nn ce la faccio + : spyware

[franklyn]

Salve raga... sto impazzendo... mi si è installata questa pagina ke
nn solo si apre quando apro explorer ma anche quando accedo
per esempio a Account Utente nel pannello di controllo.


Ho usato Ad-aware ma nada... non c'è nessun programma
installato o taskbar, quelli ke c'erano li ho disinstallati
come posso fare x evitare di formattare ????'


Sistema Operativo : WinXP

ecco l'immagine :

[axxaxxa3]

http://forum.hwupgrade.it/showthread...hreadid=667908 Good Luck!

[franklyn]

nada nada nada


ho installato i 3 antispyware hanno trovato altri oggetti... ma la pagina rimane sempre.

Ho inoltre cancellato le chiavi ke mi ha detto il norton... ma ricompaiono ad ogni riavvio.

Ho lanciato Norton Antovirus 2003 con la definizione di virus aggiornata al 19 maggio ma nn ha trovato cmq niente.

Ulteriori suggerimenti ??

[MrOZ]

posta un log di hijackthis

[axxaxxa3]

Quote:

Originariamente inviato da franklyn
nada nada nada


ho installato i 3 antispyware hanno trovato altri oggetti... ma la pagina rimane sempre.

Ho inoltre cancellato le chiavi ke mi ha detto il norton... ma ricompaiono ad ogni riavvio.

Ho lanciato Norton Antovirus 2003 con la definizione di virus aggiornata al 19 maggio ma nn ha trovato cmq niente.

Ulteriori suggerimenti ??

Ricompaiono perchè hai attivato il restore

[franklyn]

Ecco il log :

Logfile of HijackThis v1.97.7
Scan saved at 19.53.52, on 23/05/04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\WinMX\WinMX.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Gianlu\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {325EBC4A-7F57-4200-9E7C-0C330559324A} - C:\WINDOWS\mrhop.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [navman_20] "C:\windows\sysnav32.exe "
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA84403B-DE45-4529-9C81-17A349D238E9}: NameServer = 212.216.112.112,212.216.172.62


@ axxaxxa3 :
per restore intendi ripristino configurazione di sistema ?
se si è disattivo

[axxaxxa3]

Quote:

Originariamente inviato da franklyn
Ecco il log :

Logfile of HijackThis v1.97.7
Scan saved at 19.53.52, on 23/05/04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\WinMX\WinMX.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Gianlu\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {325EBC4A-7F57-4200-9E7C-0C330559324A} - C:\WINDOWS\mrhop.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [navman_20] "C:\windows\sysnav32.exe "
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA84403B-DE45-4529-9C81-17A349D238E9}: NameServer = 212.216.112.112,212.216.172.62


@ axxaxxa3 :
per restore intendi ripristino configurazione di sistema ?
se si è disattivo

Si...in pratica se fai una modifica, quando riavvii il pc la modifica si annulla

[High Speed]

scarica questo :


CWShredder v1.57.0

This tool will find and destroy all traces of the
CoolWebSearch (CWS) hijacker on your system. This
includes:

* Redirections to CoolWebSearch related pages
* Redirections when mistyping URLs
* Redirections when visiting Google
* Enormous IE slowdowns when typing
* IE start page/search page changing on reboot
* Sites in the IE Trusted Zone you didn't add
* Popups in Google and Yahoo when searching
* Errors at startup mentioning WIN.INI or IEDLL.EXE
* Unable to access antispyware tools or sites

[MrOZ]

@ franklyn: contattami in pvt che ti mando x posta un nuovo tool di rimozione x about:blank, e ti spiego come usarlo.

[GuitarRic]

E' Lui!! Riconosco la pagina
Ho tentato per un mese di rimuoverlo da uno dei miei pc.
Ho provato con tutti i tool possibili (adaware, spybot, CWS,........) ma è sempre tornato dopo qualche riavvio.
Ho letto decine di siti e forum stranieri dove si parla di questo nuovo trojan da un paio di mesi, ma per ora non c'è una unica soluzione. Qualcuno lo ha tolto in un modo, altri in un altro, molti non ci sono ancora riusciti.
Guardando il log di hijack il file incriminato è la dll mrhop. Però cancellandola dal registro e dal disco si ricrea ( con nomi diversi ).
CWS che dovrebbe essere il tool adatto per rimuoverlo rimuove efficacemente la dll però c'è qualcosa che dopo qualche riavvio la ricrea (almeno nel mio caso).
Alla fine dopo innumerevoli tentativi e modifiche in modalità provvisoria mi sono rotto i balls e ho formattato.

[MrOZ]

Quote:

Originariamente inviato da GuitarRic
E' Lui!! Riconosco la pagina
Ho tentato per un mese di rimuoverlo da uno dei miei pc.
Ho provato con tutti i tool possibili (adaware, spybot, CWS,........) ma è sempre tornato dopo qualche riavvio.
Ho letto decine di siti e forum stranieri dove si parla di questo nuovo trojan da un paio di mesi, ma per ora non c'è una unica soluzione. Qualcuno lo ha tolto in un modo, altri in un altro, molti non ci sono ancora riusciti.
Guardando il log di hijack il file incriminato è la dll mrhop. Però cancellandola dal registro e dal disco si ricrea ( con nomi diversi ).
CWS che dovrebbe essere il tool adatto per rimuoverlo rimuove efficacemente la dll però c'è qualcosa che dopo qualche riavvio la ricrea (almeno nel mio caso).
Alla fine dopo innumerevoli tentativi e modifiche in modalità provvisoria mi sono rotto i balls e ho formattato.

è x questo che gli ho detto che prima di usare adaware e cwshredder ci vuole un tool specifico fatto ad hoc ...è l'unica soluzione x cercare di debellarlo senza ricorrere alla formattazione

[GuitarRic]

Quote:

Originariamente inviato da MrOZ
è x questo che gli ho detto che prima di usare adaware e cwshredder ci vuole un tool specifico fatto ad hoc ...è l'unica soluzione x cercare di debellarlo senza ricorrere alla formattazione

Azz Se solo lo avessi saputo una settimana fà mi sarei risparmiato una notte di reinstallazione.

[franklyn]

Quote:

Originariamente inviato da MrOZ
è x questo che gli ho detto che prima di usare adaware e cwshredder ci vuole un tool specifico fatto ad hoc ...è l'unica soluzione x cercare di debellarlo senza ricorrere alla formattazione

Raga :


ho risolto con cwshredder scaricato dalla tua sign

c'è il pericolo ke si reinstalli ??
devo cmq inviarti quella .dll ??


questo è il nuovo log :

Logfile of HijackThis v1.97.7
Scan saved at 19.44.08, on 24/05/04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Gianlu\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA84403B-DE45-4529-9C81-17A349D238E9}: NameServer = 212.216.112.112,212.216.172.62

[MrOZ]

Quote:

Originariamente inviato da franklyn
Raga :


ho risolto con cwshredder scaricato dalla tua sign

c'è il pericolo ke si reinstalli ??
devo cmq inviarti quella .dll ??


questo è il nuovo log :

Logfile of HijackThis v1.97.7
Scan saved at 19.44.08, on 24/05/04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

sì, inviami la dll.
e se dovesse ricomparire fammelo sapere che ti spedisco un tool di rimozione + efficace.

[Dilith]

Mi potete dire come fare a risolvere il problema del restore di Windows 2000 !!!! pls

dato che anch'io le ho provate tutte ma cmq al secondo avvio di IE del giorno successivo che ho rimosso questo spyware tutto torna come prima.
grazie

[tntgiallo]

potete spiegarmi cosa devo fare per sistemare anche il mio pc? ho lo stesso problema.....

potete indicarmi i vari passi e gli eventuali programmi che devo usare?

graizie mille anticipatamente.

[MrOZ]

Allora: prima provate CWShredder, poi adaware6, poi spybot1.3 (tutti aggiornati alle ultime definizioni).

Se il prob persiste fate uno scan con hijackthis, salvate il log e copiatelo-incollatelo qui.

[tntgiallo]

Quote:

Originariamente inviato da MrOZ
Allora: prima provate CWShredder, poi adaware6, poi spybot1.3 (tutti aggiornati alle ultime definizioni).

Se il prob persiste fate uno scan con hijackthis, salvate il log e copiatelo-incollatelo qui.

rinvio a questa discussione, dove crentro meglio il problema:
http://forum.hwupgrade.it/showthread...hreadid=692903

ciao

[MACC]

Questo è quello che mi da hijackthis... ora cosa devo fare??


StartupList report, 26/05/04, 16.05.54
StartupList version: 1.52
Started from : C:\WINDOWS\DESKTOP\SICUREZZA\HIJACKTHIS1977\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\WINPATROL\WINPATROL.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMMI\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\SICUREZZA\HIJACKTHIS1977\HIJACKTHIS.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Driver32 =

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 26/5/2004, 11:42:2)

[Rename]
NUL=C:\WINDOWS\SYSTEM\SCHANNEL.DLL
C:\WINDOWS\SYSTEM\SCHANNEL.DLL=C:\WINDOWS\SYSTEM\SET32D3.TMP
C:\WINDOWS\SYSTEM\IEPEERS.DLL=C:\WINDOWS\SYSTEM\IEPEERS.RCX
C:\WINDOWS\SYSTEM\RSASIG.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\RSASIG.DLL
C:\WINDOWS\SYSTEM\XENROLL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\XENROLL.DLL
C:\WINDOWS\SYSTEM\MSCAT32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSCAT32.DLL
C:\WINDOWS\SYSTEM\MSSIP32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSSIP32.DLL
C:\WINDOWS\SYSTEM\MSSIGN32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSSIGN32.DLL
C:\WINDOWS\SYSTEM\CRYPTUI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTUI.DLL
C:\WINDOWS\SYSTEM\CRYPTNET.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTNET.DLL
C:\WINDOWS\SYSTEM\CRYPTEXT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\CRYPTEXT.DLL
C:\WINDOWS\SYSTEM\DIGEST.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DIGEST.DLL
C:\WINDOWS\SYSTEM\WLDAP32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\WLDAP32.DLL
C:\WINDOWS\SYSTEM\DXTMSFT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DXTMSFT.DLL
C:\WINDOWS\SYSTEM\DXTRANS.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\DXTRANS.DLL
C:\WINDOWS\SYSTEM\MMUTILSE.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MMUTILSE.DLL
C:\WINDOWS\SYSTEM\JSIT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\JSIT.DLL
C:\WINDOWS\SYSTEM\JSCRIPT.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\JSCRIPT.DLL
C:\WINDOWS\SYSTEM\PLUGIN.OCX=C:\WINDOWS\SYSTEM\IE4SETUP\PLUGIN.OCX
C:\WINDOWS\SYSTEM\MSRATING.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSRATING.DLL
C:\WINDOWS\SYSTEM\MSHTMLED.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\MSHTMLED.DLL
C:\WINDOWS\SYSTEM\HLINK.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\HLINK.DLL
C:\WINDOWS\SYSTEM\PROCTEXE.OCX=C:\WINDOWS\SYSTEM\IE4SETUP\PROCTEXE.OCX
C:\WINDOWS\SYSTEM\URL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\URL.DLL
C:\WINDOWS\SYSTEM\IMAGEHLP.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\IMAGEHLP.DLL
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE=C:\WINDOWS\SYSTEM\IE4SETUP\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\COMCTL32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM62F3.TMP
C:\WINDOWS\SYSTEM\MSHTML.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM6372.TMP
C:\WINDOWS\SYSTEM\SHDOCVW.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM63B5.TMP
C:\WINDOWS\SYSTEM\SHDOCLC.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7005.TMP
C:\WINDOWS\SYSTEM\URLMON.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7012.TMP
C:\WINDOWS\SYSTEM\WININET.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7031.TMP
C:\WINDOWS\SYSTEM\SHLWAPI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7050.TMP
C:\WINDOWS\SYSTEM\CRYPT32.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7054.TMP
C:\WINDOWS\SYSTEM\MLANG.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM70A0.TMP
C:\WINDOWS\SYSTEM\WINTRUST.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7121.TMP
C:\WINDOWS\SYSTEM\RSABASE.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7140.TMP
C:\WINDOWS\SYSTEM\BROWSEUI.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7165.TMP
C:\WINDOWS\SYSTEM\SHDOC401.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM71A3.TMP
C:\WINDOWS\SYSTEM\SHD401LC.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM71B0.TMP
C:\WINDOWS\SYSTEM\CORPOL.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM71B2.TMP
C:\WINDOWS\SYSTEM\SHFOLDER.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM71C2.TMP
C:\WINDOWS\SYSTEM\MSLS31.DLL=C:\WINDOWS\SYSTEM\IE4SETUP\ACM7270.TMP
NUL=C:\WINDOWS\SHELLI~1
NUL=C:\WINDOWS\SYSTEM\WEBCHECK.DLL
C:\WINDOWS\SYSTEM\WEBCHECK.DLL=C:\WINDOWS\SYSTEM\SET8354.TMP
NUL=C:\WINDOWS\SYSTEM\MSIDLE.DLL
C:\WINDOWS\SYSTEM\MSIDLE.DLL=C:\WINDOWS\SYSTEM\SET8363.TMP
C:\WINDOWS\SYSTEM\OLEAUT32.DLL=C:\WINDOWS\SYSTEM\OLEAUT32.001

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb it,,C:\WINDOWS\COMMAND\keyboard.sys
SET PATH=%PATH%;C:\PROGRA~1\FILECO~1\AUTODE~1

--------------------------------------------------


Enumerating Task Scheduler jobs:

Avvio ottimizzazione applicazione.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 6.023 bytes
Report generated in 1,325 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[franklyn]

Quote:

Originariamente inviato da MrOZ
sì, inviami la dll.
e se dovesse ricomparire fammelo sapere che ti spedisco un tool di rimozione + efficace.

ma nn mi trova la dll... forse l'avrà già cancellata.
Sono 2 giorni ke nn mi compare niente... quindi credo e spero di aver risolto.
Grazie e in bocca al lupo x gli altri, se posso esservi utile sono qui