problema con spyware...

[alessandrocarul]

Ciao a tutti, ho un problema con IE. In qualche sito mi hanno auto installo un qualcosa che ad ogni apertura IE di default mi apre una pagina strana...

dalle proprieta di IE anche se modifico me lo reimposta...

Con AD aWare ho gia eliminiato un po di files

a qua vi posto il risultato della scansione con HiJackThis...

please aiutatemi.....

Logfile of HijackThis v1.97.7
Scan saved at 19.42.17, on 02/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRoute rRuntime.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\downlo~1\2otb8i\6v9ggi.exe
C:\WINDOWS\System32\svchost.exe
E:\setup programmi\anti SPYWARE ECC\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2666BAC7-D84D-4009-B5FA-CAE6CCF7CD1D} - C:\WINDOWS\System32\pngjkh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Sk33.exe] c:\docume~1\admin\impost~1\temp\Sk33.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[Phantom]

Da quel log non vedo nulla di strano.

Scarica spybot da http://security.kolla.de/

installi, aggiorni e lanci la ricerca. Se non trova nulla di interessante vai in utilità e poi pagine del browser. Lì trovi subito il rompiscatole, lo killi e rimetti le impostazioni che preferisci

Bye

[amvinfe]

purtroppo questi sono tutti valori riconducibile alla variante CWS.Searchx del trojan CoolWebSearch

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pngjkh.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {2666BAC7-D84D-4009-B5FA-CAE6CCF7CD1D} - C:\WINDOWS\System32\pngjkh.dll

scaricati questo programma, mettilo in una cartella e lancia l'.exe. Riavvia e posta un nuovo Log di HJT.

[antares11]

chissà che l'ultima versione di Spybot S&D col suo 'TeaTimer' non sarebbe stata utile in questo caso?
intendo nel senso di prevenire le modifiche con opportuno avviso live all'utente online
dopotutto anche spybot ha la sua ricerca su coolwebsearch anche se in questo sito
http://www.spywareguide.com/product_show.php?id=599
non viene nemmeno menzionato a differenza di ad-aware

[alessandrocarul]

Grazie per le risposte, fortunatamente ieri sera (dopo 2 ore di sfaso) sono riuscito a risolvere... ho scansionato una volta co ad-ware e cancellato i valori anomali, poi con spybot a poi con CWShredder. Ho rimandato questo per un'altra volta e rifatto gli altri due. dopo ho riavviato, controllato e il pc era sano come un pesce :metallica

queto link parla del coolwebsearch e del programma per rimuoverlo... se può servire a qualcuno.....

http://home.datacomm.ch/winzozz/cwshredder.htm

ciao!!!!

[antares11]

Originariamente inviato da alessandrocarul
..........questo link parla del coolwebsearch e del programma per rimuoverlo... se può servire a qualcuno.....
http://home.datacomm.ch/winzozz/cwshredder.htm
ciao!!!!

speriamo che amvinfe ....abbia una buona giornata.....

[amvinfe]

Originariamente inviato da antares11
speriamo che amvinfe ....abbia una buona giornata.....

Non ho parole!!!

Non so se ridere poco o ridere tanto, penso alla fine opterò per la seconda delle soluzioni.

alessandrocarul evito di scrivere dove avresti potuto trovare CWShredder, prima che per le risate non finisca per terra...


X Antares 11

in effetti il TeaTimer svolge ne' più ne' meno quella funzione, io personalmente quando lo usavo notavo un po' di rallentamenti nel sistema.
Bisogna fare un po' d'attenzione, se attivato, quando si installano programmi, ti assicuro che è un po' una rottura di scatole, ogni due secondi si apre una sua finestra

[alessandrocarul]

Originariamente inviato da amvinfe
Non ho parole!!!

Non so se ridere poco o ridere tanto, penso alla fine opterò per la seconda delle soluzioni.

alessandrocarul evito di scrivere dove avresti potuto trovare CWShredder, prima che per le risate non finisca per terra...

Spero che cadendo no ti faccia male....

Illuminami.

Tra l'altro ora, facendo una scansione con CWShredder mi ha di nuovo trovato CWS.Searchx, e col HijackThis mi ha dato un log molto simile al primo postato.... ora ho provato a ripulire.

che mi consigliate?

[amvinfe]

CWS.Searchx oltre ad aggiungere i valori che ti avevo precedentemente postato (N.B. il nome della .dll può cambiare sia dopo un riavvio del pc sia dopo il tentativo di rimozione), aggiunge con attributo nascosto una .dll, anche qui il nome è variabile.
Il programma che ti avevo consigliato, sembra risolvere tale inconveniente.
Quindi:

scaricati questo programma (che è lo stesso che ti avevo consigliato), mettilo in una cartella e lancialo.
Riavvia , lancia CWShredder (la versione nuova, la 1.58.0, la trovi QUI hai capito perchè non sapevo se ridere poco o tanto ) riavvia e fai un nuovo Scan con HijackThis e posta il Log.
N.B.
HijackThis dev'essere all'interno di una cartella, questo per permettere al programma stesso di creare il backup di ciò che elimini.

Dimenticavo, fai un aggiornamento con il WindowsUpdate visto che non hai fra le altre cose il SP1 di IE e di XP

[alessandrocarul]

Ti chiedo xdono... non avevo proprio pensato di endar li a vedere.


Tra l'altro sta mattina sto CWS.Searchx c'era di nuovo....

Ora ho fatto come mi hai detto, quindi usato SpHjfix.exe, seguito il suo riavvio (tra l'altro 2 alert di windovs han detto che il sistema era sato ripristinato dopo un grave errore... ). Poi CWShredder, riavvio ed ora HykackThis...ecco il log:


Logfile of HijackThis v1.97.7
Scan saved at 9.45.48, on 04/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRoute rRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\downlo~1\2otb8i\6v9ggi.exe
C:\WINDOWS\System32\svchost.exe
E:\setup programmi\anti SPYWARE ECC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Sk33.exe] c:\docume~1\admin\impost~1\temp\Sk33.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab



Grazie ancora x l'aiuto.

Ora vado a scaricare gli aggiornamenti :-)