[urgente] rimuovere uno spyware

Marilson · 17-02-2006, 20:43

Ho qualcosa di grosso che nè kaspersky nè adaware professional mi ha trovato, ho fatto lo scan su symantec.com ed ecco il log:

C:\Programmi\Adverts\uninst.exe è infettato con Download.Adware.Lop
C:\Documents and Settings\Home Computer\Impostazioni locali\Temp\bis8.exe è infettato con Adware.Lop
C:\Documents and Settings\Home Computer\Dati applicazioni\meal itch pure\Intra Four.exe è infettato con Adware.Lop
C:\Documents and Settings\Home Computer\Dati applicazioni\meal itch pure\kbjnoxpa.exe è infettato con Adware.Lop
C:\Documents and Settings\All Users\Dati applicazioni\CoolFindProxySect\OOZEDUPE.exe è infettato con Adware.Lop

Ho girato ma non riesco a trovare un removal, l'unico modo è una procedura da fare dopo lo scan con un prodotto symantec, che io non ho

Qualche aiuto su come trovare il removal giusto?

Stev-O · 17-02-2006, 20:46

se hai già scansionato con kaspersky fai una scansione con ewido e se non risolvi posta un log di hijackthis

wgator · 17-02-2006, 20:48

Ciao,

prova a disattivare il ripristino della configurazione del sistema, attiva la visualizzazione di file e cartelle nascoste, riavvia in modalità provvisoria e svuota le cartelle dei file temporanei e dei temporanei di internet poi tenta di rimuovere quei file manualmente, seguendone il percorso

Marilson · 17-02-2006, 21:03

vi ringrazio per le info intanto. A chi mi chiedeva il log di hijackthis:

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 20.59.52, on 17/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Garzanti Linguistica\Hazon clic\HAZON.EXE
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\eMule\emule.exe
C:\Documents and Settings\Home Computer\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3BE0C45D-BF51-6515-E0EF-C26972386593} - C:\DOCUME~1\HOMECO~1\DATIAP~1\MESSAX~1\MEDIA WIN.exe (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Hazon clic] "C:\Programmi\Garzanti Linguistica\Hazon clic\HAZON.EXE" -I
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [proxy sect wait camp] C:\Documents and Settings\All Users\Dati applicazioni\CoolFindProxySect\OOZEDUPE.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ANTIMAIL] C:\DOCUME~1\HOMECO~1\DATIAP~1\MEALIT~1\Intra Four.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tech...l/LSSupCtl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...l/SymAData.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

io nn sono pratico e ci andrei con i piedi di piombo a cancellare cartelle e files, magari sono files importanti per il sistema.. come lo interpretate questo log? cmq lo spyware è quello in neretto sopra

Stev-O · 17-02-2006, 21:13

fixa O2 - BHO: (no name) - {3BE0C45D-BF51-6515-E0EF-C26972386593} - C:\DOCUME~1\HOMECO~1\DATIAP~1\MESSAX~1\MEDIA WIN.exe (file missing)

ah naturalmente metti in qurantena/elimina quelli sopra!

cioè
O4 - HKLM\..\Run: [proxy sect wait camp] C:\Documents and Settings\All Users\Dati applicazioni\CoolFindProxySect\OOZEDUPE.exe
O4 - HKCU\..\Run: [ANTIMAIL] C:\DOCUME~1\HOMECO~1\DATIAP~1\MEALIT~1\Intra Four.exe

intanto fai cosi'

poi casomai arriverannoi latinisti a sistemare

Marilson · 17-02-2006, 21:21

cioè? devo eliminare quello che mi hai detto?

Stev-O · 17-02-2006, 21:26

per adesso...
altrim : hai fretta? aspetta che ANDORRA torni e avrai conferme + precise
cmq i file almeno in quarantena li puoi mettere

[comincia il tennis su ESP2 a dopo

]

andorra24 · 17-02-2006, 21:28

Quote:

Originariamente inviato da Marilson

cioè? devo eliminare quello che mi hai detto?

Fixa le voci che ti ha indicato Stev-O nel post precedente.
Probabilmente l'Adware.Lop te lo sei preso installando il MessengerPlus che contiene per l'appunto il Lop come sponsor.

Marilson · 17-02-2006, 21:29

no non ho fretta, cioè è il pc dei miei.. devo fixarlo entro lunedi perchè poi vado via

Marilson · 17-02-2006, 21:37

Quote:

Originariamente inviato da andorra24

Fixa le voci che ti ha indicato Stev-O nel post precedente.
Probabilmente l'Adware.Lop te lo sei preso installando il MessengerPlus che contiene per l'appunto il Lop come sponsor.

fixare vuol dire eliminare giusto?

andorra24 · 17-02-2006, 21:41

Quote:

Originariamente inviato da Marilson

fixare vuol dire eliminare giusto?

Si, metti la spunta nella casellina accanto alle voci indicate precedentemente e premi ''fix checked'' (a browser chiuso mi raccomando).

Marilson · 17-02-2006, 22:50

bene, ho fatto. Ma gli eseguibili trovati da symantec? cosa ne faccio di quelli?

andorra24 · 17-02-2006, 22:56

Quote:

Originariamente inviato da Marilson

bene, ho fatto. Ma gli eseguibili trovati da symantec? cosa ne faccio di quelli?

Visualizza le cartelle e i file nascosti e segui il percorso indicato dal log del norton e verifica se ci sono ancora quei files.

Stev-O · 18-02-2006, 14:20

Quote:

Originariamente inviato da andorra24

Fixa le voci che ti ha indicato Stev-O nel post precedente.

per una volta ci ho beccato?

l'ho letto in fretta perchè iniziava la partita.. allora d'ora in avanti faro' cosi'

andorra24 · 18-02-2006, 14:23

Quote:

Originariamente inviato da Stev-O

per una volta ci ho beccato?

l'ho letto in fretta perchè iniziava la partita.. allora d'ora in avanti faro' cosi'

Bene.

MrOZ · 18-02-2006, 14:35

ciao mi mandi al mio indirizzo [email protected] tutti i file exe infetti da Lop???

grazie.

Stev-O · 18-02-2006, 14:35

per inciso, io quando faccio le analisi & le "scansioni" le faccio "mentalmente", molto spesso fidandomi dell'intuito o dell'"archivio"
chiaro se mi mettessi a scandagliare ogni singola voce dubbia cercando ovunque info su di essa sarei probabilmente più preciso: la differenza che fai tu è, oltre che alla maggior precisione, la velocità perchè sai subito dove & come muoverti nel reperire notizie

andorra24 · 18-02-2006, 14:41

Quote:

Originariamente inviato da Stev-O

per inciso, io quando faccio le analisi & le "scansioni" le faccio "mentalmente", molto spesso fidandomi dell'intuito o dell'"archivio"
chiaro se mi mettessi a scandagliare ogni singola voce dubbia cercando ovunque info su di essa sarei probabilmente più preciso: la differenza che fai tu è, oltre che alla maggior precisione, la velocità perchè sai subito dove & come muoverti nel reperire notizie

Io cerco solo le voci che non conosco e che mi insospettiscono. Prima di postare il risultato mi assicuro di essere nel giusto confrontando vari siti.

Stev-O · 18-02-2006, 14:43

Quote:

Originariamente inviato da andorra24

Io cerco solo le voci che non conosco e che mi insospettiscono. Prima di postare il risultato mi assicuro di essere nel giusto confrontando vari siti.

ho detto qualcosa di sbagliato?

cmq per sapere le voci "sospette" occorre possedere quel senso critico che ti può dare solo l'esperienza

wgator · 18-02-2006, 14:48

Quote:

Originariamente inviato da Stev-O

per inciso, io quando faccio le analisi & le "scansioni" le faccio "mentalmente", molto spesso fidandomi dell'intuito o dell'"archivio"
chiaro se mi mettessi a scandagliare ogni singola voce dubbia cercando ovunque info su di essa sarei probabilmente più preciso: la differenza che fai tu è, oltre che alla maggior precisione, la velocità perchè sai subito dove & come muoverti nel reperire notizie

Ciao,

bè... Andorra è una persona "speciale" in questo settore. Ormai ha memorizzato perfettamente tutti i processi "legittimi" di Windows e dei principali programmi. Leggendo le sue risposte e vedendo la sua velocità di analisi, sono convinto che, ogni volta che legge un log, "googli" non più di un paio di voci al massimo.

All'inizio tentavo di analizzarli anch'io i log degli utenti ma lei mi batteva sempre di parecchi minuti,

poi ho desistito.
Per un log "mediamente appestato" io devo "googlare" cinque o sei volte...

Nulla da dire: campionessa italiana di Hijachthis

17-02-2006, 20:43	#1
Marilson Bannato Iscritto dal: Jan 2005 Messaggi: 342	[urgente] rimuovere uno spyware Ho qualcosa di grosso che nè kaspersky nè adaware professional mi ha trovato, ho fatto lo scan su symantec.com ed ecco il log: C:\Programmi\Adverts\uninst.exe è infettato con Download.Adware.Lop C:\Documents and Settings\Home Computer\Impostazioni locali\Temp\bis8.exe è infettato con Adware.Lop C:\Documents and Settings\Home Computer\Dati applicazioni\meal itch pure\Intra Four.exe è infettato con Adware.Lop C:\Documents and Settings\Home Computer\Dati applicazioni\meal itch pure\kbjnoxpa.exe è infettato con Adware.Lop C:\Documents and Settings\All Users\Dati applicazioni\CoolFindProxySect\OOZEDUPE.exe è infettato con Adware.Lop Ho girato ma non riesco a trovare un removal, l'unico modo è una procedura da fare dopo lo scan con un prodotto symantec, che io non ho Qualche aiuto su come trovare il removal giusto?

17-02-2006, 20:46	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	se hai già scansionato con kaspersky fai una scansione con ewido e se non risolvi posta un log di hijackthis __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

17-02-2006, 20:48	#3
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, prova a disattivare il ripristino della configurazione del sistema, attiva la visualizzazione di file e cartelle nascoste, riavvia in modalità provvisoria e svuota le cartelle dei file temporanei e dei temporanei di internet poi tenta di rimuovere quei file manualmente, seguendone il percorso __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

17-02-2006, 21:13	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	fixa O2 - BHO: (no name) - {3BE0C45D-BF51-6515-E0EF-C26972386593} - C:\DOCUME~1\HOMECO~1\DATIAP~1\MESSAX~1\MEDIA WIN.exe (file missing) ah naturalmente metti in qurantena/elimina quelli sopra! cioè O4 - HKLM\..\Run: [proxy sect wait camp] C:\Documents and Settings\All Users\Dati applicazioni\CoolFindProxySect\OOZEDUPE.exe O4 - HKCU\..\Run: [ANTIMAIL] C:\DOCUME~1\HOMECO~1\DATIAP~1\MEALIT~1\Intra Four.exe intanto fai cosi' poi casomai arriverannoi latinisti a sistemare __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK* Ultima modifica di Stev-O : 17-02-2006 alle 21:20.

17-02-2006, 21:26	#7
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	per adesso... altrim : hai fretta? aspetta che ANDORRA torni e avrai conferme + precise cmq i file almeno in quarantena li puoi mettere [comincia il tennis su ESP2 a dopo ] __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

17-02-2006, 21:21	#6
Marilson Bannato Iscritto dal: Jan 2005 Messaggi: 342	cioè? devo eliminare quello che mi hai detto?

17-02-2006, 21:29	#9
Marilson Bannato Iscritto dal: Jan 2005 Messaggi: 342	no non ho fretta, cioè è il pc dei miei.. devo fixarlo entro lunedi perchè poi vado via

17-02-2006, 22:50	#12
Marilson Bannato Iscritto dal: Jan 2005 Messaggi: 342	bene, ho fatto. Ma gli eseguibili trovati da symantec? cosa ne faccio di quelli?

18-02-2006, 14:35	#16
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	ciao mi mandi al mio indirizzo [email protected] tutti i file exe infetti da Lop??? grazie.

Strumenti
Mostra una versione stampabile Invia questa pagina per email