Ciao, è strano ma ho raccattato qualcosa che ostinamente non se ne vuole andare.. forse perche il pc è stato usato da una persona che non ha navigato con opera ma con explorer che non è aggiornato.. Ho provato ad eliminarlo con Giant antipspy, Search&destroy, HijackThis, Antivir, tutti aggiornati, e con dei tool online ma non c'e niente da fare.

http://img356.imageshack.us/img356/6007/21ng.th.jpg (http://img356.imageshack.us/my.php?image=21ng.jpg)

http://img356.imageshack.us/img356/2631/39ex.th.jpg (http://img356.imageshack.us/my.php?image=39ex.jpg)

Non ho idea di come fare, è la prima volta che mi capita di raccattare qualcosa di così ostinato.. avete idea di come debba procedere? ciao

Fai una scansione con ewido:http://download.ewido.net/ewido-setup.exe
Posta anche il log di hijackthis

Controlla anche su pannello di controllo/installazione applicazioni se hai qualche voce strana installata ed eventualmente rimuovila. Guarda anche in msconfig se vedi qualche cosa sospetta e togli la spunta. Sia la scansione con ewido che la scansione con hijackthis falle preferibilmente in modalita' provvisoria.

mandami il file a fileanalysis@email.it

Inanzitutto grazie :) Ho provato ewido, mi trova 14 elementi, li rimuove ma si ripresentano subito dopo..

Il log di HijackThis è questo

Logfile of HijackThis v1.99.1
Scan saved at 21.14.39, on 13/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Motherboard Monitor 5\MBM5.EXE
C:\Programmi\Opera\Opera.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Documents and Settings\Andrea\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programmi\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{261937D9-7F45-4693-9AD4-129961CF9834}: NameServer = 212.216.112.112 212.216.172.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{261937D9-7F45-4693-9AD4-129961CF9834}: NameServer = 212.216.112.112 212.216.172.62
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

Ho letto solo ora che mi hai consigliato di fare il tutto in modalità provvisoria.. ora vado e vedo un po :)

eraser che file ti posso mandare? il file in questione (C:\WINDOWS\etb\pokapoka63.exe) non c'e :( Non è nascosto proprio non c'e

Il log come malware presenta solo la voce che tu hai indicato:
O4 - HKLM\..\Run: [System service63] C:\WINDOWS\etb\pokapoka63.exe
Prova in modalita' provvisoria e con il ripristino di sistema disattivato.

Ho fatto come mi hai detto, modalità provvisoria e con ripristino di sistema disattivato, sono riuscito ad eliminarlo :) Grazie tante :) Scusa eraser ma non sapevo proprio dove andare a pescarlo per potertelo mandare

Ho fatto come mi hai detto, modalità provvisoria e con ripristino di sistema disattivato, sono riuscito ad eliminarlo :) Grazie tante :)
Mi fa piacere che tu abbia risolto ;)

Azz... questo PokaPoka63.exe si vede spesso in giro ultimamente ma nessuno che sia riuscito ancora ad inviare una copia del file a me o ad eraser :muro:

Puoi dirci almeno che nome gli ha attribuito ewido quando lo ha eliminato???


grazie.

Scusa eraser ma non sapevo proprio dove andare a pescarlo per potertelo mandare

se fai un backup con ewido e controlli dove era situato quel file, forse potresti recuperarlo ed inviarlo.

Questo sito definisce pokapoka63.exe ''Trojan.Poka.Process'' :http://www.superadblocker.com/P/POKAPOKA63.EXE-5508.html

ok ce l'ho e lo mando ad eraser :) stranamente appena rimosso è comparso nella directory che prima non esisteva

ok ce l'ho e lo mando ad eraser :) stranamente appena rimosso è comparso nella directory che prima non esisteva

se l'hai ancora, spediscilo anche a me x favore.

ciao e grazie.

se l'hai ancora, spediscilo anche a me x favore.

ciao e grazie.

te lo mando io appena lo ricevo ;)

è una variante dell'adware EliteBar, riconosciuta da Kasperky, Nod32, VBA32 e QuickHeal (per via dell'euristica)

te lo mando io appena lo ricevo ;)

ok grazie.

arrivato?

Sì grazie.
come hai detto tu sembra una nuova ver di elitebar, kav la classifica come .ap

ciao

installa il service pack 2

prova questo programma in modalità provvisoria

http://users.pandora.be/bluepatchy/LQfix.zip

;)