cws che non vuole andare via

[*rabby*]

Buongiorno a tutti ragazzi!

Come da titolo mi sono beccato una variante piuttosto ostica di Cool web search
Ho già provato ad usare cws shredder ed anche hijackthis ma niente... torna puntualmente
questo è il log che mi da hijackthis


Logfile of HijackThis v1.98.2
Scan saved at 11.23.00, on 11/10/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS1982.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [OSS] c:\windows\system\ossproxy.exe -boot
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\AVTC\ClShield.exe"
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\SYSTEM\MOSEARCH\BIN\MOSEARCH. EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Panda AdminSecure Scheduler] C:\PROGRAMMI\PANDA SOFTWARE\PANDA ADMINISTRATOR 3\SCHEDULER\PAVSCHED.EXE
O4 - HKLM\..\RunServices: [Panda Network Agent Service] "C:\PROGRAMMI\PANDA SOFTWARE\PANDA ADMINISTRATOR 3\PAV_AGENT\PAGENT.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Pagine simili - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.31.190.31,194.243.154.62


A parte le chiavi con questo malefico indirizzo http://213.159.117.134/index.php
che altro devo togliereeeeeeee????

grazie in anticipo
ciao

[amvinfe]

dalla provvisoria elimina

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [OSS] c:\windows\system\ossproxy.exe -boot
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\SYSTEM\MOSEARCH\BIN\MOSEARCH. EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'osmim.dll' missing
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net


sempre dalla provvisoria elimina

c:\windows\system\ossproxy.exe <==il file
C:\WINDOWS\SYSTEM\systime.exe <== il file
C:\Programmi\NewDotNet \newdotnet6_38.dll <== la cartella


Scarica AdAware ed aggiorna le definizioni.
Riavvia in mod. provvisoria fai una scansione ed elimina i valori infetti.

Riavvia posta un nuovo log di HJT

[*rabby*]

grazieeeeeeee


ho seguito la procedura che mi hai indicato ed il maledetto cws è andato viaaa!!


grazie mille

[*rabby*]

Ho cantato vittoria troppo presto...o meglio mi sa che la cura è stata peggiore del male (a causa mia ovviamente)

adesso se lancio explorer6 o outlook6 mi appare questa simpatica finestra

MICROSOFT C++ RUNTIME LIBRARY

RUNTIME ERROR

C:\PROGAMMI\INTERNET EXPLORER\IEXPLORE.EXE (MSIMN.EXE SE LANCIO OUTLOOK)

THIS APPLICATION HAS REQUESTED THE RUNTIME TO TERMINATE IT IN AN UNUSUAL WAY.
PLEASE CONTACT THE APPLICATION SUPPORT TEAM FOR MORE INFO


Ho provato a reistallare office(xp) internet explorer e outlook ma rimane l'errore

cosa ho cancellato (peraltro segnalato da ad aware) che non dovevo???
e soprattutto esiste un rimedio diverso dalla formattazione??

Grazie

[amvinfe]

non posso sapere cosa hai eliminato con AdAware, prova comunque a fare così:
apri AdAware, dalla finestra principale clicca su
"Apri la lista quarantena"
clicca (una volta) di sx sui valori, devono diventare azzurri.
clicca poi (in basso a sx) su "Ripristina". Così facendo riporti i valori nella loro posizione originale.
Riavvia la macchina e vedi se così hai risolto.

[*rabby*]

ehmmm come dire...il file della quarantena l'ho buttato...



Quello che non ho capito è se ho danneggiato la libreria microsoft c++ oppure delle chiavi ri registro di internet explorer e outlook che richiamano delle dll...


tu che ne dici?

[amvinfe]

Originariamente inviato da *rabby*
ehmmm come dire...il file della quarantena l'ho buttato...

ottimo
la scansione e la rimozione con AdAware dei files infetti, l'hai fatta dalla mod. provvisoria?
Riavvia in modalità provvisoria fai una scansione con AdAware rimuovi tutto ciò che d'infetto ti ha trovato, ma non eliminarlo anche dalla quarantena
riavvia in mod. normale posta un log nuov di HijackThis

[Delmak_O]

ci sono spyware (chiamati 'layered service provider') che si insinuano nelle impostazioni TCP/IP in modo che alla loro esclusione queste non si ritrovino più...prendi una catena, aggiungigli un anello (>spyware), poi togli l'anello e la catena rimane rotta, non è più utilizzabile...occorre allora reimpostare/resettare lo stack TCP/IP in modo da 'aggiustare' la catena, ricongiungere i due pezzi e ridare funzionamento al tutto...prova a scaricare da qui il seguente programma:
http://digital-solutions.co.uk/lavasoft/whndnfix.zip

tenendo conto che al cliccare del link inizia in automatico il download del file - ti ho linkato il riferimento per Windows 98 - se vuoi andare prima in un bel sito di riferimento per il problema che ti ho accennato, vai qui:
http://www.cexx.org/lspfix.htm
e guarda le diverse opzioni presentate per i diversi sistemi operativi, forse - ma non ne sono sicuro - lspfix.zip va bene anche per Win98

[amvinfe]

Ottimo Delmak_O
infatti spyware come NewNet o peggio Gator, se rimossi dalla modalità normale, il primo danno che fanno è proprio quello di modificare i settaggi TCP/IP.
Grazie per il link

[antares11]

spiegazioni utili e chiare

quando avrò palle interverrò prezzo lo zio proponendogli di usare nella 'sua lingua' il termine di 'temporary mode' invece di quello attuale 'safe mode'
e per gli italioti di cambiare da 'modalità provvisoria' a 'modalità sicura (o protetta)'