Spyware e adware che non muoiono... HELP!

[Cimmo]

Ciao ragazzi,
e' la prima volta che non riesco a togliere degli spyware, mi aprono pagine web in continuazione, sia in firefox che IE, ecco cosa ho fatto:

adaware e spybot aggiornati fatti andare da mod provvisoria, pulito tutto (c'era della gran roba), adaware non vede + niente, spybot vede sempre 3 voci nel registro che sono:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

il primo riesce a correggerlo gli altri 2 no, manco in modalita' provv.
Il primo poi si autorigenera ogni volta.

Il problema si presenta anche in modalita' provvisoria quindi deve essere un servizio o che so.

Ho provato anche altri programmi tra cui escan antivirus toolkit by kaspersky, ha trovato diversa roba, ma non la toglie se non acquisto il programma:
File C:\WINDOWS\system32\mfvidc32.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: Nessuna azione intrapresa.
di questi file look2me ce ne erano dei quintali che ho tutti cancellato, ma o si rigenerano o non li ho tolti tutti.

Object "minibug Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "searchexe Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "bearshare Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "redv Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.
Object "redv Spyware/Adware" found in File System! Action Taken: Nessuna azione intrapresa.

[kaosthunder]

hai usato hijackthis? fai una scansione, e posta il file di log(comunque ti consiglio di andare nella sezione antivirus ed esporre il problema)

[Cimmo]

Quote:

Originariamente inviato da kaosthunder

hai usato hijackthis? fai una scansione, e posta il file di log

velocissimo, grazie!

Ecco il log...

[kaosthunder]

sembra OK però ho dei dubbi su
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
sai a cosa si riferiscono?

[Cimmo]

Quote:

Originariamente inviato da kaosthunder

sembra OK però ho dei dubbi su
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
sai a cosa si riferiscono?

si dunque:
tutto quello che e' SynTp* riguarda il Synaptics TouchPad del portatile.
l'altro file QtZgAcer.EXE si riferisce ai tastini speciali del portatile, per fare partire il client di posta el. ecc. ecc.

Come faccio a risolvere?

Thanx

[kaosthunder]

ho fatto un pò di ricerche con google allora scaricati xoftspy che sembra essere in grado di eliminare quell' ad-aware, facci sapere

[Cimmo]

Quote:

Originariamente inviato da kaosthunder

ho fatto un pò di ricerche con google allora scaricati xoftspy che sembra essere in grado di eliminare quell' ad-aware, facci sapere

si questo l'avevo gia' provato, ma non mi ha trovato nulla di nuovo, scusa mi ero scordato il nome...

[kaosthunder]

hai provato ewido?

[Cimmo]

Quote:

Originariamente inviato da kaosthunder

hai provato ewido?

interessante, ha trovato qualcosa...
intanto ho beccato sto file jt0607dse.dll bloccato da winlogon.exe che fa sempre parte di look2me

[Cimmo]

Dunque il bastardo e' proprio look2me.
ewido lo vede e lo elimina, ma la volta dopo ci sono sempre 2 file nuovi con 2 nomi diversi, che lui vede, ma sembra non riuscire a bloccarne la fonte...

[groot]

Quote:

Originariamente inviato da Cimmo

Dunque il bastardo e' proprio look2me.
ewido lo vede e lo elimina, ma la volta dopo ci sono sempre 2 file nuovi con 2 nomi diversi, che lui vede, ma sembra non riuscire a bloccarne la fonte...

senti, hai padronanza del registro di sistema?

[kaosthunder]

vai su http://www.pchell.com/support/look2me.shtml e segui le istruzioni per eliminare quell'ad-aware,ciao

[Cimmo]

Quote:

Originariamente inviato da groot

senti, hai padronanza del registro di sistema?

ma si abbastanza che mi consigli?

intanto ho trovato con un altro programma dell'altra roba, solo che anche questo e' a pagamento



Application Information

=======================



Application Version: ScanSpyware v3.8 build 3.8.0.4

Original Database: pests12-09-05.db

Updated Database: ssdb010406.db

Current Date: Wednesday, January 04, 2006 07:01:21 PM

__________________________________________________



Directories recognized:

=======================



__________________________________________________



Files recognized:

=================



[AGOBOT]

C:\WINDOWS\system32\atiphexx.exe



[AlCan.A]

C:\WINDOWS\system32\taskmgr.com



[OrbitExplorer]

C:\DOCUME~1\Luca\IMPOST~1\Temp\download.exe



[RBOT.OR]

C:\WINDOWS\system32\atiphexx.exe



__________________________________________________



Registry keys recognized:

=========================



[SavingsHound]

HKEY_CLASSES_ROOT\s



[SavingsHound]

HKEY_LOCAL_MACHINE\Software\Classes\s



__________________________________________________



Registry values recognized:

===========================



__________________________________________________



Cookies recognized:

===================



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[2].txt



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[3].txt



[VX2]

c:\documents and settings\luca\cookies\luca@serviceswitching[1].txt



__________________________________________________

[Cimmo]

Quote:

Originariamente inviato da kaosthunder

vai su http://www.pchell.com/support/look2me.shtml e segui le istruzioni per eliminare quell'ad-aware,ciao

ciao,
quella pagina l'avevo gia' vista, purtroppo i file come hai potuto vedere dai miei post sono diversi come nome, quindi forse ho una variante del malware.

Ho scaricato anche il tool che dice in fondo e mi restituisce questo:

Files Found---


Guardian Key--- is called:

User Agent String---
{21158FCD-A142-EB64-4A2F-75434C2008EA}


che dici provo a cancellare tutto quello che ha a che fare con questa chiave?

[kaosthunder]

si provaci ma ricorda di fare un backup del registro del sistema

[groot]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

e [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

di conseguenza rimuovi tutto quello che trovi qua e dentro runonce, runoncex, lo so che hai anche qualcosa che ti serve ma lo puoi sempre ripristinare ora capiamo dove quel file di merda.

Installa Antispyware della microsoft, e fai tutto con il pc scollegato, vedi se ti ricarica in automatico delle voci nel registro, poi vediamo cosa fare.

[Cimmo]

Quote:

Originariamente inviato da groot

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

e [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

di conseguenza rimuovi tutto quello che trovi qua e dentro runonce, runoncex, lo so che hai anche qualcosa che ti serve ma lo puoi sempre ripristinare ora capiamo dove quel file di merda.

Installa Antispyware della microsoft, e fai tutto con il pc scollegato, vedi se ti ricarica in automatico delle voci nel registro, poi vediamo cosa fare.

si ci avevo gia' guardato, dovrebbe esserci soltanto roba innoqua.
Il problema e' che sospetto che parta agganciandosi tramite winlogon per esempio, ma non c'e' un antispyware che parte prima del login stile scandisk o antivirus?

il toolkit di MS per gli spyware non becca nulla, gia' provato!

ora devo uscire, domani faro' altre prove, intanto grazie e mille per l'aiuto

[kaosthunder]

fai una ricerca sul pc del file k8no0i53e8.dll.....

[groot]

Quote:

Originariamente inviato da Cimmo

si ci avevo gia' guardato, dovrebbe esserci soltanto roba innoqua.
Il problema e' che sospetto che parta agganciandosi tramite winlogon per esempio, ma non c'e' un antispyware che parte prima del login stile scandisk o antivirus?

il toolkit di MS per gli spyware non becca nulla, gia' provato!

ora devo uscire, domani faro' altre prove, intanto grazie e mille per l'aiuto

Se vuoi la soluzione questa è una strada, se poi vuoi fare come ti pare, certo non posso obbligarti, ma solo dirti come faccio io a rimuoverli.

il tools microsoft rimuove abbastanza, comunque ogniuno ha le sue idee, comunque serve principalmente per evitare che altri si insidino nel sistema e eventualmente monitorizza i nuovi.

Comunque come hai fatto a prendere questa infezione?

[kaosthunder]

scarica il tool di rimozione da questo link http://securityresponse.symantec.com...r/FxSpL2Me.exe