Vai al contenuto

  • Connettiti con Facebook Log In with Google      Connettiti   
  • Registrati

Foto
- - - - -

Spyware Duro A Morire...


  • Per cortesia connettiti per rispondere
45 risposte a questa discussione

#1 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 16 agosto 2004 - 07:03

Ciao ho proprio bisogno di aiuto (altrimenti mi rimane portare il PC a Lourdes :)
perchŔ c'Ŕ uno spyware che non riesco ad eliminare in nessun modo dal pc del mio ragazzo che cambia la pagina iniziale di windows ogni volta che si riavvia il browser.
La cambio da strumenti->opzioni ma come chiudo explorer e lo riapro, rieccola lý:
res://qxvan.dll/index.html#37049
Premetto che non sono un'esperta, ma ho letto tutto quello che ho potuto sull'argomento da quando si Ŕ manifestato 'sto coso!!!
Il mio sistema operativo Ŕ windows 2000.
Ho letto un articolo fantastico che dava innumerevoli consigli seguendoti passo passo e cosý ho:
- da modalitÓ provvisoria cancellato tutti i cookies, file temporanei anche non in linea, cronologia, moduli e password e tutti gli oggetti activeX
- cancellato tutti i files .tmp, .temp, .hta, .htm e .js
- controllato da installazione applicazioni che non ci fosse nulla che non avevo installato io
- fatto controllo on-line qui: http://www.resource-....com/NoSpyWare/
- installato in modalitÓ provvisoria con supporto di rete AdAware, aggiornato on line e eseguito scan del sistema: ha pulito una marea di parassiti, ma non ILLO.
- installato in modalitÓ provvisoria spybot, aggiornato on line e eseguito scan del sistem: idem come sopra.
- installato e utilizzato anche Hijackthis, stesso risultato di cui sopra
- eliminavo le key dove appariva qxvan.dll, ovvero:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qxvan.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qxvan.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\qxvan.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qxvan.dll/index.html#37049
rilanciavo Hijackthis e dava pulito, rilanciavo il browser e ricompariva la pagina malefica, rilanciavo Hijackthis e le key erano di nuovo lý.
- a quel punto mi sono decisa a mettere le mani nel registro di sistema, ho fatto un "trova qxvan" e ogni riferimento che trovavo lo cancellavo (mi pare fossero due o tre)... niente da fare, tutto come prima :(
Tra i vari tentativi ho provato anche StartPageGuard, Startup Inspector, Stinger, CWShredder, AntySpy...
Unico cambiamento: ora non si chiama pi¨ qxvan ma res://csfun.dll/index.html#43039...
Ti ringrazio per l'aiuto che mi potrai dare :)

#2 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 16 agosto 2004 - 10:03

ciao ...

complimenti per la tenacia ;)

okay passiamo al dunque...

prima di tutto...

prova questo programma che forse ancora non hai provato..

About buster

ovviamente come ormai saprai Ŕ meglio da provvisoria...

se non risolve postami un bel log di HijackThis...


e non demordere.. :ph34r:

#3 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 17 agosto 2004 - 07:06

Demordere?
Naaaah :) non so neanche che significhi :)
Ti ringrazio tantissimo, ho scaricato buster e l'ho passato al mio ragazzo ma poi sono stata impicciatissima con il lavoro perchŔ domani me ne vado in ferie...
appena rientro ti faccio sapere i risultati.

Ciao :)

#4 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 17 agosto 2004 - 07:21

mi trovi qui...

in groppa al riccio :oink:

#5 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 25 agosto 2004 - 02:35

Rieccomi alle prese con il parassita!
Buster non funziona sul suo PC, dice che non trova una caratteristica di Microsoft Office.
Nel frattempo gli ho fatto installare il plugin VX2 cleaner di AD-AWARE, rifatto lo scan e trovato tre robine che abbiamo messo in quarantena, e siccome la sua pagina iniziale si Ŕ trasformata in About:BLANK gli ho fatto rilanciare CWShredder... e poi di nuovo RestoreSearch2.REG...
Dalla modalitÓ provvisoria gli ho fatto settare la homepage e poi Ŕ ripartito in modalitÓ normale. All'avvio, la pagina era ok. Ha chiuso explorer, riaperto e senza che TeaTimer avvisasse di nulla, il parassitaccio si era ripiazzato lý!
A questo punto gli ho fatto lanciare Hijackthis e ti allego il risultato dello startup... dici che ci sono speranze? :)

Ciao

Allega File(s)



#6 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 25 agosto 2004 - 03:27

ciao medessa...

mm.. sembra un infezione abbastanza tosta...

proviamo una prima soluzione

riavvia possibilmente in provvisroria

svuota le cartelle temp di windows e i temporanei di IE...

ora lanciato hijackthis fixa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hdxum.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\hdxum.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {F27AA0FB-72E2-CB51-A49E-7CFB9B319AD4} - C:\WINNT\system32\mskd.dll

O4 - HKLM\..\Run: [syssu.exe] C:\WINNT\system32\syssu.exe

inoltre ti consiglierei di disinstallare SpyKiller.. anche perchŔ Ŕ un'applicazione alquanto contradditoria...

poi sempre da provvisoria elimina il file

C:\WINNT\system32\hdxum.dll
C:\WINNT\system32\syssu.exe
C:\WINNT\system32\mskd.dll

concludi comq con una passata di ad-aware SE (il nuovo lo usi?) aggiornato


fammi sapere... nel caso col il nuovo log

#7 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 25 agosto 2004 - 03:30

per quanto riguarda About Buster


se l'errore Ŕ questo
http://www.malwareby...php?showtopic=6

prova a fare come dice l'autore stesso del software... ;)

#8 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 27 agosto 2004 - 02:46

Guarda da non crederci!!!
Ho seguito le tue istruzioni e ho cancellato la robaccia che mi hai detto, tranne un dll che non risultava esistere, mskd...
Ma nulla da fare :(
Mi sono fatta rimandare il log che ti allego e questo Ŕ il risultato:
Spykiller, nonostante cancellato, pare esistere ancora... l'unica cosa che Ŕ sparita Ŕ quel syssu.exe... Poi come vedi ci sono nuovi dll mai sentiti caricati allo startup, tipo javaqz32.dll oppure ceyus.dll... ma se mi facessi fare un log di tutti i dll che ha sul pc?
Ah stavolta la novitÓ Ŕ stata che nel ripartire con explorer, SpyBot ha lanciato l'avvertimento che si stava cambiando una pagina, gli ho fatto dire di no, ma pare non sia servito a nulla...

Che cosa facciamo adesso? :)
E poi, per curiositÓ mia, che cosa sono queste voci sotto 04?
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [d3jw32.exe] C:\WINNT\system32\d3jw32.exe

Grazie ancora...

Ah, l'errore di Buster non Ŕ quello :(

Allega File(s)



#9 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 27 agosto 2004 - 02:50

Ah, ho pensato potesse servire... gli ho fatto fare il log anche un istante dopo la ripulitura, ancora in modalitÓ provvisoria, prima ancora di far resettare il PC.
Ti posto il risultato...

Ciao

Allega File(s)



#10 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 27 agosto 2004 - 03:25

ciao Medessa

allora la situazione potrebbe essere pi¨ complicata

prima di tutto vorrei sapere

se queste due applicazioni le riconosci e le hai installate tu

O4 - HKLM\..\Run: [zSPGuard] c:\programmi\pjw\spguard\spguard.exe /s /r

O4 - Global Startup: FireWall-1 Authentication Agent.lnk = C:\Programmi\CheckPoint\FireWall-1 Authentication Agent\FWSession.exe


per spykiller Ŕ comune che non si levi dallo startup... dovremo farlo manulamente poi con hijackthis...

dovresti poi seguire alla lettera questa procedura feramndoti al log e postarlo qui

http://forum.tweakne...hp?showtopic=57

#11 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 27 agosto 2004 - 03:31

Il bello Ŕ che spykiller l'avevo fixato con Hijackthis!
Dunque, spyguard potrei averlo messo io, tra gli innumerevoli tentativi... lo faccio togliere, per sicurezza, tanto penso che valga la pena di tenere solo spyware e spybot...
L'altro invece no, suppongo sia il firewall del suo ufficio...
Appena lui ha un minuto, procedo con findfix e ti faccio sapere...

Grazie :)

#12 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 27 agosto 2004 - 03:38

inoltre scarica questa utility
http://download.broa.../DllCompare.exe

falla partire e fai Run Locate.com

completato fai in basso compare


una volta che avrÓ finito ... troverai la lista delle dll esistenti nel pannello di sopra...

quelle sospette nel pannello di sotto...


se vi sono delle dll nel pannello di sotto selezionale una per volta e col tasto destro fai RESCAN...

una volta fatto fai Make a log file e posta il risultato...

#13 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 27 agosto 2004 - 03:46

inoltre dato che penso che aboutbuster potrebbe tornare utile...

se ti ricordi che diceva l'errore vediamo di risolvere

#14 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 27 agosto 2004 - 03:57

http://www.malwareby...php?showtopic=5

#15 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 30 agosto 2004 - 05:12

Allora eccoti il responso :)
Fatto FINDnFIX e ha trovato 5 dll brutte (avevano i nomi di quelle pagine che mano a mano comparivano :).
Lanciato COMPARE che si Ŕ trovato d'accordo, quindi le abbiamo selezionate una ad una e fatto RESCAN.
Per˛ non si riesce a fargli fare il log, si pianta... per cui abbiamo rifatto FINDnFIX e lanciato il log da lui...
Te li posto, il prima (num. 3) e il dopo (num. 4).

Ti segnalo che Spybot continua ad avvertire che spguard o spykiller vogliono fare qualcosa, ma li abbiamo cercati in tutto il PC e non ci sono...
Comunque gli ho fatto installare REGCleaner e fare una pulizia automatica...

Riguardo Aboutbuster, ti faccio sapere...

Grazie :)

Allega File(s)






0 utente(i) stanno leggendo questa discussione

0 utenti, 0 ospiti, 0 utenti anonimi