Malaware (forse)

[Lum]

Da un paio di settimane ho un problemino che mi si ripresenta tutti i giorni.Explorer mi si apre a caso andando su siti sconosciuti, pagine inesistenti, download di antivirus e così via. A volte (più di rado) mi succede anche con Firefox.Se faccio fare una scansione a Adaware, mi trova sempre gli stessi due oggetti incriminati:- MRU List- Tracking CookiePer quanto li cancelli, dopo 10 minuti stanno lì un'altra volta. Che posso fare in questo caso?

[SteMI1984]

I tracking cookie sono una cosa "normale" se si usa Internet Explorer, mentre le liste MRU stanno per "Most Recently Used", e sono degli elementi abbastanza comuni. Oltre a Ad-Aware, suggerirei di fare una scansione con spybot S&D, con lo "Strumento di rimozione malware" e con l'antivirus. L'apertura non provocata dall'utente di IE o di Firefox verso siti sconosciuti può probabilmente essere indotta da un eseguibile sospetto in esecuzione in background e caricato ad ogni avvio di Windows, cosa di cui Ad-Aware non si occupa.

[Lum]

Faccio regolarmente scansioni con Avast, ma non ha trovato niente, ora provo con lo Spybot.Cmq ci terrei a precisare che io IE non lo uso praticamente mai, solo per testare la compatibilità dei siti che faccio o in casi di estrema necessità

[Lum]

Ancora non riesco a risolvere il problema, anche se devo dire che le aperture incontrollate sono diminuite.C'è un file che Spybot non riesce a cancellarmi, ossia C:/WINDOWS/systerm32/pmkhg.dllE Adaware continua a trovare le stesse cose (a questo punto mi viene da pensare che siano legate alla .dll)Inoltre, e non so se questo si può ricollegare a questi malaware, il pc ha la brutta abitudine di riavviarsi da solo. O meglio, mi fa apparire una schermata blu e poi mi tocca riavviare a mano... I motivi cambiano spesso, l'ultimo è stato per "memory_managment". A volte dopo il riavvio mi compare una schermata d'errore, a volte no... Che si può fare?

[SteMI1984]

Spybot ha visto bene (avast invece non è stato molto accurato, purtroppo)Quella DLL sembra corrispondere ad un trojan chiamato "trojan.vundo". Non saprei dirti se le schermate di errore siano direttamente causate da problemi di accesso alla memoria generati da quella libreria (anche se a mio avviso è probabile).Da quello che leggo, è un trojan piuttosto difficile da rimuovere; su google però sono presenti diversi link che contengono remover più o meno efficaci, oppure soluzioni manuali per rimuovere quel file dannoso

[lux]

scarica questo file, estrailo (è un unico file) ed eseguilo (http://swandog46.geekstogo.com/avenger.zip), dopodiché selezione MANUALLY, clicchi sulla lente di ingrandimento e copi questa pappardella all'interno:registry keys to delete:HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}HKEY_CURRENT_USER\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}HKEY_CLASSES_ROOT\CLSID\{821F87FF-8245-4972-9E28-732E92EC2F51}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{821F87FF-8245-4972-9E28-732E92EC2F51}Files to delete:C:\WINDOWS\System32\icz.dllC:\WINDOWS\System32\pmkhg.dllFolders to delete:C:\Programmi\VSToolbarC:\Programmi\Gemeinsame Dateien\{B8047B47-072F-1031-1028-040501110031}C:\Documents and Settings\%Username%\Application data\SearchToolbarCorpdopodiché eseguilo attraverso il pulsante con l'icona del semaforo, facci sapere :)EDIT:script automatico per la versione Vundo del trojan (sono tutti freeware):- http://www.atribune.org/ccount/click.php?id=4- http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe

[Lum]

Aggiornamento sulla situazione.A quanto pare il problema non era della .dll, che con i consigli di Lux è sparita, ma era dentro al simpatico Smitfraud-C. Toolbar888 che non se ne voleva andare.Ho googlato un po' e ho trovato un fix, ma dopo una pultina con CCleaner ho ripassato Spybot e è ancora là, anche se a dire il vero c'è un solo file al posto dei 7/8 di prima. Per eliminare, lo elimina, ma mi chiedo se domattina non lo ritrovo di nuovo là.