WebRebates

[Sifr]

Ciao a tutti,
stamattina aprendo il task manager ho notato fra i vari processi webrebates0.exe e webrebates1.exe; googlando ho scoperto che effettivamente sono processi di uno spyware, appunto webrebates.. Su internet non ho trovato molto a proposito, adesso sto facendo una scansione con Ad-Aware, Spybot S&D, Free-Av, CwShredder e compagnia bella, però intanto volevo sapere un paio di cosette:

a) Sapete dirmi cosa fa di preciso? Google non mi ha aiutato molto per scoprirlo

b) Come si cavolo si prende questo virus?!?! No perchè proprio ieri avevo fatto una scansione con Spybot ed era tutto ok! Gli unici momenti in cui ho staccato l'anti-virus ero scollegato da Internet!

c) Nel caso i vari programmi citati sopra non dovessero funzionare, esiste un removal tool oppure bisogna fare la procedura manuale?

d) Già che ci sono vi chiedo un'altra cosa: ma perchè Spybot mi da sempre come infettato da DSO Exploit? Ho letto che era un bug (mi sembra) di Spybot, ma non mi ricordo in quale 3d... E inoltre, sapete dirmi a cosa serve WildTangent, che sempre Spybot mi considera come robaccia?

Byez!
Sifr

[Sifr]

Vi posto anche il log di HJT... Ci sono alcune cose piuttosto strane!!


Logfile of HijackThis v1.97.7
Scan saved at 10.27.21, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\Post_it2Lite\Psn2Lite.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\PROGRA~1\POST_I~1\PSNGive.exe
c:\programmi\hp_officejet710\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Winamp\winamp.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/...ch/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Programmi\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1087020105875
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...oadManager.ocx
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/bi.../GoogleNav.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...602.5176157407
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expre...rSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1

[wgator]

Ciao,

in effetti hai un po' di porcheria.
Ti conviene togliere un po' di spazzatura con i programmi che stai già usando, poi posta nuovamente il log di HjT però scarica l'ultima versione, stai usando quella vecchia.

Potrebbe essere una buona idea fare un passaggio con spyaudit: http://www.earthlink.net/spyaudit/ .. tanto per vedere cosa ti trova

[Sifr]

Ad-aware è stato praticamente inutile, ha solo tolto un paio di tracking cookies e 1 o 2 files da lui giudicati un po' più sospetti, ma nulla di particolare secondo me... Spybot S&D completamente inutile, adesso tra l'altro si è piantato :/ e non risponde più ai miei comandi

Sto continuando a scandire con Free-Av, ma finora non ha trovato un granchè.. Adesso sto provando l'antivirus online di trendmicro, però è piuttosto lento.. CWShredder non ha trovato nulla.. Adesso provo quel programmo che mi hai detto tu, poi vi faccio sapere.
Ciao!
Sifr

[Sifr]

Dopo una micro-scansione di 5 secondi spyaudit non mi ha visualizzato niente, a parte una pagina bianca.. Intanto stavo pensando a PestPatrol... che dici, lo installo? X-Cleaner di Spyware Guide (scanner online davvero fantastico!), mi sta trovando un bel po' di robetta, finisco le scansioni con gli Antivirus online e poi vi faccio sapere..
Ci vediamo fra un'oretta
Sifr

------------------------------------------------------------------


edit: ultimi aggiornamenti


-------------------------------------------------------------------

Ok, questo webrebeats è veramente bastardo (a proposito.. vado contro le regole del forum se mi auguro che i programmatori del viruz muoiano in quest'istante? )... Ecco cosa mi è successo:

WebRebates era presente nel pannello di controllo --> Installazione applicazioni e nel registro di sistema su Windows\CurrentVersion\Run.. ho disinstallato e cancellato la chiave nel registro: ho pensato che "al massimo i files vengono ricreati, non sarà mica dannoso!!" Beh, ho riavviato il PC e il firewall non si apriva, l'anti-vir era praticamente bloccato (la versione di scanning in background era disabilitata) e le pagine internet non mi si aprivano più!! Ho riavviato in modalità provvisoria, con HJT rimosso una voce relativa a questo maiale e ora FW + AV + INTERNET rifunzionano.. In compenso ancora ho processi e files strani ancora attivi, all'avvio di Winzozz inoltre mi viene detto che New Dot (Credo un collega di webrebates) non può essere avviato in quanto manca il file su C:\Programmi etc. etc..

Tanto per rallegrarci, il sito dello sviluppatore di HJT sembra irraggiungibile: http://www.spywareinfo.com/~merijn/

Ad-aware, Free-Av, Spybot, CWShredder non trovano nulla di particolare, adesso devo riavviare l'antivirus online di trendmicro visto che dopo aver disinstallato (magari fosse davvero così!!) WebRebates dal pannello di controllo mi si è riavviato tutto.. Intanto la scansione con X-Cleaner, lo scanner online di spyware guide mi ha rimosso con successo un po' di schifezze varie.. Ultima cosa: ieri per sbaglio ho installato una barra di ricerca (tipo quella di google): mi sembra si chiamasse Qsearch, l'ho disinstallata e ora non ne vedo traccia.. Possibile che c'entri qualcosa?

Cmq, anche se non è l'ultima versione, vi posto il log di HJT dopo smanettamenti vari:


/***********************************************\
Logfile of HijackThis v1.97.7
Scan saved at 13.15.40, on 12/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\Programmi\Post_it2Lite\Psn2Lite.exe
C:\PROGRA~1\POST_I~1\PSNGive.exe
c:\programmi\hp_officejet710\bin\HPOVDX05.EXE
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\Winamp\winamp.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/...//my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/...ch/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1087020105875
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...oadManager.ocx
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...602.5176157407
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expre...rSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1

/***********************************************\

[marco24]

Me lo sono pigliato anche io!!!

Sono bei momentoni

[canturio]

La scorsa settimana l'ho preso anch'io (installando eDonkey) e l'ho rimosso usando Adware Away, sia con Spybot che con Ad-Aware non riuscivo a rimuoverlo...
Mi trovavano sempre qualcosa anche dopo aver tolto i file indicati nelle scansioni.

[netquik]

potete scaricare l'ultimo hijackthis

qui

http://www.majorgeeks.com/download3155.html


inoltre nel log sopra

vedo

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

che appartiene ad un notissimo spyware...

e mi sembra strano che adaware non abbia rilevato...

per curiosità hai usato ad-aware se aggiornato?

[Sifr]

Ho usato AD-Aware 6 aggiornato... Cmq sai dirmi cosa fa quello spyware?
Byez
Sifr

[netquik]

http://www.spywareguide.com/product_show.php?id=417



per ad-aware ti consiglio di passare a SE

se non erro gli aggiornametni escono solo per la nuova versione

[Sifr]

Grazie mille!

[netquik]

facci sapere

[Sifr]

Ciao,
credo di aver eliminato sia web_rebates che NewDot.net con lo scanner di spywareguide.com e poi andando a distruggere alcuni files nel sistema.. adesso scarico la nuova vers. di Ad-Aware e faccio una controllatina per sicurezza...
Ah, cmq sembra che entrambi gli spyware siano entrati quando per sbaglio ho installato QSEARCH, una stupidissima barra di ricerca (tipo quella di google), per cui se magari l'avete installata state attenti

Ciao
Sifr

[netquik]

bravo sifr e grazie della dritta!

[Sifr]

E di che? Grazie a voi che mi state aiutando!

Cmq ho fatto la scansione con Ad-Aware SE Personal aggiornato, è tutto ok, a parte un paio di cookies (shinystat) e una strana segnalazione di HiJacking di IE.. Praticamente mi dice che in una chiave del registro c'è come pagina principale about:blank anche se io vedo correttamente tiscali.it... Quindi sembra essere tutto a posto...
Posto un log di HJT per sicurezza, lo script segnalato da mrOZ considera sicuri praticamente tutti i processi...

Logfile of HijackThis v1.98.2
Scan saved at 21.07.55, on 18/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\BitTorrent\btdownloadgui.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Simone\Security\Software\Freeware\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\Customizer XP\RAMIdle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio di HP OfficeJet.lnk = C:\Programmi\HP_OfficeJet710\Bin\HPOstr05.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\Post_it2Lite\Psn2Lite.exe
O8 - Extra context menu item: &NeoTrace It! - C:\Simone\Security\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Simone\Yahoo\Messenger\yhexbmes0819.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Simone\Yahoo\Messenger\yhexbmes0819.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Simone\icqpro\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Simone\icqpro\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\Simone\Security\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...oadManager.ocx
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/bi.../GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {A662DA7E-CCB7-4743-B71A-D817F6D575DF} (Autodesk Express Viewer Control) - http://www.autodesk.com/global/expre...rSetup_ITA.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30332BC8-DAA3-4B57-A468-4E170AFB0A8A}: NameServer = 80.17.208.203 151.99.125.1



Byez!
Sifr

[Plug & Pray!]

Quote:

Originariamente inviato da Sifr
sapete dirmi a cosa serve WildTangent, che sempre Spybot mi considera come robaccia?

Byez!
Sifr

L'ho trovato anche io su un pc che stò ripulendo da alcuni virus, spybot me lo segnala, ma non capisco cosa sia, e nemmeno il propietario del pc sa di cosa si tratti.....idee??

[canturio]

WildTangent è usato in alcuni giochi on-line, ma purtroppo non installa solo i file necessari per farli funzionare, ma a quanto sembra, anche spyware (http://www.wildtangent.com/)

[Plug & Pray!]

Capito....Grazie mille!

[Sifr]

Azz.... che Bastardone!

[marco24]

Cazzo io lo avevo tolto ma è risorto!!!

Ma possibile che neppure symantec scriva come rimuovere anche manualmente sta merdaccia?

Cippa... anche a me sta trovando un casino di roba spywareguide.com

Reboot e poi vi posto il mio log. UFFA