45 risposte a questa discussione

[medessa]

Ciao ho proprio bisogno di aiuto (altrimenti mi rimane portare il PC a Lourdes
perchè c'è uno spyware che non riesco ad eliminare in nessun modo dal pc del mio ragazzo che cambia la pagina iniziale di windows ogni volta che si riavvia il browser.
La cambio da strumenti->opzioni ma come chiudo explorer e lo riapro, rieccola lì:
res://qxvan.dll/index.html#37049
Premetto che non sono un'esperta, ma ho letto tutto quello che ho potuto sull'argomento da quando si è manifestato 'sto coso!!!
Il mio sistema operativo è windows 2000.
Ho letto un articolo fantastico che dava innumerevoli consigli seguendoti passo passo e così ho:
- da modalità provvisoria cancellato tutti i cookies, file temporanei anche non in linea, cronologia, moduli e password e tutti gli oggetti activeX
- cancellato tutti i files .tmp, .temp, .hta, .htm e .js
- controllato da installazione applicazioni che non ci fosse nulla che non avevo installato io
- fatto controllo on-line qui: http://www.resource-....com/NoSpyWare/
- installato in modalità provvisoria con supporto di rete AdAware, aggiornato on line e eseguito scan del sistema: ha pulito una marea di parassiti, ma non ILLO.
- installato in modalità provvisoria spybot, aggiornato on line e eseguito scan del sistem: idem come sopra.
- installato e utilizzato anche Hijackthis, stesso risultato di cui sopra
- eliminavo le key dove appariva qxvan.dll, ovvero:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qxvan.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qxvan.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qxvan.dll/index.html#37049
rilanciavo Hijackthis e dava pulito, rilanciavo il browser e ricompariva la pagina malefica, rilanciavo Hijackthis e le key erano di nuovo lì.
- a quel punto mi sono decisa a mettere le mani nel registro di sistema, ho fatto un "trova qxvan" e ogni riferimento che trovavo lo cancellavo (mi pare fossero due o tre)... niente da fare, tutto come prima
Tra i vari tentativi ho provato anche StartPageGuard, Startup Inspector, Stinger, CWShredder, AntySpy...
Unico cambiamento: ora non si chiama più qxvan ma res://csfun.dll/index.html#43039...
Ti ringrazio per l'aiuto che mi potrai dare

[netquik]

ciao ...

complimenti per la tenacia

okay passiamo al dunque...

prima di tutto...

prova questo programma che forse ancora non hai provato..

About buster

ovviamente come ormai saprai è meglio da provvisoria...

se non risolve postami un bel log di HijackThis...


e non demordere..

[medessa]

Demordere?
Naaaah non so neanche che significhi
Ti ringrazio tantissimo, ho scaricato buster e l'ho passato al mio ragazzo ma poi sono stata impicciatissima con il lavoro perchè domani me ne vado in ferie...
appena rientro ti faccio sapere i risultati.

Ciao

[netquik]

mi trovi qui...

in groppa al riccio

[medessa]

Rieccomi alle prese con il parassita!
Buster non funziona sul suo PC, dice che non trova una caratteristica di Microsoft Office.
Nel frattempo gli ho fatto installare il plugin VX2 cleaner di AD-AWARE, rifatto lo scan e trovato tre robine che abbiamo messo in quarantena, e siccome la sua pagina iniziale si è trasformata in About:BLANK gli ho fatto rilanciare CWShredder... e poi di nuovo RestoreSearch2.REG...
Dalla modalità provvisoria gli ho fatto settare la homepage e poi è ripartito in modalità normale. All'avvio, la pagina era ok. Ha chiuso explorer, riaperto e senza che TeaTimer avvisasse di nulla, il parassitaccio si era ripiazzato lì!
A questo punto gli ho fatto lanciare Hijackthis e ti allego il risultato dello startup... dici che ci sono speranze?

Ciao

Allega File(s)

•  Medessa.log   3,79K   24 Numero di downloads

[netquik]

ciao medessa...

mm.. sembra un infezione abbastanza tosta...

proviamo una prima soluzione

riavvia possibilmente in provvisroria

svuota le cartelle temp di windows e i temporanei di IE...

ora lanciato hijackthis fixa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hdxum.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {F27AA0FB-72E2-CB51-A49E-7CFB9B319AD4} - C:\WINNT\system32\mskd.dll

O4 - HKLM\..\Run: [syssu.exe] C:\WINNT\system32\syssu.exe

inoltre ti consiglierei di disinstallare SpyKiller.. anche perchè è un'applicazione alquanto contradditoria...

poi sempre da provvisoria elimina il file

C:\WINNT\system32\hdxum.dll
C:\WINNT\system32\syssu.exe
C:\WINNT\system32\mskd.dll

concludi comq con una passata di ad-aware SE (il nuovo lo usi?) aggiornato


fammi sapere... nel caso col il nuovo log

[netquik]

per quanto riguarda About Buster


se l'errore è questo
http://www.malwareby...php?showtopic=6

prova a fare come dice l'autore stesso del software...

[medessa]

Guarda da non crederci!!!
Ho seguito le tue istruzioni e ho cancellato la robaccia che mi hai detto, tranne un dll che non risultava esistere, mskd...
Ma nulla da fare
Mi sono fatta rimandare il log che ti allego e questo è il risultato:
Spykiller, nonostante cancellato, pare esistere ancora... l'unica cosa che è sparita è quel syssu.exe... Poi come vedi ci sono nuovi dll mai sentiti caricati allo startup, tipo javaqz32.dll oppure ceyus.dll... ma se mi facessi fare un log di tutti i dll che ha sul pc?
Ah stavolta la novità è stata che nel ripartire con explorer, SpyBot ha lanciato l'avvertimento che si stava cambiando una pagina, gli ho fatto dire di no, ma pare non sia servito a nulla...

Che cosa facciamo adesso?
E poi, per curiosità mia, che cosa sono queste voci sotto 04?
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [d3jw32.exe] C:\WINNT\system32\d3jw32.exe

Grazie ancora...

Ah, l'errore di Buster non è quello

Allega File(s)

•  Medessa_2.log   3,82K   20 Numero di downloads

[medessa]

Ah, ho pensato potesse servire... gli ho fatto fare il log anche un istante dopo la ripulitura, ancora in modalità provvisoria, prima ancora di far resettare il PC.
Ti posto il risultato...

Ciao

Allega File(s)

•  Medessa_2_MOD_PROVV.log   2,75K   18 Numero di downloads

[netquik]

ciao Medessa

allora la situazione potrebbe essere più complicata

prima di tutto vorrei sapere

se queste due applicazioni le riconosci e le hai installate tu

O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s /r

O4 - Global Startup: FireWall-1 Authentication Agent.lnk = C:\Programmi\CheckPoint\FireWall-1 Authentication Agent\FWSession.exe


per spykiller è comune che non si levi dallo startup... dovremo farlo manulamente poi con hijackthis...

dovresti poi seguire alla lettera questa procedura feramndoti al log e postarlo qui

http://forum.tweakne...hp?showtopic=57

[medessa]

Il bello è che spykiller l'avevo fixato con Hijackthis!
Dunque, spyguard potrei averlo messo io, tra gli innumerevoli tentativi... lo faccio togliere, per sicurezza, tanto penso che valga la pena di tenere solo spyware e spybot...
L'altro invece no, suppongo sia il firewall del suo ufficio...
Appena lui ha un minuto, procedo con findfix e ti faccio sapere...

Grazie

[netquik]

inoltre scarica questa utility
http://download.broa.../DllCompare.exe

falla partire e fai Run Locate.com

completato fai in basso compare


una volta che avrà finito ... troverai la lista delle dll esistenti nel pannello di sopra...

quelle sospette nel pannello di sotto...


se vi sono delle dll nel pannello di sotto selezionale una per volta e col tasto destro fai RESCAN...

una volta fatto fai Make a log file e posta il risultato...

[netquik]

inoltre dato che penso che aboutbuster potrebbe tornare utile...

se ti ricordi che diceva l'errore vediamo di risolvere

[netquik]

http://www.malwareby...php?showtopic=5

[medessa]

Allora eccoti il responso
Fatto FINDnFIX e ha trovato 5 dll brutte (avevano i nomi di quelle pagine che mano a mano comparivano .
Lanciato COMPARE che si è trovato d'accordo, quindi le abbiamo selezionate una ad una e fatto RESCAN.
Però non si riesce a fargli fare il log, si pianta... per cui abbiamo rifatto FINDnFIX e lanciato il log da lui...
Te li posto, il prima (num. 3) e il dopo (num. 4).

Ti segnalo che Spybot continua ad avvertire che spguard o spykiller vogliono fare qualcosa, ma li abbiamo cercati in tutto il PC e non ci sono...
Comunque gli ho fatto installare REGCleaner e fare una pulizia automatica...

Riguardo Aboutbuster, ti faccio sapere...

Grazie

Allega File(s)

•  Medessa3.txt   10,88K   19 Numero di downloads