ciao ragazzi mi chiamo francesco e sono di torino..
volevo chiedervi un aiuto su un particolare abbastanza strano..
come ho scritto nel titolo della discussione posseggo windows vista e da poco tempo mi si apre sempre una finestra che mi dicesempre che un programma vuole dialogare con me ma che non ci riesce per problemi di incompatibilità...
fino a qui nulla di anormale ma se clicco per mostrarmelo la finestra torna in stile windows 98 con tutto lo schermo bianco in sottofondo e l'unica mia possibilità e tornare indietro e scrivere ricordami fra qualche minuto..
nella descrizione del programma ce solo la sua ubificazione che è: c:programmi\internet explorer\svchost ma a quanto ne soo questo e un componente di windows non un virus!! tra l'altro poco fa internet explorer mi si e chiuso dicendomi di controllare se ho un virus..
per ora sto facendo la scansione con avast anche se non credo che servira a molto grazie per l'ascolto!!

ciao, il fatto che si apra la finestra in stile windows 98 non è necessariamente sinonimo di virus ...ho riscontrato il comportamento da te descritto (sempre su windows vista) con programmi del tutto legittimi tipo l anti rootkit di systernals...(durante i primi mesi vita di windows vista quando i vari software non erano stati resi ancora ben compatibili la lista dei programmi che si comportavano in questo modo includeva vari prodotti)...più preoccupante è la seconda parte della tua descrizione...
ti consiglierei di seguire la guida alla disinfezione per un analisi preliminare
http://www.hwupgrade.it/forum/showthread.php?t=1599737

....nella descrizione del programma ce solo la sua ubificazione che è: c:programmi\internet explorer\svchost ma a quanto ne soo questo e un componente di windows non un virus!! .....

Si tratta sicuramente di un virus. il processo svchost.exe (http://www.bleepingcomputer.com/filedb/svchost.exe-2816.html) legittimo si trova in C:\WINDOWS\system32\.
Quindi come ti ha già suggerito ShoShen è necessario che tu esegua l'analisi preliminare.
Per sapere con cosa abbiamo a che fare sarebbe utile se tu andassi su www.virustotal.com e facessi l'upload di c:\programmi\internet explorer\svchost.exe. Riporta qui i risultati.

P.S. Tutti i log vanno inseriti secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984).

questo e il risultato dell'analisi eseguita sul file ...
(tra l'altro il file e un bastardo xche non e visibile aprendo la cartella normalmente
File svchost.exe received on 12.08.2007 18:29:33 (CET)Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Delf.bld
Authentium - - -
Avast - - -
AVG - - Generic9.AADT
BitDefender - - -
CAT-QuickHeal - - Trojan.Delf.amr
ClamAV - - -
DrWeb - - Trojan.DownLoader.origin
eSafe - - Win32.Delf.amr
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - W32/Delf.AMR!tr
F-Prot - - W32/Trojan2.HWF
F-Secure - - Trojan.Win32.Delf.amr
Ikarus - - Trojan.Win32.Delf.amr
Kaspersky - - Trojan.Win32.Delf.amr
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - W32/Delf.BCHU
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Behav-053
Sunbelt - - TR/Delf.bld
Symantec - - -
TheHacker - - Trojan/Delf.amr
VBA32 - - Trojan.Win32.Delf.amr
VirusBuster - - Trojan.Delf.AADI
Webwasher-Gateway - - Trojan.Delf.bld

Additional information
MD5: b7675e7881b9eaf0d7eea37fc6239e9a

ehm scusate ma sono un tantino ignorante ma come procedo allora?

Come puoi vedere tu stesso dal log Avast non lo riconosce come un virus. Ti era stato detto di eseguire un'analisi preliminare. Comunque per rimuoverlo scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Files to delete:
c:\programmi\internet explorer\svchost.exe

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

Poi esegui anche le scansioni consigliate qui:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

E allega i log usando la funzione Gestisci allegati o usando www.zshare.net e riporta qui il link.

sto cercando di scaricare e installare avenger ma e completamente in contrasto con vista

In effetti avenger è incompatibile con vista. probabilmente anche killbox. Appena ne so di più ti faccio sapere. Tu intanto fai l'analisi preliminare.

sto cercando di scaricare e installare avenger ma e completamente in contrasto con vista
Infatti Avenger non è compatibile per Vista.

Inizia da qui per favore:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Lo lasci disattivato fino a quando non avremo risolto il problema

Scarica ed Installa HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una apposta nuova Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona)
● lancialo, clicca su Do a system scan and save a logfile ed una volta che è stata creata la list, clicca su Save Log
allega, il log di HijackThis per farlo controllare

già che ci sei, pulisci, anche, gli eventuali ADS:
● rilancia HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

ATTENZIONE:

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

Puoi usare Killbox beta.
Scaricalo da qui:
http://www.killbox.net/downloads/beta/KillBox.exe
o qui:
http://files3.majorgeeks.com/files/0055a5709f2388ee34e6a39c4719fccb/admin/KillBox-Beta.exe

Una volta aperto inserisci in Full path..:

c:\programmi\internet explorer\svchost.exe

Seleziona Delete on reboot. E premi il tasto rosso con la x bianca.

ehm mi spiace ma neanke killbox mi si apre...
run time error 76 path not found

Accidenti, eppure ho letto che la beta funziona su Vista.:wtf:

Visto l'analisi che hai fatto su internet allora prova con DrWeb CureIt (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe).

Oppure con HiJackThis. Usando la funzione Delete a file on Reboot che trovi tra i Misc Tools.

Questo benedetto log di HThis sarebbe possibile vederlo pubblicato?.

ragazzi non capisco come allegarvelo... non riesco a metterlo come gestisci allegato ma e 10 k solo!

P.S. Tutti i log vanno inseriti secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984).

E allega i log usando la funzione Gestisci allegati o usando www.zshare.net e riporta qui il link.

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

Ti è stato detto tre volte. Cosa non capisci?

non capisco che e un file da 10 k txt.log e mi da file non valido

non capisco che e un file da 10 k txt.log e mi da file non valido

Ma dico sai leggere?????

hostalo su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

Il problema è l'estensione .log. Rinominalo in log.txt

http://www.zshare.net/download/55168599f90945/ ecco qui

Apri Hijackthis. Seleziona Open the Misc Tool section. Poi clicca su Delete a file on reboot. In nome file scrivi: C:\Program Files\Internet Explorer\svchost.exe. Rispondi si e riavvia.

Poi vai su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su Servizi e scorri la lista fino a trovare il servizio Window Image Worker. Doppio click, poi in Tipo di avvio scegli: Disabilitato.
Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: windownetpker e dai ok. Ti chiederà di riavviare.

Infine fai un nuovo log di HJT e allegalo.

Cerca nel percorso quello che ti iindico in rosso e fallo analizzare qui:
http://www.virustotal.com/it/

C:\Windows\system32\UI0Detect.exe

Rilancia HThis e segui le indicazioni di Nuz per questa voce:

O23 - Service: Window Image Worker (windownetpker) - Unknown owner - C:\Program Files\Internet Explorer\svchost.exe

aggiorna JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

Quando hai fatto tutto, allega:
1 - il report di VirusTotal
2 - un nuovo log di Hthis

Ciao River, su UI0Detect.exe credo che basti questo:

http://www.castlecops.com/o23list-3264.html

Ciao River, su UI0Detect.exe credo che basti questo
Una delle tante c*****te (legittime) con cui hanno riempito SVISTA :cool:

ah scusa river dicevo a nuz per prima

Poi vai su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su Servizi e scorri la lista fino a trovare il servizio Window Image Worker. Doppio click, poi in Tipo di avvio scegli: Disabilitato.
Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: windownetpker e dai ok. Ti chiederà di riavviare.

Infine fai un nuovo log di HJT e allegalo.

come faccio a fare questo su vista??

allora i file che mi avete fatto controllare cono senza virus 0/32 e cstlecops mi indica come legittimate

Poi vai su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su Servizi e scorri la lista fino a trovare il servizio Window Image Worker. Doppio click, poi in Tipo di avvio scegli: Disabilitato.
Apri HJT, seleziona Open the Misc Tool section, poi scegli Delete a NT service. Nella finestra inserisci: windownetpker e dai ok. Ti chiederà di riavviare.

Infine fai un nuovo log di HJT e allegalo.

come faccio a fare questo su vista??

Start--->Esegui--->e digitare services.msc per quanto concerne questa parte: Poi vai su Risorse del computer col tasto destro del mouse. Poi scegli Gestione poi vai su Servizi e Applicazioni, poi su Servizi e scorri la lista fino a trovare il servizio Window Image Worker. Doppio click, poi in Tipo di avvio scegli: Disabilitato.

Per HijackThis segui le istruzioni che ti sono già state date

fatto tutti i procedimenti questo e il nuovo log http://www.zshare.net/download/55178799f7fb0b/

che dite ce ancora ombra del virus?

C'è una voce un po' sospetta, però se hai un portatile HP con il software Recovery Manager. allora è OK.
Per il resto il log è OK. Disinstalla Avast e installa Antivir, aggiorna Java, aggiorna Acrobat Reader.

Edit: Sarebbe utile se facessi anche le altre scansioni proposte nella guida alla disinfezione.

si hai azzecato ... avast mi ha un po deluso pero...che cosa devo fare x rimettere in sensto quello che finora ho toccato?cosa devo riattivare?

Non capisco a cosa ti riferisci. Cosa vorresti riattivare?

Se ti riferisci al servizio che prima hai disabilitato, allora devi sapere che era legato al virus.

mi bra che avevo tolto una opzione che poi dovevo riattivare... devo ankora farlo?

Ti riferisci al Ripristino Configurazione di Sistema. Si, lo devi riattivare.

GRAZIE MILLE gazzi mi avete tolto una bella rogna e ve ne saro eternamente grato... anche perche ora come ora non saprei nemmeno formattare!!!