Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Malaware TBUpdater.dll

2 pages: [1] 2
Malaware TBUpdater.dll Opzioni
Topic Precedente · Topic Sucessivo
proximo
Inviato: Saturday, July 20, 2013 5:06:20 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
Salute, ho una domanda da porvi, da qualche settimana ogni volta che accendo il PC mi appare una finestrella che richiede un file dll, per la precisione:

"errore durante l'avvio di C:\Program Files (x86)\HomeTab\TBUpdater.dll, impossibile trovare il modulo specificato" e la stessa finestrella mi appare ogni 5 ore circa.

Ho analizzato il pc con diversi programmi spybot compreso ma il problema persiste, viene identificato come malaware ma spybot non riesce a cancellarlo mentre gli altri non lo vedono proprio. Ho già usato sia Wise Care 365 che Wise Registry Cleaner per pulire il registro.
Sapete come posso eliminarlo? Vi ringrazio anticipatamente.


Vi inserisco anche il log di HijackThis:

Running processes:
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Program Files (x86)\n52te\razerhid.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe
C:\Program Files (x86)\n52te\razertra.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\user\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\user\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:21320
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Jomantha] C:\Program Files (x86)\n52te\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files (x86)\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files (x86)\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O15 - Trusted Zone: *.clonewarsadventures.com
O15 - Trusted Zone: *.freerealms.com
O15 - Trusted Zone: *.soe.com
O15 - Trusted Zone: *.sony.com
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} - http://support.asus.com/select/asusTek_sys_ctrl3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2B9DCC3-AE3D-4E92-9803-CBA48DA72DC2}: NameServer = 213.133.224.5,208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ASUS Com Service (asComSvc) - Unknown owner - C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe
O23 - Service: ASUS HM Com Service (asHmComSvc) - ASUSTeK Computer Inc. - C:\Program Files (x86)\ASUS\AAHM\1.00.17\aaHMSvc.exe
O23 - Service: ASUS System Control Service (AsSysCtrlService) - Unknown owner - C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.11\AsSysCtrlService.exe
O23 - Service: AsusFanControlService - ASUSTeK Computer Inc. - C:\Program Files (x86)\ASUS\AsusFanControlService\1.00.17\AsusFanControlService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Integrated Clock Controller Service - Intel(R) ICCS (ICCS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Integrated Clock Controller Service\ICCProxy.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Wacom Professional Service (WTabletServicePro) - Wacom Technology, Corp. - C:\Program Files\Tablet\Wacom\WTabletServicePro.exe
Torna in alto
 
Sponsor
Inviato: Saturday, July 20, 2013 5:06:20 PM

 
Torna in alto
 
cbbusto
Inviato: Saturday, July 20, 2013 6:45:40 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Della voce che citi non c'è traccia, il log è a posto.
Devi aggiornare il Service Pack.

Fai questa scansione vediamo cosa trova.
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante "Elimina", non cliccare su Cerca.
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.
Ciao
Torna in alto
 
proximo
Inviato: Saturday, July 20, 2013 10:43:56 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
Ciao Cbbusto, ecco il log:

# AdwCleaner v2.306 - Logfile creato il 20/07/2013 alle 22:41:32
# Aggiornamento 19/07/2013 by Xplode
# Sistema Operativo : Windows 7 Ultimate (64 bits)
# Utente : user - USER-PC
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Users\user\Downloads\adwcleaner.exe
# Opzioni [Elimina]


***** [Servizi] *****


***** [File / Cartelle] *****

Eliminato al riavvio : C:\ProgramData\Ask
Eliminato al riavvio : C:\ProgramData\Premium
Eliminato al riavvio : C:\ProgramData\Tarma Installer

***** [Registro] *****


***** [Browser Internet] *****

-\\ Internet Explorer v8.0.7600.16385

[OK] Registro Pulito.

-\\ Mozilla Firefox v21.0 (it)

-\\ Google Chrome v28.0.1500.72

-\\ Opera v [Impossibile rilevare la versione]

*************************

AdwCleaner[R3].txt - [1041 octets] - [20/07/2013 18:13:32]
AdwCleaner[S3].txt - [1120 octets] - [20/07/2013 18:14:04]
AdwCleaner[S4].txt - [905 octets] - [20/07/2013 22:41:32]

########## EOF - C:\AdwCleaner[S4].txt - [964 octets] ##########
Torna in alto
 
r16
Inviato: Saturday, July 20, 2013 11:26:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Non credo che il problema sia risolto.

Servono 2 scansioni:

1)Scarica SystemLook sul desktop:

http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Doppio clic su SystemLook.exe per avviarlo
Copia e incolla il seguente codice nella schermata principale

Code:
:regfind
TBUpdater

:dir
C:\Program Files (x86)\HomeTab


Clicca Look e aspetta il log che si aprirà sul desktop.
Postalo qui.

2)Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 8:03:08 AM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
Ciao R16

SystemLook 30.07.11 by jpshortstuff
Log created at 07:52 on 21/07/2013 by user
Administrator - Elevation successful

========== regfind ==========

Searching for "TBUpdater"
No data found.

========== dir ==========

C:\Program Files (x86)\HomeTab - Unable to find folder.

-= EOF =-



OTL.Txt

Extras.Txt
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 1:46:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Secondo i log postati, non esiste una chiave o una cartella che riporta quel errore.

Commenta:
viene identificato come malaware ma spybot non riesce a cancellarlo


Potresti per cortesia indicarmi con precisione il percorso completo che ti indica spybot ?
Quel file, (TBUpdater.dll) appartiene a un dirottatore chiamato "Browser Updater" oppure al software Comodo. (la cartella HomeTab)
In passato (o recentemente) hai installato Comodo antivirus, o Comodo Firewall?

Rendi visibili le cartelle e i file nascosti seguiendo le istruzioni di questo link: (per Windows 7)
http://aranzulla.tecnologia.virgilio.it/visualizzare-file-e-cartelle-nascoste-su-windows-14968.html

Vediamo se RougeKiller riesce a localizzarlo:

Scarica RougeKiller sul desktop.

http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe

Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui Come hai fatto con OTL.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 6:27:21 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
_S_07212013_180451.txt]RKreport[0]_S_07212013_180451.txt

Oggi sembra che spybot sia riuscito a cancellarlo oltre che individuarlo. Prima lo vedeva solo ma non si riusciva ad eliminare. Il problema però rimane perchè molto probabilmente il malaware è stato reso inoffensivo (credo) ma la finestrella di "errore durante l'avvio di C:\Program Files (x86)\HomeTab\TBUpdater.dll, impossibile trovare il modulo specificato" continua ad aprirsi e forse è rimasto ancora qualcosa da qualche parte che richiama il file.

Comodo antivirus o firewall su questo PC, che ricordi non l'ho istallato, non so se esiste qualcosa tipo anti-malaware sempre Comodo in quel caso potrebbe essere possibile dato che ho usate su questo pc diversi anti-malaware tra i + conosciuti. Ricordo che i problemi sono nati da un programmino che doveva cancellare le toolbar del pc ed in effetti le ha cancellate ma da quel giorno mi è apparsa questa finestrella, non so se perchè ha compiuto il lavoro a metà o se perchè ha anche messo qualcosa di suo..
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 7:05:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Riesegui RougeKiller
Finita la scansione:
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.

Commenta:
Il problema però rimane perchè molto probabilmente il malaware è stato reso inoffensivo

E' così.
Solo che è rimasta una chiave che lo vuole riavviare, ma non trova i file.
Da qui ecco il messaggio all'avvio.
Oltretutto deve trattarsi di una chiave con un determinato valore (es: {E931DA1E-86C9-47A1-92E7-1D10CDC8C513}) e il problema è trovarla.
Un pò difficile se non si conosce il valore.
Commenta:
Ricordo che i problemi sono nati da un programmino che doveva cancellare le toolbar del pc ed in effetti le ha cancellate ma da quel giorno mi è apparsa questa finestrella,

Quel "Programmino" non ha fatto un buon lavoro.

Fammi sapere se RougeKiller, ha risolto il problema.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 7:25:13 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
_D_07212013_191842.txt]RKreport[0]_D_07212013_191842.txt

Non so se può aiutare ma l'ultima minaccia di malaware che riscontrava spybot e che è riuscito a cancellare corrispondeva a questo indirizzo:
SimplyTech.HomeTab: [SBI $A36EE241] Settings (Registry Value, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\newtab
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 7:27:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora questo cambia tutto.
Aspetta istruzioni.
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 7:36:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = about:newtab
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = about:newtab
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = about:newtab
IE - HKLM\..\SearchScopes\{76836674-812E-47AA-9F2C-0FD9CEACC165}: "URL" = http://u-search.net/?a=1&e=1&q={searchTerms}
IE - HKU\S-1-5-21-1130342032-323263337-2338452073-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=3&src=sp&cf=36356326-e064-11e1-ad67-bc5ff409391e&q={searchTerms}
IE - HKU\S-1-5-21-1130342032-323263337-2338452073-1000\..\SearchScopes\{231D1F2B-0537-4244-8CDE-A3C774DFB52D}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYIT&apn_uid=74316FA3-03E7-4FE0-869A-43FA91A0A062&apn_sauid=7108E751-56A3-4CE5-8106-9CC79D4DC128
IE - HKU\S-1-5-21-1130342032-323263337-2338452073-1000\..\SearchScopes\{76836674-812E-47AA-9F2C-0FD9CEACC165}: "URL" = http://u-search.net/?a=1&e=1&q={searchTerms}
IE - HKU\S-1-5-21-1130342032-323263337-2338452073-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = localhost:21320
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://u-search.net/?a=1&e=2&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"

:Files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[RESETHOSTS]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Posta il log.
Controlla se il problema è risolto.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 7:48:04 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
07212013_194205.log

Purtroppo la finestrella continua ad aprirsi.
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 7:50:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia SystemLook
Doppio clic su SystemLook.exe per avviarlo
Copia e incolla il seguente codice nella schermata principale


Code:
:regfind
Browser Updater
newtab


Clicca Look e aspetta il log che si aprirà sul desktop.
Postalo qui.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 7:54:56 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
SystemLook.txt
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 8:03:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vediamo se l'ho beccato il bastardo.

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B35E6DE-DC33-495D-BF5F-24B8461CB165}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Browser Updater]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Browser Updater\Browser Updater]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
"Start Page"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
"Start Default_Page_URL"=-

:commands
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Controlla se il problema persiste
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 8:18:49 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
Niente, appare ancora..

L'unico log lasciato però è questo: desktop.ini
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 8:48:44 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai una scansione con OTL seguendo gli stessi parametri che ho indicato nella prima scansione che hai eseguito.
Posta il log.

Poi:

Avvia SystemLook
Doppio clic su SystemLook.exe per avviarlo
Copia e incolla il seguente codice nella schermata principale

Code:
:regfind
Browser Updater
newtab
SimplyTech
HomeTab
{9B35E6DE-DC33-495D-BF5F-24B8461CB165}


Clicca Look e aspetta il log che si aprirà sul desktop.
Postalo qui.
Torna in alto
 
proximo
Inviato: Sunday, July 21, 2013 10:02:35 PM
Rank: Member

Iscritto dal : 7/20/2013
Posts: 17
OTL.Txt

SystemLook.txt
Torna in alto
 
r16
Inviato: Sunday, July 21, 2013 10:14:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
A mio avviso il valore responsabile del problema è questo:
{9B35E6DE-DC33-495D-BF5F-24B8461CB165}

Fai:
Start
Esegui
digita regedit e poi ok.
Si apre l'Editor del registro.

Clicca in alto su "Modifica" e poi su "Trova"...
Nel campo vuoto della finestra (Trova) copia incolla il valore:
{9B35E6DE-DC33-495D-BF5F-24B8461CB165}
E clicca Invio.

La ricerca dovrebbe portarti qui:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B35E6DE-DC33-495D-BF5F-24B8461CB165}]
"Path"="\Browser Updater\Browser Updater"
Elimina il valore e la "Path"="\Browser Updater\Browser Updater" (cliccaci sopra con il tasto destro e scegli Elimina.)
Se vedi anche la cartella Browser Updater oppurre la cartella con il valore {9B35E6DE-DC33-495D-BF5F-24B8461CB165} le elimini.


Conferma le eliminazioni.
Riavvia il pc. (è importante)

Controlla se il valore si è rigenerato.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Malaware TBUpdater.dll


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.