Malaware da eliminare.

**acquila** · 05-11-2004, 21:55

devo aver infettato qualche malware. Utilizzo sia Spybot che Ad-aware SE. Mi hanno tolto quasi tutto ma c'è ancora una cosa che non riesco a togliere. Quando utilizzo IE 6 c'è una barra di ricerca con varie sezioni (html, forum, email, ecc) che mi compare e prima che la disattivassi con Spybot me ne appariva un altra sotto.
quella che ancora non sono riuscito a togliere rimanda a
http://srch.lop.com/search/linkdamemodificato dove l'ultima parola è stata aggiunta da me per non fare pubblicità.
Sapete dirmi qualcosa di più?

**amvinfe** · 06-11-2004, 00:18

prova con questo tool, al termine riavvia

http://members.rogers.com/rjmac/toolbar_uninstall.exe

**acquila** · 06-11-2004, 18:10

Ho scaricato il file ma non ho ben capito come utilizzarlo ... sapresti dirmi tu come? Forse dovrei fare qualche cosa con il tasto sin o destro del mouse...
Comunque Spybot non mi trova niente ma Ad aware SE si ogni volta c'è un applicazione riconosciuta come malware la elimino ma alla successiva scansione ne ritrova un altra, evidentemente ce n'è una che ne genera sempre un altra. Il problema è che, come detto sopra, c'è una barra di ricerca in alto su IE 6 che riporta al sito detto prima.
Ti riporto il file log della scansione .... solo i file che mi sembrano sospetti; sapresti dirmi quali sono i veramente sospetti ? Grazie.

Win32.TrojanDownloader.Swizzor.br Object Recognized!
Type : Process
Data : hwbvuoqj.exe
Category : Malware
Comment : (CSI MATCH)
Object : c:\docume~1\admin1\impost~1\temp\

Located: HK_LM:Run, NvCplDaemon
command: RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
file: C:\WINDOWS\system32\RUNDLL32.EXE
size: 33280
MD5: f88cdb0ccc416b3778736be74cdebb94

Located: HK_LM:Run, nwiz
command: nwiz.exe /install
file: C:\WINDOWS\system32\nwiz.exe
size: 741376
MD5: a4ae9ba1e10cb9f6c0949c4db91a1f72

Located: HK_LM:Run, TkBellExe (DISABLED)
command: "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
file: C:\Programmi\File comuni\Real\Update_OB\realsched.exe
size: 180269
MD5: 3cf6bff887af6f733473d81a8921a5c5

Located: HK_LM:Run, web gpl play bike (DISABLED)
command: C:\Documents and Settings\All Users\Dati applicazioni\Link Enc Web Gpl\HEARTCITY.exe
file: C:\Documents and Settings\All Users\Dati applicazioni\Link Enc Web Gpl\HEARTCITY.exe
size: 302902
MD5: a5fd0bd2aa9a299e29f242a460a3ea30

Located: HK_CU:Run, CTFMON.EXE
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 5b33b4265966ee063c7fbea28958d9c2

Located: HK_CU:Run, MSMSGS
command: "C:\Programmi\Messenger\msmsgs.exe" /background
file: C:\Programmi\Messenger\msmsgs.exe
size: 1667584
MD5: 53054740672e37bccc01b8fd8750d05c

Located: HK_CU:Run, Size 64
command: C:\DOCUME~1\Admin1\DATIAP~1\STOPMU~1\BinDateFace.e xe
file: C:\DOCUME~1\Admin1\DATIAP~1\STOPMU~1\BinDateFace.e xe
size: 244151
MD5: eb6786fbfacecf33e3bf51964022f2fe

Located: HK_CU:Run, MSMSGS (DISABLED)
command: "C:\Programmi\Messenger\msmsgs.exe" /background
file: C:\Programmi\Messenger\msmsgs.exe
size: 1667584
MD5: 53054740672e37bccc01b8fd8750d05c

Located: HK_CU:Run, Size 64 (DISABLED)
command: C:\DOCUME~1\Admin1\DATIAP~1\STOPMU~1\BinDateFace.e xe
file: C:\DOCUME~1\Admin1\DATIAP~1\STOPMU~1\BinDateFace.e xe
size: 244151
MD5: eb6786fbfacecf33e3bf51964022f2fe

**amvinfe** · 06-11-2004, 18:40

hai installato per caso Messenger Plus?
Nel caso, disinstallalo e rimuovi anche la cartella in C:\Programmi
Riavvia in mod. provvisoria fai una nuova scansione con AdAware da questa modalità ed elimina i valori infetti, questo
Win32.TrojanDownloader.Swizzor.br
è uno di quelli che devi eliminare, sicuramente ne troverai altri che fanno riferimento a lop.com o C2.lop, vanno tutti eliminati.
Purtroppo Messenger Plus si appoggia a questo software/spyware, se lo vuoi utilizzare al momento della nuova installazione di Mess. Plus dovrebbe esserci la possibilità di rifiutare tale software/spyware.

Posta un log di HijackThis, trovi tutto in Rilievo -links utili-

**acquila** · 08-11-2004, 11:45

Scusa ma dovresti dirmi come raggiungo la modalità provvisoria (non lo ricordo più) e da li come faccio a far partire Ad-adware SE.
Ho inoltre fatto una ricerca sul Registro di lop.com e me lo ha trovato su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\P3P\History\
posso cancellarlo da la? Posso cancellare tutti i siti sospetti che vedo lì?

**amvinfe** · 08-11-2004, 11:55

http://service1.symantec.com/SUPPORT...20906143424924

assicurati che AdAware sia aggiornato, clicchi su "Avvia" e poi su "Avanti", i valori C2lop ti verranno segnalati a fine scansione, tu dovrai poi eliminarli, sempre dalla provvisoria.

**acquila** · 08-11-2004, 15:19

Niente. Fatta la scansione da modalità provvisoria di tre programmi aggiornati (Norton Antivirus, Spybot e AD-aware SE ) non ho risolto il problema. Ad-aware SE mi ha trovato solo cookie da eliminare.
La doppia barra di ricerca su IE persiste. Sapete darmi qualche altra indicazione?

Discussione: Malaware da eliminare.

Strumenti discussione

Ricerca discussione

Visualizza

Malaware da eliminare.

Permessi di invio