aiuto internet explorer !!!!

[ilrepino]

ciao ..chiedo aiutooo!!! sono 2 giorni che combatto con il registro del sistema di winxp ..
al mio browser internet explorer 6 sp1, si è attaccato mysearch e non riesco piu' a liberarmene inutili tutti i tentativi
cosa posso fare?? ho provato con molti software
tipo spybot,ad-aware, rilevano la presenza e la cancellano ma al riavvio tutto come prima
la chiave è :hkey_current_user/software/microsoft/internet explorer/main :
startpage =http://mysearchnow.com/passthrough/index.html?http://www.google.it,
penso ci sia qualcosa che riscrive nel registro, ho provato anche a mano ma tutto inutile..al riavvio appena lancio internet explorer
tutto torna come prima la chiave si rimodifica da sola..aiutoooooooooo!!!!!
al riavvio mi potete dare una mano???? sto impazzendo ..

questi i processi attivi al riavvio :

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\vcbattime\hope window joy.exe
C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE
C:\Documents and Settings\pino\Desktop\HijackThis.exe
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer di MITICO
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmi\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TonsMedia] C:\PROGRA~1\vcbattime\hope window joy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present


grazie anticipatamente!!!

[ilrepino]

ecco il nuovo log si è rimodificato :
Logfile of HijackThis v1.97.7
Scan saved at 13.00.40, on 27/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\vcbattime\hope window joy.exe
C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE
C:\Programmi\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programmi\Samsung\EasyGPRS\EasyGPRS.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\xxx\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/i...://about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer di MITICO
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmi\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TonsMedia] C:\PROGRA~1\vcbattime\hope window joy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmi\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AA9A282-5D73-4CF5-8A95-C63939EB9909}: NameServer = 194.185.97.134 194.185.97.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AA9A282-5D73-4CF5-8A95-C63939EB9909}: NameServer = 194.185.97.134 194.185.97.134

[PixXelite]

hai provato con scansione e successive rimozioni(con tutti i tools) da modalità provissoria e ripristino configurazione di sistema disabilitato?

[wgator]

Ciao,

Questo come sai è da togliere:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/...p://about :blank


questo è moooolto sospetto:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

Queste regole le hai create tu? Semplice curiosità...:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Questa è roba sicura? Io non la conosco... sembrerebbe uno screensaver... sei certo che sia innocuo?
O4 - HKLM\..\Run: [TonsMedia] C:\PROGRA~1\vcbattime\hope window joy.exe

[ilrepino]

ho provato e riprovato decide di volte ..con tutti i tools, ma niente da fare .. la barra è ritornata e la pagina si dirotta sempre verso mysearch..
accidenti ho formattato due giorni fa' !!! non voglio rifarlo!!! aiutooo!!

[PinHead]

Quote:

Originariamente inviato da ilrepino
ho provato e riprovato decide di volte ..con tutti i tools, ma niente da fare .. la barra è ritornata e la pagina si dirotta sempre verso mysearch..
accidenti ho formattato due giorni fa' !!! non voglio rifarlo!!! aiutooo!!

Prova con CwShredder:

http://www.spywareinfo.com/~merijn/downloads.html

ricorda di chiudere tutte le finestre e di disabilitare il system restore prima di lanciarlo....

[ilrepino]

gia' fatto ho usato anche CwShredder..ma niente...

[ilrepino]

ci seono ragazzi !!! forse ho risolto ,ho eliminato
vcbattime\hope window joy.exe
e tutte le chiavi di registro che lo contenevano sembra essere tornato tutto ok!! a parte qualche modifica al registro che devo fare a mano
grazie dei suggerimenti ragazzi !!!!
speriamo che la cosa duri e che non sia solo momentanea

[Fedee]

ilrepino, ho seguito molto appassionatamente la tua avventura perchè sono nelle tue stesse condizioni. Seguendo il tuo consiglio sono andato nel registro, ma quella chiave di registro a me non risulta.

Come è posibile??
Cosa mi consigliate di fare??!!