DSO exploit del menga, come diavolo si leva?

[VdW]

ciao! allora, ho lasciato il pc mezzora a un amica per navigare, da quando l'ho ripreso la mia pagina iniziale si cambia di continuo in realserarch.com, questa cosa e' abbastanza fastidiosa, anche perche' ogni volta mi inserisce una sfilza di preferiti porno che mi occupano spazio e rompono. Ho provato a scaricare spybot e gli ho fatto fare una ricerca, ha trovato sto DSO EXPLOIT, l'ho eliminato una volta, poi sono andato nelle utilytis e ho selezionato il file in sola lettura per l'host, ho spuntanto quello per non modificare la pagina iniziale, sono andato nelle pagine e ho messo solo la pagina iniziale che voglio. Chiudo spybot, avvio IE e mi ritrovo realsearch.
riapro spybot, vado a vedere e le case si sono tolte lo spunto, allora lo rifaccio, rifaccio tutto.

riapro IE, evviva, da CAPO!

allora faccio di nuovo lo scan, trova DSO EX, lo elimino. Mi viene lo scrupolo, rifaccio immediatamente lo scan... E ME LO RITROVA anche se lo aveva appena tolto! e va avanti, se rifaccio lo scan ogni volta me lo trova, lo toglie, e poi lo ritrova!!

aiuto

[Sifr]

Credo sia un bug di Spybot, anche a me lo da... Cmq, per questo genere di problemi, prova con CWShredder.. Già che ci sei fai una passatina anche con Ad-Aware, e se non funziona prova X-Cleaner, uno scanner online che puoi trovare su http://www.spywareguide.com (io l'ho provato qualche ora fa e mi sta salvando la vita.. o meglio, sta salvando quella del mio PC). Se non funziona in nessuno di questi modi, tenta con uno scanner online (TrendMicro, Symantec, Panda) e semmai, come ultima possibilità, log di HijackThis

Byez!
Sifr

[air.z]

Quote:

Originariamente inviato da VdW
ciao! allora, ho lasciato il pc mezzora a un amica per navigare, da quando l'ho ripreso la mia pagina iniziale si cambia di continuo in realserarch.com, questa cosa e' abbastanza fastidiosa, anche perche' ogni volta mi inserisce una sfilza di preferiti porno che mi occupano spazio e rompono. Ho provato a scaricare spybot e gli ho fatto fare una ricerca, ha trovato sto DSO EXPLOIT, l'ho eliminato una volta, poi sono andato nelle utilytis e ho selezionato il file in sola lettura per l'host, ho spuntanto quello per non modificare la pagina iniziale, sono andato nelle pagine e ho messo solo la pagina iniziale che voglio. Chiudo spybot, avvio IE e mi ritrovo realsearch.
riapro spybot, vado a vedere e le case si sono tolte lo spunto, allora lo rifaccio, rifaccio tutto.

riapro IE, evviva, da CAPO!

allora faccio di nuovo lo scan, trova DSO EX, lo elimino. Mi viene lo scrupolo, rifaccio immediatamente lo scan... E ME LO RITROVA anche se lo aveva appena tolto! e va avanti, se rifaccio lo scan ogni volta me lo trova, lo toglie, e poi lo ritrova!!

aiuto

il dso è un exploit inserito nelle pagine html, che consente di eseguire codice arbitrario sulla tua macchina sfruttando una vulnerabilità di explorer. La rimozione è tanto semplice quanto efficace, installa tutte le patch e nello specifico il service pack 1 di IE 6.0 dopo di che esegui seacrh & destroy e magicamente tutto sparira!!!!!

[VdW]

ho gia' installato tutte le patch e l'sp1 di win xp pro, IE ha un sp1 a parte?

[air.z]

guarda in windows update, se cè ancora qlk da installare, io con il tuo stesso problema, dopo aver messo tutte le patch per explorer, e dopo aver ripulito con spybot ho risolto tutto!

[Sifr]

Ciao,
cmq io mi riferivo al fatto che Spybot cancella l'exploit, puoi lo ritrova, lo ricancella, lo ritrova, lo ricancella etc.. Quando poi in realtà non era neanche presente (per questo parlavo di bug di SpyBot, che se non sbaglio anche altri utenti hanno avuto).
Ciao!
Sifr

[wgator]

Quote:

Originariamente inviato da Sifr
Ciao,
cmq io mi riferivo al fatto che Spybot cancella l'exploit, puoi lo ritrova, lo ricancella, lo ritrova, lo ricancella etc.. Quando poi in realtà non era neanche presente (per questo parlavo di bug di SpyBot, che se non sbaglio anche altri utenti hanno avuto).
Ciao!
Sifr

Ciao,

confermo il bug, chi ha voglia di leggere l'inglese, questo e ciò che dicono sul forum di spybot: http://forums.net-integration.net/in...l=dso+exploits

[VdW]

beh questo vuol dire che devo cercare da qualche altra parte la cosa che mi cambia sempre la pagina iniziale... qualcuno ha qualche idea?

[Sifr]

Hai già provato con tutti i programmi scritti sopra? Se sì, puoi provare a postare il log di HJT

[VdW]

si li ho provati, e non hanno funzionato.

Il log di hjt non so cosa sia...

[Sifr]

Devi scaricare HiJackThis, un programma che genera un log di ogni cosa che viene avviata al caricamento del sistema e\o si può ricollegare al browser. Devi scaricare questo programma (http://www.spychecker.com/program/hijackthis.html), lanciarlo, salvare il log e postarlo qui

Byez
Sifr

[VdW]

ok,
da notare che oltre a cambiarmi la pagina iniziale su realserach.com mi fa anche aprire nella stessa finestra una pagine che si chiama tymy.com e poi una che si chiama 100.ilian,com (o qualcosa del genere...)
inoltre la velocita diventa qualcosa di indegno.... e a volte manco si aprono + le pagine.

allora questo e' il log:

Logfile of HijackThis v1.97.7
Scan saved at 11.40.01, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\kernelz-m.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuam.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Documents and Settings\Roland\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab



saluti speranzosi

[wgator]

Ciao,

ho dato un'occhiata veloce al tuo log e purtroppo ci sono un sacco di schifezze.
Per prima cosa direi di rimuovere questi eseguibili e fixxare con hijackthis tutti i riferimenti a queste voci (guarda bene, ce ne sono molti)

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Update Emulator] kernelz-m.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe

Cancella completamente la cartella C:\Programmi\Web_Rebates ... non so cosa sia, ma tanto è una schifezza


Naturalmente via tutti i temp, i temp di internet e il ripristino della configurazione.

Scaricati poi la versione aggiornata di hijackthis e riposta il log dopo la ripulita perchè penso ci sia anche dell'altro

[netquik]

toglierei anche queste

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh


O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe

O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe



consiglio anche un bel passaggio antivirus
http://housecall.trendmicro.com/hous...start_corp.asp

[VdW]

come antivirus va bene anche il pc cillin 2002 aggiornato a oggi? perche' a navigare ho dei problemi (sul forum infatti vengo da un altro pc).

dunque, ho fatto quello che gentilmente mi avete consigliato ma il risultato e' stato purtroppo deludente, infatti le righe che ho fixato sono tornate... la riga con winmm64 non l'ho tolta perche' non sono riuscito a togliere il file in quanto mi dice che e' utilizzato da windows...

cmq, questo log dello scan fatto subito il fixed (dopo aver chiuso e riaperto hijack)


Logfile of HijackThis v1.97.7
Scan saved at 13.25.18, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
E:\Programmi\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

le righe con wuamgrd e wuam e gli altri simili sono tornate, io avevo tolto tutte le righe con quel comando...




questo e' il log dopo aver riavviato il pc

Logfile of HijackThis v1.97.7
Scan saved at 13.32.57, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\winmm64.exe
C:\Programmi\CursorXP\CursorXP.exe
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
E:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://forum.hwupgrade.it/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://forum.hwupgrade.it/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search Using Copernic Agent - C:\Programmi\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Launch Copernic Agent (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .com/d/sr/?xargs=05u3hs9yoaj0UOyzCCRBSm/3rLi9sWPIhdwkiFjlJ7EuChG1tg/BONe5hoZO3Jznc8p1hvXd0GY3K5AxHBE3FeDr4Hw/RBbsuMhmOCeIpUwLxzXxM1+Cm8pjzIERIFpD8bYAMrzuLMZSxaobVQ/3PnYlebJJAhEhQB06y2duUPrunzb8xEtVeZEiLkuU4uBLAlu1rJYEspmGs1LT: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8209.308900463
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{303AE7AB-0D40-410E-912C-2482234BA67A}: NameServer = 212.17.192.216 212.17.192.56




vi ringrazio per l'aiuto che mi state dando
io mi fido ciecamente di quello che mi dite, ma per curiosita' mi spiegate cosa sto togliendo?

[VdW]

mi e' venuto in mente che wuamgrd e sti cosi' li' ce li ho nel win.ini per l'esec automatica, li levo anche da li?

[netquik]

prova a farlo da provvisoria ...

o termina quei due processi prima di fixare...

[netquik]

se vai in provvisoria vedi anche di eliminarli quei files

[netquik]

inoltre prova Adaware SE

[VdW]

quei file li avevo eliminati, l'unico che non si cancellava era il winmm64... gli altri pero' sono tornati da soli. erano stati cestinati.

cmq, aggiornamento in tempo reale: pc cillini mi ha trovato che il file wuam.exe in system 32 e' infettato dal bkdr_spyboter.cf, che non ha un nome troppo terrificate devo dire... sara' lui la causa? l ostesso virus infetta anche il file _restore{52b7662f -ECCETERA-.exe