Aiuto non riesco a togliere questo scempio dal desktop!!!

[Sinclair63]

Stavolta mi sono imbattuto in una cosa stranissima, che a primo avviso potrebbe essere facilissimo togliere, mentre invece si è rivelato un'osso duro.
Sul desktop parte dx alla fine del boot mi compaio 6 icone gigantesche che rappresentano nell'ordine: gambling-dating-pharmacy-xxx-spyware-insurance,
(allego un'istantanea del mio desktop) se solo ci passo col puntatore mi carica una pagina web dai contenuti espliciti (non malignate, questa partizione è pulita )
Hanno fallito nell'ordine: Hijackthis, Adaware, Spybot, Cwshredder, i più blasonati antivirus e co. senza che nessuno abbia trovato nulla, anche i vari regcleaner regsupreme ecc. non hanno riscontrato nulla di anomalo.
Non solo, all'avvio il browser mi dà sempre MSN.IT anche se imposto una pagina vuota o corrente...avete qualche idea in merito?
Dimenticavo, non c'è nemmeno un processo strano in esecuzione nel taskmanager.

[fester40]

Mi pare strano che Hijackthis non abbia evidenziato qualche voce sospetta.... Puoi provare con Ewido che è davvero valido

[wgator]

Ciao,

in effetti è abbastanza raro che Hijackthis si lasci sfuggire pasticci così macroscopici... Eventualmente posta il log nell'apposito thread e linkalo in questa discussione che co diamo un'occiata anche noi... sai com'è molti occhi vedono più cose

Prova comunque con Ewido come ti hanno già suggerito oppure con la trial di Spysweeper, imho un po' più potente di Ewido

[tidav]

Quote:

Originariamente inviato da Sinclair63

Stavolta mi sono imbattuto in una cosa stranissima, che a primo avviso potrebbe essere facilissimo togliere, mentre invece si è rivelato un'osso duro.
Sul desktop parte dx alla fine del boot mi compaio 6 icone gigantesche che rappresentano nell'ordine: gambling-dating-pharmacy-xxx-spyware-insurance,
(allego un'istantanea del mio desktop) se solo ci passo col puntatore mi carica una pagina web dai contenuti espliciti (non malignate, questa partizione è pulita )
Hanno fallito nell'ordine: Hijackthis, Adaware, Spybot, Cwshredder, i più blasonati antivirus e co. senza che nessuno abbia trovato nulla, anche i vari regcleaner regsupreme ecc. non hanno riscontrato nulla di anomalo.
Non solo, all'avvio il browser mi dà sempre MSN.IT anche se imposto una pagina vuota o corrente...avete qualche idea in merito?
Dimenticavo, non c'è nemmeno un processo strano in esecuzione nel taskmanager.

Non so se l'hai già fatto comunque...

1) Pulisci l'hd dai files temporanei e pulisci le cache dei browsers con Ccleaner.

2) Scarica i trials di Kaspersky personal pro,Ewido e Spysweeper e aggiornali.

3) Disattiva il ripristino di configurazione di sistema (se hai Windows XP) e riavvia il pc in modalità provvisoria (F8 all'avvio).

4) Scansiona l'hd con i 3 programmi.
Se non trovi niente posta il log di hijackthis nell'apposito 3d.
Se anche quello risulta pulito...
fatti una passata di "disperazione" con RootKitRevealer della sysinternals...

[juninho85]

con ewido aggiornato ed HJT non dovresti avere problemi

[Cobain]

Quote:

Originariamente inviato da wgator

Ciao,

in effetti è abbastanza raro che Hijackthis si lasci sfuggire pasticci così macroscopici... Eventualmente posta il log nell'apposito thread e linkalo in questa discussione che co diamo un'occiata anche noi... sai com'è molti occhi vedono più cose

Prova comunque con Ewido come ti hanno già suggerito oppure con la trial di Spysweeper, imho un po' più potente di Ewido

beh insomma, non dovrbbe dare casino a toglierlo..... una simile struttura oltre ai file di registro che vanno eliminato non puo non aver modificato anche il file di avvio delle applicazioni basterebbe toglierlo dal file di autoavvio.

[Cobain]

Quote:

Originariamente inviato da fester40

Mi pare strano che Hijackthis non abbia evidenziato qualche voce sospetta.... Puoi provare con Ewido che è davvero valido

lo rileva come semplice programma è devo dirti la verità hijathis lo trovo inutile .per chi conosce il sistema windows è facile rilevare processi o dal taskmanager o dal file di avvio delle applicazioni spesso si annidono li.
per altri poco esperti basterebbe aver installato almeno un paio di antispywares

[Sinclair63]

Grazie ragazzi, siete eccezionali come sempre nel dare risposte esaurienti e precise
Con Ewido ho trovato la bellezza di 180 oggetti sparsi nel registro e nel sistema, cosa che hijackthis non rilevava affatto , fatta la ripulita il problema big icone non si è più ripresentato, solo che ora quando riavvio explorer.exe nel task manager per più di 5 minuti occupa la cpu al 99% poi se ne libera.
Ma la cosa più fastidiosa è che se apro una pagina di exploDer e non appena cerco di aprire un sito web dai preferiti, lo stesso si impalla facendo schizzare il processo IEXPLORE:EXE al 99%.
Ancor più strano è il fatto che se la pagina la chiudo normalmente il suddetto processo nel taskmanager rimane e sempre al 99%, per toglierlo lo devo solo terminare come mai una cosa del genere?
E' collegata alla pulizia di Ewido nel senso che ha creato qualche casino?
Io ho anche reinstallato IE ma al riavvio il problema si è ripresentato come posso fare?
Thanks ancora!!!

[Cobain]

Quote:

Originariamente inviato da Sinclair63

Grazie ragazzi, siete eccezionali come sempre nel dare risposte esaurienti e precise
Con Ewido ho trovato la bellezza di 180 oggetti sparsi nel registro e nel sistema, cosa che hijackthis non rilevava affatto , fatta la ripulita il problema big icone non si è più ripresentato, solo che ora quando riavvio explorer.exe nel task manager per più di 5 minuti occupa la cpu al 99% poi se ne libera.
Ma la cosa più fastidiosa è che se apro una pagina di exploDer e non appena cerco di aprire un sito web dai preferiti, lo stesso si impalla facendo schizzare il processo IEXPLORE:EXE al 99%.
Ancor più strano è il fatto che se la pagina la chiudo normalmente il suddetto processo nel taskmanager rimane e sempre al 99%, per toglierlo lo devo solo terminare come mai una cosa del genere?
E' collegata alla pulizia di Ewido nel senso che ha creato qualche casino?
Io ho anche reinstallato IE ma al riavvio il problema si è ripresentato come posso fare?
Thanks ancora!!!

allora per sisolvere il problema dovresti installare un antivirus decente e almeno un paio di anyspyawre decenti. ed effettuare la scansione completa di sistema con tutte e tre.
Per l'antispyaere ti consigli una prima scansione con spyware doctor una seconda con ad aware se e una terza con regfreeze . al tutto da una scansione complenta con un antivurs decente tipo norton o kaspersky. avrai il sitema come nuovo
un appunto a regfreeze è un ottimo programma per gli spyware di registro ed noin è vero che contiene dei flasi positivi per eventuali accordi con societa di siti porno oppure a quella del quicktime ovvero che il su detto programma rileva come spy il quicktime a me non è mai successo.Non so dovce reperite tali informazioni anche perche internet è davvero libero girono un sacco di baggianate.i vero miracolo degli spyware è veramente il regfreeze mi hA Sempre salvato dalla eventuale formattazione

[andorra24]

Quote:

Originariamente inviato da Cobain

un appunto a regfreeze è un ottimo programma per gli spyware di registro ed noin è vero che contiene dei flasi positivi per eventuali accordi con societa di siti porno oppure a quella del quicktime ovvero che il su detto programma rileva come spy il quicktime a me non è mai successo.Non so dovce reperite tali informazioni anche perche internet è davvero libero girono un sacco di baggianate.i vero miracolo degli spyware è veramente il regfreeze mi hA Sempre salvato dalla eventuale formattazione

Regfreeze e' inserito nella rogue list di spyware warrior (sito molto serio ed affidabile). Da cio' che ho letto ha molti falsi positivi che hanno lo scopo di spingere l'utente ad acquistare il prodotto, inoltre da alcune testimonianze sembrerebbe che provochi dei desktop hijacks. Puoi leggerlo se vuoi:
http://www.spywarewarrior.com/rogue_anti-spyware.htm

[Cobain]

Quote:

Originariamente inviato da andorra24

Regfreeze e' inserito nella rogue list di spyware warrior (sito molto serio ed affidabile). Da cio' che ho letto ha molti falsi positivi che hanno lo scopo di spingere l'utente ad acquistare il prodotto, inoltre da alcune testimonianze sembrerebbe che provochi dei desktop hijacks. Puoi leggerlo se vuoi:
http://www.spywarewarrior.com/rogue_anti-spyware.htm

lo avevo gia letto ma non ho riscontrato i problemi di cui il sito parla anzi a me ha sempre salvato dalla formattazione

[Sinclair63]

Quote:

Originariamente inviato da wgator

Ciao,

in effetti è abbastanza raro che Hijackthis si lasci sfuggire pasticci così macroscopici... Eventualmente posta il log nell'apposito thread e linkalo in questa discussione che co diamo un'occiata anche noi... sai com'è molti occhi vedono più cose

Prova comunque con Ewido come ti hanno già suggerito oppure con la trial di Spysweeper, imho un po' più potente di Ewido

Ecco il LOG



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\System32\hffsrv.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\S2kCtl.exe
C:\Programmi\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmi\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Lello\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Zero Popup - {EB23F789-F17F-4bcc-988B-6B70A3A67E9C} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programmi\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programmi\File comuni\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hffsrv] c:\windows\hffext\hffsrv.exe
O4 - Global Startup: S2kCtl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programmi\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O4 - Global Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O4 - Global Startup: Sygate Personal Firewall.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: Ricerche (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3038F956-E751-401B-9936-40D86BB02ADC}: NameServer = 85.255.114.83,85.255.112.60
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0920CE2-4294-49D2-B504-0EAD3898D085}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB693061-DCC0-4EF9-8288-BADDB8D6898B}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC21FC40-3E4D-43CB-854B-B496A26198B4}: NameServer = 85.255.114.83,85.255.112.60

[juninho85]

pare pulito

[Sinclair63]

Quote:

Originariamente inviato da juninho85

pare pulito

Infatti, cmq il problema della cpu al 100% non si ripresenta regolarmente, a volte dopo il riavvio funziona tutto senza problemi e volte no...mah

[rambo3]

Ciao,
io tempo fa mi sono imbattuto in un problema di questo genere e devo dire che, nonostante credessi di aver pulito bene il sistema operativo dalle schifezze era rimasto qualcosa... per cui explorer occupava la CPU al 99%.
Alla fine ho scoperto che si trattava di un programmino malware che tentava di connettersi in continuo per alcuni minuti ad un sito, rimanendo invisibile.
Con la combinazione Spybot+Norton+Hijack+Regcleaner, dopo vari tentativi, sono riuscito a rimuovere il problema.

[Sinclair63]

Quote:

Originariamente inviato da rambo3

Ciao,
io tempo fa mi sono imbattuto in un problema di questo genere e devo dire che, nonostante credessi di aver pulito bene il sistema operativo dalle schifezze era rimasto qualcosa... per cui explorer occupava la CPU al 99%.
Alla fine ho scoperto che si trattava di un programmino malware che tentava di connettersi in continuo per alcuni minuti ad un sito, rimanendo invisibile.
Con la combinazione Spybot+Norton+Hijack+Regcleaner, dopo vari tentativi, sono riuscito a rimuovere il problema.

Credo sia proprio questo allora il problema, solo che il sistema dovrebbe essere pulito, almeno credo Tutti i prog. che ho usato Ewido Spybot Hijackthis e gli altri menzionati in questo thread hanno dato esito negativo
Ti ricordi per caso il nome dell'exe invisibile che tentava di collegarsi al web?

[Cobain]

Quote:

Originariamente inviato da Sinclair63

Credo sia proprio questo allora il problema, solo che il sistema dovrebbe essere pulito, almeno credo Tutti i prog. che ho usato Ewido Spybot Hijackthis e gli altri menzionati in questo thread hanno dato esito negativo
Ti ricordi per caso il nome dell'exe invisibile che tentava di collegarsi al web?

ehehe ce ne stanno una marea sicuramente non è lòo stesso se pure lo ricorda

[Cobain]

Quote:

Originariamente inviato da Sinclair63

Credo sia proprio questo allora il problema, solo che il sistema dovrebbe essere pulito, almeno credo Tutti i prog. che ho usato Ewido Spybot Hijackthis e gli altri menzionati in questo thread hanno dato esito negativo
Ti ricordi per caso il nome dell'exe invisibile che tentava di collegarsi al web?

sei stato fortunato che il regcleaner abbia rilevato lo spyreg come una chiave inutilizzata da cancellare. é stato sicuramete lui a rimuovere completamente il problema. Se no avresti risolto con regfreeze. x rambo3