[win XP] infostealer.wowcraft - aiuto per favore

[lancetta]

Quote:

Originariamente inviato da Etex

file deleted

ho dato un'occhiata nella cartella system32 per vedere se era tornato; per ora non c'è ; c'è solo il secpol.msc

-per il "System Control Manager", Outpost segnala che il file che cerca di "inject" allo start è "mgkbhook.dll". Non so se può essere utile.



EDIT: ho provato per scrupolo a far partire l'installer del kaspersky tool ma c'è sempre uno spiritello che gli impedisce di avviarsi

il secpol.msc non lo toccare dovrebbe essere lo snap-in delle impostazioni locali, al limite tasto dx e vedi le proprietà

per la libreria mgkbhook.dll cercala sul pc e vediamo che roba è..... (credo sia legittima ma non ricordo a cosa appartiene)

[lancetta]

edit: cercala (mgkbhook.dll) dovrebbe proprio essere del system control manager..ma voglio essere sicuro...

[Riverside]

Quote:

Originariamente inviato da lancetta

per la libreria mgkbhook.dll cercala sul pc e vediamo che roba è..... (credo sia legittima ma non ricordo a cosa appartiene)

Vuoi vedere che è uno spyware?

@ Carlo: Installa SUPER ANTISPYWARE:
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

[lancetta]

Quote:

Originariamente inviato da Riverside

Vuoi vedere che è uno spyware?

@ Carlo: Installa SUPER ANTISPYWARE:
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

socio c'è lo ha già (ha pure scansionato)....e non non credo dovrebbe essere del famoso controllo di luminosità..a meno che non ne abbia 2
comunque se lo trova lo facciamo scansionare on line

[Riverside]

Quote:

socio c'è lo ha già (ha pure scansionato)

Con tutti i software e tool che girano in questa discussione, ricordarsi quali sono già stati suggeriti ed installati è un esercizio di memoria non da poco

Quote:

.... dovrebbe essere del famoso controllo di luminosità..a meno che non ne abbia due .... comunque se lo trova lo facciamo scansionare on line

Vediamo, anche dove è localizzato.

[Etex]

Quote:

Originariamente inviato da lancetta

socio c'è lo ha già (ha pure scansionato)....e non non credo dovrebbe essere del famoso controllo di luminosità..a meno che non ne abbia 2
comunque se lo trova lo facciamo scansionare on line

eccomi;

-il dll è in C:\Programmi\MSI\System Control Manager

-Virus total ha dato esito 1/32; il solo a rilevarlo come "Trojan.Win32.StartPage.LD" è stato Ikarus

-vado in riunione e intanto mando superantispyware

[lancetta]

che dire...vediamo se superantispyware trova altro (ma non credo) a sto punto deve solo vedere di fare la pulizia di registro per quei problemi

[Etex]

Quote:

Originariamente inviato da lancetta

che dire...vediamo se superantispyware trova altro (ma non credo) a sto punto deve solo vedere di fare la pulizia di registro per quei problemi

Eh lancetta, in effetti non ha trovato "altro" ma il solito "Browser Hijacker.Glotka" che ogni volta trova, io metto in quarantena e poi ricompare

può essere lui il simpatico spiritello del @#@#@#?

in allegato il log di superantispyware

[lancetta]

Quote:

Originariamente inviato da Etex

Eh lancetta, in effetti non ha trovato "altro" ma il solito "Browser Hijacker.Glotka" che ogni volta trova, io metto in quarantena e poi ricompare

può essere lui il simpatico spiritello del @#@#@#?

in allegato il log di superantispyware

forse l'ho preso sottogamba deve esserci qualche chiave o dll che lo ricrea.. (se non è un falso).....

[Riverside]

Quote:

Originariamente inviato da Etex

Eh lancetta, in effetti non ha trovato "altro" ma il solito "Browser Hijacker.Glotka" che ogni volta trova, io metto in quarantena e poi ricompare .......

Carlo, non lo mettere in quarantena, spazzalo via di brutto.
Poi riavvia, ripeti una scansione e vedi se lo trova ancora.

[lancetta]

ed il ripristino è disabilitato giusto?
mi posti il log di superantispyware?

[Etex]

Quote:

Originariamente inviato da lancetta

forse l'ho preso sottogamba

Quote:

Originariamente inviato da Riverside

Carlo, non lo mettere in quarantena, spazzalo via di brutto.
Poi riavvia, ripeti una scansione e vedi se lo trova ancora.

in passato l'avevo anche spazzato ma poi il simpaticone è tornato;

mi sa che mi si è affezionato il creaturo

Ormai ho riavviato, ma ripeto da capo la procedura e spazzo

@Lancetta: sì, è disabilitato

EDIT: l'avevo allegato ma è un .log

eccolo

[lancetta]

Quote:

Originariamente inviato da Etex

in passato l'avevo anche spazzato ma poi il simpaticone è tornato;

mi sa che mi si è affezionato il creaturo

Ormai ho riavviato, ma ripeto da capo la procedura e spazzo

@Lancetta: sì, è disabilitato

EDIT: l'avevo allegato ma è un .log

eccolo

in avenger

Quote:

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKLM\Software\Classes\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKCR\CLSID\{14D1A72D-8705-11D8-B120-0040F46CB696}
HKCR\TypeLib\{14D1A720-8705-11D8-B120-0040F46CB696}

[Etex]

Quote:

Originariamente inviato da lancetta

in avenger

tornato ora e fatto ma mi da errori:

2 errori per chiavi di registro non valide; non si riavvia; quando riavvio il pc a mano non vedo avenger "lavorare" (non si apre la finestra etc) e poi non crea il report.



che avrà?

[Etex]

ho controllato manualmente le chiavi nel registro e confermo che sono ancora lì

[Chill-Out]

oltre a secpol.exe che mi era sfuggito, ma non all'occhio attento di Lancetta è opportuno verificare su virustotal.com questi 2 :
C:\WINDOWS\system32\MGHwTemp.sys
C:\WINDOWS\system32\KGyGaAvL.sys

[lancetta]

Quote:

Originariamente inviato da Chill-Out

oltre a secpol.exe che mi era sfuggito, ma non all'occhio attento di Lancetta è opportuno verificare su virustotal.com questi 2 :
C:\WINDOWS\system32\MGHwTemp.sys
C:\WINDOWS\system32\KGyGaAvL.sys

socio ...il secondo dovrebbe essere un un codec il primo non sò cosa sia ma l'ho visto in più log (anche di pc puliti) ecco perchè lo avevo ignorato...però effettivamente vedendo la data è il caso di controllarlo
un'altra cosa vuoi fare uno script per cancellare quelle chiavi con combo? sembra che ultimamente non ne imbrocco una con avenger

[lancetta]

hum... mi è venuto un altro dubbio fai girare un pò questo
http://service1.symantec.com/support...50407160511924 eliminiamo tutti i virus

[Chill-Out]

Quote:

Originariamente inviato da lancetta

hum... mi è venuto un altro dubbio fai girare un pò questo
http://service1.symantec.com/support...50407160511924 eliminiamo tutti i virus

[Riverside]

Quote:

Originariamente inviato da lancetta

hum... mi è venuto un altro dubbio fai girare un pò questo ....... eliminiamo tutti i virus

Porcaccia trota ...... Norton virus ..... socio sei geniale