Ho aggiornato spysweeper 2.6 ed ho lanciato una scansione trovando questo cws_xplugin. Ho provato ad eliminarlo e sembrava cosa fatta, ma rilanciando la scansione me lo sono ritrovato nuovamente.

Inutile dire che spybot 1.3 e ad-aware se 1.5 professional non me l'hanno nemmeno identificato.

Insomma che roba è? come posso eliminarlo?

Ho provato di tutto, anche pest patrol, ma non ne vuole sapere di mollare. Qualcuno può aiutarmi?

Spysweeper è l'unico che lo identifica e rimuove ma poi alla successiva scansione lo ritrovo sempre..

Ciao,

se posti un log di hijackthis (http://www.tweakness.net/showfiles.php?fid=5) stasera ci guardo e cerco di capire cos'è

Grazie, sto ammattendo. Ho provato anche cwshredder ma non mi trova niente. L'unico che puntualmente me lo rileva è spysweeper 2.6. E se sbagliasse? comunque ecco il log:


Logfile of HijackThis v1.98.2
Scan saved at 13.53.48, on 07/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programmi\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programmi\F-Secure Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
C:\Programmi\F-Secure Anti-Virus\fswsclds.exe
C:\Programmi\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\PGPsdkServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programmi\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programmi\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programmi\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\F-Secure Anti-Virus\Common\FSM32.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmi\PGP Corporation\PGP for Windows XP\PGPtray.exe
C:\Programmi\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Executive Software\Diskeeper\DfrgFat.exe
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
D:\Documenti\Pc\ANTISPYWARE\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = libero.it; iol.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Manager HotSync.lnk = C:\Programmi\Palm\HOTSYNC.EXE
O4 - Global Startup: PGPtray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095265232544
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8973538C-852D-4F4E-BF03-7C4041D49FC1}: NameServer = 193.70.192.25 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = dns.tin.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = dns.tin.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = dns.tin.it

Ho visto questo processo

C:\Programmi\F-Secure
Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe

che è alquanto sospetto...

Fossi in te lo eliminerei subito... però aspetto la conferma di wgator che in Hijackthis è molto più esperto di me!

Ciao

Si in effetti ho sempre avuto qualche dubbio al riguardo ma mi pare che riguardi l'antivirus per gli aggiornamenti, così l'ho lasciato.

E' strano ho provato la versione trial di spysweeper 3.2 e non mi risulta nulla.. che sia un difetto della vesione precedente?

Ciao ragazzi,

anch'io ho dei dubbi su quel processo :confused:

Io non conosco F-Secure, non l'ho mai usato... però processi col nome Backweb potrebbero essere legittimi:
http://www.europe.f-secure.com/products/backweb/backweb.shtml
http://www.symbolic.it/FTP/AVdoc/backweb.html

Oppure in alcuni casi potrebbero essere malvagi:

http://www.2-spyware.com/file-backweb-exe.html
http://www.spyany.com/files/BackWeb_exe.html

Data la posizione,
C:\Programmi\F-Secure
Anti-Virus\backweb\4476822\Program\BackWeb-4476822.exe
propendo per un normale processo di F-Secure

a questo punto, per sicurezza ci conviene chiedere l'intervento delle massime autorità del forum: Eraser e MrOz