antiware eliteiii32.exe

[scheva19]

nel logfile eseguito da hijackthis mi compare una riga :
04 - hklm\run antiware) c:\windows\system32\eliteiii32.exe
cerco di non farla partire bloccandola sia con msconfig che con hijackthis,
ma lei ad ogni riavvio ricompare nel mio registro.ho tentato anche di cancellarla direttamente dal registro ma niente.penso sia una pagina per suonerie giochi o non so cosa.se qualcuno puo aiutarmi a bloccarla o ancora meglio a disinstallarla .grazie.nei topic precedenti non ho trovato niente che si riferisse a questo antiware o a qualcosa di simile.

[Dylan666]

Ho cambiato titolo al topic dato che antiware non era molto descrittivo.

Posta il log, probabilmente hai lasciato qualche rimasuglio che ricrea il file.

[scheva19]

Logfile of hijackthis v1.99.0
scan saved at 7.13.16, on 17/02/2005

Running processes:
c:\WINDOWS\System32\smss.exe
c:\WINDOWS\System32\winlogon.exe
c:\WINDOWS\System32\services.exe
c:\WINDOWS\System32\lsass.exe
c:\WINDOWS\System32\svchost.exe
c:\WINDOWS\System32\svchost.exe
c:\WINDOWS\Explorer.EXE
c:\WINDOWS\system32\spoolsv.exe
c:\Programmi\Lifeview TVR\RecSche.exe
c:\PROGRA-1\winFax\WFXSWTCH.exe
c:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
c:\WINDOWS\winagent.exe
c:WINDOWS\StartupMonitor.exe
c:\PROGRA-1\NORTON-1\navapw32.exe
c:\Programmi\MSN Messenger\MsnMsgr.Exe
c:\Programmi\Libero 6x\liberoaccel.exe
c:\Programmi\StopDialers\StopDialers.exe
c:\WINDOWS\System32\svchost.exe
c:\Programmi\Norton SystemWorks\Norton Antivirus\navapsvc.exe
c:\Documents and Settings\Andrea\Desktop\hijackthis.exe

r0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
03 - Toolbar: &Google - (2318c2B1-4965-11d4-9b18-009027A5CD4F) -
c:\programmi\google\googletoolbar1.dll
04 - HKLM\..\Run: [RecSche] "c:\Programmi\Lifeview TVR\RecSche.exe"
04 - Hklm\..\Run: [NeroFilterCheck] c:\WINDOWS\system32\NeroCheck.exe
04 - Hklm\..\Run: [WFXSwtch] c:\PROGRA-1\NORTON-1\winFax\WFXSWTCH.exe
04 - HKLM\..\Run: [AdaptecDirectCD] c:\Programmi\Adaptec\Easy CD Creator 5\DirectCD.exe
04 - Hklm\..\Run: [SSC_UserPrompt] c:\Programmi\File comuni\Symantec
Shared\Security Center\UsrPrmpt.exe
04 - Hklm\..\Run: [Symantec NetDriver Monitor] c:\PROGRA-1\SYMNET-1\SNDMon.exe
04 - HKLM|..\Run: [Sheduler] c:\WINDOWS\winagent.exe /i
04 - Hklm\..\Run: [Run StartupMonitor] StartupMonitor.exe
04 - HKLM\..\Run: [NAV Agent] c:\PROGRA-1\NORTON-1\NORTON-1\navapw32.exe
04 - HKLM\..\Run: [antiware] c:\windows\system32\eliteiii32.exe
04 - Hklm\..\RunServices: [MS Updating Utility] msupdater.exe
04 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackltUp\nbj.exe"
04 - HKCU\..\Run: [MsnMsgr] "c:\Programmi\MSN Messenger\MsnMsgr.Exe"/background
04 - Startup: Stop Dialers.lnk = c:\Programmi\StopDialers.exe
04 - Global Startup: Controller.LNK = c:\Programmi\Norton SystemWorks\WinFax\WFXCTL32.EXE
04 - Global Startup: Libero Web Accelerator.lnk = c:\Programmi\Libero 6x\liberoaccel.exe
04 - Global Startup: Microsoft Office.lnk = c:\Programmi\Microsoft Office\office\OSA9.EXE
08 - Extra context menu item: Mostra immagine originale - res://c:\Programmi\Libero 6x\liberoaccel.exe/227
08 - Extra context menu item: Mostra tutte le immagini originali - res://c:\Programmi\Libero 6x\liberoaccel.exe/250

Il log l'ho scritto a mano perchè non avevo file salvato ma solo la fotocopia.spero tu riesca a capirci qualcosa.
P.S. se prima di cancellarlo provo a fare CTRL-ALT CANC cancellandolo dalla lista forse risolvo il problema?

[Dylan666]

Allora, terminare il processi da eliminare con Ctrl+Alt+Canc prima di levare pure le chiave è una buona prevenzione, perché alcuni rimettono i valori nel registro dopo che uno li ha tolti creando un circolo vizioso.

Oltre a eliteiii32.exe devi cancellare pure questo:

c:\WINDOWS\winagent.exe

[Dylan666]

Me ne ero scordato un da togliere:

04 - Hklm\..\RunServices: [MS Updating Utility] msupdater.exe

[scheva19]

ok proverò a fare come tu dici.spero funzioni.ti farò sapere piu tardi perche adesso non mi trovo davanti al mio pc, comunque vada ti ringrazio.

[scheva19]

Ho disinstallato sia winagent.exe che msupdater.exe ma di eliminare eliteiii32.exe neanche a parlarne. ho provato con Ctrl+Alt+Canc niente non compare nemmeno.ti mando il nuovo log se puoi verificarlo , perche quello di stamattina era incompleto.da premettere comunque che non mi escono più finestre strane.ma eliteiii32 cosè?come faccio ad eliminarlo se è pericoloso?
Logfile of HijackThis v1.99.1
Scan saved at 19.43.36, on 18/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\LifeView TVR\RecSche.exe
C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\wfxsnt40.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Libero 6x\liberoaccel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\Andrea\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RecSche] "C:\Programmi\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteiii32.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Controller.LNK = C:\Programmi\Norton SystemWorks\WinFax\WFXCTL32.EXE
O4 - Global Startup: Libero Web Accelerator.lnk = C:\Programmi\Libero 6x\liberoaccel.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\Libero 6x\liberoaccel.exe/227
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\Libero 6x\liberoaccel.exe/250
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Unknown owner - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WinFax Basic Edition (wfxsvc) - Symantec Corporation - C:\WINDOWS\System32\WFXSVC.EXE

[Dylan666]

di eliminare eliteiii32.exe neanche a parlarne. ho provato con Ctrl+Alt+Canc niente non compare nemmeno.
[...]
ma eliteiii32 cosè?come faccio ad eliminarlo se è pericoloso?

Se non lo hai installato tu eliteiii32 sicuramente è un intruso.
Hai provato a cancellarlo da modalità provvisoria (file e chiave intendo)?

PS: aggiorna Internet Explorer, vedo che sei rimasto un po' indietro

[scheva19]

quali aggiornamenti mi consigli x I.E..
Scusa ma non so come si parte in modalità provissoria.

[Dylan666]

Gli aggiornamenti te li prprine automaticamente il Windows Update. Tu hai IE 6.00.2600.0000 mentre l'ultimo è 6.00.2800.1106,

In modalità provvisoria si entra riavviando e premendo F8 prima della prima schermata di Windows

[scheva19]

finalmente sono riuscito ad eliminare quel fastidioso Eliteiii32.exe.ti ringrazio per la pazienza che hai avuto nel rispondere ad ogni mia domanda.ti faccio un ultima domanda : nel mio msconfig avevo disabilitato due voci che ti elenco 1)c:\windows\alchem.exe 2)oskplug.exe
se perfavore puoi dirmi se posso far ripartire tutto o se devo mantenere disabilitate queste due voci.ti ringrazio per la tua disponibilità.

[Dylan666]

Il primo ha una cattiva reputazione a quanto vedo:
http://sarc.com/avcenter/venc/data/pf/a ... chemy.html

Del secondo non trovo nulla. Dimmi in che cartella sa, e guardando le porprietà vedi se riesci a capire a che programma appartiene.

[scheva19]

Il primo (alchem.exe) l'ho cancellato dal registro, il secondo(oskplug) non sono riuscito a capire cos'è. ho fatto ripartire ripartire il tutto normalmente con tutti i driver compreso oskplug.exe (forse avrò sbagliato?)e dopo il riavvio nel msconfig il file non era piu presente. booo! non so che dire.comunque adesso il mio registro sembra essere abbastanza pulito è in ordine almeno spero.

[scheva19]

Comunque oskplug.exe tipo di file : applicazione
lo trovo in c:\windows\sistem32. che faccio lo lascio stare o lo cancello?? aiutami a risolvere quest'ultimo enigma grazie.

[Dylan666]

Fosse in te io fare il ragionamento inverso: lo toglierei (chiave a file) e lo metterei da parte, se il sistema sopravvive senza allora lo butto

Il fatto è che la cartella in cui è posizionato è abbastanza delicata e avere file dubbi lì non è una bella cosa...

[scheva19]

Ho seguito il tuo consiglio.messo da parte oskplug.ho riavviato il tutto, non succede nulla di strano.almeno per il momento.comunque dopo i tuoi suggerimenti il mio pc va che una meraviglia.quello che mi chiedo e se tutte quelle porcherie sono comparse adesso? o le tenevo li da parecchio tempo?be comunque non mi importa l'essenziale e aver fatto piazza pulita.grazie a tutti voi.