Hijack Somoto/Bigseek Aiuto!!

[Litopedio]

Salve a tutti.

Oggi aprendo Firefox ho avuto una bella sorpresa: al posto della pagina di Google mi è apparsa la pagina di Somoto punto com con tanto di toolbar onnipresente in alto a destra nel browser

Le ho provate tutte:

Ho fatto scan approfonditi con Malwarebytes sia in modalità provvisoria che normale (saltati fuori un altro paio di cosette, ma per quanto riguarda Socoso nisba)

Ho utilizzato HijackThis e ho trovato 2 voci: per la prima sono risalito al percorso del file e ho trovato una cartella con tanto di uninstall che ho eseguito con un tool per la rimozione profonda, la seconda l'ho semplicemente fixata.

In pratica di Somoto Toolbar e Bigseek non vi è più traccia ne tra i programmi ne nel registro di sistema a quanto pare, ma...

...quella stramaledetta toolbar è ancora lì fissa sia in IE che Firefox, e con Chrome sostituisce le ricerche di default con il maledettissimo sito

Se elimino le toolbar aggiuntive (firefox) e deseleziono Gigseek come pagina predefinita (eliminandola anche dalla lista delle pagine predefinite) come posso sapere se il mio computer è effettivamente protetto e la mia privacy al sicuro?

Non so più che fare... aiutatemi vi prego!

[Chill-Out]

Ciao, se hai già provveduto a disinstallare entrambe le Toolbar da Pannelo di controllo etc....e disattivare i componenti aggiuntivi dai vari Browser, fai scansione completa con Emsi AntiMalware - > INFO al PUNTO http://www.hwupgrade.it/forum/showthread.php?t=1599737 3

[Litopedio]

Grazie per la dritta

questo è il report a scansione ultimata

a-squared Free - Versione 1.0
Ultimo aggiornamento: 13/09/2011 15:56:45

Impostazioni scansione:

Tipo scansione: Completa
Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Euristica: Off
Scansione ADS: On

Scansione avviata: 13/09/2011 17:08:03

c:\programdata\microsoft\windows\start menu\programs\PopCap Games rilevati: Trace.Directory.Bejeweled 2 Deluxe 1.0!A2
C:\Users\Davide CoolZombie\AppData\Roaming\Mozilla\Firefox\Profiles\40492iqi.default\cookies.sqlite:731 rilevati: Trace.TrackingCookie.be.sitestat.com!A2
C:\Users\Davide CoolZombie\AppData\Roaming\Mozilla\Firefox\Profiles\40492iqi.default\cookies.sqlite:732 rilevati: Trace.TrackingCookie.be.sitestat.com!A2
D:\Programmi\Fraps\Fraps 3.2.2 Build 11496\fo-fr322.exe rilevati: Trojan.Win32.Dynamer!IK

Scansionati

File: 501880
Tracce: 437039
Cookies: 150
Processi: 57

Rilevato

File: 1
Tracce: 1
Cookies: 2
Processi: 0
Chiavi di Registro: 0

Fine scansione: 13/09/2011 19:32:41
Tempo scansione: 2:24:38


sono stati rilevati 4 oggetti dannosi di cui 2 a rischio basso (cookies) e uno a rischio altro (un file di fraps)
un terzo credo sia un falso positivo (si riferisce al videogame Bejeweled)

Li ho messi tutti in quarantena ed ora?

[Chill-Out]

Ma quale versione di Emsi hai utilizzato ?

[Litopedio]

l'ultima...credo

(5.1 ?)

[Chill-Out]

Quote:

Originariamente inviato da Litopedio

l'ultima...credo

(5.1 ?)

Non direi, dal tuo log: a-squared Free - Versione 1.0

[Litopedio]

ma che cacchio ho scaricato ?

Riprovo...

[Litopedio]

Provato con l'ultima versione di Emisoft (completa) ma non mi ha mostrato nessun elemento dannoso... liscio come l'olio...

ho riprovato con Hijackthis è questo è il log:

Quote:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:56:12, on 14/09/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\EPU-6 Engine\SixEngine.exe
C:\Windows\SysWOW64\rundll32.exe
D:\Programmi\Steam\Steam.exe
C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
C:\Program Files (x86)\SanDisk\SanDisk Media Manager\SanDiskMediaManager-Launcher.EXE
C:\Users\Davide CoolZombie\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files (x86)\Emsisoft Anti-Malware\a2wizard.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Davide CoolZombie\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: LinkAirBrowserHelper HistoryTriggerBHO - {21A88CB9-84D2-4020-A2D1-B25A21034884} - C:\Nuova cartella\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - D:\Programmi\DivX Mobile\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - D:\Programmi\DivX Mobile\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Google Update] "C:\Users\Davide CoolZombie\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Steam] "D:\Programmi\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-894614377-3067413545-2750423270-1006\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-894614377-3067413545-2750423270-1006\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O4 - Startup: Dropbox.lnk = Davide CoolZombie\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Global Startup: SanDisk Media Manager.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: I&nvia a OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Emsisoft Anti-Malware 5.1 - Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio stato di ASP.NET (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9728 bytes

Non credo ci sia nulla di anomalo... posso stare tranquillo secondo te? (anche se la barra di ricerca in firefox è inutilizzabile)

[Chill-Out]

Quote:

Originariamente inviato da Litopedio

Provato con l'ultima versione di Emisoft (completa) ma non mi ha mostrato nessun elemento dannoso... liscio come l'olio...

ho riprovato con Hijackthis è questo è il log:




Non credo ci sia nulla di anomalo... posso stare tranquillo secondo te? (anche se la barra di ricerca in firefox è inutilizzabile)

Ti riferisci alla Barra di navigazione ? Ovvero dove digiti ad es: www.google.it ?

[Litopedio]

No la barra opzionale in Firefox:



che tralaltro prima riportava scritto "Cerca" invece di "Search" e funzionava benissimo

L'ho dovuta rimuovere e adesso ho solo la barra degli indirizzi di default



ogni qualvolta la rimetto, qualsiasi ricerca effettuata in quella barra riporta a Somoto...nonostante non vi sia più traccia dell'infezione ne tra le opzioni firefox ne nei registri di sistema

[Chill-Out]

Ripristina la Barra di navigazione, clicca sull'iconcina predefinita indicante il motore di ricerca (nel tuo caso la lente di sx)

Gestione motori di ricerca - ed elimina il riferimento a Somoto

[Litopedio]

che scemo!

Grazie mille per avermi su/opportato
sembra tutto tornato normale ora, credo (spero) che l'infezione sia stata debellata...

[Chill-Out]

Quote:

Originariamente inviato da Litopedio

che scemo!

Grazie mille per avermi su/opportato
sembra tutto tornato normale ora, credo (spero) che l'infezione sia stata debellata...

Prego, ciao.

[Lacus]

.. ma non so se è solo lo stesso nome o anche il problema è simile.
Ogni qualvolta lancio Internet Explorer 8 (ho XP home 32 Bit) mi appare la finestra di Nod 32 4 che mi comunica un avviso di "minaccia potenziale"
con oggetto "..Dati applicazioni\UninstallToolbar.exe"

-Minaccia "Win32/Somoto applicazione potenzialmente indesiderata"

-Commento "si è verificato un evento in un nuovo file creato dall'applicazione
C:\Programmi\ Internet Explorer\iexplorer.exe"
inviare l'oggetto a Eser per analisi

Poi qualsiasi strada io scelga: pulisci, elimina, nessuna azione; mi parte Internet Explorer, prima sembrava tutto funzionare, ora mi parte non connesso e non mi visualizza alcuna pagina web, metre con Firefox non ho alcun problema.
Potrei continuare ad usare solo Firefox che ho come predefinito però alcuni siti me li visualizza male, inoltre non riesco ad accedere alla pagina degli aggiornamenti di Windows ed infine non mi funzionano più i MSN Messenger che avevo installato, mentre mi funziona il Messenger della casella posta di Hotmali, forse i problemi non sono legati, però se fosse possibile vorrei sapere come risolverli. Grazie dell'attenzione e delle eventuali risposte