10 replies to this topic

[ioio10]

Questa volta vi scrivo non per un problema nel mio pc, ma per un adware che è comparso nel pc di una mia amica....

Molto spesso le appaiono finestre pop-up e banner pubblicitari sia in IE che Firefox, le esce la scritta "Ad Served by Dymanet".
Ha provato a fare scansioni con:
- AVG 8.5
- Panda Online Scan
- Spybot Search & Destroy
- Malware Bytes
- CCleaner
- Hijackthis
- SuperAnti Spyware
- ATF Cleaner
Ha provato anche a cercare nel registro di sistema se ci fosse stata qualche chiave con "dymanet" ma niente.

Allego il suo log di Hijack

[Pike]

Ciao ioio10, butta un occhio a questa guida a per Combofix scritta da Angelique.
Scarica, esegui, posta il log, per piacere.

[ioio10]

Ecco qui il log

[angelique]

Ciao ioio10,
combofix ha eliminato qualcosa, ma il problema credo sia ancora presente

Con tutte le applicazioni chiuse e disconnesso da internet
Tasto destro su Hijackthis esegui come amministratore
Clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: dTPodcastBHO - {65134FDF-F8A5-4B3D-91D9-CDF273CFD578} - C:\Program Files\Common Files\doubleTwist\IEPodcastPlugin.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)


Scarica the Avenger
http://swandog46.gee...com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, tasto destro > esegui come amministratore
Inserisci questo script nel box bianco

Files to delete:
c:\windows\system32\_r_a_p_.tmp
c:\windows\SA0594035.tmp

Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

Alla fine delle procedura esegui questi due tool

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC > tasto destro, esegui come amministratore
clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Scarica OTC by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTC.exe
tasto destro, esegui come amministratore
clicca su "CleanUP" > "Yes" > "Yes"
riavvia.

NoAds non è cosi efficace come software blocca-popup, prova ad installare Adblock Plus su Firefox

[ioio10]

Ecco il log che mi ha mandato la mia amica... immagino abbia fatto tutto, non saprei, però dice che c'è ancora

[angelique]

Ciao ioio10,
chiedi alla tua amica se il problema è ancora presente, immagino di no se ha fixato quelle voci con Hijackthis.

[ioio10]

Si si dice che c'è ancora XD ... ma ormai credo che il possibile sia stato fatto.... mah.... grazie ancora

[angelique]

Buongiorno ioio10,
proviamo altre soluzioni

scarica Toolbar S&D
http://eric.71.mespa...m/ToolBarSD.exe
avvia il programma, seleziona la lingua E
Scegli l'opzione 1 (Ricerca)
Attendere....(desktop e icone potrebbero sparire)
Alla fine verrà generato un log con i dettagli (C:\TB.txt)

Scarica SpyBHORemover
http://majorgeeks.co...html?2010-04-29
decomprimi la cartella, avvia il programma
riporta ciò che vedi nella schermata, magari esegui uno screenshot

Scarica OTS.exe by OldTimer sul desktop
http://oldtimer.geekstogo.com/OTS.exe
chiudi tutti i programmi
avvia OTS, seleziona "scan all users"
clicca su "Run Scan"
salva il report ed allegalo nella tua risposta

[ioio10]

Ha fatto tutto, credo... ecco qui quello che mi ha passato



Uploaded with ImageShack.us

Post modificato da ioio10 il 06 May 2010 - 23:40 PM

[angelique]

Ciao ioio10,
i log che hai allegato sono puliti, non c'è traccia di questa infezione

SpyBHORemover segnala solo BHO legittimi, se ci fosse l'infezione dovrebbe segnalare qualcosa di simile a questo
O2 - BHO: dymanet - {96aa6d28-6964-7c44-4c38-a787e403a131} - C:\WINDOWS\system32\cad71a31-a0b6-d669-2a5d-6956be9ef2ed.dll

Apri Internet Explorer > Strumenti > Gestione componenti aggiuntivi
Assicurati che non vi è alcuna estensione Dymanet.
Fai lo stesso controllo con Firefox

Mi spiace farti eseguire tante scansioni, ma non riesco a capire dove si nasconda questo dirottatore

Il problema si presenta anche con Firefox in safe mode?
Start > programmi > mozilla firefox > mozilla firefox (modalità provvisoria)

Prova a creare un nuovo profilo con Firefox

Vediamo se questo tool ci dice qualcosa di diverso
Scarica ElistarA
tasto destro > esegui come amministratore
clicca su "si" alle richieste di pulizia
nella schermata principale clicca su "explorar"
allega il risultato. (il log con le informazioni di ciò che è stato effettuato lo trovate in C:\InfoSat.txt)

Aggiorna la versione di AVG

[ioio10]

Allora, con un po' di ritardo ti devo ringraziare tantissimo da parte della mia amica perchè dice che da quando ha installato quel programmino è tornato tutto a posto, dopo tanti tentativi finalmente se n'è andato