Forse virus: Tattoodle + MyFace LOL+ Fast Browser Search

[Matrixbob]

Ciao a tutti giungo qui dopo una serie di consultazioni in
[Thread Ufficiale] Firefox 3.5/3.6 che partono appunto da >qui< e mi portano ad aprire codesto 3D sotto supervisione anche del paziente skryabin.







tolto ripristino sistema
fatto passare

1. spybot + immunizzazione
2. antivir
3. asquared
4. diskmax
5. disk cleaner
6. easycleaner
7. ATF-Cleaner
8. PREVXCSIFREE

niente di rilevato

Cosa posso fare ancora?

[skryabin]

aggiungi anche gli screen della finestra plugin di firefox, tanto per capire che si tratta di qualcosa intrufolatosi in maniera subdola/maligna in quanto non è presente nella lista di extensioni/plugin

fai scan con hijackthis e postaci il log come prima cosa, visto che hai già provato con asquared e non c'era nulla prova anche con malwarebytes

anche un giro con gmer sarebbe una buona idea

[Matrixbob]

Quote:

Originariamente inviato da skryabin

aggiungi anche gli screen della finestra plugin di firefox, tanto per capire che si tratta di qualcosa intrufolatosi in maniera subdola/maligna in quanto non è presente nella lista di extensioni/plugin

fai scan con hijackthis e postaci il log come prima cosa, visto che hai già provato con asquared e non c'era nulla prova anche con malwarebytes

anche un giro con gmer sarebbe una buona idea

Smaronamento

Quote:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15.26.04, on 04/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O2FLASH (o2flash) - O2Micro International - C:\Windows\system32\DRIVERS\o2flash.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 4626 bytes

[Matrixbob]

Il GMER non so usarlo, ma sta ancora macinando ...

... non è che sono rimaste solo + le icone e il malaware è stato tolto, penso ottimisticamente dopo il passaggio di quei N cleaner.

[skryabin]

Quote:

Originariamente inviato da Matrixbob

Il GMER non so usarlo, ma sta ancora macinando ...

... non è che sono rimaste solo + le icone e il malaware è stato tolto, penso ottimisticamente dopo il passaggio di quei N cleaner.

no, se ci sono le icone c'è anche il malware, c'è tutta la barra altro che icone solamente...

con hijackthis metti la spunta su
R3 - URLSearchHook: (no name) - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - (no file)
e
O2 - BHO: (no name) - {8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} - (no file)

non so cosa sono, il resto mi sembra nella norma O_o

quindi fai fix (dovrebbe chiederti anche di fare un backup)

[Matrixbob]

Anche il sig. Gmer ha finito

Quote:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-04 15:35:26
Windows 6.0.6002 Service Pack 2
Running: xkl0wn9s.exe; Driver: C:\Users\DeLL\AppData\Local\Temp\agrdrpow.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwAssignProcessToJobObject [0x9CFE11DE]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwCreateThread [0x9CFE122A]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenProcess [0x9CFE15D0]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenThread [0x9CFE1478]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwProtectVirtualMemory [0x9CFE12D0]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwSetContextThread [0x9CFE118E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateProcess [0x9CFE1770]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateThread [0x9CFE136E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwWriteVirtualMemory [0x9CFE13B8]

INT 0x51 ? 858A7F00
INT 0x51 ? 858A7F00
INT 0x52 ? 858A7F00
INT 0x72 ? 84086BF8
INT 0x72 ? 84086BF8
INT 0x72 ? 84086BF8
INT 0x72 ? 858A7F00
INT 0x72 ? 858A7F00
INT 0x72 ? 84086BF8
INT 0x82 ? 84086BF8
INT 0x92 ? 84086BF8
INT 0xB3 ? 858A7F00

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 81CAD964 4 Bytes [2A, 12, FE, 9C]
.text ntkrnlpa.exe!KeSetEvent + 3F1 81CADB34 4 Bytes [D0, 15, FE, 9C]
.text ntkrnlpa.exe!KeSetEvent + 40D 81CADB50 4 Bytes [78, 14, FE, 9C]
.text ntkrnlpa.exe!KeSetEvent + 431 81CADB74 4 Bytes [D0, 12, FE, 9C]
.text ntkrnlpa.exe!KeSetEvent + 56D 81CADCB0 4 Bytes [8E, 11, FE, 9C]
.text ...
? System32\Drivers\spdj.sys Impossibile trovare il percorso specificato. !
.text USBPORT.SYS!DllUnload 87D5B41B 5 Bytes JMP 858A74E0
.text abd4v5gt.SYS 87D91000 22 Bytes [82, 13, FC, 81, 6C, 12, FC, ...]
.text abd4v5gt.SYS 87D91017 45 Bytes [00, 32, A7, 78, 80, 3D, A5, ...]
.text abd4v5gt.SYS 87D91045 135 Bytes [7A, CA, 81, FD, F9, C3, 81, ...]
.text abd4v5gt.SYS 87D910CE 10 Bytes [00, 00, 00, 00, 00, 00, C9, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; LEAVE ; HLT ; POP ESP; DEC EDX}
.text abd4v5gt.SYS 87D910DA 12 Bytes [00, 00, 02, 00, 00, 00, 24, ...]
.text ...

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\a-squared Free\a2service.exe[324] kernel32.dll!CreateThread + 1A 76F5C928 4 Bytes CALL 0045495D C:\Program Files\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
.text C:\Windows\Explorer.EXE[3416] ntdll.dll!NtWriteFile 77295644 5 Bytes JMP 745F5CA0 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)
.text C:\Windows\Explorer.EXE[3416] kernel32.dll!CreateThread 76F5C90E 5 Bytes JMP 745F5350 C:\Windows\system32\PxSecure.dll (Prevx Security Library/Prevx)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8068E6D6] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8068E042] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8068E800] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8068E0C0] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8068E13E] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [8069DB90] \SystemRoot\System32\Drivers\spdj.sys
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortNotification] CC358B04
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortWritePortUchar] 8387DB7F
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortWritePortUlong] 458B38C6
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortGetPhysicalAddress] A5A5A514
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] [100D8BA5] \Program Files\DAEMON Tools Lite\Engine.dll (Helper library/DT Soft Ltd)
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortGetScatterGatherList] 5F87DB50
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortReadPortUchar] 30810889
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortStallExecution] 54771129
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortGetParentBusType] 10C25D5E
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortRequestCallback] 8B55CC00
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 084D8BEC
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortGetUnCachedExtension] 0CF0918B
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortCompleteRequest] 458B0000
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortMoveMemory] 8B108910
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 000CF491
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 04508900
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] 053C7980
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortReadPortUshort] 560C558B
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortReadPortBufferUshort] C6127557
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortInitialize] B18D0502
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortGetDeviceBase] 00000CF8
IAT \SystemRoot\System32\Drivers\abd4v5gt.SYS[ataport.SYS!AtaPortDeviceStateChange] A508788D

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Program Files\a-squared Free\a2service.exe[324] @ C:\Windows\system32\shell32.dll [KERNEL32.dll!QueueUserWorkItem] [00454AB4] C:\Program Files\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
IAT C:\Program Files\a-squared Free\a2service.exe[324] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!QueueUserWorkItem] [00454AB4] C:\Program Files\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84A1C1F8
Device \FileSystem\fastfat \FatCdrom 86848500

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dinamico/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 pxkbf.sys (Prevx Keyboard Security/Prevx)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dinamico/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 pxkbf.sys (Prevx Keyboard Security/Prevx)

Device \Driver\volmgr \Device\VolMgrControl 840881F8
Device \Driver\usbuhci \Device\USBPDO-0 858761F8
Device \Driver\PCI_PNP3113 \Device\00000051 spdj.sys
Device \Driver\usbuhci \Device\USBPDO-1 858761F8
Device \Driver\usbehci \Device\USBPDO-2 85895500
Device \Driver\usbuhci \Device\USBPDO-3 858761F8
Device \Driver\usbuhci \Device\USBPDO-4 858761F8

AttachedDevice \Driver\tdx \Device\Tcp pxrts.sys (Prevx Realtime Security/Prevx)

Device \Driver\usbuhci \Device\USBPDO-5 858761F8
Device \Driver\usbehci \Device\USBPDO-6 85895500
Device \Driver\volmgr \Device\HarddiskVolume1 840881F8
Device \Driver\volmgr \Device\HarddiskVolume2 840881F8
Device \Driver\cdrom \Device\CdRom0 859F71F8
Device \Driver\volmgr \Device\HarddiskVolume3 840881F8
Device \Driver\cdrom \Device\CdRom1 859F71F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 84A1A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 84A1A1F8
Device \Driver\atapi \Device\Ide\IdePort0 84A1A1F8
Device \Driver\atapi \Device\Ide\IdePort1 84A1A1F8
Device \Driver\atapi \Device\Ide\IdePort2 84A1A1F8
Device \Driver\atapi \Device\Ide\IdePort3 84A1A1F8
Device \Driver\atapi \Device\Ide\IdePort4 84A1A1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel0 84A1B1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel1 84A1B1F8
Device \Driver\msahci \Device\Ide\PciIde1Channel2 84A1B1F8
Device \Driver\volmgr \Device\HarddiskVolume4 840881F8
Device \Driver\volmgr \Device\HarddiskVolume5 840881F8
Device \Driver\netbt \Device\NetBt_Wins_Export 85DF11F8
Device \Driver\netbt \Device\NetBT_Tcpip_{CF8354D3-9997-4E11-A8C8-943BB5D5B54A} 85DF11F8
Device \Driver\Smb \Device\NetbiosSmb 85E14500
Device \Driver\iScsiPrt \Device\RaidPort0 8408B1F8
Device \Driver\usbuhci \Device\USBFDO-0 858761F8
Device \Driver\usbuhci \Device\USBFDO-1 858761F8
Device \Driver\netbt \Device\NetBT_Tcpip_{9C057DAB-88C9-4F6E-83A5-83EF426154D1} 85DF11F8
Device \Driver\usbehci \Device\USBFDO-2 85895500
Device \Driver\usbuhci \Device\USBFDO-3 858761F8
Device \Driver\usbuhci \Device\USBFDO-4 858761F8
Device \Driver\usbuhci \Device\USBFDO-5 858761F8
Device \Driver\usbehci \Device\USBFDO-6 85895500
Device \Driver\sptd \Device\2039641131 spdj.sys
Device \Driver\abd4v5gt \Device\Scsi\abd4v5gt1 840891F8
Device \Driver\abd4v5gt \Device\Scsi\abd4v5gt1Port8Path0Target0Lun0 840891F8
Device \FileSystem\fastfat \Fat 86848500

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestione filtri file system Microsoft/Microsoft Corporation)

Device \FileSystem\cdfs \Cdfs 8781B1F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE2 0x33 0xDA 0x36 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0B 0x7A 0xF6 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0F 0x98 0x42 0xCF ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE2 0x33 0xDA 0x36 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x0B 0x7A 0xF6 0xEC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0F 0x98 0x42 0xCF ...

---- EOF - GMER 1.0.15 ----

[skryabin]

per hijackthis ho postato prima cosa eventualmente fixare

per gmer non lo uso nemmeno io tanto, ma se c'è qualcosa scritto in rosso so che c'è da preoccuparsi
C'è qualcosa evidenziato in rosso nel log?

[Matrixbob]

Nuovo log post trattamento:

Quote:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15.42.57, on 04/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Opera\opera.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O2FLASH (o2flash) - O2Micro International - C:\Windows\system32\DRIVERS\o2flash.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 4777 bytes

[skryabin]

hai riavviato dopo aver fatto fix?

[Matrixbob]

Quote:

Originariamente inviato da skryabin

hai riavviato dopo aver fatto fix?

ovviamente no, procedo

[skryabin]

Quote:

Originariamente inviato da Matrixbob

ovviamente no, procedo

procedi e controlla se è cambiato qualcosa in firefox...

nel log di hijackthis trovi qualche riferimento a programma che non dovrebbe essere installato sul sistema?
a volte sti malware si camuffano da software "legittimo"...ma il log attuale sembra abbastanza pulito.
Per il log di gmer se c'è qualcosa scritto in rosso ha rilevato qualche anomalia...ma non ti so dire di più

Se il sistema è pulito forse l'elemento maligno può risiedere dentro il profilo di firefox, e si "mimetizza" senza che venga elencato nella lista estensioni...ma per me sarebbe una novità

Prova a scrivere in firefox aboutlugins e posta il log...

EDIT: about due punti plugins, maledette faccine automatiche

Ah, e prova a creare a sto punto un profilo nuovo per vedere se la toolbar compare anche li'...prima non l'avrei fatto, ma visto che il sistema pare pulito non escluderei questa eventualità adesso.

[Matrixbob]

Quote:

Originariamente inviato da skryabin

procedi e controlla se è cambiato qualcosa in firefox...

nel log di hijackthis trovi qualche riferimento a programma che non dovrebbe essere installato sul sistema?
a volte sti malware si camuffano da software "legittimo"...ma il log attuale sembra abbastanza pulito.
Per il log di gmer se c'è qualcosa scritto in rosso ha rilevato qualche anomalia...ma non ti so dire di più

Se il sistema è pulito forse l'elemento maligno può risiedere dentro il profilo di firefox, e si "mimetizza" senza che venga elencato nella lista estensioni...ma per me sarebbe una novità

Prova a scrivere in firefox aboutlugins e posta il log...

EDIT: about due punti plugins, maledette faccine automatiche

Ah, e prova a creare a sto punto un profilo nuovo per vedere se la toolbar compare anche li'...prima non l'avrei fatto, ma visto che il sistema pare pulito non escluderei questa eventualità adesso.

Il problema persiste, altro log di Hijack post reboot prodotto.
Procedo con quanto detto.

Quote:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16.28.36, on 04/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O2FLASH (o2flash) - O2Micro International - C:\Windows\system32\DRIVERS\o2flash.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 4765 bytes

[Matrixbob]

about:Plagin --> Nessun plugin installato

[Matrixbob]

Ahahaha entro nel mio profilo mai usato e anche io mi trovo quella bella barra e quei bei motori di ricerca.
Esco e mi trovo una bella BSD! Scaricamento memoria fisica + reboot. Ahahah Winzoz sei sempre lo stesso

Menomale che gli ho messo anche Ubuntuz in dual boot, inizio a vedere il format come unica soluzione.

[skryabin]

ma in pannello di controllo di windows->applicazioni installate
non c'è proprio nulla che inizi per Fast Browser ecc?
E se anche non ci fosse nella lista di applicazioni installate non c'è nessuna directory in c:\programmi\Fast Browser o qualcosa del genere? a volte dentro rimangono delle robe o ci sono anche gli uninstaller da provare...poi se è qualcosa di facebook disinstalla qualunque riferimento a facebook dal sistema.

Non è windows che fa casino, è sempre l'utente che fa danni

che ti dicevo nel thread di firefox? che probabilmente anche con nuovo profilo ti ritrovavi la toolbar :P
era comunque un tentativo da fare

[Matrixbob]

Quote:

Originariamente inviato da skryabin

ma in pannello di controllo di windows->applicazioni installate
non c'è proprio nulla che inizi per Fast Browser ecc?
E se anche non ci fosse non c'è nessuna directory in c:\programmi\Fast Browser o qualcosa del genere? a volte dentro rimangono delle robe o ci sono anche gli uninstaller da provare...

Non è windows che fa casino, è sempre l'utente che fa danni

che ti dicevo nel thread di firefox? che probabilmente anche con nuovo profilo ti ritrovavi la toolbar :P
era comunque un tentativo da fare

Ma come? Lo dicevano che Vista e 7 sono realizzati così solidi apposta per gli utonti che ho deciso di lasciarlo sul portatile della fidanzata ... possibile che basti browsare e trovarsi una toolbar irremovibile? Scusami, ma questo è non manenere le promesse e fare pettare.

[skryabin]

Quote:

Originariamente inviato da Matrixbob

Ma come? Lo dicevano che Vista e 7 sono realizzati così solidi apposta per gli utonti che ho deciso di lasciarlo sul portatile della fidanzata ... possibile che basti browsare e trovarsi una toolbar irremovibile? Scusami, ma questo è non manenere le promesse e fare pettare.

si ma l'utonto se è utonto fa danno lo stesso su linux...
semplicemente non stai cercando nel posto giusto, ti sara' sfuggito qualcosa...secondo me il programma di disinstallazione c'è ma non lo vedi

[Matrixbob]

In Programmi nulla inizia per Fast Browser ... sono le prima cose fatte questi controlli.
Tutta roba Dell e MS.
O si ... mi prendo una pausa da sto caso, tutto il giorno ci sta facendo perdere.

Ho rimosso FF.

[skryabin]

Quote:

Originariamente inviato da Matrixbob

in Programmi nulla inizia per Fast Browser ... sono le prima cose fatte questi controlli.

Nemmeno per FB ?
FBSearch?

se sei su windows x64 devi guardare in "Programmi (x86)"

inutile che rimuovi FF :P

[Matrixbob]

Quote:

Originariamente inviato da skryabin

Nemmeno per FB ?
FBSearch?

se sei su windows x64 devi guardare in "Programmi (x86)"

inutile che rimuovi FF :P

Per F c'è solo FileHippo l'updater.