Exsplorer Mi Tormenta!

[toti]

Salve a tutti,sn nuovo.Ho bisogno di aiuto perché untimamente mi succede spesso che cade la connessione e appare nel desktop ,nei preferiti e nel menu di windows il link exsplorer che mi indirizza a linkautomatici o qualkosa del genere.Essendo il problema molto fastidioso,vi prego di aiutarmi dall'alto della vostra esperienza.

[Steve Fox]

Altro della nostra esperienza mi sembra un po' esagerato non credi?

Ecco, prova con questa soluzione Clicca poi se non riesci useremo le maniere forti

[toti]

Ho usato quei programmi ma nn hanno rilevato nulla,però credo che il problema nn sia risolto...

[Kuma]

Scaricati i programmi (se non li hai già) 1; 2; 3; 4; 6; 9 e 10 da questa pagina:

http://forum.wininizio.it/index.php?showtopic=11807

Fai prima le scansioni con i programmi 3 e 4 e quindi un log con HIJACK allega qui il log

[toti]

Kuma,ho scaricato i programmi che nn avevo(molti li avevo già)ma Spybot che già avevo nn mi fa fare la scanzione.mi ritorna al desktop...

[cheyenne]

Kuma,ho scaricato i programmi che nn avevo(molti li avevo già)ma Spybot che già avevo nn mi fa fare la scanzione.mi ritorna al desktop...

118791[/snapback]

vai in modalità provvisoria

[Kuma]

Questo dovrebbe essere colpa di una variante di COOLWBSEARCH (malware)

Scaica questo programma e avvialo:

http://www.safer-networking.org/files/delcwssk.zip

Poi avvia CwShredder e vedi se trova qualcosa

quindi prova nuovamente con Hijack

Per SpyBot... disintallalo completamente e scarica l'ultima versione:

http://www.safer-networking.org/it/mirrors/index.html

[toti]

hijackthis.logQuei programmi nn hanno trovato nulla,cmq adesso scarico la nuova versione di spybot,intanto ti allego il log.

[toti]

che devo fare adesso che ho postato il log?

[Kuma]

Adesso te lo controllo... ( ma vi siete dati appuntamento tutti stasera in sezione sicurezza ??? )

Dammi 5 minuti....

Per prima cosa, collegati a VIRUS TOTAL (nella mia firma) e fai analizzare il seguente file e postami il responso: (per me è un trojan)

iu.exe (in C:\Programmi\Information Update\)

[Kuma]

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee

SCARICA ANCHE:

Killsgrunt

(mastrer 69- redfunny, masterbiz, archiviosex)

e lo Script per riparare la trusted zone

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

Avvia KILLSGRUNT

Esegui lo SCRIPT per riparare la trusted zone

(clic con il tasto destro ---> INSTALLA)

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esseci tutte) e clicca su "fix checked

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht tp://static.windupdates.com/cab/CDT/ie/bridge-c18.cab

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

Collegati per una scansione On-line a:

Kaspersky

rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

_____________________________________________

[toti]

il servizio al momento era sopeso,mi avviseranno via email quando ripartirà,intanto grazie!

[Kuma]

Usa l'altro link a fianco di Virus Total (nella mia firma)

[toti]

File: iu.exe

Status: INFECTED/MALWARE

MD5 b63dfcf602ba2846a55efe6a50129b7f

Packers detected: -

Scanner results

AntiVir Found Trojan/Dldr.Centim.gen.2

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found Downloader.Small.44.AE

BitDefender Found nothing

ClamAV Found Trojan.Downloader.Small-762

Dr.Web Found Trojan.DownLoader.4491

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Centim.dn

NOD32 Found a variant of Win32/TrojanDownloader.Centim

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found Trojan-Downloader.IstBar.38 (paranoid heuristics) (probable variant)

Avevi ragione!

[toti]

per quanto riguarda la procedura,c'è qualkosa che nn va...in modalità provvisoria KillSgrunt mi da un errore 9,nn ricordo bene e Hijack nn mi trova + le kiavi tipo trusted zone che mi aveva trovato prima(nn me le trova neanke in modalità "normale")bho...

[Kuma]

Non preoccuparti... vai avanti le voci non compaiono più (ed è un bene) perchè le ha rimosse lo SCRIPT

invece devi eliminare quel file (iu.exe )

e poi ripostami il log

[Paola3799]

Ciao!

Sono nuova, x favore aiutate anche me?

Ho anche io problemi con Exsplorer e nn capisco che devo fare. Ho scaricato tutti i programmi che avete segnalato, ma poi mi son persa....

Qualcuno mi da una mano? Grazie, Paola

[Steve Fox]

Certo, non facciamo distinzioni aiutiamo tutti

Allora per non perderti segui semplicemente questa procedura

Scaricate:

Hijackthis - DOWNLOAD

ATTENZIONE: Non usate mai questo programma da soli, seguite queste istruzioni per postare il log che noi del forum controlleremo e vi daremo la soluzione per rimuovere i virus presenti in memoria:

- Doppio click sulla cartella compressa scaricata

- Copiate il file presente all'interno della cartella compressa

- Create una cartella normale all'interno del computer (che non sia sul Desktop)

- Incollate il file all'interno della nuova cartella creata

- Avviate il file incollato

- Cliccate su DO A SYSTEM SCAN AND SAVE LOGFILE

- Attendete che finisca la scansione e che si apra in automatico un foglio di blocco note scritto

- Copiate TUTTO il contenuto all'interno del foglio appena apparso

- Incollate il contenuto nel vostro messaggio e inviatelo nel forum

Dopo che hai seguito questo procedimento scritto qui sopra segui quest'altro:

Scarica: KillSgunt e lascialo li sul Desktop senza avviarlo.

Avvia il sistema in modalità provvisoria

Come avviare in modalità provvisoria:

Dopo aver esegito il passaggio precedente, riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"

Avvia il programmino che hai scaricato prima, fagli fare la scansione e riavvia normalmente il computer

Quando tornerai qui ti ritroverai le altre procedure dopo averti analizzato il log

[Grecio86]

Mi chiamo Gregory anche io ho lo stesso problema di Paola riguardo al file exsplorer....

Questo è quello che mi è venuto fuori con il programma HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 19.20.12, on 21/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\sysmon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\MyService\RIOService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Wireless 802.11g USB Adapter\ZDWlan.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\BitLord\BitLord.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\iTunes\iTunes.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Gregory Gregorace\Documenti\Greg\Prog\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode\AspireService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\sysmon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Zstart.lnk = C:\zxinst_ms001.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless 802.11g USB Adapter.lnk = C:\Programmi\Wireless 802.11g USB Adapter\ZDWlan.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O15 - Trusted Zone: www.redfunny.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url=http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129939762187]http://update.microsoft.com/microsoftupdat...b?1129939762187[/url]
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RIOService - TODO: <Company name> - C:\MyService\RIOService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

PER FAVORE RISOLVETEMI IL PROBLEMA.

:sigh: GRAZIE MILLE....GREG.....

Modificato November 21, 2005 da Kuma

[Kuma]

Ciao Grecio86 ben arrivato

Se vuoi presentarti alla comunità puoi farlo nell'apposito thread di Benvenuto

_______________________________________

Prima di procedere scaricati questi programmi quelli che ti mancano e quelli che lo richiedono, AGGIORNALI

Microsoft AntiSpy

SpyBot 1.4

Ad_Aware 1.06 + Languages (ITA)

CwShredder

SpyWare Blaster (Protezioni)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

*************

CONTROLLO IN CORSO............

[Kuma]

Scarica anche:

Killsgrunt

e lo Script per riparare la trusted zone

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee

Esegui queste operazioni ------ > (Stampa la pagina)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Stacca il cavo telefonico

Avvia KILLSGUNT

Esegui il file per riparare la TRUSTED ZONE

(click con il tasto destro sul file e seleziona Installa)

Avvia il sistema in Modalità Provvisoria

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esseci tutte) e clicca su "fix checked

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [systems] C:\WINDOWS\system32\sysmon.exe

O15 - Trusted Zone: www.redfunny.com

Trova e se ci sono elimina questi files

msresearch.exe (in C:\Windows)

sp2update00.exe (in C:\Windows)

sysmon.exe (in C:\Windows\System32)

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

(non modificare le opzioni)

Vai in = C:\WINDOWS\SYSTEM32\DRIVERS\ETC

con il Blocco note apri il file chiamato HOST (senza estensione) e alla fine aggiungi questa riga:

127.0.0.1 www.redfunny.com

Salva il file e chiudi il blocco note

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

Collegati per una scansione On-line a:

Kaspersky

rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

_____________________________________________

[Paola3799]

Ciao Steve Fox, ti ringrazio ma io già nn capisco una cosa: -quale è il file presente all'interno della cartella compressa da copiare? Io ho scaricato il programma hijackthis, è zippato ma nn ci sono file... che devo fare?

Grazie!!!!!

Paola

[dinop]

Paola, quel file scaricato è un file compresso (.zip) che contiene un solo file all'interno : HiJackTHis.exe. Questo è appunto il programma che devi estrarre in una cartella permanente su disco e poi eseguire le istruzioni che ti ha postato Steve.... (B)

Ciao, Dinop...

[Paola3799]

Ora ho capito:)

Grazie anche a te Dinop:)

Allego il log e attendo:)

Buona giornata, Paola

hijackthis.log

[dinop]

Ok, Paola, non sei proprio "ben messa", ma vedrai che riuscirai a cavartela... (B)

Alcune note preliminari:

1. durante la scansione con HJT, chiudi la connessione con Internet, chiudi tutti i browser e le applicazioni aperte

2. esegui "alla lettera" la sequenza delle operazioni suggerite

3. riporta quando non trovi qualcosa e/o non funziona qualche altra

4. stampa le istruzioni come promemoria durante la "pulizia", quando non sei connesso

Esegui questa sequenza di operazioni:

1.fai un reboot in modalità "normale"

2.scarica CwShredder, mettilo in una cartella e tienilo da parte

3. Scarica Ewido Security Suite

Installa ewido security suite

Lancia ewido, doppio click sull'icona con una grande E sul desktop.

Il programma chiederà di fare l'update, click su OK

Apparirà la schermata principale del programma dove è necessario

aggiornare ewido alle ultime definizioni delle firme dei virus.

Sulla parte sinistra della schermata principale click su update

Click su Start

L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.

chiudi il programma

4.fai girare HJT e premi "config", "Misc tools" e "Open Process Manager"

5.cerca il/i processo/i se ci sono:

C:\VEXPLITE\MONLITE.EXE

msgfix.exe

C:\windows\msresearch.exe

grplscd.exe

servs.exe

fzqmm.exe

6.selezionalo/i e clic su "kill process"

7.torna al menù principale e premi scan

8.cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant ht tp://as.starware.com/dp/search?x=wKX1ILE...cDaemOVu3Ev6dGrF75EwrZBbvR/fmjMUhmV+m71KRILThtxmu4A3bMTs+k2sY6e0gbnNtOzEDvCJmXP8x9DhwDr/qfh+Tth KHbllt/9klT1cfN08iPWl1btJ2pC+0YIOgDAt1dsl0LppqcvE+GCVwzH1QxRnPS79Pc

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O4 - HKLM\..\Run: [Virtual CD v6] grplscd.exe

O4 - HKLM\..\Run: [Mirsft sdce] servs.exe

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\RunServices: [Mirsft sdce] servs.exe

O4 - HKCU\..\Run: [fzqm] C:\PROGRA~1\COMMON~1\fzqm\fzqmm.exe

O20 - Winlogon Notify: RunServicesOnce - C:\WINNT\system32\p86s0ij7e8o.dll

9.fai un reboot in modalità "provvisoria"

tasto F8 dopo l'avvio del Bios, prima che parta Win e poi scegli Modalità Provvisoria

10.Vai sulla cartella dove hai scaricato CWShredder e doppio clik, premi fix e attendi la conclusione della scansione

11.Avvia Ewido.

Click su scanner

Assicurati che le seguenti caselle siano spuntate:

Binder

Crypter

Archives

Click su Start Scan

Attendi la conclusione della scansione

Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova. Scegli "clean"

spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido automaticamente l'operazione ad ogni file infetto, Click su ok.

Una volta terminata la scansione click sul pulsante in basso sulla finestra "Save report"

Salva il report sul desktop

12.Avvia Gestione risorse e imposta la visualizzazione completa dei files, se non sai come fare:

Seleziona strumenti>Opzioni Cartella

Seleziona Visualizza

Spunta "mostra file e cartelle nascoste"

Togli la spunta da "nascondi file di sistema protetti"

Click Ok

13.cerca e cancella le seguenti cartelle, se esistono:

C:\VEXPLITE\MONLITE.EXE

C:\PROGRA~1\COMMON~1\fzqm

14.cerca e cancella i seguenti files, se esistono:

msgfix.exe

C:\windows\msresearch.exe

grplscd.exe

servs.exe

15.vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu

16.cancella il contenuto di Windows\temp, windows\tmp

17.sulle opzioni Internet cancella la cache di IE, i cookies

18.svuota il cestino

19.riparti in modalità normale

20.fai girare HJT e allega il log

21. allega il log di ewido salvato sul desktop

Ciao, Dinop...

Modificato November 23, 2005 da Kuma