www.MegaLab.it

[akirod]

Ciao. Io ho Vista Home Basic a 32 bit, Service Pack2, Atlon Dual Core TK-53 a 1,7 Ghz.
Dopo aver rilevato frequenti e lunghissimi blocchi tipo "Non risponde" di vari software, e pure blocchi totali del sistema, ho messo in funzione mbr.exe dopo aver letto un articolo sulla vostra newsletter. Risultato:

" Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD5000BEKT-00KA9T0 rev.01.01A01 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "

CHE DEVO FARE?
Ho visto che già Ferrux (aficionado) ha avuto un problema simile, ma qualche dato era diverso. Avrei bisogno di aiuto per rimuovere questo malware.
Una domanda correlata: io ho Gmer e Avenger, ma come si fa ad esser sicuri che il malware rilevato da Gmer è davvero malware e non un falso positivo.
Io NON SONO UN ESPERTO e avrei bisogno di aiuto e spiegazioni dettagliate. Te la senti di darmele?
Ti ringrazio anticipatamente. akirod

[crazy.cat]

Mbr.exe non ha rilevato niente infatti ti dice. "user & kernel MBR OK".
Poi vedo che parli di gmer che ha rilevato un malware.
qualcosa non torna, o forse non hai questo genere di malware.
Che sistema operativo hai intanto?

Fai la scansione con hijackthis e posta quella per cominciare.

[Uomo_Senza_Sonno]

Esegui un controllo con un rescue disk come questo di Kaspersky, poi se rileva qualcosa facciamo un controllo approfondito. Ma se ci sono problemi non sono imputabili alla presenza di un rootkit nel mbr, e lo stesso log che hai postato lo conferma. Tuttavia, meglio verificare.

[akirod]

Mbr.exe non ha rilevato niente infatti ti dice. "user & kernel MBR OK".
Poi vedo che parli di gmer che ha rilevato un malware.
qualcosa non torna, o forse non hai questo genere di malware.
Che sistema operativo hai intanto?

Fai la scansione con hijackthis e posta quella per cominciare.

SONO AKIROD. Ti rispondo, e ti ringrazio della tua velocità. Ma mi pareva di essere stato esauriente riguardo al mio sistema operativo, che ho tenuto a mettere subito in prima riga, come mi sembra si debba fare. Magari non ho specificato che il mio Vista Home Basic è un sistema Windows, ma mi pareva chiaro così...
Comunque, meno male che secondo te Mbr.exe non ha rilevato nulla. Mi aveva fatto paura quella prima sua prima scritta in cui lui cita un rootkit.

Per quanto riguarda Gmer, ho saputo ieri che solo le scritte in rosso sono effettivamente malware; e lui presenta solo 5 file in nero. Comunque, ti do il Log di Hijackthis chemi hai chiesto di due minuti fa', e alla fine pure quello di Gmer. Ecco il primo (che ne dici?):
-----------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.14.23, on 06/06/2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files\Spyware Terminator\st_rsser.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Sistema\Sicurezza\CheckPoint\ZoneAlarm\zatray.exe
C:\Program Files\Sistema\UtilSYS\Advanced SystemCare 4\PMonitor.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Sistema\Sicurezza\SuperAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Sistema\UtilSTRU\Ashampoo UnInstaller 2010\UIWatcher.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Sistema\Sicurezza\Ad-Adware\AAWTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\sistema\utilstru\sandboxie 3.56\sbiectrl.exe
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
c:\program files\sistema\sicurezza\spybot - search & destroy\teatimer.exe
c:\programdata\ad-aware browsing protection\adawarebp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\notepad.exe
C:\Program Files\Sistema\Sicurezza\TrueCrypt 7.1\TrueCrypt.exe
C:\Program Files\OpenOffice.org 3\program\swriter.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Comunicazioni\Internet\3 Internet\3 Internet.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Sistema\Sicurezza\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=60747
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=50692A ... A161549255
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60747
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60747
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60747
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60747
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Sistema\SICURE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TBSB01620 - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - (no file)
O2 - BHO: Ad-Aware Security Toolbar - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - (no file)
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - (no file)
O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O3 - Toolbar: Ad-Aware Security Toolbar - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O3 - Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)
O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe /icon="hidden"
O4 - HKLM\..\Run: [ZoneAlarm] "C:\Program Files\Sistema\Sicurezza\CheckPoint\ZoneAlarm\zatray.exe"
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SpywareTerminatorShield] C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminatorUpdater] C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Program Files\Sistema\UtilSTRU\Ashampoo UnInstaller 2010\UIWatcher.exe
O4 - HKCU\..\Policies\Explorer\Run: [SUPERAntiSpyware] C:\Program Files\Sistema\Sicurezza\SuperAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Sistema\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Sistema\SICURE~1\SPYBOT~1\SDHelper.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{09C551D8-91AE-4F54-A838-971A67492AF0}: NameServer = 85.38.28.82 85.38.28.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{09C551D8-91AE-4F54-A838-971A67492AF0}: NameServer = 85.38.28.82 85.38.28.73
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: tbr - (no CLSID) - (no file)
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\Sistema\Sicurezza\SuperAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\Sistema\Sicurezza\SuperAntiSpyware\SASCORE.EXE
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Program Files\Sistema\UtilSYS\Advanced SystemCare 4\ASCService.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Audio Video\Masterizzazione\Common\Database\bin\fbserver.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Sistema\Sicurezza\Ad-Adware\AAWService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sistema\UtilSTRU\Sandboxie 3.56\SbieSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Sistema\Sicurezza\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Spyware Terminator 2012 Realtime Shield Service (ST2012_Svc) - Crawler.com - C:\Program Files\Spyware Terminator\st_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Program Files\Sistema\Sicurezza\CheckPoint\ZoneAlarm\vsmon.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 12623 bytes

------------------------------------------------

ED ORA QUELLO DI GMER!:

---- System - GMER 1.0.15 ----

Code 9BB74BFC ZwTraceEvent
Code 9BB74BFB NtTraceEvent

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestione filtri file system Microsoft/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat InCDRec.sys (Nero InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Runtime framework driver modalità kernel/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

TI/VI RINGRAZIO ANCORA PER LA VOSTRA COMPETENZA IN MATERIA, E DELL'AIUTO! DOMANDINA FINALE AGGIUNTIVA: ma tutti quelli che hanno Vista devono attendere ore per lo shut down di un programma (a volte ogni applicazione aperta ti regala lo scenario "Non risponde" con rotellina infinita, che dopo un quarto d'ora ti costringe al pulsante di accensione), oppure questa leccornia di destino è capitata solo a me???
BUONISSIMA GIORNATA A TUTTI DA ............................... akirod

[crazy.cat]

Ma mi pareva di essere stato esauriente riguardo al mio sistema operativo

Si era chiaro, ma l'avevo persa la prima riga...

Hai molti software, tra l'altro neanche troppo buoni, che fanno la stessa funzione, spywareterminator, adware, spybot, l'unico valido è superantispyware, che caricano servizi e processi inutili che possono poi bloccarsi.

Anche sandboxie e ZAForceField alla fine fanno funzioni abbastanza simili.

Prova a disabilitare qualcosa, o anche a rimuoverlo per alleggerire il pc.
Poi controlla nel visualizzatori eventi se trovi chi è che si blocca in fase di spegnimento.

Se non arrivano altri, dopo ti leggo il log di hijackthis che ci sono delle cose da togliere.
(ora devo tornare a casa)

Gmer è a posto.

[hashcat]

Disinstalla come suggerito da crazy.cat i seguenti programmi:

Spyware Terminator, ZoneAlarm, SUPERAntiSpyware, Ad-Adware, Spybot search & destroy.

Sostituisci ZoneAlarm con Emsisoft Online Armor Firewall (la versione gratuita).

Se hai bisogno di fare una scansione all'occorrenza utilizza Emsisoft Emergency Kit o SUPERAntiSpyware portable.

A meno che tu non possieda una licenza a pagamento per Sandboxie ti consiglio di sostituire questo prodotto con BufferZone Pro.


Dopo aver fatto ciò rimuovi mediante hijackthis i seguenti elementi:

Codice: Seleziona tutto

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=60747

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=50692A ... A161549255

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60747

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60747

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

O2 - BHO: TBSB01620 - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - (no file)

O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - (no file)

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - (no file)

O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)

O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)

O3 - Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)

O20 - AppInit_DLLs: C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll

Per fare un controllo veloce per Rootkit & co utilizza TDSSKiller e MBRScan.

Istruzioni d'uso TDSSKiller:

1. Scarica TDSSKiller da qui
2. Esegui TDSSKiller e clicca su "Start Scan"
3. Al termine della scansione verrà mostrata una schermata con i rilevamenti
4. Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
5. Clicca su Next/Continue per applicare le azioni
6. Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
7. Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

Istruzioni d'uso MbrScan:

1. Scarica MbrScan da qui
2. Eseguilo
3. Clicca su Report
4. Si aprirà una finestra del Blocco Note con il log
5. Copia il log e postalo su MegaLab.it

[akirod]

Esegui un controllo con un rescue disk come questo di Kaspersky, poi se rileva qualcosa facciamo un controllo approfondito. Ma se ci sono problemi non sono imputabili alla presenza di un rootkit nel mbr, e lo stesso log che hai postato lo conferma. Tuttavia, meglio verificare.

Sono akirod, e ti ringrazio! Farò oggi il controllo che mi hai suggerito, la prudenza nn è mai troppa. Ciao!

[akirod]

Sono akirod e rispondo al messaggio che mi hai spedito (e che segue dopo questo).
TI RINGRAZIO per tutti i consigli circostanziati e precisi, esaurienti. Eseguirò le cancellazioni con Hjackthis.
Mi ero già reso conto di avere troppo software su questo notebook, ma per esempio ti comunico che nel corso dell'ultima scansione generale Ad-Aware ha trovato un cookie tralasciato da SuperAntispyware (che tu consigli di togliere, dicendo che è idea anche di crazycat; ma lui invece, nella sua risposta, lo salva) e Spyboot ha trovato 3 cacche (babylon, facemoods e altro che non ricordo) che non avevano trovato né Malwarebytes né SuperAntispyware. Poi mi seduce la funzione Immunizza. Comunque, devo dirti che (eccetto Ad-Aware) tutti questi programmi li aveva consigliati (certo, magari per un computer un po' più potente del mio...) proprio crazycat a questo indirizzo: http://www.MegaLab.it/2717/quali-progra ... are-sicuri (sorpresa!)

Ma, insomma, col visualizzatore eventi consigliatomi troverò l'intoppo e mi rassegnerò a togliere chi devo.

GRAZIE ANCORA! Ma non te la prendere se approfitto ancora della tua gentilezza. Ho un problema logistico che ti spiego (tu puoi o spiegarmi o indirizzarmi dove posso trovare la risposta). In fondo al regolamento, c'è un punto con tre capoversi. Avverte che in futuro l'area-risposte potrebbe essere a pagamento per chi è stato aiutato, ma non comunica questa assistenza ricevuta ad almeno 5 amici. Visto che questi non possono essere passanti sottocasa, si presume che siano amici che dovrei trovare nel Forum. Quindi, dovrei entrare nella corrispondenza-forum di altri 5 tipi che hanno postato magari su un problema di browser dicendogli che io - per loro illustre sconosciuto - ho ottenuto assistenza da altri amici & redazione? Ho capito bene?
Ti ringrazio già da ora se mi risolvi questo piccolo thriller (a proposito, se ti interessa, ho scoperto da dove la Meyer - che nel backstage di Twilight finge di aver scritto per caso quella storia, iniziando a buttare giù idee - ha COPIATO Twilight quasi di sanapianta. Chiedi, nel caso, a akirod@live.it. Ti risponderò con un sacco di particolari)
Ciao ......................... akirod





............................ akirod

Disinstalla come suggerito da crazy.cat i seguenti programmi:

Spyware Terminator, ZoneAlarm, SUPERAntiSpyware, Ad-Adware, Spybot search & destroy.

Sostituisci ZoneAlarm con Emsisoft Online Armor Firewall (la versione gratuita).

Se hai bisogno di fare una scansione all'occorrenza utilizza Emsisoft Emergency Kit o SUPERAntiSpyware portable.

A meno che tu non possieda una licenza a pagamento per Sandboxie ti consiglio di sostituire questo prodotto con BufferZone Pro.


Dopo aver fatto ciò rimuovi mediante hijackthis i seguenti elementi:

Codice: Seleziona tutto

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatche ... p=aus&qkw=%s&tbid=60747

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=50692A ... A161549255

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60747

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_custo ... TbId=60747

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)

O2 - BHO: TBSB01620 - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - (no file)

O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - (no file)

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - (no file)

O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)

O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)

O3 - Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - (no file)

O20 - AppInit_DLLs: C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll

Per fare un controllo veloce per Rootkit & co utilizza TDSSKiller e MBRScan.

Istruzioni d'uso TDSSKiller:

1. Scarica TDSSKiller da qui
2. Esegui TDSSKiller e clicca su "Start Scan"
3. Al termine della scansione verrà mostrata una schermata con i rilevamenti
4. Seleziona l'opzione "Cure" per i rilevamenti "malicious" e l'opzione "Skip" per quelli "Suspicious"
5. Clicca su Next/Continue per applicare le azioni
6. Per portare a termine la disinfezione TDSSKiller potrebbe richiedere un riavvio del computer
7. Al termine della procedura posta il log di TDSSKiller che si trova in C:\TDSSKillerxxxx

Istruzioni d'uso MbrScan:

1. Scarica MbrScan da qui
2. Eseguilo
3. Clicca su Report
4. Si aprirà una finestra del Blocco Note con il log
5. Copia il log e postalo su MegaLab.it

[akirod]

Ma mi pareva di essere stato esauriente riguardo al mio sistema operativo

Si era chiaro, ma l'avevo persa la prima riga...

Hai molti software, tra l'altro neanche troppo buoni, che fanno la stessa funzione, spywareterminator, adware, spybot, l'unico valido è superantispyware, che caricano servizi e processi inutili che possono poi bloccarsi.

Anche sandboxie e ZAForceField alla fine fanno funzioni abbastanza simili.
-----------------------------------

TI RINGRAZIO Mr crazy.cat. Sollievo per Gmer, ma... io avevo "caricato" il mio notebook perché tutti quei software (eccetto, mi pare, Ad-Aware) li avevi consigliati tu su: http://www.MegaLab.it/2717/2/quali-prog ... are-sicuri
Ma, probabilmente, mi ci vorrebbe un computer più potente per supportarli tutti. Cercherò col visualizzatore-eventi e toglierò intoppi, qualunque essi siano.
Comunque ti segnalo una cosa. Ad-Aware ha trovato un cookie tralasciato da SuperAntispyware e Spyboot ha trovato 3 cacche (babylon, facemoods e altro) che nessuno degli altri software avevano trovato; szenza contare la sua funzione Immunizza, che mi è sempre parsa utile.
Insomma, vedrò di "dimagrire" oculatamente.
GRAZIE per tutto (per quanto riguarda gli Hijakthis, mi ha delucidato lo scenario hashcat).
Ciao ........................ akirod

[crazy.cat]

Comunque ti segnalo una cosa.

L'articolo è del 2009 e da allora sono cambiate molte cose.
Adware è diventato un mattone pesante, se poi ti ha trovato un cookie in più non è che abbia trovato chissà cosa, i cookie si eliminano direttamente dal browser.
Spybot, almeno fino a quando non esce questa benedetta nuova versione, è vecchio.
Se vuoi l'immnunizzazione la puoi fare anche con spywareblaster che non rimane neanche attivo in memoria (così non pesa niente9.
Ma la cosa principale è non avere tre o quattro programmi che facciano la stessa identica cosa e siano tutti attivi in memoria.

[akirod]

Capito tutto. Thanks!
akirod