Please,Help me

[fra_bo]

Da qualche tempo ho un problema che suppongo essere a causa di uno spy-ware. Ogni volta che tento di accedere tramite collegamento a una qualsiasi cartella di windows l'esplora risorse si tramuta in Iexplorer e cerca di aprire questa pagina http://a-search.biz/?wmid=1010. Ho il Zone Alarm che mi chiede se voglio far connettere l'explorer.exe (l'esplora risorse cioè) a internet e ovviamente nego. Ho fatto la scansione con HijackThis e con Spy-bot ma non mi trova niente. tramite il regedit ho visto che le chiavi di Iexplorer sono apposto. Che posso fare? grazie a chiunque abbia un'anima pia per rispondermi

[fra_bo]

ecco il log di HijackThis

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMMI\ACCESS ADMINISTRATOR\acadma.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Trirot.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\LTSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Acer\Launch Manager\PowerKey.exe
C:\Programmi\Acer\Launch Manager\LaunchAp.exe
C:\Programmi\Acer\Launch Manager\HotkeyApp.exe
C:\Programmi\Acer\Launch Manager\KeyHook.exe
C:\Programmi\Acer\Launch Manager\CtrlVol.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger Plus! 2\MsgPlus.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINNT\explorer.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\MYIE2\MyIE.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
D:\Shared\software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programmi\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trirot] Trirot.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Acer\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LaunchAp] "C:\Programmi\Acer\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programmi\Acer\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [KeyHook] "C:\Programmi\Acer\Launch Manager\KeyHook.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programmi\Acer\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://chat1.kataweb.it:4080/chat/da...sc/msichat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[wgator]

Ciao,

io cancellerei questa:

C:\PROGRAMMI\ACCESS ADMINISTRATOR\acadma.exe

Già che ci sei controlla anche questa active x:

O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://chat1.kataweb.it:4080/chat/d...isc/msichat.cab

P.S.

svuota le cartelle temporanee, i temp di internet e disattiva system restore

[fra_bo]

Access administrator è tranquillo, già testato. Che significa disattiva i system restore?

[canapa]

Secondo me sono più sospetti questi:
C:\WINNT\system32\Trirot.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O4 - HKLM\..\Run: [Trirot] Trirot.exe


Sai cosa sono?

[wgator]

Ciao,

- system restore è il ripristino della configurazione di sistema, si disattiva dal pannello di controllo.

- Ho sospettato "acadma.exe" perchè se fai una ricerca con qualsiasi motore non si trovano tracce di quel file


- R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti è il pulsante "collegamenti" presente sulla barra di Internet Explorer, non seve a niente ma non fa danni

O4 - HKLM\..\Run: [Trirot] Trirot.exe dovrebbe (credo) essere parte di una scheda video Trident

[wgator]

X canapa:

hehe... hai fatto bene a sospettare O4 - HKLM\..\Run: [Trirot] Trirot.exe

mi sono documentato in rete... sembra proprio una schifezza!!! Forse la causa è proprio quella

[fra_bo]

C:\WINNT\system32\Trirot.exe è roba della Trident. Ho visto su internet per conferma. Acadma.exe anche no-problem (è access administrator che è sempre ativo). Non ho ancora capito come si fa a disattivare il system restore. Ho Win2k professional. Se qualcuno è così gentile da dirmi tutto il persorso per disabilitare questa funzione..Tank