L'insoportabile Adware.Look2Me

di **glen64** » 01/04/06 10:18

dopo vari tentativi con vari antiviruso non riesco a togliere questo file "Adware.Look2Me" presmo che sia questo il visrus che ogni 3 minuti mi apre finestre pubblicitarie, ho norton 2005, ho provato anche con ewido, ma nulla da fare
Qualcuno di voi mi puo' aiutare? oramai sono disperato.......... :cry:

Lo so che potrei formattarlo, ma è un pc uso lavoro, formattarlo vorrebbe dire ore di lavoro perse....

Grazie tantissime er chiunque mi aiuti... :cry:

di **fabrizius** » 01/04/06 11:26

ciao
,lo hai fatto anche in modalità provvisoria lo scan con Ewido?in molti casi lo elimina....comunque se non ci riesci posta un log hijackthis

di **fabrizius** » 01/04/06 11:27

PS:non ci pensare proprio a formattare,anche perché la rimuoveremo senza problemi quell'infezione...

di **glen64** » 01/04/06 14:49

Ti ringrazio molto!!!! Ecco il log, cmq ho provato anche in modalita provvisoria ma nulla da fare, lo trova lo elimina ma poi ricompare anche prima acceso il pc lo ha trovato di nuovo e sempre nel solito percorso in system32... lo elimina, e dopo tre secondi riecco il balzello delle finestre pubblicitarie che appaiono.

Logfile of HijackThis v1.99.1
Scan saved at 15.43.58, on 01/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\system32\rundll32.exe
c:\programmi\internet explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\wz9e9f\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: My 190.it.lnk = C:\Documents and Settings\Administrator\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{635DC5CB-A428-4EA0-9CAC-5F57DB5FDBD2}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DIFx - C:\WINDOWS\system32\enn6l15s1.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

di **Luke57** » 01/04/06 16:28

Ciao, metti l'eseguibile di hijackthis in una cartella del disco fisso, altrimenti il programma non fa il backup delle voci rimosse.
Poi segui queste istruzioni ( di Fabrizius) in questo link, riguardo all’uso di L2mfix:
http://www.pc-facile.com/forum/viewtopi ... sc&start=0
Dopo le procedure suddette, apri hijack this , clicchi “do a system scan only”, cerchi e metti il segno di spunta alle seguenti voci:
O20 - Winlogon Notify: DIFx - C:\WINDOWS\system32\enn6l15s1.dll
premi fix checked
Dalla modalità provvisoria, cerchi e se c'è elimini il file relativo:
C:\WINDOWS\system32\enn6l15s1.dll
Con l'uso di L2mfix il file dovrebbe essere sparito. Posta un nuovo log dopo le opwerazioni di rimozione.

di **glen64** » 01/04/06 17:31

azzzzzzz ho fatto come mi avete detto, ho eseguito come nel capitolo di L2mfix dopo la opzione 2 mi e sparito tutto dal video tranne le due finestre dei log poi non sapevo che fare e allora ho chiuso le finestre e poi!!!!!! non cera piu' nulla ne finestre ne barra di win
ho riavviato il pc e adesso non ho piu administrator al posto di quello ce come utente L2mfix e se metto la pass non la accetta!!!!

CHE DEVO FARE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

di **Luke57** » 01/04/06 20:03

Ciao, non so cosa sia successo. Personalmente non conosco il tool, ma nelle altre occasioni che è stato segnalato ha sempre funzionato. Aspetta che intervenga anche Fabrizius.

di **fabrizius** » 01/04/06 23:15

Ciao,
a dir la verità sembra strano che sia successa una cosa del genere,il tools se usato come si deve usare non causa nessun problema....comunque prova a fare cosi:
1/Fai clic su Start, scegli Tutti i programmi-->>Accessori-->>Utilità di sistema e fai clic su Ripristino configurazione di sistema. Viene avviato lo strumento Ripristino configurazione di sistema.
2/Nella schermata Ripristino configurazione di sistema seleziona-->> Ripristina uno stato precedente del computer, l'opzione puo essere già selezionata, e scegli Avanti.
3/Nella schermata di destra vedi che sono cliccabili solo i giorni scritti in grassetto-->>Seleziona un punto di ripristino(il piu recente prima del problema).Adesso sulla sinistra fai clic sul punto di arresto del sistema più recente di quel giorno che hai selezionato e scegli Avanti.
Se vien fuori un avviso con l'elenco delle modifiche che saranno applicate alla configurazione. Scegli OK.
4/Nella schermata Conferma selezione punto di ripristino, scegli Avanti. Verrà ripristinata la configurazione precedente di Windows XP e verrà riavviato il computer.
5/Adesso viene visualizzata la schermata Ripristino completato,scegli ok
e vedi se il problema é risolto

di **Luke57** » 02/04/06 18:03

glen64 ha scritto:azzzzzzz ho fatto come mi avete detto, ho eseguito come nel capitolo di L2mfix dopo la opzione 2 mi e sparito tutto dal video tranne le due finestre dei log poi non sapevo che fare e allora ho chiuso le finestre e poi!!!!!! non cera piu' nulla ne finestre ne barra di win
ho riavviato il pc e adesso non ho piu administrator al posto di quello ce come utente L2mfix e se metto la pass non la accetta!!!!

CHE DEVO FARE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Ciao, puoi postare un immagine della pagina Account utente?

di **lucas/s** » 02/04/06 23:57

net user L2MFIX Byebye11
La pass dovrebbe essere Byebye11

se non è bisogna chiederlo al creatore del tool che non è in linea

ciao

di **glen64** » 03/04/06 14:50

rieccomi qui!!!
Allora ho fatto come dice lucas/s, la pas era esatta sono entrato, ma la schermata di windows non è piu'ì quella che avevo di solito, e parecchie icone non ci sono piu'che devo fare? devo fare ripristino connfigurazioni? attendo vosto graditisssimo aiuto.

di **glen64** » 03/04/06 14:59

ora che ho girato un po vi spiego meglio la situazione, allora e come se avessi aperto un utente nuovo, il balzello delle finestre non capitano piu' (questo lo avevo notato anche quando sono entrqato con l'altro utente Non administrator) in poche parole sembra che il virus Adware.Look2Me abbia infettato solo l'aministratore, almeno penso io visto che qui non lo fa.
la cartella administrator ce ancora e riesco ad aprirla e li ce anche tutto quello che avevo nel desktop, pero prima voglio sentire un vostro parere

di **fabrizius** » 03/04/06 15:32

se adesso hai risolto i problemi credo che non serva piu il ripristino,basta solo reimpostare lo sfondo del desktop e al limite riposta un log per vedere se c'é ancora qualcos'altro da eliminare....

di **glen64** » 03/04/06 15:35

Ma allora devo rimannere come utente L2MFIX? ed aministrator che faccio?

di **lucas/s** » 03/04/06 16:11

No no quello serve per creare un account con poteri superiori a quelli normali,alla fine il tool elimina l'account,hai ancora L2MFIX(programma)?se si avvialo ed esegui l'opzione 4
Quindi esegui il file l2mfix.bat
Ti si apre la finestra prompt
Adesso digita 4
Invio
Alla fine riavvia il pc,dovresti aver risolto
Ciao

di **glen64** » 03/04/06 16:34

ok fatto!!!!!! :lol:

pero mi escono due finesre appena acceso,

1) aplicazione non correttamente inizializata (0x0000135) clik per chiudere

2) finestra intitolata TrayApp .... Please wait while windows configures TrayApp Poi si apre un'altra finestra sempre intitolata TrayApp e mi dici The faeture yoy are trying use is on a CD/ROAM or other removable disck that is no avaiable sotto ce uno spazzio con scritto 1...

Questa finestra la posso togliere solo con il ctrl-alt-canc e faccio termina.. altrimenti non si toglie.. che devo fare?

PS sembraq per il momento che non si aprono finestre a sorpresa...