Adware O Rootkit Mannaggia Express File

[francesco59]

Non so come fare, ho norton Malwarebites pro eppure mi becco questi spywere. Eppure non vado ne su siti porno , forse mi fregano quelli delle partite di calcio. Allego il file di hijackt. Conosco la procedura ma non mi azzardo a fare la stringa per combofix.

grazie infinite.

p.s.

nelle vostre procedure dite di togliere adobe flasch player e java. Ho provato la sostituzione con credo si chiama sumatra, ma non sostiuitisce flasg player ed ho avuto svariati problemi poi per rimontarlo.

hijackthis.log

[pike]

Sumatra PDF Viewer sostituisce Adobe Reader.

FlashPlayer va aggiornato sul sito

http://get.adobe.com/it/flashplayer

[francesco59]

devo aggiungere che il file log di malwarebytes è pulito e che ho fatto anche una scansione in provvisoria con virit che mi aveva trovato e debellato due infezioni...

[francesco59]

per avvantaggiarmi ho eseguito combofix senza immettere query ed ho notato di avere delle infezioni. Naturalmente avevo fatto tutte le pulizie prima.

combo fix.txt

[francesco59]

allego anche 2 file di hijackt

[pike]

'ndo stanno?

[francesco59]

non riesco ad allegare il file....

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 13:54:33, on 16/05/2012

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v9.00 (9.00.8112.16421)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe

C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: BHOHOOK - {030AC7B6-E7EC-40F1-8FB2-C0FD344DE0B9} - C:\Program Files\TOSHIBA\TFPU\x86\TFPUPWDBankBHO.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton AntiVirus\Engine\19.7.0.9\IPS\IPSBHO.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe (User 'Default user')

O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~4\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O15 - Trusted IP range: http://192.168.1.1

O15 - ESC Trusted IP range: http://192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9ED131-0A2A-4418-BCB2-396881AF0308}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CBA3B7-5698-471A-9234-EE7625E17F47}: NameServer = 8.8.8.8,8.8.4.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ashampoo Core Tuner 2 Service (ACT2_Service) - Unknown owner - C:\Program Files (x86)\Ashampoo\Ashampoo Core Tuner 2\ACT2Service.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Program Files (x86)\Norton AntiVirus\Engine\19.7.0.9\ccSvcHst.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 7658 bytes

[pike]

Non riesci ad allegare un file TXT??? Di 7800Byte?

Non è che cerchi di allegare un file aperto?

[francesco59]

no il file è chiuso e non ci riesco. altre volte mi dava lo stesso errore....

credo che allo stato attuale ora poco cambia visto che il log è leggebile anche se non so se voi avete degli strumenti particolari per rilevare inautomatico se qualcosa non va sul file

[pike]

Vedo che usi diversi server DNS.

Come mai scegli di non usare quelli del tuo provider?

[francesco59]

Non mi scappare ti prego ho riscaricato di nuovo hijak,ed ha funzionato.

Ecco il log.

Per i DNS pare di usare quelli di google ma se vuoi li cambio e metto quelli di telecom.

(Fusione dei post operata da Pike)

hijackthis.log

[pike]

Per prima cosa, puoi quasi sempre modificare il tuo ultimo post, non vi è motivo di "moltiplicarli" per aggiungere giusto una riga.

E' odioso in IRC, è fastidioso negli istant Manager, è inutile nelle board.

Prenditi il tuo tempo e scrivi con calma

Io ho verificato il log di HJT, e mi sembra pulito. Non ho segnalazioni, da parte tua, di altri comportamenti malevoli.

Non hai nemmeno postato un log di MBAM...

Per quanto riguarda i DNS, tu hai 5 schede di rete (non ho cercato i GUID, non ne avevo voglia oggi); di queste, 4 puntano ai DNS di RapiDNS, una a Google.

O17 - HKLM\System\CCS\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD9ED131-0A2A-4418-BCB2-396881AF0308}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8CBA3B7-5698-471A-9234-EE7625E17F47}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{3EE7EDA2-0020-4E42-9532-8443732301B7}: NameServer = 176.31.229.24,176.31.229.25

ovvero quella al centro.

E' giusto? E' sbagliato?

Io non uso per principio i DNS di google o quelli di altri fornitori terzi, se mi serve un DNS custom provo di farmelo in casa.

Forse possono infastidirti i DNS "facilitanti" fatti da telecom, usa al loro posto quelli di Interbusiness.

In linea di massima, per quanto Google ed altri provider DNS siano veloci o più protettivi, sono di solito più lontani da te, anche se sono più veloci nonostante il "balzo".

Mentre un DNS vicino di solito è più coerente. E vincolato... ovvero non ti fa andare su siti di giochi all'estero (ammesso e non concesso che ti interessi) o su altri siti "vietati" per legge italian.

Concludendo:

aggiorna MBAM, esegui una scansione completa, posta il log di quest'ultima.

segnala nel post se hai comportmenti "particolari" ed indesiderati.

Nel caso tu non li abbia, non toccare nulla. Se invece li hai, prova a rimettere i DNS di TelecomItalia.

[francesco59]

Chiedo scusa per i vari thread ma il file di Hijack non mi si caricava.

Problema dns ho provato a cancellarli ipoconfig /...... al momento non ho potuto ravviare e dal nuovo hijack risultano ancora quelli di telecom....... Al momento uso i dinamici.

Problema pc.

Sicuramente qualcosa non va, perfino norton si imballa e non riesce a fare gli aggiornamenti in automatico. Altre finestre si aprono a mia richiesta compreso firefox e mi dicono per 5 secondi il programma non risponde, qualcosa che imballa sto pc c'è.

Forse responsabili di ciò possono essere 2 programmi Handbrake per codificare i filmini per Iphone (al termine della codifica di un film ma solo a lavoro finito mi spenge il pc, ho letto che dava qualche problema di stabilità,) oppure media Human di you tube.

No non vado su siti di giochi d'azzardo, tuttalpiu sui giochi di facebook, dove devo entrare con ie9 perche con mozilla non me li carica bene.

Per quanto riguarda Mbam era aggiornato a ieri ma ho rifatto l'aggiornamento e ti riinvio il tutto. Grazie e buonanotte

questo è il link di mediahuman http://www.mediahuman.com/youtube-to-mp3-converter/

P.s, nonostante l'operazione fatta tramite promt dei dns dove mi diceva che era cancellata la cache, su hijackt ancora compaiono.

mbam-log-2012-05-16 (20-45-46).txt

Modificato May 17, 2012 da francesco59

[pike]

HandBrake non so quanto sia stabile, ma formalmente dovrebbe essere pulito, quindi me ne occuperei dopo. In alternativa, valuta SUPER.

Media Human di Youtube non so che sia, mi potresti fornire un link?

Dove tu vada è affar tuo , ti indicavo che cosa poteva variare usando DNS italiani.

Se hai problemi dei giochi di Facebook su Firefox, probabilmente è perchè Flash Player non è per niente in forma.

Il mio trucchetto è questo:

1. Scarica da Adobe Flash Player Uninstaller
   http://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html
   
2. Chiudi tutti i Browser, quindi eseguilo; il programma estirperà qualsiasi versione presente di Flash Player.
   
3. Riavvia il pc. Fa sempre bene
   
4. Per ognuno dei tuoi Browser visita questo sito
   http://get.adobe.com/it/flashplayer/
   ti consentirà di installare la versione di Flash più recente presente sul sito Adobe.
   Mi raccomando, non installare altri software a corredo come la Security Bar di McAfee o la Toolbar di Google.
   Non servono per la soluzione del problema
   
5. Per firefox probabilmente è necessario riavviare il browser
   
6. Testa i siti che ti davano problemi, vediamo se le cose sono cambiate.
   

Aspetto news

[francesco59]

Ho aggiunto mbam come mi avevi chiesto e la difficolta di eliminare i dns superflui grazie

il pc va meglio ho tolto quei due programmi e ho messo i tuoi dns

Modificato May 17, 2012 da francesco59