[Risolto] Non riesco ad aggiornare spyware

wolf.otakar

Ciao peppecol,

fixa con hijackthis:

R3 - URLSearchHook: NetAssistantBHO Class - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - C:\Programmi\My.Freeze.com Toolbar\NetAssistant.dll

O2 - BHO: NetAssistantBHO - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - C:\Programmi\My.Freeze.com Toolbar\NetAssistant.dll

O3 - Toolbar: My.Freeze.com Toolbar - {D0523BB4-21E7-11DD-9AB7-415B56D89593} - C:\Programmi\My.Freeze.com Toolbar\freeze_int2.dll

O4 - HKLM..\Run: [funkyemoticons] C:\Programmi\FunkyEmoticons\FunkyEmoticons.exe

O23 - Service: Weemi Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Weemi\weemi127.exe

O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.111,85.255.112.200

O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.112.111,85.255.112.200

O17 - HKLM\System\CS7\Services\Tcpip\Parameters: NameServer = 85.255.112.111,85.255.112.200

O23 - Service: Weemi Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\Weemi\weemi127.exeScarica avenger:

copia/incolla questo script, nel riquadro bianco "input script here" di the avenger:

Files to delete:

C:\Documents and Settings\All Users\Dati applicazioni\Weemi\weemi127.exe- elimina la spunta su: scan for rootkit "in basso a sinistra"

premi su execute
rispondi SI alle richieste
il pc, dovrebbe riavviarsi
al riavvio, carica il log su filefactory.com e riporta il link.

Fatto questo, scansiona con malwarebytes "aggiornato".

peppecol

Nel ringraziarti per i tuoi preziosi suggerimenti di aggiorno a quanto segue;

Avenger dopo scaricato non riesco ad aprirlo, quindi ho scaricato "KillBox" ho messo il file da cancellare cioè

C:\Documents and Settings\All Users\Dati applicazioni\Weemi\weemi127.exe

ho cliccato cancella il file ed è uscita la scritta che il file è stato cancellato, poi ho rifatto la procedura e mi dice che il file non esiste.

Ho lanciato malwarebytes ma non mi fà fare l'aggiornamento esce un'errore.

Ho rifatto la prova se cerco di andare su microsoft e ho provato anche sul sito malwarebytes esce sempre un collegamento verso weemi.com

wolf.otakar

Ciao peppecol,

posta un nuovo log con "hijackthis".

@peppecol said:

Ho lanciato malwarebytes ma non mi fà fare l'aggiornamento esce un'errore.

Ti da errore anche in fase di "scansione" ???

Edit:

@peppecol said:

Credo di avere un bagle ma non riesco a scaricare da nessun sito i seguenti programmi:
Bagled
Elibagla

Riprova, peppe!

peppecol

Allego nuovo log:

filefactory.com/file/a07gc6f/n/hijackthis_3_txt

Quei 2 programmi li ho scaricati con un'altro compiuter ora non sò se riesco a scaricarli da questo.

wolf.otakar

Scansionato con " malwarebytes" ???

peppecol

@Wolf Otakar said:

Scansionato con " malwarebytes" ???

Allego i log dii:

malwarebytes:
filefactory.com/file/a07233d/n/mbam-log-2009-10-29_16-43-40_txt

hijackthis
filefactory.com/file/a22ag3d/n/hijackthis_29_ottobre_txt

p.s. c'è ancora qualcosa cito per esempio:
non riesco a entrare nel sito della microsoft e non riesco ad aggiornare malwarebytes, su quest'ultimo esce la scritta "Si è verificato un errore. Segnala il seguente codice d'errore al gruppo di supporto Malawarebytes Anti-Malware eror code: 732 (0, 0)"

wolf.otakar

Ciao peppecol,

verifica la presenza di queste chiavi, nel registro di sistema:

"start --> esegui --> regedit"

HKEY_LOCAL_MACHINE\SOFTWARE\Weemi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Weemi
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Weemi Service
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_WEEMI_SERVICE

peppecol

HKEY_LOCAL_MACHINE\SOFTWARE\Weemi SI

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Weemi SI

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Weemi Service NON QUI

MA QUI: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Servic es\Weemi Service

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\R oot\LEGACY_WEEMI_SERVICE NON QUI

MA QUI: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Enum\Root\LEGACY_WEEMI_SERVICE

wolf.otakar

Ciao peppecol,

rimuovi quelle chavi di registro e scansiona con ad-aware!

peppecol

Questa chiave non me la fà cancellare:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Enum\Root\ LEGACY_WEEMI_SERVICE

wolf.otakar

Ciao peppecol,

utilizza regseeker o regxplor.

@peppecol said:

non riesco a entrare nel sito della microsoft

Novità???

Ripulito con Ad-aware?

peppecol

Allora ho aperto regedit sono andato sulla chiave, tasto destro, autorizzazioni e poi ho selezionato controllo completo e poi sono riuscito a cancellare la chiave.

Per quanto riguarda Ad-Aware l'ho lanciato + volte ma mi rileva 4 oggetti ma poi sempre lo stesso non và più avanti dopo 20/30 minuti in oggetto corrente esce: (enumerating cisid's) ed il programma si blocca e non riesco più a fare niente devo sono cliccare sulla X

wolf.otakar

Ciao peppecol,

per quanto riguarda il sito della microsoft, novità???

@peppecol said:

non và più avanti dopo 20/30 minuti in oggetto corrente esce: (enumerating cisid's) ed il programma si blocca

E' un problema di ad-aware!

peppecol

Nulla non riesco ad aprirlo! Ora non mi fà più il redirect su una pagina weemi ma mi dice:
Impossibile visualizzare la pagina, ad ogni modo explorer funziona bene perchè prima ogni tanto usciva qualche errore.

wolf.otakar

E' un problema "solo" su IE? Provato con Firefox?

peppecol

Ho provato anche con google chome, non va.

wolf.otakar

Ciao peppecol,

scarica ed installa questa patch; poi scansiona con msrt e questi 2 tools:

Symantec

F-secure

peppecol

Allora aggiorno quanto segue:
Ho scaricato
Strumento di rimozione malware per Microsoft Windows (KB890830)

Dopo la scansione ha trovato "Worm:Win32/Conficker.D" e lo ha cancellato! Ho provato a collegarmi subito ma nulla ma al riavvio mi sono collegato è funzionava, ha funzionato anche l'aggiornamento Malwarebytes' Anti-Malware. Premetto che avevo anche lanciato W32.Downadup Removal Tool della Symantec ma dato che ci metteva tempo l'ho interrotto ma quello di F-Secure non sò vedo 2 programmi in più la patch Microsoft Security Bulletin MS08-067 mi dice una volta che non è nella mia lingua e una volta dice che non è un'applicazione valida per win32.

wolf.otakar

Ciao peppecol,

@peppecol said:

.... avevo anche lanciato W32.Downadup Removal Tool della Symantec ma dato che ci metteva tempo l'ho interrotto

non devi stopparlo, eh!!

@peppecol said:

....la patch Microsoft Security Bulletin MS08-067 mi dice una volta che non è nella mia lingua e una volta dice che non è un'applicazione valida per win32.

Riprova!

thestroker

Problemi di questa natura molte volte risiedono nel file Hosts di Sistema..molti Rogue e molti malware infatti la prima cosa che fanno appena si insediano nel pc inseriscono i principali siti di "sicurezza o supporto" nel file Hosts di sistema così da bloccarli e renderli Non raggiungibili..
Forse non in questo caso..
Complimenti comunque a Wolf Otakar