Ho un processo in esecuzione che non vuole andarsene
E' un sistema pubblicitari Virus Alert, che mi lampeggia in basso a destra vicino all'orologio, ogni tanto compare qualche messaggio rompiballe.

il processo è questo
http://img261.imageshack.us/img261/5791/immagine9ps.th.jpg (http://img261.imageshack.us/my.php?image=immagine9ps.jpg)

anche se faccio termina processo, o termina struttura processi, dopo qualche millesimo di secondo eccolo tornare...
cosa posso fare?

premetto che ho provato con SpyBot, Microsoft Antispyware, HiJackThis
ma nulla
ho provato con MSCONFIG da esegui un avvio selettivo e fatto ancora scansioni ma nulla!

ecco quello che mi appare nella barra

http://img82.imageshack.us/img82/161/immagine8fp.th.gif (http://img82.imageshack.us/my.php?image=immagine8fp.gif)

ho segnato in rosso le icone...

up
suvvia

ewido l'hai provato?

io cmq il log lo posterei

come per qualsiasi altro virus... prendi il disco fisso infettato, lo monti come secondario (disco dati) sun un altro pc e gli fai fare una scansione con un bel antivirus aggiornato possibilmente kaspersky o ewido.
se così nn basta, allora prendi spybot, lo lanci dalla modalità provvisoria (dopo aver rimontato il disco fisso al suo posto) e correggi... se anche così nn basta prendi hijackthis.. e lo usi.. (vedi 3d in rilievo)

eh ma mica tutti hanno un altro pc di trasbordo
se si riesce ad evitare la scocciatura di montare e smontare...

sei sicuro che su hijackthis non ci sia niente?

eh ma mica tutti hanno un altro pc di trasbordo
se si riesce ad evitare la scocciatura di montare e smontare...

sei sicuro che su hijackthis non ci sia niente?
grazie per le risposte.

http://img272.imageshack.us/img272/5329/immagine8us.th.jpg (http://img272.imageshack.us/my.php?image=immagine8us.jpg)

due processi, che anche con kill process non se ne vanno

C:\WINDOWS\system32\atmclk.exe
e
C:\WINDOWS\system32\dcomcfg.exe

poi
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp6D21.tmp

riappare sempre, il resto è a posto.

può cmq già bastare

due processi, che anche con kill process non se ne vanno

C:\WINDOWS\system32\atmclk.exe
e
C:\WINDOWS\system32\dcomcfg.exe

ho eliminato i due file da boot con hijackthis.

ora dal log analyzer online il mio log è tutto ok
peccato che il problema rimanga, sempre quell'icona lampeggiante ....

:cry:

Provato ad eliminare le relative voci a mano da regedit o con jv16?

Provato ad eliminare le relative voci a mano da regedit o con jv16?
i due file .exe e relativi processi non ci sono più, li ho eliminati.
e anche da registo non trova più nulla

ora è rimasta l'icona a carrozzina verde, quella che nell'immagine sta a sinistra e il messaggio you computer is infected (lo vedete nell'immagine)

Prova a cercare gli exe nel hdd e poi eliminali usando unlock, azz duro sto virus :sofico:

Prova a cercare gli exe nel hdd e poi eliminali usando unlock, azz duro sto virus :sofico:
no aspetta, i file.exe li ho già eliminati con hijackthis che li elimina al boot

ora quei due file non ci sono più.
però è rimasta l'icona e il messaggio pubblicitario, e non so come eliminarlo perchè nei processi non trovo nulla di strano.

che altro posso fare?

BUMP

ho fatto una scansione anche con la modalità provvisoria, ma non trova nulla
eppure l'icona (che vedete nell'immagine) continua ad apparire e come home page di IE viene questa:

http://www.safetydefender.com/

nonostante io abbia bloccato i cambiamenti con microsoft AntiSpyware, la mia home-page non la mantiene -_-

Se avvii il computer in modalità provvisoria le icone appaiono ugualmente?

Se avvii il computer in modalità provvisoria le icone appaiono ugualmente?
no, in modalità provvisoria le icone non appaiono.

IMHO con il log di hijackthis dovresti comunque beccarlo.
Però se in log è pulito proviamo così:
-Disattiva il ripristino
-avvia in provvisoria e "svuota tutto" con ccleaner
http://www.ccleaner.com/download128.asp
(prima devi installarlo)

Se il problema cè ancora prova con una scansione on line per vedere se trova dove è l'intruso.

http://www.geekstogo.com/forum/VIRUS_ON_PCand33-t110089.html
spero ti sia di aiuto ;)

IMHO con il log di hijackthis dovresti comunque beccarlo.
Però se in log è pulito proviamo così:
-Disattiva il ripristino
-avvia in provvisoria e "svuota tutto" con ccleaner
http://www.ccleaner.com/download128.asp
(prima devi installarlo)

Se il problema cè ancora prova con una scansione on line per vedere se trova dove è l'intruso.
come disattivo il ripristino?
ccleaner cosa fa? elimina i file temporanei?

cclenaer non è un anti mailware ma un ripulitore di files superflui e di registro
non fa danni

il ripristino lo togli da risorse del cmputer ds proprietà poi c'e' la voce in tendina ripr e metti la spunta

-Disattiva il ripristino
-avvia in provvisoria e "svuota tutto" con ccleaner

fatto, l'icona della carrozzella, la pubblicità rimangono
inoltre la home page di IE anche se la cambio, ritorna sempre

http://www.safetydefender.com/

e che cavolo!!!!!!!!!!!!!

se hai voglia, puoi crearti una versione di bart-pe (un windows su cd..) installarci il plug-in x l'antivirus (nn ricordo quale era... ) o usarne uno di quelli stand alone...
oppure prendere un secondo disco, staccare tutti gli altri, installare windows senza anche i driver..., installare un antivirus anche demo, attaccare l'altro disco (quello infettato) e fargli fare una scansione.. dopo rimetti tutto come era prima..
poi scusa.. ma sono un pochino stanco....
hai già provato ad installare la versione di prova di kaspersky e ad usarla? e la versione freeware di ewido?

-Disattiva il ripristino
-avvia in provvisoria e "svuota tutto" con ccleaner

fatto, l'icona della carrozzella, la pubblicità rimangono
inoltre la home page di IE anche se la cambio, ritorna sempre

http://www.safetydefender.com/

e che cavolo!!!!!!!!!!!!!
Allora dovrebbe esserci ancora qualcosa nel log di hijackthis.
Prova a postarlo e a fare qualche scansione tipo quelle proposte da naso o quelle on line.
Ricordati cmq di tenere il punto di ripristino disattivato finchè non hai risolto.

il log, l'ho analizzato via web http://www.hijackthis.de/index.php

però era tutto a posto.io stesso, cercando a mano non trovavo nulla di strano.
sono riuscito però a trovare una soluzione

http://www.bleepingcomputer.com/forums/topic43659.html

grazie a tutti ;)

Sono contento che alla fine hai risolto!
...................................................
Però è strano che nell'immagine del log che hai postato non ci fosse questa riga :confused:
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h

ricordo che c'e' anche un altro sito dove fare l'autoanalisi
http://hjt.networktechs.com/

ricordo che c'e' anche un altro sito dove fare l'autoanalisi
http://hjt.networktechs.com/
Il problema è che NON era presente proprio nel log, vai a leggere l'immagine.

no ma lo dicevo solo per titolo informativo :)

Sorri avevo frainteso...è che ultimamente (come scritto in un altro post) sono affetto dalla "sindrome di computer con il log pulito che però sono infetti"
la famosa
S.C.L.C.I. :D :D :D :D :( :muro: :help:

si' beh quelli sono peggio di quelli infetti
c'e' un esempio proprio adesso sul threa ufficiale hijackthis

quello di chry80?

il log, l'ho analizzato via web http://www.hijackthis.de/index.php

però era tutto a posto.io stesso, cercando a mano non trovavo nulla di strano.
sono riuscito però a trovare una soluzione

http://www.bleepingcomputer.com/forums/topic43659.html

grazie a tutti ;)
Leggere il link che ti avevo suggerito io no eh? faceva in pratica la stessa cosa :muro:

quello di chry80?
è saltato fuori che c'e' un misterioso cookie.... :mbe:

Ma alla fine qual è la procedura per rimuovere questo problema? Vi prego di postare la procedura completa. Vi prego... Grazie...

Invero non ho capito se l'utente era infetto con solo Smitfraud o con spyfalcon :confused:
Cmq le istruzioni complete sono a questo link
http://www.bleepingcomputer.com/forums/topic43659.html

Invece per eliminare solo smitfraud
prova ad usare
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Decomprimilo
doppio click sul file "smitfraudfix.cmd" e scegli l'opzione 1
viene fatta una prima scansione + report
Rivvia in modalità provvisoria (premi F8 )
Fai di nuovo doppio click su "smitfraudfix.cmd" e scegli l'opzione 2, attendi l'altra scansione + report e riavvia in modalità normale.