[xp] Il Pokapoka62.exe

[Jamester]

Buongiorno a tutti. Cercando informazioni su internet, mi sono imbattuto sul vostro forum. Sono qui in quanto un mio carissimo amico sta avendo problemi gravi al suo computer in seguito a un hacker del ..... che sembra gli stia facendo passare le pene dell'inferno. Passo a illustrare il problema:

A causa di una lite in chat, un......ha chiamato un suo amico hacker e da quando questo individuo e' intervenuto, il mio amico ha avuto problemi:

- Per prima cosa il programma NERO ha cominciato a dare i numeri rifiutando di copiare cd e compilation (AREA DI CALIBRAZIONE PIENA) e (DISCO ILLEGALE). Non ha mai avuto di questi problemi sottolineo.

- Pensavamo fosse un caso ma poi si e' visto cancellare tutti i file dell'EMULE sia i TEMP sia quelli scaricati effettivamente e qui il dubbio e' aumentato.

- Dulcis in fundo, WINDOWS ha cominciato a dare i numeri cn una serie di errori irreversibili.

Gli ho consigliato di rifare la parzione e reinstallare il tutto ma avendolo fatto 2 volte, il problema e' ritornato. LO SPYBOT rileva la bellezza di 79 TROJAN quando lui nn ha mai navigato dopo l'installazione.

Quindi io credo che a sto punto questo POKAPOKA sia un TROJAN decisamente violento che si sia messo sul MASTER BOOT RECORD (MBR) perchè nn si spiega da dove arrivano tutti questi trojan appena fa la connessione.

La mia domanda è: Come risolvere il problema? Dimenticavo di dire che lui ha un sistema basato su WINDOWS XP PROFESSIONAL. Teoricamente dovrebbe formattare l'MBR ma io so che si fa cn FDISK /MBR ma qualcuno sconsiglia questa manovra per l'incompatibilita' cn XP.

Se qualcuno gentilmente puo dirmi come fare in maniera dettagliata, veramente gliene sarei estremamente grato poichè il mio amico praticamente non può fare più nulla. Grazie e a risentirci.

[Beep Beep]

scansione con hijackthis e allega il log sul forum che ci diamo un'occhiata.

discussione spostata.

[Jamester]

Intando allego il mio log in attesa di mettere quello molto più brutto del mio amico. Penso sia tutto in ordine

jame_log.txt

[Lorenz]

Proprio proprio tutto pulito non direi Jamester... se hai una scheda audio realtek, ti puoi limitare a fare un fix di:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bhskrcvwzekjxce.us/zMpQqRTe8Lm1...fVRQLQFGGHA.cgi

Anche la voce

O10 - Broken Internet access because of LSP provider 'farlsp.dll' missing

andrebbe eliminata, ma per fare questo è più indicato che tu scarichi LSPFix, scompatti e poi lanci il programma, clicca su Finish, ci penserà il programma a verificare che tutto vada bene. Finito di fare questo, riavvia il PC e verifica che sia andato tutto bene.

[Jamester]

Si la "scheda audio" e' inclusa nella scheda madre, una ABIT AA8 DURAMAX 3RD EYE. Ottimo ora scarico il programma su citato. Intando aspetto che il mio amico si muova a fare sto HIJACK . Cmq sia la cosa sospetta e' che dopo che lui ha formattato e ricreato la partizione il problema ritorna e anche se io gli ho detto di usare STARTUP ORGANIZER, se lui lo elimina da li e usa prima il TASK MANAGER per chiudere quelli in esecuzione, i suddetti 10 mila TROJAN si auto reinstallano un secondo dopo. I programmi possono essere tutti tolti ma il POKAPOKA62 e' li resta li e nn ne vuole sapere di sparire (a parte che nel task manager sembra abbia una diversa denominazione da come lo vede lo STARTUP ORGANIZER. Poi nn avendo il suddetto pc davanti nn so. Resta strano come mai dopo un format e una distruzione della partizione, il suddetto rispunta da fuori: L'unica cosa e' che risiede sull'MBR. Cmq aspettiamo che venga online lui

[Jamester]

Dunque con il suddetto programma (WINSOCK 2 REPAIR) nella parte destra mi appare la DLL da te citata. L'ho evidenziata e ho fatto FINISH e mi ha detto che ha tolto 17 e 18 cosi di 2 categorie. Per quanto riguarda il primo, ho usato l'HIJACK e lo ha tolto. Noto questa riga:

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/download/

Il c6 è la chat della telecom. Se la elimino nn e' che il programma cessa di funzionare?

Inoltre quelle altre 2 voci, è possibile che siano state la causa di alcune disconnessioni che si verificavano alla stessa ora tutti i giorni?

[Lorenz]

Jamester, può essere che il fatto di avere un cosidetto "Winsock hijacker" ti causasse delle disconnessioni, infatti il Winsock è quel componente del sistema operativo che permette di utilizzare i protocolli di rete (TCP/IP), per cui, potrebbe anche essere responsabile delle disconnessioni.

Riguardo a C6, l'ho solo visto, e siccome l'interfaccia proprio non mi piace non l'ho mai usato, io la voce relativa a C6 la lascerei lì dov'è.

[Jamester]

Finalmente ecco il famigerato LOG dell'HIJACKTHIS del mio martoriato amico

log_hickke.txt

[rassel]

Finalmente ecco il famigerato LOG dell'HIJACKTHIS del mio martoriato amico

72070[/snapback]

elimina

C:\WINDOWS\System32\mousecrm.exe

C:\WINDOWS\System32\microsoft.exe

C:\Programmi\etws\rrus.exe

C:\WINDOWS\etb\pokapoka62.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.co

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.co

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.co

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [bullsEye Network] C:\Programmi\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Microsoft Update 32] microsoft.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [system service62] C:\WINDOWS\etb\pokapoka62.exe -

O4 - HKLM\..\Run: [services] C:\WINDOWS\system32\4.tmp -

O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe

O4 - HKCU\..\Run: [Arrm] C:\Programmi\etws\rrus.exe -

O15 - Trusted Zone: http://ny.contentmatch.ne (HKLM) -

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone -

O16 - DPF: v3cab - http://searchmiracle.co -

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.co -

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.co

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.co -

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

pulisci con

ccleaner

http://www.filehippo.com/download/file/bsy.../ccsetup119.exe

copri il sistema con

checkbo

http://www.checkbo.com/download/checkbo.zip

controlla il s.o. con

http://scan.sygatetech.com/pretrojanscan.html

arrivederci

[Guest chinaski]

ciao rassel,

ti prego di rimuovere i link attivi al malware prima di postare la prossima volta, questa volta lo faccio io.

[Jamester]

Siamo sicuri che anche il mouse? lui dice che ha un mouse ottico cn i driver

[Jamester]

Quanto al terzo link citato, ho provato a farlo io disattivato WINDOWS FIREWALL e i miei 2 attuali programmi antivirus etc etc ma mi dice sempre:

You have blocked all of our probes! We still recommend running this test both with

and without Sygate Personal Firewall enabled... so turn it off and try the test again.

[rassel]

Siamo sicuri che anche il mouse? lui dice che ha un mouse ottico cn i driver

72168[/snapback]

il log riporta: Unknown owner

perciò

potrebbe essere stato corrotto dal worm

Name: Mouse Cursor Monitor

Filename: mousecrm.exe

Description: Added by the W32/Sdbot-ABQ worm. File Location: %System%

Startup Type: This startup entry is installed as a Windows NT, 2000, 2003, or XP service.

Service Name: mousecrm

Service Display Name: Mouse Cursor Monitor

ti faccio una nota:

%System% is a variable that refers to the Windows System folder. By default this is C:\Windows\System for Windows 95/98/ME, C:\Winnt\System32 for Windows NT/2000, or C:\Windows\System32 for Windows XP.

[rassel]

Quanto al terzo link citato, ho provato a farlo io disattivato WINDOWS FIREWALL e i miei 2 attuali programmi antivirus etc etc ma mi dice sempre:

You have blocked all of our probes! We still recommend running this test both with

and without Sygate Personal Firewall enabled... so turn it off and try the test again.

72172[/snapback]

capisco da' un timeout oltre a non poter attivarsi prova questo anche se devi aggiornare delle dll e scaricare un exe

www.stop-sign.com/se/se062.php?n=s_ge_spy&kw=ge_ct_spyware%20killer&pg=%26se_spin&ver=online

[Jamester]

capisco  da' un timeout oltre a non poter attivarsi prova questo anche se devi aggiornare delle dll e scaricare un exe

www.stop-sign.com/se/se062.php?n=s_ge_spy&kw=ge_ct_spyware%20killer&pg=%26se_spin&ver=online

72177[/snapback]

C:\DOCUMENTS AND SETTINGS\...\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\G52BWHQJ\SS_STOPSIGN[1].EXE

Is the Trojan horse TR/Dldr.Wren.I

??? Mi dice che e' un trojan

[rassel]

C:\DOCUMENTS AND SETTINGS\...\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\G52BWHQJ\SS_STOPSIGN[1].EXE

Is the Trojan horse TR/Dldr.Wren.I

??? Mi dice che e' un trojan 

72200[/snapback]

traduce il download delle dll e del exe per avviare il processo di scan come trojan

comunque prova quest'altro on line

http://www.windowsecurity.com/trojanscan/

[Angelo]

C:\DOCUMENTS AND SETTINGS\...\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\G52BWHQJ\SS_STOPSIGN[1].EXE

Is the Trojan horse TR/Dldr.Wren.I

??? Mi dice che e' un trojan 

72200[/snapback]

quello e' nei files temporanei, dovresti rimuoverli con diskcleaner, ccleaner o simili.

fdisk /mbr funziona con qualsiasi versione di windows ( attento pero' potrebbe risiedere nel embr, dipende dal computer/bios se ha un embr ) la cosa migliore sarebbe di zerare l'harddisk ( sovrascrivere tutta la prima traccia )

se e' formattato ntfs potrebbe avere robaccia anche negli "alternate data streams" di ntfs e ti serve un rootkit x scoprirli, i normali scanners av non li vedono.

[Jamester]

quello e' nei files temporanei, dovresti rimuoverli con diskcleaner, ccleaner o simili.

fdisk /mbr funziona con qualsiasi versione di windows ( attento pero' potrebbe risiedere nel embr, dipende dal computer/bios se ha un embr ) la cosa migliore sarebbe di zerare l'harddisk ( sovrascrivere tutta la prima traccia )

se e' formattato ntfs potrebbe avere robaccia anche negli "alternate data streams" di ntfs e ti serve un rootkit x scoprirli, i normali scanners av non li vedono.

72260[/snapback]

Appena arriva il mio amico gli faccio fare quanto scritto sopra ma il fatto che questi problemi si siano riverificati dopo 2 format e 1 azzeramento di partizione mi porta a pensare che c'e' qualcosa in altra are dell'HD (MBR). L'hard disk e' formattato NTFS. Quest'ultima parte del tuo messaggio va al di la delle mie personali conoscenze. Potresti spiegarmi gentilmente in cosa consiste un rootkit ? quali programmi possono far si di verificare il rootkit?. Quanto al BIOS (quindi si parla di scheda madre) non potrebbe essere necessario solo staccare la batteria della scheda madre in modo da resettare tutti i settaggi? Per "zerare" la prima traccia, c'e' un procedimento particolare che un utente da casa può fare? Se si, con che programmi ? Questo perchè lui dei tecnici nn si fida tanto da quando gli hanno sostituito il CPU con un modello inferiore. Grazie.

[Jamester]

Sembrera' incredibile ma facendo il procedimento su citato, eliminando da HIJACK e usando i programmi, le cose al riavvio successivo sono tornate ESATTAMENTE come erano prima...

Quanto al CHECKBO, l'unica cosa anomala e' quella che appare in allegato.

A questo punto io davvero nn so proprio cosa dirgli . Gli ho dato il F-Secure BlackLight 2.1.1012 e da qui nn risulta nulla. A conti fatti qualcosa risulta oltre che testualmente nell'HIJACK, solo nel CHECKBO.

[rassel]

programmi possono far si di verificare il rootkit?.

Una volta installato e configurato a dovere, il rootkit può eseguire le più comuni operazioni di cracking dei sistemi. Vengono utilizzati soprattutto per tenere aperti gli accessi alla macchina dopo che essa è stata violata attraverso l'uso di diversi exploit di vulnerabilità. I rootkit, accoppiati con altri strumenti di insicurezza informatica, sono in grado di registrare le sequenze di caratteri composte sulla tastiera e di inviarle ad un destinatario specifico; possono nascondere le attività di un cavallo di tr**a, o ancora funzionare da postazioni "zombie" da attivare per spedire spam o per eseguire attacchi di Denial Of Service verso altri computer.

Come i "Slanret", "IERK," o "Backdoor-ALI",

a IMHO cerca in rete la procedura piuttosto complicata ma definitiva della formattazione lenta ovvero la possibilità di formattare compreso i files mbr

comunque

prova Rootkit Revealer 1.53

http://www.sysinternals.com/utilities/rootkitrevealer.html

non desistere a questo punto o lui o te

[Jamester]

Ho provato io a usare questo programma ma rilevo un paio di cosette anomale:

- Il suddetto programma quando lanciato, si piazza in una cartella temporanea all'avvio e ogni volta cambia il suo nome OU.EXE e altri nomi il che veramente poco mi convince

- A me rileva 353 items ma nn le elimina in nessun modo: non c'e' un opzione nel suddetto programma per toglierle sembra

[rassel]

Ho provato io a usare questo programma ma rilevo un paio di cosette anomale:

- Il suddetto programma quando lanciato, si piazza in una cartella temporanea all'avvio e ogni volta cambia il suo nome OU.EXE e altri nomi il che veramente poco mi convince

- A me rileva 353 items ma nn le elimina in nessun modo: non c'e' un opzione nel suddetto programma per toglierle sembra 

72656[/snapback]

Non elimina in automatico, è c'è un motivo ben preciso.

Alcuni exe o dll sono lecite o volute da alcuni programmi o essere in back up di altri, devi esaminarli e toglierli manualmente.

anche perchè sei seriamente infettato. i worm\trojan nel sistema attaccano in stealth ogni programma o applicazione

ou.exe in genere si prende dai p2p o da irc e corrispondono a due worm\backdoor

Name: nldr32

Filename: NonYou.exe

Description: Added by the W32/Saros-A P2P worm.

File Location: %System%

Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry

Name: SSL

Filename: SearchNDestrou.exe

Description: Added by the W32/Sdbot-WG WORM/IRC backdoor Trojan to the Windows system folder.

File Location: %System%

Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

o al famigerato nuovo "matrix" ma anche a una demo dalla Radeon o un

software, simulante i corpi del sistema solare in 3D sul vostro PC di Linux o di Windows (funzionerà dentro più * NIX pure). devi cercarlo manualmente e vedere cosa corrisponde dalle proprietà questo per dimostrarti che hai parecchio da fare

io penso che dovrai agire in modalità provvissoria addentrandoti nel regedit per iniziare ad avere un po di successo

[Yusuke]

Ragazzi se posso, vorrei fare un'osservazione:

inanzitutto mi scuso con tutto lo staff per la lunghezza del post (era necessaria)

poi volevo dire a chi cerca di analizzare i log che nn deve dire semplicemente di fissare delle voci perchè aggravano solo di più il problema. Almeno e dico almeno dovrebbe indicare le procedure di base poi tutto il resto. Per i virus più difficili bisogna fare molti più procedimenti come potete vedere qui sotto e nn allo sfortunato nn conviene sentirsi dire semplicemente "fissa questa voce" perchè anche in questo caso il problema si aggraverebbe ulteriolmente nn avendo rimosso tutti i collegamenti manualmente. Quindi lo dico a tutti: nn fidatevi dell'analisi automatica, è pericolosa per chi nn ha esperienza in merito e soprattutto è pericoloso per chi deve eliminare delle voci indicate dalla analisi automatica. Il motivo? Molte volte fallisce e segna buono ciò che nn lo è e viceversa, io nn ve lo dico per nn farvela usare: l'ho usata anch'io e ci sono rimasto fregato quindi attenzione!

Dunque, il suo computer è davvero incasinato, prima di tutto deve collegarsi con il windows update (dal menù START/PROGRAMMI) e aggiornare il suo sistema operativo al service pack 2, così come sta ora la difesa è scarsissima.

Seconda cosa: gli hacker sono una cosa e i cracker un'altra, nn chiamare hacker chi va nei computer altrui a mettere virus, questi sono chiamati cracker o lamer

Terza cosa: di al tuo amico di mettersi sotto proxy per nn ricevere più attacchi appena si connette ad internet

Quarta cosa: Deve mettere un antivirus e un firewall, così come ora (service pack 1, senza antivirus e senza firewall) è ovvio che viene riempito di virus

Tutti i programmi indicati in questo mio post li trovi sul link della mia firma

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)

Avvia il sistema in modalità provvisoria

Avvia Hijack e clicca su “do a system scan only”

Metti la spunta a queste voci e clicca su “fix checked”

C:\WINDOWS\System32\mousecrm.exe

C:\WINDOWS\System32\microsoft.exe <---- è più complicato eliminarlo, ti spiego sotto

C:\Programmi\etws\rrus.exe <---- aspetta che ti spieghi per eliminarlo

C:\WINDOWS\etb\pokapoka62.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [bullsEye Network] C:\Programmi\BullsEye Network\bin\bargains.exe <--- leggi sotto, è il più complicato da rimuovere

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [system service62] C:\WINDOWS\etb\pokapoka62.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\system32\4.tmp <--- ti dico come fare sotto

O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe

O4 - HKCU\..\Run: [Arrm] C:\Programmi\etws\rrus.exe

O15 - Trusted Zone: http://ny.contentmatch.net]http://ny.contentmatch.net

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab]

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...e/bridge-c1.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4...006_regular.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsIns....cab?refid=3309

O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe

Scusa se adesso parlerò rivolto verso di te ma mi è più comodo

start>esegui>regedit>ok

portati su questa chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run

nel pannello di destra trova e se c'è elimina questo valore Configuration Loader"="%System%\microsoft.exe

portati su questa chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \

RunServices

nel pannello di destra trova e se c'è elimina

Configuration Loader"="%System%\microsoft.exe"

Esci dal registro

Vai su START/CERCA e digita POKAPOKA62 ed elimina ciò che trova

Vai su START/PANNELLO DI CONTROLLO/INSTALLAZIONE APPLICAZIONI/cerca ETWS e se c'è eliminalo altrimenti vai su C:\PROGRAMMI e cancella questa cartella "ETWS"

Infine fai questi passaggi che ti indico:

START/ESEGUI.../digita REGEDIT

Trova questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e nel pannello di destra elimina queste stringhe se presenti:

"Bargains" = "C:\Program Files\ Bargain Buddy\bin\bargains.exe"

"BullsEye" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"

"BullsEye Network" = "%ProgramFiles%\BullsEye Network\bin\bargains.exe"

"msxct" = "msxct.exe"

Portati su tutte queste chiavi ed elimina l'ultima cartella di ognuna di esse:

HKEY_LOCAL_MACHINE\Software\Bargains

HKEY_LOCAL_MACHINE\Software\CashBack

HKEY_LOCAL_MACHINE\Software\exactUtil

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CashBack

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bargains

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{CE188402-6EE7-4022-8868-AB25173A3E14}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CE188402-6EE7-4022-8868-AB25173A3E14}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}

HKEY_LOCAL_MACHINE\Software\Classes\Interface\{C6906A23-4717-4E1F-B6FD-F06EBED12468}

HKEY_LOCAL_MACHINE\Software\Classes\Interface\{C6906A23-4717-4E1F-B6FD-F06EBED14177}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6906A23-4717-4E1F-B6FD-F06EBED15678}

HKEY_LOCAL_MACHINE\Software\Classes\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564E2468}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564E5678}

HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516E2A3}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516B2C3}

HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher

HKEY_LOCAL_MACHINE\Software\Classes\Apuc.UrlCatcher.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADP.UrlCatcher.1

HKEY_LOCAL_MACHINE\Software\Classes\CB.UrlCatcher

HKEY_LOCAL_MACHINE\Software\Classes\CB.UrlCatcher.1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZESOFT

HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_ZESOFT

Esci dal registro di sistema.

Vai in C:\PROGRAM FILES\ed elimina questa cartella: "BullsEye Network"

Vai in C:\WINDOWS ed elimina i seguenti file se presenti:

bbchk.exe

exclean.exe

exdl.exe

exul.exe

msbe.dll

msxct.exe

msxct1.ini

zeta.exe

Vai in C:\WINDOWS\SYSTEM ed elimina i seguenti file se presenti:

instsrv.exe

angelex.exe

msexreg.exe

netut80ex.vxd

bbchk.exe

exclean.exe

exdl.exe

exdl0.exe

exdl1.exe

exul1.exe

javexulm.vxd

mqexdlm.srg

msbe.dll

msxct.exe

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con RegSeeker

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione, rifai il log e mettilo qui per un ultimo controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Modificato August 9, 2005 da Yusuke

[Kuma]

Bravo YU ...ottimo

FAi fare anche un paio di scansioni on_line

Modificato August 9, 2005 da Kuma

[Yusuke]

Grazie Kuma!