Mi si è installato questo adware sul pc, usando Ad-Aware aggiornato non trova nulla, Hijackthis trova alcuni file che però anche cancellando si rigenerano, cercando su internet ho trovato alcune soluzioni, ma nn funzionano dato che sta cosa si rigenera ad ogni riavvio, ho provato anche concellando la chiave di registro relativa, ma nulla.
qualche consiglio? :cry:

log:

Logfile of HijackThis v1.98.2
Scan saved at 14.38.19, on 22/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Documents and Settings\andrea@\Documenti\installazioni\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ojpplpf] C:\WINDOWS\System32\ojpplpf.exe
O4 - HKLM\..\Run: [iwrwac] C:\WINDOWS\System32\iwrwac.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

ci sono due voci totalmente sconosciute a che l applicazione sono legate?

O4 - HKLM\..\Run: [ojpplpf] C:\WINDOWS\System32\ojpplpf.exe
O4 - HKLM\..\Run: [iwrwac] C:\WINDOWS\System32\iwrwac.exe


strane molto strane [ojpplpf] e [iwrwac] mai viste

sono legate a questo adware, sono quelle che anche "uccidendo" si rigenerano in seguito, i nomi sono random, qui è spiegato il funzionamento del bastardello:

"Task manager only lets you quit one application as a time,. and by the time you end the task of the second process the second process has had time to reload the first process. Same with the startup key in the registry, if you delete the startup key making the adware load on startup, the processes would remake it."

L'unico programma che sembra poter fare qualcosa contro questo adware è spyaudit, ma è a pagamento :cry:

mi puoi mandare i file ojpplpf.exe e iwrwac.exe (oppure altri file random simili) al mio indirizzo [email protected]''?

ciao

Easyand ti piace il rischio eh? :nonsifa:
Non hai installato un antivirus, nè un firewall, nè hai aggiornato XP a SP1 e Sp2. Scommetto che non sai che esiste Windows Update. Vero?
Beh... sei ancora fortunato che hai il PC che funziona.

Comunque sono scelte tue.

Fra quelle consigliate elimina anche questo.

O15 - Trusted Zone: http://www.neededware.com


Ma, in conclusione, se non ti metti tutto quello che ti manca, dubito che potrai mai essere col PC pulito.

ciao

Easyand ti piace il rischio eh? :nonsifa:
Non hai installato un antivirus, nè un firewall, nè hai aggiornato XP a SP1 e Sp2. Scommetto che non sai che esiste Windows Update. Vero?
Beh... sei ancora fortunato che hai il PC che funziona.

Comunque sono scelte tue.

Fra quelle consigliate elimina anche questo.

O15 - Trusted Zone: http://www.neededware.com


Ma, in conclusione, se non ti metti tutto quello che ti manca, dubito che potrai mai essere col PC pulito.

ciaoquoto

e poi la versione di hijackthis non è l'ultimo

Easyand ti piace il rischio eh? :nonsifa:
Non hai installato un antivirus, nè un firewall, nè hai aggiornato XP a SP1 e Sp2. Scommetto che non sai che esiste Windows Update. Vero?
Beh... sei ancora fortunato che hai il PC che funziona.

Comunque sono scelte tue.

Fra quelle consigliate elimina anche questo.

O15 - Trusted Zone: http://www.neededware.com


Ma, in conclusione, se non ti metti tutto quello che ti manca, dubito che potrai mai essere col PC pulito.

ciao

guarda, il mio pc è sempre stato pulito anche senza antivirus dato che frequento solo siti sicuri, gli SP ho provato a installarli più volte ed è stata una valle di lacrime, l'ultima volta non funzionava più Media Player e ho dovuto formattare!

Le voci che mi avete consigliato le ho già eliminate più volte (cosi come la chiave di registro che si crea) ma riappaiono sempre.

mi puoi mandare i file ojpplpf.exe e iwrwac.exe (oppure altri file random simili) al mio indirizzo [email protected]''?

ciao

non sono inviabili perchè anche se provo a cercarli non li trova, inoltre sono file che cambiano nome spesso in maniera random

guarda, il mio pc è sempre stato pulito anche senza antivirus dato che frequento solo siti sicuri, gli SP ho provato a installarli più volte ed è stata una valle di lacrime, l'ultima volta non funzionava più Media Player e ho dovuto formattare!

Le voci che mi avete consigliato le ho già eliminate più volte (cosi come la chiave di registro che si crea) ma riappaiono sempre.

Non volevo fare una battuta di spirito Easyand.
Il fatto è che appena ti colleghi in internet ci sono, non so quanti, dei bastardi che ti entrano nel PC e ti scaricano, utilizzando le falle di Windows/Esplorer programmi che creano processi senza che tu neppure te ne accorgi.
Non credere che i malware possano installarli solo con un maldestro click su qualche finestra che ti si apre improvvisamente.
Questo è il problema che si riscontra ultimamente.
Il tempo dei virus tradizionali sono terminati e sono nati questi molto più subdoli.
Fra le decine di casi che si sono visti in questo forum, la maggioranza sono di questo ultimo tipo che ti ho appena descritto.
Infatti come dici tu, eliminati i segni visibili, il malware si ripresenta, perchè ti viene installato tutto le volte.

Non esiste altra difesa che tenere aggiornato Windows e con tre prodotti:
-un antivirus e un antispyware con controlli in tempo reale.
-un firewall

capito :)

Cmq, nessuna idea sua come eliminarlo? :mbe:

Secondo il mio parere occorre proteggere il PC prima.
Però puoi fare una prova interessante.
-Disabilita il ripristino di sistema
-Shutdown
-Stacca il cavo di rete
-Reboot in modalità provvisoria
-Cancella le voci con Hijackthis
-Fai un reboot della macchina in modalità normale
e dai una controllata se sono riapparsi oppure no.
Se sono riapparsi vuol dire che il malware è ben nascosto sul PC.