Help Pokapoka69.exe

[Kuma]

Al limite prova con la versione free di Outpost da questo link:

http://s43.yousendit.com/d.aspx?id=0TLBET6...D20P3GG738CD7DM

(gentilmente uploaded da Steve Fox)

e non navigare senza Firewall, altrimenti domani sarai qui con un nuovo log di Hijack con altri problemi

[Klaus82]

grazie ragazzi ora reinstallo sygate.

p.s ma nessuno di voi ha emule e quindi puo consigliare,poichè testato, un firewall che non dia troppo fastidio?!?

[Steve Fox]

Io ho eMule con ZA e non mi ha mai dato problemi

Se vuoi puoi installare outpost free come segnalato da kuma

[Kuma]

Io ho eMule con ZA e non mi ha mai dato problemi

Se vuoi puoi installare outpost free come segnalato da kuma

97793[/snapback]

Io pure HAi provato ad andare sulla home di Emule e seguire le procedure di settaggio per il firewall ???

[Klaus82]

ma che modem hai? io ho il dsl-300t e a questo punto mi sa che lo "scornacchiato" è lui!

p.s. provo outpost

[Steve Fox]

Non mi fare queste domande

Il modem di alice adsl 3.7 ...

[Klaus82]

so che no dovevo farla ma questo modem è una disperazione!

grazie mille ancora.

[Steve Fox]

No è che io delle periferiche modem e router non ne so praticamente nulla :P

[daysleeper15]

ho anch'io il problema segnalato da klaus82 ma il pokapoka indicato da norton è con il numero 1 e non 69.

la procedura descritta va bene anche per me?

i sintomi sono gli stessi: cmd.exe che prende tutta la cpu e virus trojan.elitebar rilevato e messo in quarantena.

ringrazio per eventuali consigli.

[dinop]

prova con le stesse procedure....

[Steve Fox]

No, evidentemente è diverso, le procedure descritte precedentemente sono per altri determinati virus

Postaci un log di Hijack così vediamo che problemi hai (segui il punto 9 in questa guida)

[dinop]

No, evidentemente è diverso, le procedure descritte precedentemente sono per altri determinati virus 

Steve, cerca di non postare cose "inesatte". Il malware pokapoka "non" è un virus, ma è un processo di EliteBar Adware, che come dice il nome è un adware.... Il numero finale è generato dalle sue varianti che causano però gli stessi effetti. La procedura per rimuoverle si riferisce sempre alla sua "radice", cioè : "EliteBar Adware"....

[daysleeper15]

No, evidentemente è diverso, le procedure descritte precedentemente sono per altri determinati virus 

Postaci un log di Hijack così vediamo che problemi hai (segui il punto 9 in questa guida)

111795[/snapback]

prima di tutto vi chiedo da nwb in questo forum perchè non mi funzionano i link dei post, il forum mi rimanda ad una pagina di errore.

poi mi complimento per la rapidità delle risposte, siete molto gentili e disponibili.

non conoscevo questo sito ma mi piace già molto!

avanti ora con il mio log da Hijack:

20051025_hijackthis.log

[Steve Fox]

daysleeper15 Dammi qualche minuto che ti analizzo il log

Dinop Apparte che non avevo letto il tuo messaggio prima del mio quindi poteva sembrare una contraddizione alla tua ... ma io non credo che debba eseguire tutti questi passaggi qui sotto ...

Comunque adesso vedo il log poi vediamo :P

P.S daysleeper15 non fare questi passaggi qui sotto eh?

Te lo dico subito che questi sono solo i primi passaggi  Poi finiti questi (falli tutti che me ne accorgo se non li fai  ) ce ne sono altri due belli sostanziosi e finito, BUONA FORTUNA!

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

Microsoft AntiSpy  (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster  (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

Scarica KillBox

__________________________________________________________________

In questa pagina di Kuma  puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità (<<<  SOLO SE HAI WINDOWS XP)

(NOTA: Questo eliminerà tutti i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Per disattivare il ripristino di configurazione del sistema:

Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

LISTA VOCI DA RIMUOVERE

C:\WINDOWS\etb\pokapoka69.exe

O4 - HKLM\..\Run: [Windows Spooler] C:\WINDOWS\system32\spoolsv32.exe

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O4 - HKLM\..\Run: [Windows DLL Host] C:\WINDOWS\system32\dllhost32.exe

O4 - HKLM\..\Run: [system service69] C:\WINDOWS\etb\pokapoka69.exe

________________________________________________________

Apri il task manager e se trovi questi processi, selezionalo e clicca su "Termina processo":

LISTA PROCESSI DA TERMINARE

pokapoka69.exe

dllhost32.exe

ntdll.exe

spoolsv.exe

Trova e se ci sono elimina questi files:

LISTA FILE DA ELIMINARE

pokapoka69.exe

dllhost32.exe

ntdll.exe

spoolsv.exe

_______________________________________________________

Elimina questi manualmente:

C:\Documents and Settings\Claudio\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-6f17fa3c.zip

C:\Documents and Settings\Claudio\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-6f17fa3c.zip

_______________________________________________________

Vai qui:

C:\Documents and Setting\nome utente tuo\Local Settings\Temporary Internet Files e svuota tutta la cartella

Apri Ccleaner e clicca su Avvia Cleaner

Estrai tutti file che sono dentro la cartella regseeker che hai scaricato e mettili in una nuova cartella creata da te poi apri RegSeeker e clicca su Languages/italiano e su Pulizia registro, procedi, clicca su select all una volta finito, selezionale tutte poi clicca col destra sopra una chiave selezionata in giallo e infine su elimina i valori selezionati

Ora avvia KillBox e incolla nella righetta questo percorso:

C:\WINDOWS\etb\pokapoka69.exe

poi clicca sulla crocetta rossa:

fai lo stesso però incollando questo nome:

C:\WINDOWS\Italy.exe

Infine (si fa per dire) portati su qui ed elimina manualmente la cartella in grassetto:

C:\WINDOWS\etb

___________________________________________

Start/Pannello di controllo/Installazione applicazioni.

seleziona Media Pass o Media Access o Media Gateway (quelli che ci sono) e clicca su Rimuovi

___________________________________________

Start/Esegui.../digita regedit e portati qui:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nel pannello di destra elimina se presenti queste stringhe: (click sopra col destro ed elimina

      "Media Access" = "%ProgramFiles%\Media Access\MediaAccK.exe"

      "Media Pass" = "%ProgramFiles%\Media Access\MediaPassK.exe"

      "Media Gateway" = "%ProgramFiles%\Media Gateway\MediaGateway.exe"

Portati qui ed elimina l'ultima parola di ogni riga: [dopo una quindicina di chiavi (sarebbero queste qui sotto) controllate, se vedi che non ce ne è neanche una salta questo passaggio e vai al successivo]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\LoaderX.EXE

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\MediaGateway.EXE

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{735C5A0C-F79F-47A1-8CA1-2A2E482662A8}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\ProgID

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\Programmable

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\TypeLib

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5E0D38-214B-4085-AD2A-D2290E6A2D2C}\VersionIndependentProgID

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\LocalServer32

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\ProgID

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\Programmable

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\TypeLib

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E5F0D38-214B-4085-AD2A-D2290E6A2D2C}\VersionIndependentProgID

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\ProxyStubClsid

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\ProxyStubClsid32

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00ADA225-EA6C-4FB3-82E8-68189201CCB9}\TypeLib

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\0\win32

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\FLAGS

      HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15696AE2-6EA4-47F4-BEA6-A3D32693EFC7}\1.0\HELPDIR

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MediaAccess.Installer

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MediaAccess.Installer\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MediaAccess.Installer\CurVer

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media Access

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Media Gateway

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

HKEY_LOCAL_MACHINE\SOFTWARE\Media Access

HKEY_LOCAL_MACHINE\SOFTWARE\Media Gateway

Finito questo passaggio, ora passiamo al prossimo

_________________________________________________________

Start/Esegui.../digita regedit

Vai qui:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nel pannello di destra elimina questa stringa:

      "ntdll"="ntdll.exe"

Esci dal registro di configurazione

_______________________________________________

96781[/snapback]

Ottimo!

Adesso fai girare questa tool (un antivirus per un solo virus ) in modalità provvisoria e prega che trovi qualcosa

Download diretto

____________________________________________________

Apri Internet Explorer, vai in Strumenti/Opzioni Internet.../Programmi/Ripristina Impostazioni Web...

____________________________________________________

Elimina la cartella in grassetto:

C:\Program Files\ISTbar

E dai preferiti, se presenti elimina questi siti:

# Fun & Games, drops numerous link files in this folder

# Going Places, drops numerous link files in this folder

# Living, drops numerous link files in this folder

# Shop, drops numerous link files in this folder

# Technology, drops numerous link files in this folder

_______________________________________________

Start/Esegui.../regedit

Vai qui:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

e dal pannello di destra elimina se presente:

"Bandrest" = "Never"

______________________________________________________

Portati in tutte queste chiavi ed elimina l'ultima parola di ogni riga se presente: (Se vedi che dopo una quindicina non le trovi neanche una, fermati e passa al prossimo passaggio)

HKEY_LOCAL_MACHINE\SOFTWARE\ISTbar

HKEY_CURRENT_USER\Software\ISTbar

HKEY_CLASSES_ROOT\ISTbar.BarObj

HKEY_CLASSES_ROOT\Pugi.PugiObj.1

HKEY_CLASSES_ROOT\Pugi.PugiObj

HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag

HKEY_CLASSES_ROOT\TestContentMatchControl1.ContentMatchTag.1

HKEY_CLASSES_ROOT\CLSID\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}

HKEY_CLASSES_ROOT\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}

HKEY_CLASSES_ROOT\CLSID\{5F1ABCDB-A875-46c1-8345-B72A4567E486}

HKEY_CLASSES_ROOT\CLSID\{771A1334-6B08-4a6b-AEDC-CF994BA2CEBE}

HKEY_CLASSES_ROOT\CLSID\{DC341F1B-EC77-47BE-8F58-96E83861CC5A}

HKEY_CLASSES_ROOT\CLSID\{FAA356E4-D317-42A6-AB41-A3021C6E7D52}

HKEY_CLASSES_ROOT\Interface\{0E704BA4-C517-4BE7-A1CD-C3FFDA1E1FFE}

HKEY_CLASSES_ROOT\Interface\{7B178417-3CDA-444F-94FF-312C0A3A78A8}

HKEY_CLASSES_ROOT\Interface\{7B9A715E-9D87-4C21-BF9E-F914F2FA953F}

HKEY_CLASSES_ROOT\Interface\{90CE74CC-788A-4A00-B38D-CBCA08CC9E8F}

HKEY_CLASSES_ROOT\Interface\{9388907F-82F5-434D-A941-BB802C6DD7C1}

HKEY_CLASSES_ROOT\Interface\{A36A5936-CFD9-4B41-86BD-319A1931887F}

HKEY_CLASSES_ROOT\Interface\{BF06DA8E-2BEB-4816-9BBD-F7625246E245}

HKEY_CLASSES_ROOT\Interface\{DC065FA6-08F9-4C50-99DC-275D16CFC5BD}

HKEY_CLASSES_ROOT\Typelib\{68BF4626-D66B-4383-A6AF-62E57E9B6CD4}

HKEY_CLASSES_ROOT\Typelib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}

HKEY_CLASSES_ROOT\TypeLib\{89A10D64-83BF-41A4-86A3-7AAF1F8F3D1B}

HKEY_CLASSES_ROOT\TypeLib\{8C752C5E-3C10-4076-AF0A-FFC69FA20D1B}

HKEY_CLASSES_ROOT\TypeLib\{CC257918-F435-4A33-8231-2B8195990CCA}

HKEY_CLASSES_ROOT\TypeLib\{DB447818-96B4-40DF-8A55-720DA496F514}

HKEY_CLASSES_ROOT\TypeLib\{E9A5B71C-093B-4F34-AF07-34FCA89BA0DF}

HKEY_CLASSES_ROOT\Component Categories\{00021494-0000-0000-C000-000000000046}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Uninstall\ISTbar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Uninstall\ISTbarISTbar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer

\Browser Helper Objects\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Internet Settings\ZoneMap\Domains\contentmatch.net

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

\{42F2C9BA-614F-47c0-B3E3-ECFD34EED658}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface

\{0985C112-2562-46F2-8DA6-92648BA4630F}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib

\{67907B3C-A6EF-4A01-99AD-3FCD5F526429}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\YSBactivex.Installer

_______________________________________________

Portati qui:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Dal pannello di destra elimina:

"Sys29" = "%System%\win[3 RANDOM LETTERS]32.exe

"kalvsys" = "%System%\kalv[3 RANDOM LETTERS]32.exe"

"etbrun" = "%System%\elit[3 RANDOM LETTERS]32.exe"

"antiware" = "%System%\elit[3 RANDOM LETTERS]32.exe"

"System Service[NUMBER]" = "%windir%\etb\pokapoka[NUMBER].exe"

______________________________________________________

Queste controllale TUTTE ed elimina l'ultima parola di ogni riga:

HKEY_CLASSES_ROOT\Interface\{DBF33E89-1784-42AC-ADE4-A428F56550A3}

HKEY_CLASSES_ROOT\Interface\{A9B28EF6-ABF3-463B-A3D8-4D0D0BADFADC}

HKEY_CLASSES_ROOT\Interface\{a74cd7de-ea6f-11d4-abf3-000102378429}

HKEY_CLASSES_ROOT\Interface\{276B0903-EB4B-46FF-8304-F093DEF69DE7}

HKEY_CLASSES_ROOT\Interface\{4AFF987A-773B-48E4-AEE8-08EBDDBDADF8}

HKEY_CLASSES_ROOT\Interface\{CAAB3B3F-E815-47D9-94FD-8BB9143C0077}

HKEY_CLASSES_ROOT\Interface\{ED646219-20BF-41E5-80FD-EE49021DA599}

HKEY_CLASSES_ROOT\TypeLib\{a74cd7dd-ea6f-11d4-abf3-000102378429}

HKEY_CLASSES_ROOT\TypeLib\{CA9FC31A-6F35-4493-B629-E64BD6170A17}

HKEY_CLASSES_ROOT\TypeLib\{8AA59E15-6E81-415C-B299-1ADFB50C8E1A}

HKEY_CLASSES_ROOT\CLSID\{02C20140-76F8-4763-83D5-B660107BABCD}

HKEY_CLASSES_ROOT\CLSID\{0A1D22C3-37BE-470C-9C29-E3074EE0574B

HKEY_CLASSES_ROOT\CLSID\{BE8D0059-D24D-4919-B76F-99F4A2203647}

HKEY_CLASSES_ROOT\CLSID\{A74CD7DD-EA6F-11D4-ABF3-000102378429}

HKEY_CLASSES_ROOT\CLSID\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}

HKEY_CLASSES_ROOT\CLSID\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}

HKEY_CLASSES_ROOT\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}

HKEY_CLASSES_ROOT\CGBand.BHO

HKEY_CLASSES_ROOT\CGBand.BHO.1

HKEY_CLASSES_ROOT\CGBand.UICGBandObj

HKEY_CLASSES_ROOT\CGBand.UICGBandObj.1

HKEY_CLASSES_ROOT\CGBand.CGBandObj

HKEY_CLASSES_ROOT\CGBand.CGBandObj.1

HKEY_CLASSES_ROOT\PLOT.PlotCtrl.1

HKEY_CURRENT_USER\SOFTWARE\LQ

HKEY_CURRENT_USER\SOFTWARE\Winrar\File List

HKEY_CURRENT_USER\SOFTWARE\Winrar\Profiles

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}

HKEY_CURRENT_USER\SOFTWARE\ohbbackup\EliteToolBar

HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteSideBar

HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteToolBar

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\Explorer\Browser Helper Objects\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Explorer\Browser Helper Objects\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Uninstall\EliteBar Internet Explorer Toolbar

Esci dal registro di configurazione

_______________________________________________

Dimmi che non hai una barra di questo genere in cima ad Internet Explorer: ;)

E dimmi che non hai neanche quest'altra:

_______________________________________________

In teoria se non hai quella barra sarebbe finito, ripostami il log di hijack per un'ultima controllatina e ti do le ultime istruzioni

96822[/snapback]

[Steve Fox]

Ecco i passaggi da fare, sono molti di meno di quegli altri

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

Microsoft AntiSpy (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

LSPFix << Lascialo sul desktop per riprenderlo dopo quando te lo dico

__________________________________________________________________

In questa pagina di Kuma puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità (<<< SOLO SE HAI WINDOWS XP)

(NOTA: Questo eliminerà tutti i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Per disattivare il ripristino di configurazione del sistema:

Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

LISTA VOCI DA RIMUOVERE

O14 - IERESET.INF: START_PAGE_URL=http://companyweb << se lo conosci puoi non eliminarlo

O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) -h++p://server/connectcomputer/nshelp.dll

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O10 - Broken Internet access because of LSP provider 'c:\programmi\newdotnet\newdotnet6_90.dll' missing

Apri il task manager e se trovi questi processi, selezionalo e clicca su "Termina processo":

LISTA PROCESSI DA TERMINARE

ntdll.exe

nshelp.dll

Trova e se ci sono elimina questi files:

LISTA FILE DA ELIMINARE

nshelp.dll

etb <<< è una cartella

Vai qui: C:\WINDOWS\system32\ntdll.exe ed eliminalo, ma prima se vuoi fallo analizzare qui: http://www.virustotal.com/flash/index_en.html

e incollaci qui il rapporto

Sul Pannello di controllo/Installazione Applicazioni vedi se è installato: newdotnet, se sì allora disinstallalo

Ora vai qui ed elimina la cartella in rosso: c:\programmi\newdotnet

Ora avvia quel programma che ti ho detto di lasciare sul desktop

Ora puoi cliccare su Finish

Clicca su Start/Esegui...

Scrivi regedit

Dai l'invio

Portati in questa chiave/cartella:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nel pannello di Destra elimina questa stringa:

"ntdll"="ntdll.exe"

Esci dal registro di configurazione.

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker (Guida RegSeeker)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner (Guida Ccleaner)

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

[daysleeper15]

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

Microsoft AntiSpy  (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster  (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

LSPFix << Lascialo sul desktop per riprenderlo dopo quando te lo dico

__________________________________________________________________

In questa pagina di Kuma  puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità (<<<  SOLO SE HAI WINDOWS XP)

(NOTA: Questo eliminerà tutti i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Per disattivare il ripristino di configurazione del sistema:

Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

LISTA VOCI DA RIMUOVERE

O14 - IERESET.INF: START_PAGE_URL=http://companyweb << se lo conosci puoi non eliminarlo 

O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://server/connectcomputer/nshelp.dll

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O10 - Broken Internet access because of LSP provider 'c:\programmi\newdotnet\newdotnet6_90.dll' missing

Apri il task manager e se trovi questi processi, selezionalo e clicca su "Termina processo":

LISTA PROCESSI DA TERMINARE

ntdll.exe

nshelp.dll

Trova e se ci sono elimina questi files:

LISTA FILE DA ELIMINARE

nshelp.dll

etb <<< è una cartella

Vai qui: C:\WINDOWS\system32\ntdll.exe ed eliminalo, ma prima se vuoi fallo analizzare qui: http://www.virustotal.com/flash/index_en.html

e incollaci qui il rapporto

Sul Pannello di controllo/Installazione Applicazioni vedi se è installato: newdotnet, se sì allora disinstallalo

Ora vai qui ed elimina la cartella in rosso: c:\programmi\newdotnet

Ora avvia quel programma che ti ho detto di lasciare sul desktop e subito dopo averlo avviato puoi cliccare su Finish

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker (Guida RegSeeker)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner (Guida Ccleaner)

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

111802[/snapback]

solo per sicurezza visto che ho visto prima la raccomandazione di non fare nulla...

quanto sopra è per me vero?

[Steve Fox]

Yes, questo è tutto per te

P.S Quando hai fatto ripostami il log di Hijack così finiamo di occuparci del newdonet

[daysleeper15]

Yes, questo è tutto per te

P.S Quando hai fatto ripostami il log di Hijack così finiamo di occuparci del newdonet

111804[/snapback]

allego la scansione fatta su ntdll.exe

[daysleeper15]

Yes, questo è tutto per te

P.S Quando hai fatto ripostami il log di Hijack così finiamo di occuparci del newdonet

111804[/snapback]

allego la scansione fatta su ntdll.exe

This is a report processed by VirusTotal on 10/25/2005 at 12:46:48 (CET) after scanning the file "ntdll.exe" file.

Antivirus Version Update Result

AntiVir 6.32.0.6 10.24.2005 TR/Drop.Agent.QZ

Avast 4.6.695.0 10.24.2005 no virus found

AVG 718 10.24.2005 ropper.Agent.HG

Avira 6.32.0.6 10.24.2005 TR/Drop.Agent.QZ

BitDefender 7.2 10.25.2005 Dropped:Application.Elitebar.A

CAT-QuickHeal 8.00 10.24.2005 TrojanDropper.Agent.qz

ClamAV devel-20050917 10.21.2005 no virus found

DrWeb 4.32b 10.23.2005 Trojan.MulDrop.2697

eTrust-Iris 7.1.194.0 10.25.2005 Win32/Betalire.A!Dropper

eTrust-Vet 11.9.1.0 10.25.2005 Win32.Betalire.A

Fortinet 2.48.0.0 10.25.2005 Adware/Agent

F-Prot 3.16c 10.24.2005 no virus found

Ikarus 0.2.59.0 10.24.2005 no virus found

Kaspersky 4.0.2.24 10.24.2005 Trojan-Dropper.Win32.Agent.qz

McAfee 4611 10.24.2005 potentially unwanted program Adware-EliteBar

NOD32v2 1.1264 10.24.2005 Win32/TrojanDropper.Agent.QZ

Norman 5.70.10 10.24.2005 W32/Agent.GSK

Panda 8.02.00 10.24.2005 Bck/Agent.AHW

Sophos 3.98.0 10.25.2005 no virus found

Symantec 8.0 10.24.2005 no virus found

TheHacker 5.8.4.127 10.24.2005 Trojan/Dropper.Agent.qz

VBA32 3.10.4 10.24.2005 Trojan-Dropper.Win32.Agent.qz

[Steve Fox]

Grazie mille per i risultati

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Con la funzione Cerca trova ed elimina se ci sono questi file e cartelle:

xud2f.dll

xud_63.dll

xud_62.dll

nt_hide61.dll

nt_hide62.dll

nt_hide63.dll

pokapoka61.exe

pokapoka62.exe

pokapoka63.exe

Questi devono finire per .exe o .dll altrimenti non eliminarli:

protector

system

msnmgr

mdm

lsass

spoolsv

iexplore

idle

csrss

smss

svchost

pokapoka

temp

test

vmware

[Steve Fox]

1° Passo

- Vai su Risorse del Computer

- Doppio click su: C

- Apri la cartella Program Files

- Apri la cartella NewDotNet (se non c'è passa direttamente al Passo 2)

- Doppio click su uninstallX_XX.exe per avviare la disinstallazione. (X_XX sta per indicare il numero della versione)

- Elimina la cartella NewDotNet

- Riavvia il sistema

Passo 2

- Vai su Risorse del Computer

- Doppio click su: C

- Apri la cartella Windows o Winnt

- Trova e fai doppio click su NDNuninstallX_XX.exe per avviare la disinstallazione (X_XX sta per indicare il numero della versione)

- Se non è ancora completamente rimosso passa al Passo 3

-Riavvia il sistema

Passo 3

- Scarica questo programma: http://www.new.net/support/uninstall6_90.exe

- Salva il file scaricato uninstall6_90.exe su un floppy

- Lascia il floppy inserito

- Clicca su Start

- Clicca su Esegui...

- Nella riga dove puoi scrivere incollaci: A:\uninstall6_90.exe

- Riavvia il sistema

[daysleeper15]

alt alt alt un momento!

non ho ancora eseguito tutto quanto indicato nella prima procedura che mi hai indicato.

nel frattempo ho analizzato il file ntdll.exe solo pensando di portarmi avanti con il lavoro.

se la scansione dovevo farla esattamente dopo aver fatto quanto detto prima di questa operazione allora devo rifare la scansione perchè comincio ora dall'inizio.

scusate ma vorrei evitare di fare casini... quindi ci vado calmo.

[Steve Fox]

Fai con calma, il file ti avevo detto di analizzarlo solo se potevi o volevi

Prima segui la prima procedura dopo averla stampata ed essere andato in modalità provvisoria ecc... poi dalla normale segui queste altre due procedure che ti ho scritto adesso

[daysleeper15]

gra :leggi: zie

[daysleeper15]

Ecco i passaggi da fare, sono molti di meno di quegli altri

Prima di procedere devi scaricarti i seguenti programmi: (installali tutti e quelli che lo richiedono, AGGIORNALI)

Microsoft AntiSpy  (Antispy - Real Time)

Spybot 1.4 (Antispy)

Ad_Aware (Antispy)

CwShredder (Protezioni)

SpyWare Blaster  (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

LSPFix << Lascialo sul desktop per riprenderlo dopo quando te lo dico

__________________________________________________________________

In questa pagina di Kuma  puoi leggere una breve guida su Hijack

Esegui queste operazioni >>> (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità (<<<  SOLO SE HAI WINDOWS XP)

(NOTA: Questo eliminerà tutti i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Per disattivare il ripristino di configurazione del sistema:

Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

LISTA VOCI DA RIMUOVERE

O14 - IERESET.INF: START_PAGE_URL=http://companyweb << se lo conosci puoi non eliminarlo 

O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) -h++p://server/connectcomputer/nshelp.dll

O4 - HKLM\..\Run: [Windows Installer] C:\WINDOWS\system32\ntdll.exe

O10 - Broken Internet access because of LSP provider 'c:\programmi\newdotnet\newdotnet6_90.dll' missing

Apri il task manager e se trovi questi processi, selezionalo e clicca su "Termina processo":

LISTA PROCESSI DA TERMINARE

ntdll.exe

nshelp.dll

Trova e se ci sono elimina questi files:

LISTA FILE DA ELIMINARE

nshelp.dll

etb <<< è una cartella

Vai qui: C:\WINDOWS\system32\ntdll.exe ed eliminalo, ma prima se vuoi fallo analizzare qui: http://www.virustotal.com/flash/index_en.html

e incollaci qui il rapporto

Sul Pannello di controllo/Installazione Applicazioni vedi se è installato: newdotnet, se sì allora disinstallalo

Ora vai qui ed elimina la cartella in rosso: c:\programmi\newdotnet

Ora avvia quel programma che ti ho detto di lasciare sul desktop

Ora puoi cliccare su Finish

Clicca su Start/Esegui...

Scrivi regedit

Dai l'invio

Portati in questa chiave/cartella:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Nel pannello di Destra elimina questa stringa:

    "ntdll"="ntdll.exe"

Esci dal registro di configurazione.

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker (Guida RegSeeker)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner (Guida Ccleaner)

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

111802[/snapback]

sono a metà strada ma ho sempre qualche dubbio:

dalla modalità provvisoria ho fatto ciò che hai indicato fino a "elimina la cartella in rosso c:\programmi\newdotnet"

con queste incongruenze:

la voce 010 - Broken Internet... trovata da Hijack non viene eliminata (le altre 3 invece sì)

i processi ntdll.exe e nshelp.dll non sono in esecuzione (sono ancora in modalità provvisoria)

il file nshelp.dll non c'è nei dischi del pc (la cartella etb era in c:\windows e l'ho cancellata mandandola precauzionalmente nel cestino - devo eliminarla definitivamente?) - sono sempre in provvisoria

ancora da provvisoria non trovo ntdll.exe anche cercandolo in tutti i dischi

trovo solo un ntdll.exe-2B983636.pf

non c'è un'applicazione newdotnet installata

non c'è la cartella c:\programmi\newdotnet

mi sono fermato perchè a questo punto dovevo lanciare LSPFix che tra l'altro avevo salvato sul desktop dell'utente di rete e quindi da provvisoria non lo vedevo.

ma stavo trovando troppe discordanze e ho deciso di richiedere...

scusa se mi è venuto il dubbio sul dover fare alcune delle operazioni già fatte da windows completo.