MalWare MALEDETTO !!!

[caponord]

Ciao a tutti.
Ieri sera ho perso oltre due ore inutilmente nel tentativo di rimuovere dal pc di mio padre quel bastardissimo “malware” che AD-AWARE identifica come COOLWEB o COOLWWW (o qualcosa del genere), che sembra venga rimosso ma che si rigenera all'infinito.
Avrei voluto dare info più precise, ma l’email che mi sono inviato da casa al lavoro non è pervenuta
In sostanza andando a memoria, IE si apre in automatico sulla pagina “HOME SEARCH”, inutile andare in proprietà internet e rimettere la pagina iniziale vuota in quanto chiudendo e riaprendo Internet Explorer il tutto si rigenera. In sostanza il tutto è "comandato" da DLL sempre con nome diverso che si creano nella cartella windows/system32.
Ho provato un sacco di tool di rimozione, anche quelli che sembravano fare al caso nostro, uno in particolare sembrava eliminare tutto, ma dopo aver riavviato il problema si ripresenta.
Ho cercato una soluzione con i vari motori di ricerca ma non so più che pesci pigliare.
E’ ovvio che questi andrebbe DENUNCIATI !!!!
Mi affido a voi .... grazie in anticipo anche da parte del babbo.


PS molto probabilmente è una cosa da risolvere tramite registro di sistema, il problema che preferirei una bella pulizia completa anche di tutte le DLL che crea.

[netquik]

ti conviene spostarti in Sicurezza..

comunque ipotizzo tu abbia già provato CWSHREDDER ultima versione...


non ti rimane che usare HijackThis e postarne il log...

ciao

[caponord]

Purtroppo provati entrambi, CWSHEREDDER non mi trova nulla, l'altro che pensavo fosse il migliore, trova tutte le chiavi di questo malware, le pulisce, finchè non si riavvia non succede nulla.
Poi riavvi, apri IE la prima volta, da pagina bianca, ma si vede che è rallentato perchè sta facendo qualcosa (infatti non riesci a chiudere subito la finestra), quando la chiudi e la riapri, ritorna quella maledetta pagina di HOME SEARCH.
Se vado a rifare poi la scansione mi trova ancora delle DLL in windows/system32 ... ma con nomi diversi.
Stasera provo SPYBOT SERACH & DESTROY, che mi hanno consigliato, ma con poche speranze.
L'ideale come mi era successo in passato sarebbe quelo di trovare un forum che ne parli e dica dettagliatamente quello che si può fare manualmente magari da registro.
Grazie cmq
caponord

PS proverò a postare il log se capisco come si fa

[netquik]

potresti avere la necessita di questa utility
http://tools.zerosrealm.com/dllfix.exe


comunque se non posti il log di HijacThis nessuno ti può aiutare...


può anche essere che non fixi tutte le righe necessarie

[caponord]

Grazie NETQUIK, posso solo riportare il log stasera non essendo a casa purtroppo.

Adesso do un occhio a quel software che hai indicato.

Grazie ancora.
caponord

[rob66]

prova anche SpyBot S&D


che è migliore di AD per queste cose

[caponord]

Quote:

Originariamente inviato da netquik
potresti avere la necessita di questa utility
http://tools.zerosrealm.com/dllfix.exe

comunque se non posti il log di HijacThis nessuno ti può aiutare...

può anche essere che non fixi tutte le righe necessarie

QUesto è il LOG, ho usato anche SPYBOT SERACH & DESTROY, adesso sembra che la pagina resti bianca, ma IE si comporta stranamente, se lo apro non me lo chiude subito con la "X", anzi a volte mi dice che l'applicazione non risponde.

Cmq usando HijackThis mi ritrova sempre delle voci malevole come da LOG:

Logfile of HijackThis v1.97.7
Scan saved at 19.04.15, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\SOFTWA~1\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\sysvg32.exe
C:\WINDOWS\Explorer.EXE
C:\SOFTWA~1\AVG6\avgcc32.exe
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\WINDOWS\system32\ielb.exe
C:\Documents and Settings\Roby\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\beint.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://beint.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://beint.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\beint.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://beint.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\beint.dll/sp.html#96676
O2 - BHO: (no name) - {124FA683-824F-56B1-A647-959543371EAD} - C:\WINDOWS\sdkcs.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG_CC] C:\SOFTWA~1\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [TrustInstaller] D:\SETUP.EXE
O4 - HKLM\..\Run: [ielb.exe] C:\WINDOWS\system32\ielb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...870.1989351852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

[wgator]

Ciao,

cerca di capire cos'è questo:
C:\WINDOWS\system32\ielb.exe

Imho è piuttosto sospetto

Anche questo:
C:\WINDOWS\sysvg32.exe

Uccidi questa immondizia:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\beint.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://beint.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://beint.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\beint.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://beint.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\beint.dll/sp.html#96676

anche questa dovrebbe essere porcheria:
O2 - BHO: (no name) - {124FA683-824F-56B1-A647-959543371EAD} - C:\WINDOWS\sdkcs.dll
O4 - HKLM\..\Run: [ielb.exe] C:\WINDOWS\system32\ielb.exe


P.S.
Prima di cancellare queste voci senti anche il parere di netquik

Ciao

[netquik]

WGATOR è sempre il più veloce

fixa tutto ciò che ti ha detto wgator


io adrei anche a colpo sicuro nell'eminare

O4 - HKLM\..\Run: [ielb.exe] C:\WINDOWS\system32\ielb.exe


ti conviene dopo aver fixare riavviare in provvisoria

e tentare di eliminare rinominare o spostare

C:\WINDOWS\system32\ielb.exe
C:\WINDOWS\sysvg32.exe
C:\WINDOWS\sdkcs.dll

a me che dando un occhiata alle proprità di questi file non ti accorgi che roba utile (scommetto di no)

assicurati di avere hijack in una cartella e ti faccia il backup

e facci sapere!
















dllfix.. non è così facile da usare...

[caponord]

CIao e grazie anzitutto siete delle scheggie, nel frattempo ho anch'io puntato l'attenzione sui files sospetti che dire, e soprattutto su quel ielb.dll, me ne sono accorto perchè ho usato starter (con il quale mi trovo molto bene ma non è altro che un task manager più bello graifacamente) ed ho visto oltre a quel file anche gli altri che avete evidenziati, quindi non li ho cancellati subito ma semplicemente disattivati, ho lancoto IE ed ho visto che il file ielb.exe di replicava, restava quello inattivo di prima e me ne creava forzosamente uno identico ed attivo.

purtroppo ora sono alla mia postazione e fino a domani quel pc non lo vedo e non posso fare molto, vi posso solo dire che dopo la pulizia, se apro IE mi ritrovo ancora modificata la pagina iniziale, ma non più su HOME SEARCH ma su una pagina res:/***.dll (non ricordo con esattezza) ma come da log .....

a quanto pare una pulizia completa non me la vuole fare ma devo fare come dite e cancellare quei files accertandomi che non vadano ancora in esecuzione. Vi faccio sapere senz'altro, per il momento grazie ancora, ci stavo arrivando piano piano ma mi avete dato conforte e conferme.

ciaooooooooooo
caponord

[netquik]

dimenticavo una cosa forse fondamentale

elimina anche
C:\WINDOWS\system32\beint.dll



forse avrai bisogno di questo per farlo sempre da provvisoria

http://www.downloads.subratam.org/KillBox.zip

unzip, fallo partire e inserisci C:\WINDOWS\system32\beint.dll

e Delete on Reboot

[caponord]

grazie ancora, troppo in gamba siete !
speriamo di risolvere.
ciaoooo
caponord

[Psiche]

Spostato in ativirus & Sicurezza

[caponord]

Niente da fare si replica mille volte sto bastardo !!!
Quella DLL beint.dll che avrei dovuto rimuovere con kill box non me la trova, tutte quelle dll e quegli exe che dicevate in effetti non hanno nulla a che vedere con windows ma seppure li vado ad eliminare si ricreano e sempre con nomi diversi.

come pagina inziale mi ritrovo sempre HOME SEARCH e nel box trovo indirizzi come questo:

res://ozscm.dll/index.html#96676

che anche se vado a sovrascrivere con pagina bianca dopo qualche apertura di IE mi ritrovo sempre da capo.

come detto HijackThis trova e mi rimuove sta roba ma poi dopo averlo aperto IE mi ritrovo in esecuzione file bastardi ed HijackThis mi ritrova sempre le medesime cose.

non so più cosa provare, per fortuna che parto pe ril weekend e fortuna che non è il mio pc.

grazie cmq ancora di tutto.

[caponord]

forse l'ho debellato !!!!
a parte qualche dll criminale, ho eliminato anche un sacco di exe sia in windows sia in windows/system32, poi ho usato ancora il software di prima, poi ho riavviato ed ho paerto e richiuso il browser 5/6 volte senza più vedere nulla, pagina bianca sempre, e nessun nuovo programma che andava in esecuzione e che si settava come file in esecuzione all'avvio del pc.

speriamo che non sia un fuoco di paglia, ora devo andare, mi dirà mio padre

grazie ancora tanto per l'aiuto, ho trovato persone oltre che preparate anche molto cortesi e disponibili.

ciaoooo
caponord

[netquik]

okay caponord sono contento...


purtroppo questi malware sono così o togli tutto o niente..
(rifai il log con hijack per vedere se tutto è a posto)

io direi che ormai sono virus...

ciao

[Dardalo]

Scusate, è successo anche ad un mio amico, ma non riesco a downloadare dllfix...
Potresti indicarmi qualche link alternativo...

Cmq. penso dia un occhio lui stesso a questo 3d, anche x' purtroppo io adesso devo scappare dall'ufficio...

[netquik]

ho messo il file sul mio server...

http://www.tweakness.net/files/dllfix.exe


comunque è un programma difficile...
nel senso che se usato male potrebbe creare danni invece di risolverli...

quindi occhio!

[Hattori Hanzo]

STESSO IDENTICO PROBLEMA....

Altro che denuncia... randellate e calci in culo a due a due finchè diventano dispari a sti deficienti ci vorrebbero...

Prova con panda... io lo sto provando adesso e forse forse funziona... adesso finisco di testarlo poi ti faccio sapere...

[Hattori Hanzo]

Sembrerebbe essere andato tutto a posto....

boh... speriamo...