PDA

Visualizza versione completa : maledetto master69.biz


devindoc
31-03-2005, 14.00.59
Mentre sono connesso
si apre, ad intervalli non regolari, una finestra che mi avverte della
connessione a www.master69.biz e qualsiasi cosa io faccia, terminare
l'applicazione, premere si, no o annullare, si aggiunge un collegamento aldesktop ad un eseguibile che si chiama "winmovieplugin" ed un link ad una pagina di "explorer"con impostata una pagina porno. Questi oggetti si aggiungono inoltre all'avvio veloce, a preferiti, a programmi.
Tutte le varie scansioni con antivirus (nod32 )ed i vari anti spy hanno fatto buca . agiungo comunque il log Hijackthis , sperando che un'anima buona mi dia lumi prima che sia costretto a formattare l' hard.
Grazie comunque
Logfile of HijackThis v1.99.1
Scan saved at 13.51.03, on 31/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Parallel Tasking\ptask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.ex e
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\SEC\MagicTune 2.5\GammaTray.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.master69.biz?1462
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programmi\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [Schedulatore di FinePrint v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.ex e"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NitroBOOT] C:\Programmi\NitroBOOT\NitroBOOT.exe -b
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe

dave4mame
31-03-2005, 14.23.24
zappa sicuri questi 4:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.master69.biz?1462

O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net

e questi 2 dopo aver backuppato

O17 - HKLM\System\CCS\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1

crazy.cat
31-03-2005, 14.30.57
Prova con questo antispyware, l'aggiornamento devi farlo a mano dal secondo link
Spycleaner free (http://www.backup.tc/downloads/FreeSpywareScanner9.5.exe) Pagina degli update (http://spycleaner-gold.com/dbupdate.php)

Cancella anche tutti i file temporanei di internet e queste righe sono abbastanza strane lanciate da quella posizione.
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe

Dopo le pulizie,installa Spywareblaster e abilita tutte le protezioni che offre.
Anche un buon firewall installato come sygate serve molto.

Pochi giorni fa abbiamo risolto così
http://www.megalab.it/forum/viewtopic.php?t=12850

queste 2 sono buone, se fai la scansione con Ie aperto ti mostra il tuo indirizzo e quello del server.
O17 - HKLM\System\CCS\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1

devindoc
31-03-2005, 15.37.06
Grazie per la più che veloce risposta ( quasi in tempo reale ). Al momento ho eliminato i su indicati files ed ho istallato spywere blaster attivandone tutte le protezioni .
francamente per mia ignoranza non ho capito il suggerimento finale di crazy.cat :

queste 2 sono buone, se fai la scansione con Ie aperto ti mostra il tuo indirizzo e quello del server.
O17 - HKLM\System\CCS\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1

Se mi si aiuta a capire potrò seguire meglio l'andamento di questa operazione .
Vi sapro' sapere e nel caso romperò ancora.
Grazie ! grazie! grazie!

dave4mame
31-03-2005, 15.44.22
voleva dire che, diversamente a quanto ipotizzavo io (che ti proponevo di farle fuori, siappure dopo averle backuppate), quelle sono "buone" :)

devindoc
31-03-2005, 15.54.22
le ho restorate infatti.
tutto al momento tace ma conoscendo quanto è subdola questa schifezza che compare anche dopo un paio di ore di inattività sono in attesa .

devindoc
31-03-2005, 16.52.38
In questo momento è puntualmente ricomparso il master69.biz e conseguente
winmovieplugin , in barba a tutte le protezioni attivate. allego il solito log che tuttavia dovrebbe essere identico al precedente.
Resto in attesa del responso dei guru :

Logfile of HijackThis v1.99.1
Scan saved at 16.49.53, on 31/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Parallel Tasking\ptask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.ex e
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\SEC\MagicTune 2.5\GammaTray.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\dtemp\DTemp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.master69.biz?1462
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programmi\Parallel Tasking\ptask.exe
O4 - HKLM\..\Run: [Schedulatore di FinePrint v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programmi\Acronis\TrueImage\TrueImageMonitor.ex e"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NitroBOOT] C:\Programmi\NitroBOOT\NitroBOOT.exe -b
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0827ADB0-2B14-4E8B-A494-D3FC57AC3207}: NameServer = 85.37.17.11 151.99.125.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe

crazy.cat
31-03-2005, 18.41.17
Che programma è questo???
C:\dtemp\DTemp.exe

Continuano a rimanere strani questi due,è un servizi strano lanciato da quella posizione
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe

Che firewall hai installato????
Non mi dire quello di windows.

devindoc
31-03-2005, 19.00.22
dtemp è un simpatico programmino che tiene sotto controllo la temperatura dgli hard e la riporta sulla barra in basso a destra a fianco all'orologio di sistema . Sì il firewall è quello di xp , però in effetti il problema , secondo il mio parere, dovrebbe essere quello di estirpare questo accidente di plugin per poi magari prevenirlo con un più adeguato firewall .

crazy.cat
31-03-2005, 20.01.31
Leggendo questa discussione, sembra un bel caos l'eliminazione completa.

è saltato fuori più volte di cancellare questo file
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programmi\Parallel Tasking\ptask.exe

oltre a disabilitare il ripristino della configurazione e cancellare tutti i file temporanei di internet
Controlla la presenza di questi file o con nomi simili nel tuo pc.
italydldl1.exe,elitelta32.exe,elitetpd32.exe

devindoc
31-03-2005, 21.29.53
purtroppo comincio a perdere anche io la speranza di una eliminazione completa e sto carezzando l'idea della resa incondizionata con formattazione . Al momento passo e chiudo . Solo per inciso ho fatto una approfondita ricerca dei files su menzionati , ma pare che non ve ne sia traccia . Poiche domani per questioni lavorative non accenderò il PC per tutta la giornata Vi pregherei di non abbandonarmi ma continuare ad inviarmi preziosissimi consigli anche perchè l'unione fa la forza e non è detto che il maledetto master69.biz la vica su di noi.
Grazie comunque a tutti .

devindoc
03-04-2005, 07.37.16
Ho quasi paura a dirlo ma forse ci sono. Ho seguito tutto quanto descritto in precedenza ed in più ho eliminato , così come precedentemente detto :
O4 - HKLM\..\Run: [Parallel Tasking] C:\Programmi\Parallel Tasking\ptask.exe
ed udite , udite , udite da ieri (Pc acceso e connesso per prova oltre le 12 ore ) non è più comparso il maledetto !!!!
Questo post di chiusura è di doveroso ringraziamento a quanti hanno fattivamente partecipato al mio problema.
Grazie!