DSO exploit del menga, come diavolo si leva?

[wgator]

Quote:

Originariamente inviato da VdW
mi e' venuto in mente che wuamgrd e sti cosi' li' ce li ho nel win.ini per l'esec automatica, li levo anche da li?

Ciao,

Si, devi toglierli anche da win.ini e ovunque altro siano

bisogna che scarichi la versione nuova di hijackthis, la 1.98.2

Quella che hai non trova tutto.
Scarica la nuova e riposta il log

[VdW]

quella vers li' e' scaricata dal link che mi hai passato, quella nuova dove la trovo se non li'?

[wgator]

prova qui... molti mirrors non vanno

http://www.softpedia.com/public/cat/...10-17-69.shtml

[netquik]

sì..

assicurati a questo punto di effettuare prima una pulizia approfondita con l'antivirus...

eseguila da provvisoria dopo aver disattiva to il system restore...

così avrai più possibilità di successo

[VdW]

come disattivo il system restore?
come avvio in modalita provvisoria con xp? idem al 98? va beh provo :P



ho provato a togliere il wuamgrd.exe dall'ini ma non e' servito, all'avvio succesivo si rimette nell'ini, adesso provo a fare questo in modalita provvisoria.

il file _restore eccetera posso cancellarlo o e' importante?

il file wuamgrd.exe cmq l'ho cancellato e non sembra essere tornato


il log della nuova vers:

Logfile of HijackThis v1.98.2
Scan saved at 14.30.47, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
E:\Programmi\HijackThis\vers nuova\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra 'Tools' menuitem: Launch Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRAMMI\COPERNIC AGENT\COPERNICAGENT.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab

[Sifr]

Quote:

Originariamente inviato da wgator
Cancella completamente la cartella C:\Programmi\Web_Rebates ... non so cosa sia, ma tanto è una schifezza

Schifezza che tra l'altro ho avuto io ieri (Insieme a NewDotNet).. Vabbè, visto che non ve ne frega niente di quello che ho avuto io ieri passo subito al dunque: web_rebates è un bel po' bastardo, in quanto ti crea un sacco di files in diverse cartelle... fai una scansione online con http://www.spywareguide.com/txt_onlinescan.html e poi da' un'occhiata a
questo per altre info su come distruggerlo (buona fortuna ).

Byez!
Sifr

[wgator]

Ciao,

prova così:

pannello di controllo->sistema->ripristino configurazione del sistema

metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"

Verifica bene di aver cancellato tutti i file presenti nelle cartelle temporanee e nella temporanea di internet, poi vai in windows/downloaded program files e cancella tutto quello che c'è.
Cancella di nuovo (eventualmente da provvisoria) wuamgrd.exe e tutti i riferimenti che ha lasciato in giro (con hijackthis) ma anche spulciando win.ini ecc.

Incrocia le dita e riavvia

[VdW]

Quote:

Originariamente inviato da Sifr
Schifezza che tra l'altro ho avuto io ieri (Insieme a NewDotNet).. Vabbè, visto che non ve ne frega niente di quello che ho avuto io ieri passo subito al dunque: web_rebates è un bel po' bastardo, in quanto ti crea un sacco di files in diverse cartelle... fai una scansione online con http://www.spywareguide.com/txt_onlinescan.html e poi da' un'occhiata a
questo per altre info su come distruggerlo (buona fortuna ).

Byez!
Sifr

lo scanner online non ha rilevato nulla, dal secondo sito che mi hai dato ho scaricato pespatrol prima di fare tutto il procedimento, e lo scan di pespatrol non ha rilevato nulla di inerete al webrates, posso stare tranquillo per quello?

[VdW]

Quote:

Originariamente inviato da wgator
Ciao,

prova così:

pannello di controllo->sistema->ripristino configurazione del sistema

metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"

Verifica bene di aver cancellato tutti i file presenti nelle cartelle temporanee e nella temporanea di internet, poi vai in windows/downloaded program files e cancella tutto quello che c'è.
Cancella di nuovo (eventualmente da provvisoria) wuamgrd.exe e tutti i riferimenti che ha lasciato in giro (con hijackthis) ma anche spulciando win.ini ecc.

Incrocia le dita e riavvia

ALE'!!! sembra aver funziona!! vi amo tutti!!

adesso, per curiosita, questa bella roba che cosa ha fatto/faceva al mio pc? come me la sono beccata? devo strozzare qualcuno?

[netquik]

Quote:

ho lasciato il pc mezzora a un amica per navigare

io un sospetto ce l'ho....

[VdW]

la strozzo....

[wgator]

Quote:

Originariamente inviato da VdW
ALE'!!! sembra aver funziona!! vi amo tutti!!

adesso, per curiosita, questa bella roba che cosa ha fatto/faceva al mio pc? come me la sono beccata? devo strozzare qualcuno?

Ciao,

spero che regga

Mah, di solito tutta quella porcheria si becca viaggiando senza adeguate protezioni su siti diciamo... underground...
donnine nude, suonerie per cell, warez e scaricando materiale tramite p2p ecc.

Per una certa protezione preventiva:

- Assicurati di avere attivato ICF (il firewall nativo di win XP)
tramite start->impostazioni->connessioni di rete->connessione che usi per internet->tasto destro del mouse->proprietà->avanzate Controlla che ci sia la spunta su "proteggi il computer e la rete ecc.

- Mantieni il computer ben aggiornato con windows update

- installa spybot 1.3 e scansiona ogni 2 o 3 giorni almeno
-installa anche ad-aware e scansiona sempre ogni 2 o 3 giorni
- ricordati di tenere aggiornati antivirus, spybot e ad-aware

- limita il più possibile le tue escursioni su siti malfamati e in ogni caso dopo esserci andato fai un po' di scansioni.

Per configurare al meglio spybot e ad-aware, se hai dubbi chiedi pure sul forum

[VdW]

ho il sospetto che qualcuno abbia cliccato "accetta" in uno dei vari prog da scaricare che appaiono nei suddetti siti...

cmq, finche' io non mi metto a scaricare qualcosa non mi becco schifezze se non quelle leggere giusto?

cmq grazie ancora

[netquik]

belle bionde e cliccano sempre "accetta"

[VdW]

Quote:

Originariamente inviato da netquik
belle bionde ...

eh..magari

[Sifr]

Quote:

Originariamente inviato da VdW
lo scanner online non ha rilevato nulla, dal secondo sito che mi hai dato ho scaricato pespatrol prima di fare tutto il procedimento, e lo scan di pespatrol non ha rilevato nulla di inerete al webrates, posso stare tranquillo per quello?

Non so.. a me pestpatrol ha detto la stessa cosa (cioè che nn c'era traccia) eppure dopo, controllando che i files segnalati dal sito che ti ho dato prima effettivamente non fossero più presenti, ho trovato qualche traccia lo stesso Visto che sono quasi 100 files, ho rinunciato a controllarli tutti, limitandomi a prenderne 2 o 3 a caso.. In ogni caso, il virus non è più attivo, non è in grado di avviarsi, nè di compiere i suoi malvagi scopi, però non posso assicurarti che è SPARITO DEL TUTTO.

[Sifr]

Quote:

Originariamente inviato da wgator
Ciao,

prova così:

pannello di controllo->sistema->ripristino configurazione del sistema

metti la spunta su "disattiva ripristino di configurazione del sistema su tutte le unità"

Giusto per curiosità... Ma quali benefici porta il disattivamento del system restore? Praticamente i virus sono in grado di riconfigurare una vecchia configurazione se si trovano in "difficoltà"?

Byez
Sifr

[netquik]

no...

lo si disattiva per dare la possibilità agli antivirus di eliminare i file infetti che sono presenti in un ripristino...

poi di solito quando si diattiva i files vngono già eliminati quindi...


comunque è solo per questo

[VdW]

sifr scusa, ma non credo sia webrates il tuo problema, insomma anche quel sito mi pare che la faccia un po' troppo lunga, sopratutto perche' nella cartella di webrates c'e' un file readme con scritto come disinstallarlo, io ho seguito quelle istruzioni ed e' andato tutto bene non ho + tracce di sto prog.

Tra l'altro io ho capito dove l'avevo preso, dai temi di win xp del sito xptheme.org, infatti se scarichi i file boot sono degli exe e durante i vari passaggi ti chiedono se vuoi installare webrates e la prima volta non me ne sono accorto e gli ho dato ok, basta spuntare la casella e non te lo installano.
Controlla gli ultimi prog che hai installato magari ti e' capitata la stessa cosa!

[VdW]

Quote:

Originariamente inviato da netquik
no...

lo si disattiva per dare la possibilità agli antivirus di eliminare i file infetti che sono presenti in un ripristino...

poi di solito quando si diattiva i files vngono già eliminati quindi...


comunque è solo per questo

poi conviene riattivarlo?