L'altro giorno scaricando un file da internet mi sono beccato degli spyware sul pc e windows nella barra delle applicazioni continua a visualizzare l'icona dello scudo x avvertirmi di installare l'anti spyware da loro indicato (non è un marchio microsoft).
Il problema è che nonostante abbia scaricato un antispyware gratuito x conto mio,l'icona rimane e mi appare di tanto in tanto un messaggio di avviso di scaricare l'antispyware da loro indicato;niente di grave...se non fosse che quel cavolo di messaggio mi interrompe l'esecuzione dell'applicazione in corso e mi ritrovo alla schermata di windows.
Ho già provato a disattivare dal Centro di sicurezza pc ogni protezione disponibile (controllo anti virus,Firewall,aggiornamenti automatici) e a riavviare ma niente,il problema persiste(poi ho riattivato il firewall di windows xchè mi stava dando problemi).

Ho quindi utilizzato 2 programmi anti spyware: Spybot e Ad-Aware che mi hanno rilevato effettivamente una certa quantità di file infetti e ho cancellato e riparato dove possibile. Nonostante ciò nulla è cambiatoe quella dannata icona non sparisce; se ci clicco in il tasto sx si ape la pagina di download (su explorer,non Mozilla) di un antivirus non gratuito e se clicco con il destro è la stessa cosa.
Allego un immagine x chiarire meglio al situazione:

http://img524.imageshack.us/img524/2213/problemapf2.jpg (http://imageshack.us)

posta un log di hijackthis e fai un scan con questo http://www.majorgeeks.com/RogueRemover_d5360.html

Prima di fare le scansioni con quei programmi e fare la rimozione devi disabilitare il ripristino configurazione di sistema.

Tasto destro su risorse del computer, Proprietà, scheda Ripristino conf. di sistema, Metti la check a Disattiva... ecc, OK.

non che sia molto d'accordo (se la rimozione va male tocca formattare) comunque

posto il log qui sotto:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.25.59, on 10/08/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\Msmsgs.exe
C:\Programmi\ICQ6\ICQ.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tiscali 10.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\lotus-checker.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [sbiap] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Documents and Settings\Administrator\Desktop\Tante brutte cose\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [sbiap] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programmi\ICQ6\ICQ.exe" silent
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\dxelc5nk.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles/dxelc5nk.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - Startup: Stp28.lnk = C:\Documents and Settings\Administrator\Impostazioni locali\Temp\Stp28.tmp
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download All Links with IDM - C:\Documents and Settings\Administrator\Desktop\Tante brutte cose\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Documents and Settings\Administrator\Desktop\Tante brutte cose\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/oneclick/ConnessioneTiscali.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D92F86BE-7410-48FD-8E0A-01197E20EA8C}: NameServer = 85.37.17.48 85.38.28.88
O20 - AppInit_DLLs: \\?\C:\WINDOWS\lpt8.vfv
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: electroosmoses - {eb86b46a-d6db-4478-8f5f-06cb2ebc1b35} - C:\WINDOWS\system32\nexpegp.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 7540 bytes

Ora provo a fare quella scansione che mi hai indicato

Rogue Remover non mi ha individuato nulla.
Poco fa ho provato anche a mettere Windows XP in modalità provvisoria e attivato AVG Anti-Spyware 7.5 che ha rilevato degli spyware che ho cancellato e tuttavia il problema non si è risolto.

fixa qst:

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O4 - HKLM\..\Run: [sbiap] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe
O4 - HKCU\..\Run: [sbiap] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe"

e qst: O20 - AppInit_DLLs: \\?\C:\WINDOWS\lpt8.vfv

anke se mi sembra strano...:confused:

poi fai una scansione cn ANTIVIR

PS:hai il System Restore disabilitato??

Come posso vedere se il System Restore è disabilitato o meno?

Come posso vedere se il System Restore è disabilitato o meno?

start--->accessori--->utilità di sistema--->Ripristino configurazione di sys

mi dice che è disattivata,se la attivo cosa comporta?

mi dice che è disattivata,se la attivo cosa comporta?

lascialo così, e fixa quelle voci...

questa parte non l'ho potuta fixare xchè non presente sulla schermata di HiJackThis,ma solo sul file di testo log:

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe

sai x caso come posso operare anche su questa?

ciao.....oltre gli altri consigli fai anche pulizia temp ed index dat con CCleaner( QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/))disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" oppure con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 (è stand alone) Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"

prova anche con questo http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Salvalo sul desktop, dezippalo apri la cartella SmitfraudFix, avvia SmithFraudFix.cmd scegli l'opzione 1 (scrivere 1 e premere ENTER),
salva il log che ti dà dove dovrebbe indicarti quello che ha trovato, riavvia in provvisoria (F8 al boot)riapri la cartella SmitfraudFix, avvia SmithFraudFix.cmd, scegliere l'opzione 2 (scrivere 2 e premere ENTER), digiti Y(yes) alla domanda "Vuoi pulire il registro?", in caso venisse chiesto di rimpiazzare eventuali files .dll digiti Y(yes), salva il nuovo log riavvia il pc, è probabile che se avevi uno sfondo lo devi reimpostare.

scarica Superantispyware (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWARE) aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 (http://www.emsisoft.it/it/software/download/) aggiornalo e fagli fare una scansione completa del sistema

questa parte non l'ho potuta fixare xchè non presente sulla schermata di HiJackThis,ma solo sul file di testo log:

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\31153578.exe

sai x caso come posso operare anche su questa?

fai così: vedi se su esegui--->%temp% c'è qst file.

k l'ho trovato nella cartella Temp.
Lo cancello?

k l'ho trovato nella cartella Temp.
Lo cancello?

si...

SmithFraudFix mi ha cancellato finalmente quella icona e gli altri 2 programmi precedenti hanno trovato una grande quantità di file da eliminare,e anche il fixaggio tramite HiJackThis ha fatto la sua parte.

Ringrazio tutti quelli che mi hanno aiutato,in particolare Mazda e Lancetta;senza di voi proprio non sapevo dove battere la testa.

SmithFraudFix mi ha cancellato finalmente quella icona e gli altri 2 programmi precedenti hanno trovato una grande quantità di file da eliminare,e anche il fixaggio tramite HiJackThis ha fatto la sua parte.

Ringrazio tutti quelli che mi hanno aiutato,in particolare Mazda e Lancetta;senza di voi proprio non sapevo dove battere la testa.

:) :)

Ciao contento che tu abbia risolto :D e attenzione a quello che scarichi....le raccomandazioni sono sempre le solite.:read:

Saluti :cool:

infetto da linkoptimizer, dubito che il pc sia completamento pulito:D

infetto da linkoptimizer, dubito che il pc sia completamento pulito:D

non sò a che variante ti riferisci,ma superantispyware ha cominciato a conoscere notorietà proprio perchè era un dei primi soft a segarlo....poi se hai altri consigli,perchè non postarli,così invece di dubitare,hai direttamente certezze......

La prima, comunque senza log di superantispyware penso sia difficile capire se l'hai rilevato o no, poi ci sono sempre i 2 removal tools, quello di prevx e quello di symantec, ciao