Il virus indelebile....

[diegodp]

Raga...si è installata questa barra aggiuntiva così come si vede nell'illustrazione....
pensavo fosse oepra di spywere ma nn è csoì perchè sia con ad-ware6 che con spyboot non si leva
pensavo fosse un virus o un worms ma norton antivirus nn lo rileva....
tutti i programmi usati sono aggiornatissimi e anche xp ha il sp2....
vi asscuro che non so come fare....
consigli e cosa può essere?
inoltre all'avvio xp blocca il popup della pagina iniziale che anke se imposto virgilio esce sempre una cosa diversa....AIUTO!!!

[kingvi]

Quote:

si è installata questa barra aggiuntiva così come si vede nell'illustrazione

Quale?

Prova a controllare nella voce "run" del regsitro di sistema i processi che vanno in esecuzione, magari parte in automatico una dll o qualcosa di simile.

P.S. Posta l'immagine

[RikShield]

Oltre alla sezione "Run" ti consiglio di dare un'occhiata ai processi col task Manager! Se ce ne qualcuno che ritieni sia cattivo prova a chiuderlo e vedi cosa succede... Se non te ne intendi manda pure uno stamp del desktop così lo controlliamo anche noi!

Ma norton l'hai fatto girare anche in mod. provvisoria??!!?

A volte cambia la storia!! CIAO

[diegodp]

Quote:

Originariamente inviato da diegodp
Raga...si è installata questa barra aggiuntiva così come si vede nell'illustrazione....
pensavo fosse oepra di spywere ma nn è csoì perchè sia con ad-ware6 che con spyboot non si leva
pensavo fosse un virus o un worms ma norton antivirus nn lo rileva....
tutti i programmi usati sono aggiornatissimi e anche xp ha il sp2....
vi asscuro che non so come fare....
consigli e cosa può essere?
inoltre all'avvio xp blocca il popup della pagina iniziale che anke se imposto virgilio esce sempre una cosa diversa....AIUTO!!!

[zei78]

Ma in pannello di controllo - installazione applicazioni nn c'è nessuna voce tipo "toolbar" o simili?

Fai una scansione con hijackthis e posta il risultato!

[Nicky]

Direi che è solo una toolbar di quelle che si mettono li da sole.
Fai una scansione con hijackthis

[kingvi]

Quote:

Originariamente inviato da RikShield
Oltre alla sezione "Run" ti consiglio di dare un'occhiata ai processi col task Manager!

E' vero anche questa è una cosa da fare.

Quote:

Ma norton l'hai fatto girare anche in mod. provvisoria??!!?

Ma hai provato con un altro antivirus?

[200011]

Quote:

Originariamente inviato da diegodp
Raga...si è installata questa barra aggiuntiva così come si vede nell'illustrazione....
pensavo fosse oepra di spywere ma nn è csoì perchè sia con ad-ware6 che con spyboot non si leva
pensavo fosse un virus o un worms ma norton antivirus nn lo rileva....
tutti i programmi usati sono aggiornatissimi e anche xp ha il sp2....
vi asscuro che non so come fare....
consigli e cosa può essere?
inoltre all'avvio xp blocca il popup della pagina iniziale che anke se imposto virgilio esce sempre una cosa diversa....AIUTO!!!

ciao era capitato anche a me
l'ho tolta facendo in questo modo
scarica da qui hijack
http://www.spychecker.com/program/hijackthis.html
fai la scansione e poi posta il log o inviamelo tramite pvt o e-mail
inoltre se vai in msconfig e vedi i programmi in avvio ci dovrebbe essere uno chiamato bend inside soft che cambia all'avvio la pagina iniziale e un'altro che fa partire la barra sottostante se invii una foto del msconfig posso vedere di cercarlo così dovrebbe essere una cosa tipo lash ma non ricordo bene
purtroppo gli spyware non le individuano poichè sono programmi che vengono installati nell'installazione di altri programmi tipo il messanger plus comunque fammi sap e vediamo se lo riusciamo a eliminare

[naso]

basta usare spybot... (modalità avanzata e clikki su bho... disattivi quello che è in giallo....)

[diegodp]

ho tutto in verde nulla in giallo (per spybot)
cmq ecco qui il log:

[Nicky]

Io eliminerei queste stringhe:

R0-HKCU\Software\Microsoft\InternetExplorer\Toolbar,Linksfoldername=collegamenti

016 - DPF {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab

Però forse ti conviene aspettare qualcuno che ne capisce di più...

[wgator]

Ciao

AARGH!!! I miei poveri occhi!

lancia hijackthis, premi il tasto "save log" e postalo in formato testo. Con quella immagine, oltre ad essere incompleto è poco leggibile

[200011]

Quote:

Originariamente inviato da diegodp
ho tutto in verde nulla in giallo (per spybot)
cmq ecco qui il log:

scusami mica saresti così gentile da mandarmi anche la schermata di avvio di ms config
comunque anche con spybot in modalità avanzata puoi visualizzare i bho i internet expolrer come diceva l'utente sopra
comunque qualcosa da eliminare c'è

http://utenti.lycos.it/web200011/200011/log1.jpg
in rosso con il punto int non so ma prova a togliere e se ci sono problemi ripristinala con il restore di hijack
prova anche con spy bot nella modalià avanzata e casomai posta la schermata dei bho e dei programmi in avvio e in esecuzione

[diegodp]

Logfile of HijackThis v1.97.7
Scan saved at 12.26.00, on 05/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Norton AntiVirus\OPScan.exe
C:\Documents and Settings\Diego De Paolis\Desktop\Download vari\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A7A9FA59-6BA5-012A-E015-113CEBB4B9E1} - C:\PROGRA~1\RDRSIG~1\mailmulti.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FC6A0FFF-F67B-0572-B62C-0ADA2F61212D} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [InfoPenMSN] C:\Programmi\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKLM\..\RunOnce: [NetFxUpdate_v1.1.4322] "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe" 0 v1.1.4322 GAC + NI NID
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile (HKLM)
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... (HKLM)
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Organizzatore ricerche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/game...ts/y/kt4_x.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {99D8AF4F-307A-461C-A404-BFA33D502B31} (APStartX Control) - http://217.169.119.216/resources/APStart.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...163.1376967593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab

[200011]

ti ho postato il tuo log modificato è qui aspetta che te lo mostro meglio




p.s. il problema ti si è mostrato dopo aver installato messenger plus??
p.s. mi puoi mandare la scheramta dell'avvio di vindows quella in msconfig

start-->esegui--->msconfig

[diegodp]

Spybot-S&D Browser helper object report, 05/10/2004 12.41.06

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Class file: AcroIEHelper.dll
Attributes: archive
Date: 03/11/2003 14.17.44
MD5: FC7850324464E4D19A24A03D882B5CC4
Path: C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\
Short name: ACROIE~1.DLL
Size: 54248 bytes
Version: 0.6.0.0
Class name: AcroIEHlprObj Class
CLSID database: legitimate software
Description: Adobe Acrobat reader
Filename: ACROIEHELPER.OCX

{BDF3E430-B101-42AD-A544-FADC6B084872}
Class file: NavShExt.dll
Attributes: archive
Date: 04/12/2003 21.16.28
MD5: 3068FC5346D4CA3E1616547B1C839D2E
Path: C:\Programmi\Norton AntiVirus\
Short name:
Size: 103344 bytes
Version: 0.10.0.0
Class name: CNavExtBho Class
CLSID database: legitimate software
Description: Norton Antivirus
Filename: NavShExt.dll
Name: NAV Helper

[The Clansman]

la voce in basso con link a ww3.altanteitaliano.it è solo un plug-in per la visualizzazione del portale cartografico del Ministero dell'Ambiente, quindi potresti lasciarlo tranquillamente.

ciao

[diegodp]

[quote] Originariamente inviato da 200011

p.s. il problema ti si è mostrato dopo aver installato messenger plus??[quote]

SI

Quote:

p.s. mi puoi mandare la scheramta dell'avvio di vindows quella in msconfig

start-->esegui--->msconfig

ECCOLA:
Spybot-S&D Startup list report, 05/10/2004 12.42.38

Located: HK_CU:Run, H/PC Connection Agent
file: "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"

Located: HK_CU:Run, MessengerPlus3
file: "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart

Located: HK_CU:Run, eMuleAutoStart
file: C:\Programmi\eMule\emule.exe -AutoStart

Located: HK_LM:Run, UpdReg
file: C:\WINDOWS\UpdReg.EXE
MD5: C419DF63E0121D72411285780C2FC6CC

Located: HK_LM:Run, NeroFilterCheck
file: C:\WINDOWS\system32\NeroCheck.exe
MD5: 3E4C03CEFAD8DE135263236B61A49C90

Located: HK_LM:Run, Jet Detection
file: C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
MD5: 7DF5F447DE9E4600F8C77A00D86D210B

Located: HK_LM:Run, RoxioEngineUtility
file: "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"

Located: HK_LM:Run, RoxioDragToDisc
file: "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

Located: HK_LM:Run, ElbyCheckElbyCDFL
file: "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

Located: HK_LM:Run, MessengerPlus3
file: "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"

Located: HK_LM:Run, ccApp
file: "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

Located: HK_LM:Run, InfoPenMSN
file: C:\Programmi\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe
MD5: 15D47B21167950540C9EE2AA581A3217

Located: HK_LM:RunOnce, NetFxUpdate_v1.1.4322
file: "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe" 0 v1.1.4322 GAC + NI NID

Located: HK_LM:RunOnce, InstallShieldSetup (DISABLED)
file: C:\PROGRA~1\INSTAL~1\{0BEDB~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{0BEDB~1\reboot.ini

[diegodp]

Quote:

Originariamente inviato da 200011
scusami mica saresti così gentile da mandarmi anche la schermata di avvio di ms config
comunque anche con spybot in modalità avanzata puoi visualizzare i bho i internet expolrer come diceva l'utente sopra
comunque qualcosa da eliminare c'è

http://utenti.lycos.it/web200011/200011/log1.jpg
in rosso con il punto int non so ma prova a togliere e se ci sono problemi ripristinala con il restore di hijack
prova anche con spy bot nella modalià avanzata e casomai posta la schermata dei bho e dei programmi in avvio e in esecuzione

HO cancellato le voci in rosso e quella con il punto interrogativo, ma la barra è sempre presente

[wgator]

Ciao,

Ti confermo quello che ti hanno già detto in più aggiungo:

- cancella i file temporanei e la cache di internet cookies compresi

- stai usando una vecchia versione di hijackthis, ti consiglio di usare quella nuova disponibile al link che ti ha passato un utente prima. Questa versione potrebbe non trovare tutti i problemi.

Queste chiavi, pur non rappresentando un grosso problema vanno eliminate (selezionale da hijackthis e premi fix

R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {FC6A0FFF-F67B-0572-B62C-0ADA2F61212D} - (no file)

Questa active x invece dovrebbe essere la causa del problema, quindi va fixata

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - h**p://toolbar.isearch.com/general/drm.cab

Posta poi un nuovo log con la versione nuova di hijackthis