http://it.msn.com/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = [url]http://homepage.com
%[email protected]/search/[/url] (obfuscated)
O2 - BHO: (no name) - {043653D2-697F-4675-89C7-1AF16385F2E6} - (no file)
O2 - BHO: (no name) - {3210B9BF-C19E-4D8C-887E-A9570341E076} - (no file)
O2 - BHO: (no name) - {41CE468D-48FB-4E9F-A436-29D34F22631E} - (no file)
O2 - BHO: (no name) - {5009A748-ECA7-4A64-BBC9-2B78EA876FEF} - (no file)
O2 - BHO: (no name) - {6C169684-53AA-4DC0-89D2-50E0840D5E48} - C:\WINNT\system32\clnk.dll (file missing)
O2 - BHO: (no name) - {7F314991-157B-45FA-B0A7-9277781ACD48} - C:\WINNT\system32\jmc.dll (file missing)
O2 - BHO: (no name) - {92DFD630-2907-493C-A174-66451829334A} - (no file)
O2 - BHO: (no name) - {A4CDE3AD-F27D-4451-8374-360827A04DFF} - (no file)
O2 - BHO: (no name) - {B1056157-5A22-4E11-8060-58A9DC7CDA1D} - (no file)
O2 - BHO: (no name) - {C6AD1EBF-8BBD-423B-A9A7-B1D077CFB867} - C:\WINNT\system32\gjg.dll
O2 - BHO: (no name) - {E0838C23-135D-4B0B-8573-E44EEB62EBC9} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: ADSL Diagnostic Tools.LNK = C:\WINNT\system32\mapiicon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O13 - DefaultPrefix: [url]http://%65%68%74%74%70%2E%63%63/?[/url]
O13 - WWW Prefix: [url]http://%65%68%74%74%70%2E%63%63/?[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4063786-F5A6-4F12-A373-A6665F02DAA6}: NameServer = 213.92.5.54 194.20.8.1 


[ZackS]

Quote:

Originariamente inviato da Jaguar64bit
Prova con Spybot Rc5.

Ths, ora provo

[skitch]

Hai disabilitato il System Restore???Prova in modalità provvisoria...

[MrOZ]

C'è un 3D aperto sull'argomento...

guardate qui http://forum.hwupgrade.it/showthread...8&pagenumber=2


Appena avrò un po' di tempo, posterò come rimuoverlo a seconda delle situazioni.

ciao.

[ZackS]

Quote:

Originariamente inviato da skitch
Hai disabilitato il System Restore???Prova in modalità provvisoria...

Provato anche in modalità provvisoria ma nada.

[ZackS]

Quote:

Originariamente inviato da MrOZ
C'è un 3D aperto sull'argomento...

guardate qui http://forum.hwupgrade.it/showthread...8&pagenumber=2


Appena avrò un po' di tempo, posterò come rimuoverlo a seconda delle situazioni.

ciao.

Ho il provato il fix di HijackThis, vediamo se funziona.
Cmq adesso mi leggo anche quella discussione.

[ZackS]

Se avessi le capacità butterei giù quel sito
Non ho risolto