Icannews

[astormilan]

nonostante i miei innumerevoli tentativi con svariati antispy non riesco ad eliminare il fastidiosissimo adware "icannews". Qualcuno sa darmi qualche consiglio??? Grazie

[Kuma]

Ciao

Rimuovi questa chiave dal registro (Start\Esegui > regedit)

HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{4208fb4d-4e53-4f5a-bf7a-3e047ddb5281}

Poi magari postami un log di Hijack che diamo una controllata meglio (allegalo non incollarlo)

Ti sposto il messaggio nella sezione sicurezza

[astormilan]

Grazie per l'interessamento.

Il registro che mi hai segnalato non risulta esistere nel mio pc.

Ti allego quindi il log del hijack.

Spero di risolvere presto.

Grazie e ciao

hijackthis.log

[Kuma]

Dal log non risulta niente di sospetto....

C'è solo questo file di cui non riesco a recuperare nessuna informazione:

C:\WINDOWS\system32\NFIMPEG2.dll

Quindi ti direi di farlo analizzare per sicurezza nei due motori che trovi nella mia firma...

Un'altra cosa... se usi SOLO il firewall di XP, ti consiglio di sostituirlo con uno Free più performante: (solo uno di questi due)

Sygate personal FW

Kerio Personall FW (italiano)

________________________________________

Per quella voce che non trovi nel registro...

Prova ad usare il programma che ti allego, e digita {4208fb4d-4e53-4f5a-bf7a-3e047ddb5281}

come da foto

(clicca per ingrandire)

[astormilan]

Ho usato il programma che mi hai dato e ne ho trovate addirittura due.

Cancellate entrambe, ma nulla purtroppo è cambiato.

Icannews resiste ancora.

E' veramente scoraggiante.

[Yusuke]

Fai una scansione online con Pandae posta il rapporto

Modificato August 31, 2005 da Yusuke

[astormilan]

Fatto.

Eccolo in allegato.

Speriamo!....grazie

Activescan.txt

[Yusuke]

Allora, disattiva il ripristino di configurazione e vai in modalità provvisoria poi cerca questo file "guard.tmp" e anche quest'altro: NFIMPEG2.dll e appena trovati eliminali

Ora vai in START/ESEGUI.../digita TEMP e svuota completamente la cartella

Tu in "C" hai delle cartelle che iniziano così? "FOUND...", se sì aprile e vedi quello che trovi, se trovi su ognuna un solo file anche lui di nome "FOUND" allora elimina la cartella

Poi segui questi percorsi ed elimina l'ultimo file che trovi scritto da me in entrambi i percorsi:

C:\Documents and Settings\[uSER]\Impostazioni locali\Temp\backups\backup-20050615-150753-931.inf

C:\Documents and Settings\[uSER]\Impostazioni locali\Temporary Internet Files\Content.IE5\C1GZO78V\prompt[1].htm

Infine scaricati Spybot e ad aware e facci una scansione dall modalità provvisoria, riavvia il computer e rifai la scansione online con Panda

P.S Se c'è qualcosa che non ti è chiaro puoi far riferimento al secondo e terzo link qui sotto nella mia firma :P

Modificato August 31, 2005 da Kuma

[Bonovox767]

Alla faccia della privacy, ora sappiamo il suo nome e cognome

Piacere Maurizio...

[astormilan]

piacere mio......mandami una cartolina allora....

[astormilan]

Ho seguito tutti i passi che mi hai suggerito yusuke...ed in allegato il nuovo log di panda. Ma.....per ora nulla è cambiato....icannews persiste.

Ciao

Activescan.txt

[Danix]

Astormilan, devi disattivare il ripristino e poi riavviare.

Pannello di controllo/sistema/ripristino di configurazione di sistema/disattiva su tutte le unità/RIAVVIA

Poi elimina i files temporanei con Dustbuster che ti allego!

Dustbuster_280_XP.zip

[Kuma]

Mi indichi quali sono gli antispy che te lo individuano ????

DAi anche una ripulita ai files temporanei con Ccleaner

E ricordati di disattivare il ripristino come ti ha indicato Danix

[astormilan]

Webroot Spy Sweeper è l'antispay che lo individua ma non riesce a cancellarlo. Ho mandato anche la segnalazione a webroot ma, come capita sempre, non mi rispondono. Ho anche istallato RegBlock che si vantava di eliminarlo; anche a loro ho inviato segnalazione; loro risposta: "non ci crediamo"!!! Ora proverò a seguire i vs suggerimenti. Vi faccio sapere. Grazie

[Guest lucass]

Ciao riporti qui i file infetti(percorso)se sono in uso da qualche programma o in esecuzione l'eliminazione è piu complicata facci sapere ciao ciao

PS:Fai una scansione on-line qui:

http://home.ca.com/dr/v2/ec_main.entry25?p...5715&CID=190323

Modificato September 5, 2005 da lucass

[astormilan]

Ho seguito tutti i passi suggeriti da danix e kuma ma nulla è cambiato. Ho fatto anche un'altra scansione in modalità provvisoria con webroot spay sweeper; vi allego in un foglio word l'hard copy del risultato dello scan. Il/i nomi dei file segnalati sono sempre diversi (penso si autogenerino) ad ogni scan.

Ora provo a seguire il suggerimento di lucass.

Mi sa che questo problema è proprio tosto, peggio di aurora.

Grazie comunque per gli aiuti.

icannews.doc

[Guest lucass]

OK,

scarica KillBox

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

estrai l'eseguibile sul desktop

Apri KillBox

inserisci all'interno della stringa bianca questo percorso

C:\WINDOWS\system32\VC5DB.DLL

metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso

Ripeti la stessa operazione con

c:\windows\system32\guard.tmp

Tutto da fare in modalita provvisoria,casomai incolla quei due percorsi sul block notes lo salvi sul desktop,avvia in modalità provvisoria,apri quel file contenente i due percorsi e li incolli(copi dal block notes e incolli nella riga)separatamente nella riga bianca,riavvia in modalita normale e vedi se vengono rilevati

PS:Controlla che quei processi non girano nel task manager(control+alt+canc)se ci sono terminali

VC5DB.DLL

guard.tmp

Modificato September 5, 2005 da lucass

[astormilan]

Ho fatto la scansione col il programma segnalato da lucas.

Mi ha dato alcune segnalazioni che non so se hanno attinenza con "icannews". Comunquel allego in un foglio word i risultati della ricerca.

Come si fa ora ad eliminarli?

Grazie

lucass.doc

[Guest lucass]

Ho fatto la scansione col il programma segnalato da lucas.

Mi ha dato alcune segnalazioni che non so se hanno attinenza con "icannews". Comunquel allego in un foglio word i risultati della ricerca.

Come si fa ora ad eliminarli?

Grazie

86358[/snapback]

una cosa alla volta prima risolviamo quel problema e poi l'altro,così almeno ne risolviamo uno :andy: :andy: :andy: :andy:

PS:Mi ha dedicato un file,mi sto commuovendo grazie

Modificato September 5, 2005 da lucass

[astormilan]

Visto che ci sto...ti allego anche un .ppt con l'hard copy dei processi in corso.

Magari trovi qualcosa di insolito. (sempre con nome lucass....)

lucass.ppt

[astormilan]

quei due file non esistono più. Sicuramente sono stati ripuliti da webroot spy sweeper. Allora sono senz'altro programmi autogenerati da qualcosa d'altro.

Ma cosa???...problema sempre + tosto...da veri esperti!!!.

[Guest lucass]

Ciao quei file sono stati tolti da kill box,quel file con il task manager non mi serve cioè li ho dato uno sguardo ma non c'è niente di strano,

la scansione on-line riconosce il programma winfixer come ad-ware quindi dovresti disinstallarlo da installazioni applicazioni,con la funzione cerca trovare ed eliminare tutti i suoi file e cartelle e poi procedere all'eliminazioni delle chiavi

start>esegui>regedit>ok (elimina i pezzi messi in rosso)

portati su

"hkey_classes_root \appid\checkproduct2.dll

"hkey_classes_root \typelib\{30ed49a5-ca6c-4918-b5f3-5e6818c91d8b}"

"hkey_classes_root \interface\{4f79d1c5-24f9-4e59-8022-604d4b41d5ca}"

"hkey_classes_root \clsid\{c427b3e3-28dc-4001-9590-d99b6776119b}"

"hkey_classes_root \checkproduct2.checkproduct"

"hkey_classes_root \checkproduct2.checkproduct.1" "hkey_classes_root\appid\{8c65aef6-e413-4314-815b-82717a3f1603}"

"hkey_classes_root \typelib\{30ed49a5-ca6c-4918-b5f3-5e6818c91d8b}\1.0"

Modificato September 5, 2005 da lucass

[astormilan]

fatto!!:...e ora??....riprovo a fare lo scan?

[Guest lucass]

fatto!!:...e ora??....riprovo a fare lo scan?

86415[/snapback]

ciao bella domanda ora rifai lo scan che non dovrebbe trovarti + niente e poi segui questo passaggio

Scaricati

http://www.bleepingcomputer.com/files/oldtimer/WinPFind.zip

estrailo in C(quindi creati una nuova cartella mi raccomando no sul desktop ma su C)

Doppio-click suk file WinPFind.exe clicca su Start Scan(applicazioni chiuse) fallo andare ci vuole un po di tempo alla fine ti uscira il block notes con degli appunti,salvalo ed allegalo possibilmente in file txt!!grazie ciao ciao

[astormilan]

Ho rifatto lo scan e infatti non mi ha trovato + niente.

Il risultato di quello nuovo ultimo è in allegato.

Speriamo che si trovi qualcosa

Ciao

WinPFind.Txt