Accedi per seguire   
Seguaci 0
Frenzico

! Adware.look2me !

34 messaggi in questa discussione

Salve a tutti, :)

ho un problema col pc e non sono proprio capace di risolverlo!

credo di non dire nulla di nuovo, ma devo essere stato contagiato

con quel fastidiosissimo virus di Adware.Look2Me, se qualcuno sapesse aiutarmi... :P

vi posto il log che ho appena fatto con HijackThis.

ringrazio tutti in anticipo!

francesco

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e Ben arrivato/a nel forum, ...Frenzico

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale; se non sai come fare

clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti. (Naturalmente non sei obbligato a farlo :) )

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

********************************************

Mentre ti controllo il log, dai una passata con questo tool:

L2M destroyer

ISTRUZIONI:

  1. Chiudere tutti i programmi (meglio se usato in Modalità provvisoria)
  2. Doppio click su Lok2MeDestryer.exe
  3. Selezionare: Run this program as Task
  4. Cliccare OK al messaggio --> (Lok2MeDestryer.exe will close and reopen in approximateli 1 minute)
  5. Cliccare su : Scan for L2M (le icone del desktop scompariranno... è normale)
  6. Al termine cliccare su: Remove L2M
  7. Cliccare OK al messaggio "Done Scanning"
  8. Al messaggio: Done Removing, Look2Me-Destroyer Spegnerà il Pc" cliccare OK
  9. Riavviare il PC
  10. il file Lock2Me-Destroyer.txt conterrà le informazioni sui files rimossi

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per quello che riguarda il log... abbiamo parecchie schifezze....

Per prima cosa fai queste operazioni, altrimenti diventa troppo lunga:

Scarica Questo tool ed avvialo:

http://www.prevx.com/gromozon.asp

Collegati per una scansione On-line a: (Antivirus e Antispy)

screenshot0044ao.jpg

poi

foto0038se.jpg

rifai il log e mettilo qui per un ulteriore controllo insieme al log del tool di rimozione di Gromozon

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ho fatto lo scan con prevx e direi che ha rimosso dei file infetti anche se dal log non ci capisco molto...comunque posto tutto.

la scansione online della trend non parte, invece x quello che riguarda la scansione spyware ha rimosso qualcosa, ma non lasciandomi il log non so mostrarvi cosa. ho effettuato una nuova scansione con Hijack metto anche quella...

aspetto notizie :)

gromozon_removal.log

hijackthis1.txt

Look2Me_Destroyer.txt

nortonSpywareScan.txt

Modificato da Frenzico

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
scarica delcmdservice da qui -> http://users.telenet.be/marcvn/tools/delcmdservice.zip e salvalo sul Desktop.

Scompatta lo zip in una cartella sul desktop (C:\delcmdservice)

Doppio click sulla cartella delcmdservice

Doppio click su delreg.bat per lanciare il removal tool

Quando è finita l'elaborazione riavvia il PC

2^ Operazione

Scarica Ren-cmdservice da qui -> http://downloads.subratam.org/Lon/ren-cmdservice.zip e scompattalo sul Desktop.

Attenzione! Questo removal tool funzionerà solo se messo ed estratto sul desktop !!.

Apri la cartella ren-cmdservice e poi attiva con doppio click ren-cmdservice.bat

Passiamo al log di HJT

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse ------ > (salva in un file queste istruzioni )

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

C:\kybrdff_e9.exe

C:\nwnmff_e9.exe

C:\dfndrff_e9.exe

C:\WINDOWS\ZnJhbmNlc2Nv\command.exe

C:\WINDOWS\msvbn.exe

C:\Programmi\Network Monitor\netmon.exe

C:\WINDOWS\system32\lssc.exe

O2 - BHO: (no name) - {FE388161-E1ED-576A-899F-CAEDE9E3EA4A} - (no file)

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e9.exe

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e9.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e9.exe

O4 - HKLM\..\Run: [cvrd1.exe] C:\WINDOWS\TEMP\cvrd1.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\ZnJhbmNlc2Nv\command.exe

O23 - Service: msvbn - Unknown owner - C:\WINDOWS\msvbn.exe

O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe

O23 - Service: Remote Map Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe

O23 - Service: Microsoft Languages Service (Windows Languages Service) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)

Trova e se ci sono elimina questi files o cartelle

C:\kybrdff_e9.exe

C:\nwnmff_e9.exe

C:\dfndrff_e9.exe

C:\WINDOWS\ZnJhbmNlc2Nv (< cartella)

C:\WINDOWS\msvbn.exe

C:\Programmi\Network Monitor (< cartella)

C:\WINDOWS\system32\lssc.exe

C:\WINDOWS\TEMP\cvrd1.exe

C:\WINDOWS\msvbn.exe

C:\WINDOWS\csrss.exe (forse questo non c'è)

.............

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

capt0013pz.jpg

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Pulisci il registro con Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

----------------------------------

Da StART\ESEGUI digita:

sc stop msvbn (e dai l'OK)

sc delete msvbn (e dai l'OK)

sc stop Network Monitor (e dai l'OK)

sc delete Network Monitor (e dai l'OK)

sc stop Remote Map Manager (e dai l'OK)

sc delete Remote Map Manager (e dai l'OK)

sc stop Microsoft Languages Service (e dai l'OK)

sc delete Microsoft Languages Service (e dai l'OK)

--------------------

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione e crea un nuovo punto di ripristino

rifai il log e mettilo qui per un ulteriore controllo

_____________________________________________________

Vista la situazione un controllo ONline lo devi fare assolutamente....

Vai su questa pagina: http://forum.wininizio.it/index.php?showtopic=10584

Devi inoltre aggiornare il sistema con il Service Pack 2 se vuoi avere una certa sicurezza sui vari Exploit...

Buon Lavoro :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

procedo col lavoro, che a prima vista sembra un mucchio!

una volta completato ti posterò il log come richiesto, per il momento ti ringrazio!

Sei stato veramente esauriente... ok inizio!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se vuoi provare a fare una scansione online prima, magari ti rimuove qualcosa...

prima di farla, controlla nel Task Manager di non avere i processi in uso...

sopratutto quelli riguardanti le voci 04...

se li trovi terminali e procedi con la scansione.... dopodichè passa al controllo manuale (ed eventuale eliminazione)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ti posto l' Hijack e il log del Ren-cmdservice.

adesso il pc è abbastanza veloce ma continuano ad aprirsi altre finestre...

:sigh:

frenz

P.S. grazie dell'aiuto ti devo una cena!

hijackthis.log

logit.txt

Modificato da Frenzico

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sempre in modalità provvisoria. fissa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht tp://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h ttp://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht tp://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht tp://searchbar.findthewebsiteyouneed.com

O20 - Winlogon Notify: URL - C:\WINDOWS\system32\irn8l55u1.dll

ELIMINA qusto file:

C:\WINDOWS\system32\irn8l55u1.dll

e posta un nuovo log.... direi comunque che sei molto migliorato

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Fixa anche

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programmi\Deskbar\deskbar.dll

Elimina questa directory

C:\Programmi\Deskbar

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ottimo GmG... mi era sfuggita.... sarà l'orario (qui da me sono le 2,15)

sarà meglio che vado a dormire :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

azz mi è scappata l'ultima chiave! vabbè adesso rifaccio allora, pero prima ne ho trovate solo 2, direi questa :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht tp://searchbar.findthewebsiteyouneed.com

e questa:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht tp://searchbar.findthewebsiteyouneed.com

quest'altro: O20 - Winlogon Notify: URL - C:\WINDOWS\system32\irn8l55u1.dll

non c'era, ce ne era uno simile... l'ho lasciato! non so se ho fatto bene...,

grazie Kuma per l'impegno, magari riprendiamo domani se ti va.

:) buona notte

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Fixa

O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\k880lilm18qa.dll

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

GmG non capisco una cosa, ogni volta che fixo la voce:

020 - Winlogon Notiy: URL - C:\WINDOWS\system32\.............

alla successiva accensione me ne trovo un altra.

alla scansione con ewido, mi dice che trova ancora Adware.look2me

???

Logfile of HijackThis v1.99.1

Scan saved at 20.32.07, on 20/09/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programmi\ewido anti-spyware 4.0\ewido.exe

C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

C:\Programmi\Google\Google Updater\GoogleUpdater.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Programmi\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Programmi\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Francesco\Documenti\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Microsoft Windows Update 32] svchost32.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update 32] svchost32.exe

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.1.720.5674\GoogleToolbarNotifier.exe

O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/...nst20040510.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1157766461654

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C98D88A7-4985-45E8-A9CC-A2F5DCC354D3}: NameServer = 85.37.17.52 85.38.28.92

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIFx - C:\WINDOWS\system32\l0n4la5q1d.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Microsoft Windows Update 32 (Win32) - Unknown owner - C:\WINDOWS\System32\svchost32.exe" -netsvcs (file missing)

O23 - Service: Microsoft Languages Service (Windows Languages Service) - Unknown owner - (no file)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova ad usare questo tool per l'eliminazione di Look2me F-SECURE F-Look2Me

fixa anche

O4 - HKLM\..\Run: [Microsoft Windows Update 32] svchost32.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update 32] svchost32.exe

O23 - Service: Microsoft Windows Update 32 (Win32) - Unknown owner - C:\WINDOWS\System32\svchost32.exe" -netsvcs (file missing)

ed elimina

C:\WINDOWS\System32\svchost32.exe

Attento a non confonderlo con C:\WINDOWS\System32\svchost.exe che è leggitimo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Leggi il mio post precedente perchè ho aggiunto delle voci da fixare.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Direi che mi avete risolto il problema, niente più fastidiose finestre che si aprono...

OK adesso birra per tutti! ehehehe

vi posto un altro log, così mi dite se secondo voi posso essere a posto?!

grazie frenz :)

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Fissa queste voci

O4 - HKLM\..\Run: [Windows Update] host.exe

O4 - HKLM\..\RunServices: [Windows Update] host.exe

O23 - Service: Microsoft Windows Update 32 (Win32) - Sygate Technologies, Inc. - (no file)

O23 - Service: Microsoft Languages Service (Windows Languages Service) - Sygate Technologies, Inc. - (no file)

Fai uno scan oline con Bitdefender

Aggiorna windows al SP2 naturalmente se è originale :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0