PDA

Visualizza versione completa : Problema con spyware....


Arthur85
09-01-2005, 21.08.56
Ciao a tutti, ho un problemino con alcuni file "strani":

non riesco a cancellare questi file con HijackThis:

O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run

O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe

O4 - HKLM\..\Run: [ivehyv] c:\windows\ivehyv.exe

O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
S



Ho anche una marea di altri programmi come:

Spybot - Search & Destroy
Ad-aware 6.0
a-squared StartCenter
SpywareBlaster

ma non riesco a cancellarli....ho usato anche Eraser...ma niente...

ciao
ciao

Bico Bico
09-01-2005, 21.51.02
Cercando con Google ho trovato questa discussione che sembra fare al caso tuo:

http://forums.thetechguys.com/archive/index.php/t-12393.html

In pratica dice di disabilitare prima di tutto il System Restore. Fatto questo, avvia Hijack This e una volta completata la scansione seleziona le due voci "Run: [SurfBuddy]", ma non cliccare su Fix Checked. Adesso chiudi tutte le finestre aperte (anche quelle di IE) ad eccezione della finestra di Hijack This, quindi fai clic sul pulsante Fix Checked.

Ora devi riavviare Windows in modalità provvisoria. Prima di tutti assicurati che sia abilitata la visualizzazione di cartelle e file nascosti, quindi trova la cartella "SurfBuddy" (dovrebbe trovarsi nella cirectory "Programmi" o "Program Files") e cancellala. Adesso riavvia il PC. A questo punto il tizio della discussione che ti ho linkato dice di avere due errori all'avvio di Windows che dicono: sbuddy.dll could not be found. Dovresti avviare nuovamente Hijack This e rimuovere queste due voci:

O4 - HKLM\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run
O4 - HKCU\..\Run: [SurfBuddy] rundll32 "C:\Program Files\SurfBuddy\sbuddy.dll",run

dimmi se così sei riuscito a eliminare SurfBuddy. Per le altre due voci sospette che Hijack This segnala, xchè non provi con il "nuovo" antispyware della Microsoft?

Bico Bico
09-01-2005, 21.53.09
Qui: http://www.wintricks.it/news1/article.php?ID=3432

non far caso al fatto che sia una BETA xchè il programma funziona perfettamente, essendo stato sviluppato dalla Giant. A quanto pare l'unica modifica che la MS ha apportato all'applicativo è il logo, rimpiazzato con quello della casa di Redmond.

;)

Lionsquid
10-01-2005, 00.56.24
il problema sta nel solo fatto che probabilmente NON operi in modalità provvisoria e non hai attivato la piena visualizzazione dei file...

cerca anche nella cartella DOWNLOADED PROGRAM FILES e usa explorer alternativi a quello di win..
dentro quella cartella si annidano molti bastardi invisibili all'explorer ...

x Bico Bico

domattina proverò questo ex-Giant, ma non mi sembra che nel web godesse di molta popolarità e stima

mao
10-01-2005, 14.57.05
ho un problema analogo, dopo aver debellato molti virus e spywares, resta un unico problema:
grazie a Outpost è visibile una richiesta insistente di collegamento da parte di rundll32.exe all'ip 192.168.1.1 che è l'ip del modem di ALICE, su tutte le porte a partire da 1000+n con passi di per n=n+1, che non riesco a rimuovere. Sia che lo blocchi, sia che lo lasci fare, cerca il collegamento col modem e scambia sempre la stessa quantità di dati.
Il punto è che non so che cosa faccia girare quell'istanza di rundll32, visto che neppure hijackthis mi dà voci "strane". Le uniche legate a run32dll.exe sono una che riguarda i driver della scheda video nvidia, e l'altra una cosa analoga che adesso non ricordo.

Any hints?

chiarisco: il pc funziona, naviga bene, non si blocca più, però restano questi tentativi di connessione.

Lionsquid
10-01-2005, 15.57.50
alcuni trojan usano creare un'exe con il nome di servizi Nvidia... prova a disattivarli in mod. provvisoria e vedi che accade ;)

mao
10-01-2005, 16.13.14
ah, ecco... proverò quando avrò di nuovo quel pc sottomano.

Arthur85
10-01-2005, 19.17.59
Ho fatto come mi hai detto e sono riuscito a risolvere il problema...grazie...
Per quanto riguarda il software Microsoft...ho dovuto disinstallarlo perchè mi rallentava un mucchio il computer...


Ciao
ciao