Navigazione lentissima + ricerca su Google del tutto sballata.... HELP PLEASE!

[xcdegasp]

Quote:

Originariamente inviato da ico1984

ho lo stesso problema..

ho fatto una scannata con lavasoft e spybot ma nisba.

Il problema e che sono aggiornati al 24.. aspeto il loro aggiornamento..

Cmq aggiungo anche questo problema: chrome non funaziona.

Per il momento è l'adware o quel che è piu intelligente che abbia mai preso!

Un altra indicazione: penso di averlo preso navigando con opera: ad un certo punto mi si è chiudo il firewall di windows e da allora google etc non funziona!!

al momento non ho il computer sotto mano.. domani loggo..

segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione

[flaviopac]

Quote:

Originariamente inviato da xcdegasp

pubblica i log intanto che fai la scansione con RootRepeal e PrevxCSI

Domattina li pubblico....

[xcdegasp]

Quote:

Originariamente inviato da flaviopac

Domattina li pubblico....

ottimo

[flaviopac]

Allora, ecco tutto:

Malwarebytes log --> http://www.fileqube.com/shared/WKYYT115350

A-Squared log --> http://www.fileqube.com/shared/idcOtRdl115351

Kaspersky log --> http://www.hwupgrade.helloweb.eu/Par...1537981191.txt

Dr.Web log --> http://www.hwupgrade.helloweb.eu/Par...ut60129479.txt

ESET Sys log --> TXT: http://www.fileqube.com/shared/ZFojgpj115353
XML: http://www.fileqube.com/shared/dPifaaR115355

HiJackThis log --> [rl]http://wuww.fileqube.com/shared/WdItpG115354[/url]





Se trovate queste stringa: "----------------" è perchè ho cancellato informazioni personali.....

[wjmat]

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O16  - tutte le voci senza riferimenti a microsoft

[xcdegasp]

da malwarebytes:

Codice:

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\Documents and Settings\-------------------\Desktop\PROGRAMMI OK\SpaceTime.Mathematics.SpaceTime.v3.0.3.2.ARM.PPC.Incl.Keymaker-COREPDA\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleanxp.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\--------------------\results.txt (Malware.Trace) -> Quarantined and deleted successfully.

da a-squared:

Codice:

c:\programmi\morpheusbar 	rilevati: Trace.Directory.Morpheus Toolbar
Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel 	rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel 	rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel 	rilevati: Trace.Registry.Blubster

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel 	rilevati: Trace.Registry.Blubster
C:\Documents and Settings\-------------\Impostazioni locali\Temporary Internet Files\Content.IE5\K0EM8GE1\._file[1].exe 	rilevati: Trojan-Downloader.Win32.Small.adin
C:\Programmi\Shareaza\Downloads\@ mirc6 12 invision2 0 rar @ [!].zip/Setup.exe 	rilevati: Trojan-Dropper.Win32.Mudrop.du
C:\Programmi\Shareaza\Downloads\_uncensored_ mirc6.12invision2.0.rar by iNC Full.zip/Setup.exe 	rilevati: Trojan-Dropper.Win32.Agent.cfv
C:\SETUP\JackSMS 3[1].07 Install.zip/JackSMS 3[1].07 Install.exe/JackSMS.exe 	rilevati: Backdoor.Win32.mIRC-based
C:\SETUP\JackSMS 3[1].07 Install.zip/JackSMS 3[1].07 Install.exe/ps.dll 	rilevati: Riskware.RiskTool.Win32.PsKill.q
C:\WINDOWS\system32\closeapp.exe 	rilevati: Riskware.RiskTool.Win32.CloseApp.a
C:\WINDOWS\system32\drivers\vgqr.sys 	rilevati: Hoax.Win32.Agent.fu

e pensare che ci sono versioni di IRC completamente gratuite come Virc o i plugins per pidgin/miranda/trillian


da kaspersky-tool:

Codice:

Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan-Downloader.Win32.Agent.hzc (email)
Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan.Win32.Agent.aejy (email)
Trojan program Backdoor.Win32.SdBot.eoq	(File: C:\eraseme_61722.exe)
virus Email-Worm.Win32.Glowa.h	(File: C:\Documents and Settings\--------\Desktop\Nuova EMULE\[software] Total IrRemote symbian 3rd s60 ( n80 n73).rar) <- un bel covo di malware questo zip
Trojan program Trojan-Downloader.Java.OpenConnection.ap (cache di java)
27/09/2008 11.30.59	File: C:\eraseme_61722.exe	not disinfected	postponed

in nod32 svuota la quarantena che è piena di cavolate ricevute da email o scaricate da p2p.. poi rifai la scansione completa (profonda / deep) con kaspersky-tool e rimuovi tutto cio che trova


Non scaricare mai video in formato WMV perchè in questo formato puoi associare la richiesta di download di falsi codec che hanno lo scopo di infettarti!
infatti Dr.WEb cureIT rileva correttamente proprio dei filmati infetti da "Trojan.DownLoader.1729"

Codice:

C:\EPSON\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\SP2100\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\SP2100\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\FILM\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\FILM\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\MAGIX\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\MAGIX\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\nokia 6630\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\nokia 6630\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\Program Files\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\Program Files\Adobe\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\SETUP\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\SETUP\alcohol.120.1.9.5.3105.crack\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\WINDOWS\system32\tdssl.dll infettato da BackDoor.Tdss.7 - cancellato
C:\WINDOWS\system32\tdsslog.dll infettato da Trojan.Sespy.13 - cancellato
C:\WINDOWS\system32\tdssmain.dll infettato da BackDoor.Tdss.7 - cancellato
C:\WINDOWS\system32\tdssserf.dll infettato da Trojan.Fakealert.1304 - cancellato

nonn ho riportato tutti gli oggetti perchè era solo dispersivo.. la cosa però non è rassicurante!


da HiJackThis:

Fixa:

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll (file missing)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"

sono tutte voci marginali, verranno solo stoppate queste esecuzioni automatiche che non sono esenziali e consumano solo risorse inutilmente, tutte le applicazioni continueranno a funzionare come sempre.


Devi fare subito la pulizia dei file temporanei a browser chiuso sia da atf-cleaner si da pannello di controllo -> java -> pulisci cache

Poi fammi un log con FindAWF

[flaviopac]

Quote:

Originariamente inviato da wjmat

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O16  - tutte le voci senza riferimenti a microsoft

Ecco fatta la scansione con HiJackTHis:

http://www.fileqube.com/shared/aEaEMiT115369


L'altra la faccio dopo pranzo....


EDIT:
Da pannello di controllo->java si apre una finestra nella quale non c'è traccia di pulisci cache.....

[ico1984]

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpo...2&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti

[flaviopac]

Quote:

Originariamente inviato da ico1984

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpo...2&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti

Grazie per la segnalazione...

Quindi in breve faccio partire antivir da cd e tutto è risolto??

[xcdegasp]

Quote:

Originariamente inviato da ico1984

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpo...2&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti

il tuo era un problema comnpletamente differente e dovuto da infezione da rootkit:
http://www.hwupgrade.it/forum/showthread.php?t=1829462

sei pregato di non innondare il forum dei tuoi messaggi, che se da un punto di vista sono gratificanti inquanto significa che le MIE DIRETTIVE sono state fruttuose, dall'altra mi vedrei costretto a sospenderti per aver eseguito crossposting e aver dato consigli senza cognizione di causa!
ribadisco, ti abbiamo aiutato ma con la stessa facilità ti possiamo allontanare

[xcdegasp]

Quote:

Originariamente inviato da flaviopac

Ecco fatta la scansione con HiJackTHis:

http://www.fileqube.com/shared/aEaEMiT115369


L'altra la faccio dopo pranzo....


EDIT:
Da pannello di controllo->java si apre una finestra nella quale non c'è traccia di pulisci cache.....

ne dovresti fare due non una sola


per la java:
Pannello di controllo -> Java -> Cache -> Cancella

[flaviopac]

Quote:

Originariamente inviato da xcdegasp

ne dovresti fare due non una sola


per la java:
Pannello di controllo -> Java -> Cache -> Cancella

Questo è quello che vedo, non c'è traccia della cache, nemmeno nella altre schede (che nell'immagine non si vedono...)

[xcdegasp]

prosegui in file temporanei -> impostazioni

[flaviopac]

Quote:

Originariamente inviato da xcdegasp

prosegui in file temporanei -> impostazioni

Ok, c'era scritto ELIMINA FILE... Ed ho eliminato tutto...


Dopo procedo con le altre operazioni che mi hai suggerito...
Poi posto tutti i risultati....


Ciao e grazie ancora!

[flaviopac]

Ragazzi domani vi faccio avere tutto...
Oggi devo studiare per un esame......

[flaviopac]

Quote:

Originariamente inviato da xcdegasp

da malwarebytes:

Devi fare subito la pulizia dei file temporanei a browser chiuso sia da atf-cleaner si da pannello di controllo -> java -> pulisci cache

Poi fammi un log con FindAWF

Allora ho fatto tutto quanto mi è stato detto...

Il log di FindAWF è il seguente:

Quote:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Nella finestra del prompt che mi è apparsa ho seguito la procedura 1....


Fatemi sapere....

[xcdegasp]

a posto il log è pulito

[flaviopac]

Quote:

Originariamente inviato da xcdegasp

a posto il log è pulito

E quindi che faccio....?

I miei problemi persistono......

[wjmat]

ricarica un nuovo log classico di HiJackThis

[xcdegasp]

Quote:

Originariamente inviato da wjmat

ricarica un nuovo log classico di HiJackThis

aggiungo anche da fare il log dr.Web CureIT (clickandio su aggiorna prima) tramite scansione completa