a da qualke mese ke ho dei problemi con questo spyware o hijacker o quello ke sia,molto spesso la prima pagina web viene cambiato con la pagina (.1987324.com/?296) il firewall mi visualizza questo programma ke vuole connettersi ad internet best_0118.exe,io naturalmente nn consento l'accesso.
il bello che dopo aver ripulito tutto con spybot,ad-aware,avg e una scansione on-line con bit defender,il problema dopo qualche giorno ricompare.
i problemi ke spybot trova sn citofarera,appunto, e sfonditalia.
mi aiutate ad eliminarli una volta e per tutte????

Non so se è mai stato usato da qualcuno su questo forum, ma ti consiglierei di provare il Superantispyware (http://www.superantispyware.com/). E' gratuito (o meglio,puoi anche registrarlo,ma per una normale scansione puoi usarlo anche così) ed è decisamente efficace.

prova a postare un log di hijackthis qui (http://www.hwupgrade.it/forum/showthread.php?t=937676)

controlla con questo -> http://www.trendmicro.com/cwshredder/

lo scarichi, lo avvii e selezioni fix

Non so se è mai stato usato da qualcuno su questo forum, ma ti consiglierei di provare il Superantispyware. E' gratuito (o meglio,puoi anche registrarlo,ma per una normale scansione puoi usarlo anche così) ed è decisamente efficace.

và in conflitto con ad-aware & spybot????

và in conflitto con ad-aware & spybot????

No ;)

Ciao, sto rompiballe lo aveva beccato la mia ragazza, avevo trovato più di una guida di rimozione, ma nesusna funzionava.
Lei però si è accorta che la ricerca su google, oltre a tardare alcuni secondi, dava sempre gli stessi risultati, ad esempio se cercava "Scarpe" trovava una cosa tipo:
Scarpe on the best encyclpedia ecc..ecc...
e vari altri "falsi risultati".
Ed in pratica cliccando su questi link ci si ricasca.
Ho fatto uno scan con HiJackThis ed ho trovato una chiave...se non sbaglio era del tipo O2 - BHO:, che modificava alcune impostazioni di explorer, l'ho rimossa ed ho risolto il problema.

nn c'è nessuna chiave 02-BHO ke potrebbe essere infetta

v posto il log :

Logfile of HijackThis v1.99.1
Scan saved at 6.51.40, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Multimedia Card Reader\shwicon2k.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\MUSTEK 1248UB\Driver\WATCH.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Documenti\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll
O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINDOWS\system32\ocaa.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\MUSTEK 1248UB\Driver\WATCH.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O15 - Trusted Zone: www.playitalia.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f002.mail.lycos.it/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69BF5581-103F-4E6C-A484-DDAFEFD248F0}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

devi postarlo nel thread che ti ho indicato prima,non qui ;)

ho postato il log nell'analizzatore,un sola voce sconosciuta ke ho eliminato ora stiamo a vedere

io lo elimino con spybot in provvisoria e non torna +

forse la chiave con quel ocaa.dll va cancellata.
Comunque dava anche a te il problema con google?

forse la chiave con quel ocaa.dll va cancellata.
Comunque dava anche a te il problema con google?

ho cancellato proprio quella chiave,cmq se ritornerà proverò con la modalità provvisoria come consigliato da teddyvs

Secondo me tu hai un problema più grosso qui
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe

fixala...

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.
verifica se in C:\WINDOWS\system32 è presente quella ocaa.dll, nel caso eliminala con killbox
http://www.wintricks.it/news2/article.php?ID=12000

Poi fai una scansione qui
http://www.ewido.net/en/onlinescan/


;)

be x il momento il rpblema nn si è riverificato,caso mai seguirò il tuo consiglio Foxlady

Quella chiave del tuo log che ti ho indicato
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
indica la presenza di un trojan nel tuo PC, controlla se c'è ancora o se è sparita.

la voce ke dici tu foxlady c'è ancora,ma gli antivirus nn riconoscono questo trojan,e da premettere che uso avg e ogni tanto faccio qualche scansione on-line con bitdefender.


è possibile ke nn lo riconoscono????

la voce ke dici tu foxlady c'è ancora,ma gli antivirus nn riconoscono questo trojan,e da premettere che uso avg e ogni tanto faccio qualche scansione on-line con bitdefender.


è possibile ke nn lo riconoscono????
prova xoftspy lo becca di sicuro

Su AVG non ci metterei la mano sul fuoco, ma penso che di bitdefender ci si possa fidare, magari è solo un rimasuglio di qualcosa che è già stato rimosso, in ogni caso fixa pure quella voce.

;)

fixata come da te suggerito ;)

Mi scusate perche' non parlo molto bene l'italiano. Pero' recentamente ho trovato anch'io questo problema sul mio computer con il "best_0118.exe" che ha messo sei shortcut che si chiamano "e1xplorer" in posti vari. Sono stato stupito di non trovare nessun' informazione in inglese su quest' infezione. Sembra proprio un fenomeno italiano. Menomale che io possa leggere un po'. Quindi, dopo ho cercato e buttato tutti i documenti di cui ho appena parlato, ho usato il suggerimento di FOXYLADY di utilizzare il programma a: http://www.ewido.net/en/onlinescan/. Con questo online scan ho trovato 183 infezioni sul mio computer di cui uno si chiama "Dialer.Archiviosex.a" e' stata la causa della mia dilemma. Allora grazie per l'aiuto e penso di scrivere qualcosa in inglese per i miei colleghi anglofoni...

If you are an English speaker and have been victim to the "best_0118.exe" infection that continues to return even after deletion and places six shortcuts called "e1xplorer" in various spots on your computer, you have found help on this forum. I'm not sure if this virus originated in Italy but the only information that I have found on it is written in Italian. In short, after searching for and deleting the aforementioned files from your computer, please use the online scan found at: http://www.ewido.net/en/onlinescan/ to remove what seems to be the culprit of this problem. In my case the infection was called "Dialer.Archiviosex.a" and was located in my Temp files at C:\Documents and Settings\\User\Local Settings\Temp\temp.fr8D22. The online scan was also useful in weeding out a bunch of infectuous "exe's" and "Hijacker" files that AdAware and SpyBlaster did not pick up on.