RICHFIND qualcuno mi aiuta?

[pippox]

non so come, mi sono ritrovato infestato da questo spyware..per fortuna che con tutta la spazzatura che installa io mi sono preso ben poco..ho il pc abbastamza protetto...NIS 2005-HijackThis-ad aware-xoftspy-CWShredder-ecc ecc tutti aggiornatissimi
purtroppo quando cancello i file "nocivi" mi si ripresentano sistematicamente alla scansione successiva (qualche secondo) ho rimosso dal registro i file incriminati manualmente ma si ripresentano subito dopo cancellati....i rimedi che ho trovato su google non mi hanno risolto un bel niente...ora chiedo a voi....
anche a te Dylan..che mi hai sempre tolto dai casini
grazie

[GAD]

Installa regcleaner, accendi in modalità provvisoria, accoppa tutti i processi dal taskmanager che paiono fuori standard (basati sui nomi). Con regcleaner togli dall'avvio automatico tutti i processi che non paiono standard (basati sul nome e sul path dei file). Ora che il pc ha l'avvio e la memoria pulita puoi fare una scansione con gli antispyware ed eliminare tutto. Elimina pure la cache di internet explorer (a mano, altrimenti alcuni file con la sola funzione elimina file rimangono) e pure i file che ci sono nella c:\document and settings\nome_utente\impostazioni locali\temp.
Al ravvio dopo dovresti trovare il pc completamente pulito, semmai riverifica se nei processi del taskmanager o nell'esecuzione automatica allo startup con regcleaner e' tornata qualche voce o se e' tutto ben puito, fai un'altraq scansione di verifica con gli antispyware e non dovresti piu' trovare niente

[pippox]

grazie mille proverò appena possibile a fare come dici...posto altri elementi...
ho trovato su system32 queste dll

Q11956328.dll

Q12164609.dll

Q11648156.dll

che un po' mi puzzano
poi sul registro
HKEY_LOCAL_MACHINE/software/microsoft/internet explorer/search
la chiave
SEARCHASSISTANT reg_sz http//www.richfind.com/ie
ed è quella chiave che cancello ma riappare dopo una frazione di secondo..

ho pulito tutto con regcleaner-adaware-spyware nuker-malware bouncer ecc ecc

ma come rimuovo la spazzatura faccio nuovamente la scansione e riappare tutto
ossignore!!!!!

[GAD]

Prova a postare l'elenco dei processi che ti girano , taskmanager->processi che ti dico cosa c'e' che non va.
Mi sa che ci sia un processo che parte all'avvio del computer e che ti riscrive la chiave quando tu spegni il pc. Quindi anche se cancelli la chiave o materiali vari manualmente mentre spegni il computer in verità vai a ripristinare la configurazione di sto programma per cui al riavvio dopo lui ricarica tutto come niente fosse. Per quello dicevo di controllare con regcleaner cosa parte al boot e di seguire le operaioni che ti avevo detto, cosi' cavi tutto cio' che ti puo' ricreare quei valori e quando cancelli i file niente ti dovrebbe piu' essere ricreato al secondo riavvio

[pippox]

perdona l'ignoranza....esiste un modo per copiare in maniera veloce tutti i processi? o devo farti uno screenshoot?
grazie

[GAD]

la cosa piu' veloce e' uno screenshot

[Dylan666]

se non hai uno spazio web poi metti lo in linea da qui:
http://imageshack.us/

Comunque HijackThis nei log mette anche i "Running process"
Io lo userei:
http://www.pc-facile.com/guide.php?t=111274

http://www.pc-facile.com/guide.php?t=148946

[Dylan666]

fai pure una ricerca così:
http://www.google.it/search?&q=RICHFIND+remove

[pippox]

caro Dylan

mando i log di HijackThis ?
va bene lo stesso?
ho provato con google in mille salse...in pratica pare che esistano varie forme di questo "spyware?"

con tutte le protezioni che ho è riuscito solo a modificarmi la pagina di avvio di explorer che con un po' di pazienza ho risolto smanettando nel registro...ora non mi da piu problemi ma ho trovato quelle dll misteriose su "sistem32" e quella chiave sul registro "www.richfind.com" che appare subito dopo che la cancelli....apparentemente il pc sembra andare bene...vorrei solo rimuovere questo maledetto spyware alla radice...tutti i softw che ho citato lo scovano e lo cancellano ma se riavvio la scansione....oplà...appaiono subito....fatemi sapere se vi va bene il log di HijackThis grazie mille ragazzi...

[pippox]

tra vedere e non vedere


Logfile of HijackThis v1.99.1
Scan saved at 18.51.28, on 06/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Yahoo!\Messenger\YPager.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\Programmi\Shareaza\Shareaza.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\regedit.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\XoftSpy\XoftSpy.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\EMCO Malware Bouncer\MalwareBouncer.exe
C:\Programmi\Spyware Nuker 2004\SWN2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Programmi\Norton Internet Security\ccEmFlSv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\NICOLA\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [THGuard] "C:\Programmi\TrojanHunter 4.1\THGuard.exe"
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1956b8e2403 ... 601_it.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5737202328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62ACC6C7-E32D-4116-8EDF-45AA5013F310}: NameServer = 85.37.17.16 151.99.125.1
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

[GAD]

Ci vedo poco quindi potrei aver saltato qualche linea ma mi pare che i processi che ti girano sotto siano sani (anche se ci potresti dare una pulita, ne hai parecchi!)
Chiudi tutti i programmi aperti e in hijackthis metti il check alla linea dove hai richfind poi fai un fix cheked, te lo dovrebbe sistemare.
Mi viene il dubbio che pero' potrebbe centrare anche Shareaza... non e' uno di quei client p2p che installa malware e quant'altro? (chiedo anche io a chi ne sa di piu' perche' un po' mi puzza)

[pippox]

shareaza non installa niente..quello che dici tu è Kazaa...

hijackthis non serve a niente (leggi gli altri post)

[GAD]

Andavo per teorie, so che anche exeem (altro p2p client) non installa niente ma ha dei banner pubblicitarei, se qualcuno li sfrutta e' un attimo iniettare link a roba malevola quindi chiedevo.

Fai una prova, chiudi tutti i programmi attivi e apri spybot(non farlo partire).
Dal taskmanager accoppi anche tutti i processi "explorer.exe"
ora fai partire spybot e ripulisci
al termine richiami il taskmanager ->nuova operazione e scrivi explorer.exe cosi' ti ricompare il desktop

[Dylan666]

Entro solo nel merito del log: pare pulito

[pippox]

a parte questa che è la chiave che non riesco a rimuovere

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/

e queste dll

Q11956328.dll

Q12164609.dll

Q11648156.dll

il resto è tutto ok....ho paura a cancellare queste dll che mi sembrano sospette...che dici?

[Dylan666]

Puoi semplicemente rinominarli in TXT e poi rimettere DLL se sono innocenti.
Oppure puoi spostarli temporaneamente su floppy, o creare un punto di ripristino e metterli temporaneamente nel cestino o in un'altra cartella.

Io rivaluterei l'ipotesi di cercare pagine di rimozione su Google

[pippox]

proverò a fare cosi con le dll

su google le ho provate tutte...ma tutti i sistemi di rimozione sono inefficaci...e soprattutto non so quale variante mi sono beccato io di questo spyware

[pippox]

ok...caro dylan
spostate le dll....rinominate....frugate...tracce di richfind a profusione...
eliminate...e come per magia...sparita quella chiave dal registro.....

penso di aver capito che crea delle dll che iniziano con Q su system32 e poi genera dei num casuali..
ora faccio la scansione con tutti i soft che ho....ma penso di essere riuscito ad eradicarlo....
quelle dll mi puzzavano un po'...ma mi serviva la mano di un esperto
grazie ancora..se ci sono novità vi faccio sapere

[Dylan666]

Figurati, grazie a te per aver lasciato la soluzione. Sarebbe interessante capire quelle DLL come venivano caricate, da quale chiave o file

[pippox]

non ne ho assolutamente idea...so solo che quelle dll mi "ancoravano" quella chiave di registro..
su google ho letto che combina un sacco di casini..installa toolbar che non togli neanche a martellate...cosi come pagine iniziali e chissà quant'altro...
per fortuna il mio pc è quasi blindato
per cui...nessuna toolbar, mi ha cambiato solo la pag iniziale ma con qualche frugatina sul registro e l'aiuto di qualche softw sono riuscito a risolvere...quindi attenzione alle dll che sono su system32 che iniziano con Q e a seguire una serie di numeri casuali....poi quella chiave di registro che non sparisce...spero di non avere altre tracce....
mah...

per la soluzione che ho lasciato mi sembra il minimo...tutto quello che so lo metto a disposizione (anche se poco) e poi dopo tutto quello che VOi avete fatto per me in questi anni....mi sembra il minimo
grazie ancora...