Ieri avevo notato che la homepage era stata modificata ma non mi ero preoccupato più di tanto.
Oggi invece noto con mio dispiacere un problema più grave : in pratica si aprono delle pagine di iexplorer su un fantomatico sito di ricerche online e simili,senza che io navighi su internet(il pc resta a scaricare).
Che puo' essere?
Ho un trojan o cos'altro?
Naturalmente Norton non rivela un azzo.

Grazie per eventuali aiuti

Originariamente inviato da Galotar
Ieri avevo notato che la homepage era stata modificata ma non mi ero preoccupato più di tanto.
Oggi invece noto con mio dispiacere un problema più grave : in pratica si aprono delle pagine di iexplorer su un fantomatico sito di ricerche online e simili,senza che io navighi su internet(il pc resta a scaricare).
Che puo' essere?
Ho un trojan o cos'altro?
Naturalmente Norton non rivela un azzo.

Grazie per eventuali aiuti

Recati in bagno........solleva la tavoletta.......prendi il cd di installazaione del Norton,...e inseridcilo nella tazz...dopodischè tira l'acqua più volte.....:D :sofico: :sofico: :sofico: Ovviamente scherzo...... cmq non ho sbagliato di molto...cambia antivirus...passa a Bit defender.....o Avg....ce ne sono tanti...ciao!:)

Originariamente inviato da axxaxxa3
Recati in bagno........solleva la tavoletta.......prendi il cd di installazaione del Norton,...e inseridcilo nella tazz...dopodischè tira l'acqua più volte.....:D :sofico: :sofico: :sofico: Ovviamente scherzo...... cmq non ho sbagliato di molto...cambia antivirus...passa a Bit defender.....o Avg....ce ne sono tanti...ciao!:)

Ho installato AVG come suggerito ma il problema non si è risolto.
Mi capita di lasciare il pc a scaricare e quando torno di trovare delle pagine di iexplorer aperte su siti con pubblicità.
Oppure anche mentre sto leggendo questo forum,mi si aprono dei pop up che poco dopo si chiudono da soli.
Nessuno ha idea di cosa possa essere?

Hai provato Spybot S&D o CWshredder?
Sono piu' indicati degli antivirus

Originariamente inviato da GiulioM
Hai provato Spybot S&D o CWshredder?
Sono piu' indicati degli antivirus

Spybot si,adesso provo l'altro.
Il sito poi è sempre lo stesso : www.search.net (o .com non ricordo)

e' mica search for... ? :muro:

Originariamente inviato da GiulioM
e' mica search for... ? :muro:

Esatto.
Come l'hai capito?
Anche tu stesso problema?
Cmq anche l'altro programma non mi trova niente di anormale.

siiii e' da 5 gioni che rompe le balle.... :mc:

Il bello e' che riesco toglierlo con AVG, infatti trova un dll infettata, ma poi dopo un po' di ore ricompare....

ora ci ho riprovato, speriamo non rompa piu'

Prova HiJackThis e posta il log, vediamo se e' simile al mio :rolleyes:

Ecco il log:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/en/wowbeta/Si.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.hwupgrade.it/scan/Msie/bitdefender.cab
O16 - DPF: {9EF4E3E4-2F1E-472E-9FF2-2670EA5C42D9} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_EN_XP.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/uk/soesysinfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{968616FC-88BD-4CE7-B947-B6EE469BAE1D}: NameServer = 212.216.112.112 212.216.172.62


Il sito è quello menzionato nella prima riga :muro:

no allora
il mio si chiama proprio search for...
ed e' appena ricomparso

Ragazzi...provate BIT DEFENDER.... e risolvete tutto...:)

provato e nn ha trovato un tubo :muro:

Originariamente inviato da GiulioM
provato e nn ha trovato un tubo :muro:

Bit defender??:eek:

Originariamente inviato da axxaxxa3
Bit defender??:eek:
se non ha trovato niente lui..allora non è un virus...:confused: tra quelli che ho provato(Norton, Avg, Avast, Kaspersky..ecc.) a mio parere è il migliore

in win98 si risolve cosi:
Hi everyone,

Three days ago I used this fix to clean my machine of CWSearchx. I posted my experiences here. Since then a number of people have reported that these steps worked for them too, and so I’m posting a step-by-step how-to for everyone to take a look at. I don’t have a WinXP machine, so I don’t know if it will work in XP. But it does work in Win 98.

This technique uses a scalpel, not a machete. No essential system files will be accidentally deleted. The task is to find the hidden file that regenerates the CWS infection after CWS Shredder, Adaware, Spybot, and Hijack This have removed the visible symptoms.


1. Make sure that Windows Explorer is set to display all hidden and system files: go to Tools>Folder Options>View and click the button for Show All Files.

2. Run Adaware. Make sure you instruct it to scan your \Windows, \Program Files, and \My Documents folders. Then run Shredder. Remove every suspicious thing they find.

3. Next take your computer offline – unplug your modem, whatever. No Web connection.

4. Run the Windows utility "System Information." It’s on your Start Menu under System Tools, or just click Start>Run and on the command line type msinfo32.

5. Expand the Software Environment section, and select System Hooks.

6. If you are infected with CWSearchx, you will see a suspicious file there. Hook type “Windows Procedure.” File name will be a nonsense string of characters, ending in .dll. The dll Path will be \Windows\System. WRITE THE NAME OF THIS FILE DOWN.

7. Close MS Info. Open Windows Explorer, go to \Windows\System and look for this file. IF YOU CAN SEE IT, IT’S THE WRONG FILE. But if you can’t see it, this is the one.

8. Shut down, and reboot into Command Prompt Safe Mode. On the C:\ command line, type cd\Windows\System.

9. Once inside \Windows\System, type dir, a space, and the name of the file you wrote down. (like this: dir ghyth.dll). When the file shows up, take a look at its size. It will probably be 57,344 bytes.

10. Type ren, a space, and the name of the file you wrote down, and then a new name for the file. (like this: ren ghyth.dll ghyth.bob). Make sure you change the extension of the file from .dll to something else. Do not delete the file.

11. Restart your computer in Windows Safe Mode. Windows may complain that it can’t find the .dll, but click OK and keep going.

12. Once in Safe Mode, run Adaware again. This time it will find the renamed file in your System folder and will identify it as CWS. If it does, have Adaware delete it.

13. Run Shredder, Spybot, and Hijack This for good measure. Clean house.

14. Reconnect your Internet connection and restart Windows normally. Reset your IE home page to whatever you want. You’re done.


I would also recommend you get a good firewall and set your browser for High Security.

Good luck! If it works for you, post a reply to this message to keep it bumped.

Thanks.
BobO

Penso che con qualche modifica (disattivare system restore, system32 invece che system) dovrebbe funzionare anche con xp.
In nessun sito italiano ho trovato la soluzione invece questo funziona alla grande. dopo quasi una settimana di tentativi inutili.