Vai al contenuto

  • Connettiti con Facebook Log In with Google      Connettiti   
  • Registrati

Foto
- - - - -

Spyware Duro A Morire...


  • Per cortesia connettiti per rispondere
45 risposte a questa discussione

#16 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 30 agosto 2004 - 05:28

Mi sono accorta che non so come mettere due allegati quindi... :)
Dunque per adesso ecco il log (praticamente mi sembra identico), domattina procedo a seguire le tue indicazioni su come FIXARE con FINDnFIX se non sei di avviso contrario...
Eliminerei le 5 dll incriminate e poi... Lourdes? :)
Per stasera mi devo fermare, il mio ragazzo non è tenace come me... dopo mezzora di disinfestazione si scoccia... :) probabilmente avrà di meglio da fare... :(

A domani

Allega File(s)



#17 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 30 agosto 2004 - 05:59

bene ... sì allora continua a seguira la procedura di FINDnFIX

con queste dll in mente

C:\WINNT\SYSTEM32\BYAMW.DLL
C:\WINNT\SYSTEM32\CSUFN.DLL
C:\WINNT\SYSTEM32\HBFZF.DLL
C:\WINNT\SYSTEM32\QXVAN.DLL
C:\WINNT\SYSTEM32\ROJHF.DLL


mi raccomando seguila alla lettera...

adesso non so come sia il tuo log...

ma se come credo ormai sei esperta... dopo aver finito la procedura di FIndnFix

fai la voca grossa:

elimina le solite voci da hijackthis
fai una passata con ad-awareSE e cwshredder aggiornati...

fammi sapere perchè attendo con ansia :P

#18 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 31 agosto 2004 - 11:49

Non ci potrai credere!!!
E' ANCORA LI'!!! :(
Ormai il mio ragazzo quando mi posta i log mi scrive "Arrenditi" o "Nun ce la poi fa'"... è una sfida all'ultimo parassita!!! :muro:
Allora ho fatto la ripulitura con FnF e quelle 5 bastarde sono sparite... pensa che dal log di FnF di ieri sera 3 di quelle si erano nascoste rinominandosi in CAPS-LOCK e il cerca di windows non le trovava!!! Ho dovuto rilanciare FnF perchè ero sicura si fossero nascoste e così le ho beccate...
Ora, confesso che ho commesso un errore stavolta, perchè avevo aperti i vari file sovrapposti e le tue istruzioni mi erano scrollate di un rigo... sigh così ho fatto tutto senza lanciare per primo il FIX.bat... ora, immagino che fosse fondamentale vero?...
Comunque riavviato il PC rifà la pagina about:blank ho rilanciato FnF e non ha trovato dll strane (se vuoi te lo posto, in effetti io ho guardato solo la parte DLL, il resto non ci ho capito molto...), ho lanciato Hijack e ti posto il log che mi sembra interessante, come vedi ne è spuntata una nuova... ora, credo che ci sia una specie di "generatore" di dll maligne che bisogna stanare... scusa l'ingenuità ma non sono molto esperta, sarà un exe?... :hmm:
Intanto mi sono fatta fare da RegCleaner un elenco di tutte le sue dll di sistema, pensavo che potrei confrontarlo con il mio PC di casa che ha WIN2K (in ufficio ho NT) che ne dici? O te lo posto, ma sono veramente tantissime...
Intanto aumenta la tentazione di fare -> format c: :rolleyes:
GRIN!!!

Allega File(s)



#19 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 31 agosto 2004 - 01:28

sì purtroppo siamo come priama..


se vuoi risolvere devi fare tutti i passaggi con calma e sì fix.bat era fondamentale......


quindi alla fine le hai tolte le dll?


se ti asscuri di aver eliminato quelle dll.. dopo riavvia subito in provvisoria e effettua un pulizia con hijackthis da lì (e altri programmi se credi)

assicurati di terminare prima l'eventuale processo C:\WINNT\system32\d3jw32.exe
dal task manager

per intenderci

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yumub.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yumub.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\yumub.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\yumub.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\yumub.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\yumub.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\yumub.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {B544B2AA-C123-B6E9-32D7-6D312403BFD6} - C:\WINNT\system32\atlyz32.dll

O4 - HKLM\..\Run: [d3jw32.exe] C:\WINNT\system32\d3jw32.exe

e
O16 - DPF: {CF016642-2BD6-11D4-9E7C-0050045275B9} (SintelClasses) - http://tpinweb/SintelPack.cab
(a meno che tu non sappia di cosa si tratta)

dovresti poi anche da provvisoria prima di riavviare

eliminare
C:\WINNT\system32\d3jw32.exe
C:\WINNT\system32\atlyz32.dll
C:\WINNT\yumub.dll

e svuotare le cartelle temp...



per aboutbuster che hai fatto?


fammi sapere

#20 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 31 agosto 2004 - 04:34

Oggi purtroppo un kasino di riunioni, si ricominciano i progetti...
domani procedo seguendo le tue istruzioni e ti faccio sapere...

Sto impazzendo :wacko:

#21 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 01 settembre 2004 - 03:52

Ho seguito alla lettera tutta la procedura e tutte le istruzioni del tuo ultimo messaggio...
LUI c'è ancora... :swear:
Però... però... qualche piccola vittoria l'ho riportata:
- sono entrata nel registro di sistema e ucciso le key che si riferivano a spykiller e spguard: ora non esce più nulla
- FnF non trova più nessuna DLL sospetta... e in effetti, se noti dal log che ti posto di quest'ultimo Hijack, pare si siano spostate in WINNT e non più in System32... forse questo frega FnF?...
Comunque dopo la pulizia totale con FnF, Hijack FIXando le key che mi avevi indicato, cancellando le due DLL e l'EXE che mi avevi indicato, passato ADAware (negativo) e SPYBOT (due entries fixate, coolwwwsearch e dsoexploit), ucciso un WINNT\NTEY32.exe che tentava di fare dei change beccato dal teatimer, siamo ancora daccapo.
Riavviato WIN e partito explorer, ancora about:blank ma stavolta mi sono fatta fare il capture dei messaggi del teatimer:
-Browser page Valore Added Search Page res://C:\WINNT\mbacd.dll/sp.html#37049
-Browser page Valore Added Search Bar res://C:\WINNT\mbacd.dll/sp.html#37049
-Browser page Valore Changed SearchAssistant
old data http://ie.search.msn.com/ecc ecc.
new data res://C:\WINNT\mbacd.dll/sp.html#37049
Nonostante gli abbia fatto fare "deny change", è rispuntato about blank... forse il tea timer non è molto efficace o sbaglio qualcosa?

Io adesso indago un attimo su quel coolwwwsearch che mi ricordo di aver letto qualcosa su internet nelle mie ricerche... ma sono convinta che dobbiamo spulciare quegli exe della lista...
Tra parentesi, sospetto di smss.exe (dal nome sembrerebbe una di quelle cose che ti appiccicano quando scarichi loghi o suonerie o roba simile) ma non sono riuscita a farglielo cancellare, era in uso e quando provavo a terminare il processo diceva che è un "processo di sistema critico".... ma è vero?

Fammi sapere presto!!!!!!!!!!!

Allega File(s)



#22 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 01 settembre 2004 - 03:56

Ah... questo è l'errore che ci ha dato oggi buster (da modalità provvisoria):

Run-time error '339':
Component 'mscomctl.ocx' or one of its dependencies not corretly registered: a file is missimg or invalid

#23 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 01 settembre 2004 - 04:04

smss è un file del sistema

http://www.liutiliti...sslibrary/smss/


allora

confermi quindi che find e fix non trova più nulla e neanche dllcomapre?


per aboutbuster

http://www.malwareby...php?showtopic=5
penso sarà risolutivo...


vediamo prima se aboutbuster ci da una mano...
sembra un nuovo tipo di spyware

#24 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 01 settembre 2004 - 04:08

inoltre assicurati magari dalle proprietà del file se

dpmw32.exe

è davvero relativo a novell netware e quindi non cattivo

#25 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 01 settembre 2004 - 04:15

inoltre vai qui
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

e vedi se ci sono diciture uguali a queste

"Network Security Service" o "Workstation NetLogon Service" o "Remote Procedure Call (RPC) Helper"

#26 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 01 settembre 2004 - 04:30

PANICO!
Da quando abbiamo cancellato tutte quelle dll maligne, tra l'altro ho pensato di puntare DLL compare su WINNT e ne ha trovate tre che ho cancellato, e da quando gli ho fatto selezionare in spybot la casella "remember this decision", il parassita sta sparando DLL nuove a raffica, combinazioni delle lettere della tastiera casuali e, ho verificato con il log che gli avevo fatto fare ieri, prima NON esistevano! Quindi gli ho detto di lasciarlo fare e segnarsi il nome di quella che gli permetteva di creare.

Gli ho fatto lanciare di nuovo il mini_removal_tool per CoolWebSearch ma non ha trovato nulla...

Ok mi segno le cose che mi hai detto e spero di poter procedere domani...

#27 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 06 settembre 2004 - 03:13

ciao medessa ....

per risolvere con about buster... devi


installare i runtime MSVB6 .. che trovi nei link sopra...


e poi se non va

usare questo


http://www.javacools...ngfilesetup.exe


a 99% risolve...

ed esegui DUE passate con About buster da modalità provvisoria

#28 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 06 settembre 2004 - 03:34

OTTIMO!
Vbrun gli ha cangurato, sempre errore di runtime, ma missingfile ha funzionato!
Finalmente è partito Buster, sta facendo la prima scansione, sta trovando un mucchio di file .dat e quelche (raro) .exe che sta ripulendo, mi pare di aver capito.
Stiamo in mod. provv, e appena finita la prima scansione gli ho detto di fare save log e poi una seconda e save log e di inviarmeli.
Mi chiama appena finito...

Ti faccio sapere :)

#29 netquik

netquik

    Tweakness Admin

  • Admin
  • 3.827 messaggi

Inviato 06 settembre 2004 - 03:39

okay... speriamo bene...


ora purtroppo mi devo allontanare...

cmq appena torno vedotutto :rolleyes:

#30 medessa

medessa

    Member

  • Members
  • StellettaStelletta
  • 22 messaggi

Inviato 06 settembre 2004 - 04:21

Ti posto il log...
il parassita c'è ancora...
adesso che facciamo?... :(
Sto pensando di fargli lanciare msconfig2k e analizzare uno per uno i programmi che ci trovo... ho trovato un sito molto interessante http://www.sysinfo.org/startuplist.php
che ti spiega uno per uno tutti i programmi della startup list...
Sinceramente non so che pesci prendere...

Allega File(s)






0 utente(i) stanno leggendo questa discussione

0 utenti, 0 ospiti, 0 utenti anonimi