Non riesco a toglierlo, mi sostituisce la pagina iniziale con una maledetta pagina "Search of" (nella barra degli indirizzi compare "about:blank"), come se non bastasse, carica un popup che mi avverte della presenza di uno spyware (anche la prese per il culo).

Ecco cosa ho fatto:

- Scansionato l'Hd con Ad-aware, mi rileva una dll, un processo e delle chiavi nel registro, in apparenza elimina tutto.
- Pulito il registro e lo Startup con RegCleaner.
- Eliminato i file temporanei di internet
- Eliminato un plug-in sospetto

Dopo un tot di sessioni con Explorer, mi compare nuovamente come pagina iniziale "Search of".
Per l'ennesima volta eseguo Ad-aware, rileva sempre il solito processo, chiave e dll, quest'ultima però con un nome diverso.

Esiste qualche altro tool?

Prova con Spybot Rc5.

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\mapiicon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
F:\Programmi\FlashFXP\FlashFXP.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sliver\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%[email protected]/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%[email protected]/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%[email protected]/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\gjg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%[email protected]/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.73.172.196:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%[email protected]/search/ (obfuscated)
O2 - BHO: (no name) - {043653D2-697F-4675-89C7-1AF16385F2E6} - (no file)
O2 - BHO: (no name) - {3210B9BF-C19E-4D8C-887E-A9570341E076} - (no file)
O2 - BHO: (no name) - {41CE468D-48FB-4E9F-A436-29D34F22631E} - (no file)
O2 - BHO: (no name) - {5009A748-ECA7-4A64-BBC9-2B78EA876FEF} - (no file)
O2 - BHO: (no name) - {6C169684-53AA-4DC0-89D2-50E0840D5E48} - C:\WINNT\system32\clnk.dll (file missing)
O2 - BHO: (no name) - {7F314991-157B-45FA-B0A7-9277781ACD48} - C:\WINNT\system32\jmc.dll (file missing)
O2 - BHO: (no name) - {92DFD630-2907-493C-A174-66451829334A} - (no file)
O2 - BHO: (no name) - {A4CDE3AD-F27D-4451-8374-360827A04DFF} - (no file)
O2 - BHO: (no name) - {B1056157-5A22-4E11-8060-58A9DC7CDA1D} - (no file)
O2 - BHO: (no name) - {C6AD1EBF-8BBD-423B-A9A7-B1D077CFB867} - C:\WINNT\system32\gjg.dll
O2 - BHO: (no name) - {E0838C23-135D-4B0B-8573-E44EEB62EBC9} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ADSL_A2] A2Installed
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: ADSL Diagnostic Tools.LNK = C:\WINNT\system32\mapiicon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4063786-F5A6-4F12-A373-A6665F02DAA6}: NameServer = 213.92.5.54 194.20.8.1

Originariamente inviato da Jaguar64bit
Prova con Spybot Rc5.

Ths, ora provo

Hai disabilitato il System Restore???Prova in modalità provvisoria...

C'è un 3D aperto sull'argomento...

guardate qui http://forum.hwupgrade.it/showthread.php?s=&threadid=680298&pagenumber=2


Appena avrò un po' di tempo, posterò come rimuoverlo a seconda delle situazioni.

ciao.

Originariamente inviato da skitch
Hai disabilitato il System Restore???Prova in modalità provvisoria...

Provato anche in modalità provvisoria ma nada.

Originariamente inviato da MrOZ
C'è un 3D aperto sull'argomento...

guardate qui http://forum.hwupgrade.it/showthread.php?s=&threadid=680298&pagenumber=2


Appena avrò un po' di tempo, posterò come rimuoverlo a seconda delle situazioni.

ciao.

Ho il provato il fix di HijackThis, vediamo se funziona.
Cmq adesso mi leggo anche quella discussione.

Se avessi le capacità butterei giù quel sito :muro: :mad:
Non ho risolto :muro: