strane finestre che si aprono da sole... ma perch!?!?!!?

[Dylan666]

ha funzionato ma devi vedere anche gli effetti che può avere e quello che aggiunge

A me il log dopo pare pulito...

[toni84]

Dylan che dirti,a me cosa importa dire queste cose?niente,mica lo dico per far dispetto a te,lo dico per semplice informazione poi ognuno fa quello che vuole ci mancherebbe io nemmeno posso scaricarlo quel file appunto perchè me lo bloccano subito,ciao ciao

[Dylan666]

Io non ce l'ho con te, accolgo la tua teoria ma mi servirebbe che fosse supportata da fatti. Una utente mi dice che pure a lei il tool viene segnalato da rimuovere, ma ha ignorato l'avviso e il logo dopo appare pulito. Che dire? Che magari è vero che lì per lì cerca di connettersi col suo sito, ma è pure vero che dopo di tracce non ne lascia...

Cosa posso riassumere in conclusione? Che se c'è una connessione a internet del tool di rimozione decidete voi se ignorarla o magari bloccarla da firewall, ma di fastidi e tracce di malware dopo non sembra che ce ne siano.

[toni84]

Non hai capito bene l'eseguibile che scarichi cioè l'unistaller è infetto,poi ognuno faccia come meglio crede io resto della mia teoria,io avevo letto quella pagina,ho letto anche tutto il contratto,per scaricare un unistaller si deve fare tutto quel macello accettare l'eula ecc ecc,così l'ho scaricato è guarda caso era infetto,ciao ciao

[Dylan666]

Ma che significato diamo a INFETTO? Cosa fa di male? Ripeto, al massimo mi puoi dire che si connette mentre lo esegui, ma dopo abbiamo visto che non ne rimane traccia.

[toni84]

Il significato di infetto per me è che gli antivirus e gli antispy lo danno come infetto ciao ciao

[Dylan666]

Ovviamente NON condivido

[toni84]

scusa come non condividi?una volta che 10 antivirus me lo danno come infetto cosa devo fare dire che non lo è?ciao ciao

[Dylan666]

Ma perché ti ostini a NON leggere quello che scrivo? Senza offesa ma pare che sia così... che farebbe di male l'uninstaller? Si connette al sito mentre leva lo spyware? E allora????????????

1) potrei eseguirlo off-line

2) potrei bloccarlo via firewall

3) potrei fregarmene

Una cosa è certa: la pulizia la fa e la fa bene e il log lo dimostra.
Poi magari il fatto della password e tutto il resto costringe a essere online e a sbloccare il firewall, ma tu lo sai per certo? Sai se le informazioni le raccoglie via cookie e magari basta svutarli affinché non possa rivelare nulla della mia navigazione? Sai se la DLL magari si occupa solo delle finestre e non di altro? NON lo sai. Ti viene segnalato un EXE come infetto ma non sai cosa fa a parte pulire il PC da uno spyware.
Io per onestà dico: la pulizia la fa e la fa bene. Non so se è indispensabile che si connetta al sito, potete provare e vedere se evitarlo. Comuqnue sarà l'ultima fastidio che vi causerà look2me.com

Tornando alla frase principale: il danno causato da un malware è soggettivo e dipende dai fastidi che ne derivano. Una finestra di un software che mi dice "danger" è la stessa sia per i virus che formattano il PC che per quelli che trasmettono il contenuto della mia history in IE e sono due cose ben diverse...

[toni84]

Ho capito,mando quel file in laboratorio e poi ti metto 40 e-mail di risposta delle case antivirus poi vediamo cosa aggiunge,dove si connette ecc ecc ciao ciao

[Dylan666]

poi vediamo cosa aggiunge

Non aggiunge nulla!!!!!!
Il log parla chiaro, non ci sono residui!!!!!!!!!!!!!
La connessione può essere bloccabile (forse) e trascurabile (forse).

Detto questo ognuno fa le sue scelte.

[toni84]

This is a report processed by VirusTotal on 11/09/2005 at 02:06:40 (CET) after scanning the file "UnInstaller.rar" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 11.08.2005 ADSPY/Zestyfind.B.1
Avast 4.6.695.0 11.07.2005 no virus found
AVG 718 11.03.2005 Adware Generic.GTS
Avira 6.32.0.6 11.08.2005 no virus found
BitDefender 7.2 11.09.2005 no virus found
CAT-QuickHeal 8.00 11.08.2005 AdWare.Zestyfind.b (Not a Virus)
ClamAV devel-20050917 11.07.2005 no virus found
DrWeb 4.33 11.08.2005 no virus found
eTrust-Iris 7.1.194.0 11.08.2005 no virus found
eTrust-Vet 11.9.1.0 11.08.2005 no virus found
Fortinet 2.48.0.0 11.08.2005 suspicious
F-Prot 3.16c 11.08.2005 no virus found
Ikarus 0.2.59.0 11.08.2005 no virus found
Kaspersky 4.0.2.24 11.09.2005 not-a-virus:AdWare.Win32.Zestyfind.b
McAfee 4623 11.08.2005 no virus found
NOD32v2 1.1280 11.08.2005 no virus found
Norman 5.70.10 11.08.2005 no virus found
Panda 8.02.00 11.08.2005 Adware/Look2Me
Sophos 3.99.0 11.09.2005 no virus found
Symantec 8.0 11.09.2005 no virus found
TheHacker 5.9.1.030 11.08.2005 Adware/Zestyfind.b
VBA32 3.10.4 11.08.2005 AdWare.Win32.Zestyfind.b

Nota che il file è zippato ma rilevato lo stesso,questo per me significa molto nei prossimi giorno avrai le e-mail di risposta che ti manderò in privato ciao ciao

[Dylan666]

Questo non è un DIA-logo è un MONO-logo. Sono 18 post che ti chiedo di giustificare il log e ancora non lo hai fatto... Quando me lo saprai spiegare manda tutti i MP che vuoi

Intanto cari utenti, io consiglio usare il tool e stare in guardia. Controllate sempre quello che rimane o non rimane sul PC con HijackThis alla mano e un occhio al firewall

[Dylan666]

Siccome mi è arrivato un MP con l'analisi di un antivirus lo ribadisco: non li voglio, non ci faccio nulla, non li ritengo utili, mi danno solo fastidio.

Ho provato a avviare l'unistaller e a avedere se mi lasciava residui così da poter far vedere log alla mano quello che succede in positivo o in negativo. Purtroppo il programma non rilevando il lo spyware sul mio computer non fa nulla, mi appare solo questa finestra:



Ora cercherò di trovare il modo di infettarmi con questo spyware così tagliamo la testa al toro

[toni84]

Dylan guarda che tu mi ha scritto di mandartele in privato,adesso cosa ti da fastidio?ho mandato il file ad analizzare ed hai letto tu stesso il fine rapporto adesso mi vuoi far credere che ti da fastidio?cosa ti da fastidio che ti si mette la verità davanti?non ti devi infettare dylan,gia lo sei ma da un altra "malattia" del sapere sempre tutto e dell'avere sempre ragione,impara a comportarti, i privati rimangono privati, mi potevi anche scrivere in privato di non mandarti niente non servono queste cose,ciao a mai più

[Dylan666]

Questo non è un DIA-logo è un MONO-logo. Sono 18 post che ti chiedo di giustificare il log e ancora non lo hai fatto... Quando me lo saprai spiegare manda tutti i MP che vuoi

Questo è quanto ti ho scritto circa gli MP e l'ho scritto in pubblico. Ma non hai fatto quanto avevo detto. Mi pareva di essere stato chiaro che non me ne facevo nulla... Non volevo essere brusco, ma cosa mi significa 1, o 2, o 10 MP in cui mi incolli "The file UnInstaller.exe belongs to the spyware of type adware detected as Adware/Look2Me"???
Ma che ha aggiunto qualcosa alla conversazione? Mi ha chiarito nulla? Mi ha spiegato come opera il file? Mi ha detto come mai il log che mi hanno fatto vedere è pulito? Mi ha informato sulla possibilità o meno di usare il tool off-line?

A me non dà fastidio essere smentito, ma devo avere PROVE.

Sono ora sono 22 post che dico: il log DOPO l'uso dell'uninstaller è pulito, se ci sono attività sospette durante il suo uso o credete che il suo utilizzo faccia peggio che meglio DATEMENE PROVA e vediamo che fare.

Una volta che mi ne dai prova sono pronto a concordare, smentire, integrare quanto dici. Ma incollare delle righe che dicono vuoti nomi non mi serve a nulla.

[toni84]

Dylan mi sa che ci senti solo ad un orecchio
te lo ridico,quello non è la scansione on-line è il file mandato in laboratorio,analizzato da persone con le palle e che poi mi hanno spedito il risultato,adesso vuoi smentire l'analisi fatta da persone esperte?se si ok allora hai ragione tu,per ora il discorso è chiuso anzi lo è per sempre,per essere precisi non sei stato brusco,ma non corretto,per la precisione di mp te ne ho mandato 1 solo,se ti dava fastidio me lo dicevi,ma va bene non fa niente,ciao ciao

[Dylan666]

La domanda rimane aperta: COSA FA l'unistaller?
La risposta ancora non c'è, nemmeno in quello che mi ha mandato via MP, che altro non è che un testo standard col link alla pagina generica di Look2Me:

http://www.pandasoftware.com/virus_info ... irus=49552

Lo vuoi sapere come funziona l'antivirus dei signori con gli attrubuti?
Si basa sull'analisi di certe stringhe di dati. In pratica basta anche solo che scrivi in un file "Look2Me" (o uno dei file di cui è composto) e ecco che te lo indica come infetto (sto semplificando, ma non troppo).
L'ho visto fare a Panda, al Norton, al Nod32, a AVG... sai quante segnalazione fasulle per i file log di HijackThis ho visto? Decine, decine di falsi allarmi semplicemente perché nel testo c'erano nominati file dannosi.

Esempio col McAfee:
http://www.pc-facile.com/forum/viewtopic.php?t=27976

Capita pure se usi un software di multi-clipping che tiene in memeoria il copia che hai fatto del log di uno infetto (manco ti dico quanto spesso mi capita con lo Yankee Clipper mentre analizzo i casi qui sul forum). Piano piano gli antivirus diventano più smaliziati, ad esempio escludono dall'analisi i file con contenuto NON attivo (tipo i LOG) ma ancora il margine di errore è ampio.

La scansione che hai fatto non è online ma il "laboratorio", prima di fare qualunque altra cosa, ha dato il file in pasto al loro antivirus per sapere se era già cataologato. Il Panda antivirus ha letto che l'uninstaller operava sui file del Look2Me e ne ha concluso che è uno spyware ad esso correlato. Probabilmente il risultato dell'analisi è stata collegata a un risponditore automatico che ti ha mandato la mail. Ecco come funziona l'avanzatissimo laboratorio di analisi.

[andy79]

Scusate se mi intrometto nella diatriba, che peraltro per me è un pò troppo tecnica.Ho seguito tutto il topic ed ho cercato di risolvere il mio problema, lo stesso di Stefi (finestre impazzite), ma non riesco a scaricare l'UnInstaller di Look2me che permette di cancellare questo famoso dll.
Mi dice che le mie impostazioni non me lo permettono. Visto che questa sembri essere l'unica soluzione, aldilà delle polemiche tecniche, vi chiedo come posso cambiare le mie impostazioni, visto che ho già provato abbassando al minimo la protezione del browser e disattivando i vari Spybot piuttosto che Spyware Doctor o Ad-aware.
Comunque allego anche il log di Hijackthis, tra le cui voci, peraltro, ritornano, anche dopo fixate, le 015, oltre chiaramente alla 020.
Grazie per l'attenzione.

Logfile of HijackThis v1.99.1
Scan saved at 12.07.11, on 10/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\System32\sysmon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Andrea\Desktop\antipopup\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [App.exe] app.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [tbon] C:\Programmi\TBONBin\tbon.exe /r
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/file ... _en_US.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - ftp://www.mapconsulting.it/ACTIVEXCAB/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0500334453
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://www.urbanisticaecasa.regione.laz ... ns/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A305CF7-987B-481E-BC86-A751AF385B86}: Domain = enterprise.ergnet.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A305CF7-987B-481E-BC86-A751AF385B86}: NameServer = 192.168.1.1
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\hrns0557e.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[Dylan666]

Qui consigliano due removal, guarda se ti funzionano:
http://www.tumbledry.org/issue/424/