MegaLab.it

Principali spyware e come rimuoverli

Qui sotto trovate alcune delle principali e più frequenti infezioni dovute a Spyware e trojan virus rilevate dalle scansioni con Hijackthis e segnalate nelle discussioni che trovate nel forum.
******************************************

Tutte le voci che trovate qui sotto nel primo box sono, di solito,eliminabili con scansioni eseguite da Spybot search & destroy e Adware aggiornati.

Codice: Seleziona tutto

02 - BHO:-{83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
02 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D}
- C:\Programmi\MyWebSearch\SrchAstt1.binMWSSRCAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\2.BIN\MYBAR.DLL
02 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programmi\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - E:\PROGRAM
FILES\NAVEXCEL\NAVHELPERV2.0.4ANHELPER.DLL
02 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inetm\1.02.03.dll

03 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\PROGRAMMI\MYWAY\MYBAR\2.BIN\MYBAR.DLL

04 - HKLM..Run: [alchem] C:\WINDOWS\alchem.exe
04 - HKCU..Run: [WeatherCast] C:\Programmi\WeatherCast\Weather.exe /q
04 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
04 - HKLM..Run: [CMESys] "C:\Programmi\File comuni\CMEI\ICMESys.exe
04 - HKLM..Run: [New.net Startup] rundll32 C:\PROGRAMMI\NewDotNet\ewdotnet4_85.dll,NewDotNetStartup
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmi\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programmi\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INETM\SERVICES.EXE
O4 - HKLM\..\Run: [sais] c:\programmi\180solutions\sais.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programmi\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O8 - Extra context menu item: Web Rebates - file://C:\Programmi\Web_Rebates\Sy1150Tp1150scri1150a.htm


Tutte le righe invece che inziano con 01,010,015 sono da verificare e nel caso eliminare con hijackthis. Nel 01 potrebbero esserci alcune vostre impostazioni della vostra rete lan. Tutto il resto è di solito inserito da Spyware di vario genere.

Codice: Seleziona tutto

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: *.blazefind.com


La presenza di righe simili a queste, indicano la probabile presenza del Coolweb search, eseguite quindi una scansione con CwShredder 2

Codice: Seleziona tutto

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://on-search.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com/searchbar.html


La presenza di righe simili a queste è spesso sintomo di virus o dialer, controllate la presenza dei file .exe sul vostro pc e se non ne conoscete la provenienza, eliminateli.

Codice: Seleziona tutto

O16 - DPF: {00000000-0000-0000-0000-000020040000} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/itflat.chm::/10607.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1014061.exe


Alla fine delle varie pulizie scaricate e installate Spywareblaster in modo da non riprendere le stesse infezioni.

Pagina iniziale About:blank

Se non riuscite più a reimpostare la vostra pagina iniziale, ma rimane sempre bloccata in About:blank, molto spesso è colpa di una delle tante varianti del CoolWeb Search , un trojan virus che blocca le modifiche alla vostra home page.
Il file infetto è sempre una Dll che però ad ogni tentativo sbagliato di rimozione cambia nome e rende difficile la sua individuazione e rimozione.
Grazie ad un modo scoperto e segnalato da Maxjol durante una discussione si può rimuovere manualmente.
Eseguite una scansione con Hijackthis, se nel log riscontrare varie righe simili a quelle che indico qui sotto seguite le istruzioni:

Codice: Seleziona tutto

01-HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:\WINDOWS\bcan.dll/sp.html#29126
***********
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pgaov.dll/sp.html#29126
O2 - BHO: (no name) - {AB6E0FF3-5C24-433E-F0F0-97AEB24D486A} - C:\WINDOWS\sdkma32.dll
************
R1-HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =file://C:\Docume~1\Videos~1\Impost~1\Temp\sp.html
O2 - BHO: (no name) - {714D8667-405F-431C-92C7-057F47A820C4} - C:\WINDOWS\System32\ohe.dll
O18 - Filter: text/html - {66E0AF08-08F6-4C19-82A8-0A9B426426D4} - C:\WINDOWS\System32\ohe.dll
 

Come già detto i nomi delle Dll sono casuali, inseriteli su Google e fate una ricerca, i risultati saranno sempre negativi e saprete di avere trovato il vostro file infetto. Negli esempi qui sopra i files sono bcan.dll, pgaov.dll e ohe.dll .
Trovate il file e lo spostate sul desktop e a quel punto lo rinominate come volete, non lo potete cancellare subito perché risulta in uso.
Riavviate il pc e cancellate subito il file che avete rinominato in precedenza, fate poi una scansione con CwShredder 2 e cancellate tutti i files temporanei di internet.
Rifate la scansione con hijackthis e cancellate tutte le righe nel log che contenevano indicazioni di quel file.
Reimpostate la vostra Home page, riavviate il pc e provate a navigare nuovamente, il problema dovrebbe essere scomparso.

Alcune discussioni dove si affronta il problema.
http://www.MegaLab.it/forum/viewtopic.php?t=8625
http://www.MegaLab.it/forum/viewtopic.php?t=9289

Winmovie plugin
***************************************************
Rimozione Winmovie plugin