e1xplorer

di **pippo111** » 05/08/06 15:30

Ciao a tutti.
Io ho un problema con un dialer ( credo si aquesta la definizione) che mi ha creato sul desktop, nel menù avvio, nella cartella documenti un collegamento che si chiama e1xplorer.
Inoltre appare fissa una schermata che non riesco a chiudere che mi colleggerebbe ad un sito che si chiama "adultkey".
Infine, ha creato automaticamente una connessione remota "predefinita", che comunque non funziona (per fortuna) perchè le connesioni remote sono disattivate avendo io la fibra ottica.
Usando l'antivirus avast (ver 4.7) non ho risolto nulla.
Spyboot lo trova come "citofarera", tuttavia non risolve il problema.
Infatti, anche se al termine della scansione provvedo a correggere il problema, al successivo ricavvio del pc mi trovo di nuovo tutti i collegamenti e la schermata inamovibile.
Ho guardato su internet ed ho scoperto che questo dialer è abbastanza difficile da estirpare.

Io non sono molto pratico di problemi del pc, come posso fare per eliminare questo ospite indesiderato?

Grazie a chi potrà darmi qualche indicazione.

QUi di seguito c'è il log del mio pc fatto con hijackthis all'avvio del sistema.

Logfile of HijackThis v1.99.1
Scan saved at 16.14.03, on 05/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2

(6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil

Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil

Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\File

comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft

Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil

Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil

Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\File comuni\Cloanto\Software

Manager\softmngr.exe
C:\Programmi\Creative\ShareDLL\CtNotify.ex

e
C:\Programmi\Picasa2\PicasaMediaDetector.e

xe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Ex

e
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\ATI

Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTL

Tray.exe
C:\Programmi\eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\ATI

Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI

Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\xxx\Impostazioni

locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

http://red.clientapps.yahoo.com/customize/

ycomp_wave/defaults/sb/*http://www.yahoo.c

om/search/ie.html
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Page =

http://red.clientapps.yahoo.com/customize/

ycomp_wave/defaults/sp/*http://www.yahoo.c

om
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://www.1987324.com?301
R1 - HKCU\Software\Microsoft\Internet

Explorer\SearchURL,(Default) =

http://red.clientapps.yahoo.com/customize/

ycomp_wave/defaults/su/*http://www.yahoo.c

om
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet

Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName =

Collegamenti
O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) -

{51641EF3-8A7A-4D84-8659-B0911E947CC8} -

(no file)
O2 - BHO: (no name) -

{53707962-6F74-2D53-2644-206D7942484F} -

C:\Programmi\Spybot - Search &

Destroy\SDHelper.dll
O2 - BHO: Dredge -

{EB870508-E2B7-4169-8120-760F69703776} -

C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Intense -

{FB47056B-B34D-410E-819A-E8A51CC8E2EB} -

C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [CloantoSoftwareManager]

"C:\Programmi\File comuni\Cloanto\Software

Manager\softmngr.exe" /s
O4 - HKLM\..\Run: [NeroCheck]

C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector]

C:\Programmi\Creative\ShareDLL\CtNotify.ex

e
O4 - HKLM\..\Run: [UpdReg]

C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup]

C:\Programmi\Creative\SBAudigy\Program\CTE

axSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection]

C:\Programmi\Creative\SBAudigy\PROGRAM\ADG

JDet.exe
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Programmi\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [Picasa Media Detector]

C:\Programmi\Picasa2\PicasaMediaDetector.e

xe
O4 - HKLM\..\Run: [avast!]

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC]

"C:\Programmi\ATI

Technologies\ATI.ACE\cli.exe" runtime

-Delay
O4 - HKLM\..\Run: [Systems]

C:\WINDOWS\system32\spoolsvc.exe
O4 - HKCU\..\Run: [TaskTray]

C:\Programmi\Creative\SBAudigy\Taskbar\CTL

Tray.exe
O4 - HKCU\..\Run: [Eraser]

C:\Programmi\eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk

= C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in

Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.

EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java

Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Organizzatore ricerche

- {9455301C-CF6B-11D3-A266-00C04F689C50} -

C:\Programmi\File comuni\Microsoft

Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows

Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O16 - DPF:

{51641EF3-8A7A-4D84-8659-B0911E947CC8} -

http://www.contenidospc.com/instalador.cab
O16 - DPF:

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}

(ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as

5free/asinst.cab
O20 - Winlogon Notify: WgaLogon -

C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control

Service (aswUpdSv) - Unknown owner -

C:\Programmi\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI

Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown

owner - C:\Programmi\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner -

Unknown owner - C:\Programmi\Alwil

Software\Avast4\ashMaiSv.exe" /service

(file missing)
O23 - Service: avast! Web Scanner -

Unknown owner - C:\Programmi\Alwil

Software\Avast4\ashWebSv.exe" /service

(file missing)
O23 - Service: Creative Service for CDROM

Access - Creative Technology Ltd -

C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2

(EPSONStatusAgent2) - SEIKO EPSON

CORPORATION - C:\Programmi\File

comuni\EPSON\EBAPI\SAgent2.exe

di **andorra24** » 05/08/06 15:58

Ciao, hai diverse infezioni nel pc e dovrai utilizzare degli appositi tools di rimozione. Scarica SmitFraudfix e decomprimilo in una cartella a tua scelta estraendo tutti i file:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Riavvia in modalità provvisoria

Apri la cartella che contiene SmitfraudFix avvia smitfraudfix.cmd
Seleziona opzione #2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì (Y) ad eventuali altre domande
----------------------------------------------------------------------------------------
Per rimuovere il trojan bomka (kaboom.dll) devi seguire le istruzioni di questo link:
http://www.greatis.com/security/ICQCHK. ... emover.htm
------------------------------------------------------------------------------------

Adesso veniamo al log di hijackthis. Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua (se sono presenti) le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\spoolsvc.exe
C:\WINDOWS\system32\dcomcfg.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R0 - HKCU\Software\Microsoft\InternetExplorer\Main,Start Page = http://www.1987324.com?301
O2 - BHO: (no name) -{51641EF3-8A7A-4D84-8659-B0911E947CC8} -(no file)
O2 - BHO: Dredge -{EB870508-E2B7-4169-8120-760F69703776} -C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Intense -{FB47056B-B34D-410E-819A-E8A51CC8E2EB} -C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [Systems]C:\WINDOWS\system32\spoolsvc.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O16- DPF{51641EF3-8A7A-4D84-8659-B0911E947CC8}http://www.contenidospc.com/instalador.cab

Assicurati che spariscano dal tuo pc i seguenti files:
C:\WINDOWS\system32\kaboom.dll
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\spoolsvc.exe

di **Luke57** » 05/08/06 16:00

Ciao, hai incollato il log in nodo un po’ schizofrenico ( a guardarlo gira la testa). Siccome lo sforzo l’ho fatto,
apri hijackthis, con tutte le applicazioni chiuse, premi ““open the misc tools section”, poi “open process manger”, individua ed evidenzia i processi seguneti:
C:\WINDOWS\system32\spoolsvc.exe
C:\WINDOWS\system32\dcomcfg.exe

Premi kill process

Torna alla pagina principale con back, premi “scan”, cerchi e spunti le seguenti voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} -
C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} -
C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O15 - Trusted Zone: http://www.1987324.com
Premi fix checked

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Cerca e cancella i file (se ci sono):
C:\WINDOWS\system32\spoolsvc.exe
C:\WINDOWS\system32\kaboom.dll
C:\WINDOWS\system32\dcomcfg.exe

Da pannello di controllo,installazioni/applicazioni controlla che non vi siano programmi o applicazioni sospetti non installati da te.

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

svuota il cestino.

Riavvia in modalità normale

Collegati qui:
http://collectiontricks.p2pforum.it/mod ... idedito=21
scarica il tool Bomka.c ed eseguilo nel computer

Posta nuvo log di controllo (questa volta allineato

)

di **pippo111** » 05/08/06 16:18

Vi ringrazio!
Perdonate il log confuzionario...

di **pippo111** » 05/08/06 18:20

Il problema mi pare si sia risolto.

Vi ringrazio

Ecco il log allineato...

Logfile of HijackThis v1.99.1
Scan saved at 19.14.35, on 05/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Cloanto\Software Manager\softmngr.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\xxx\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CloantoSoftwareManager] "C:\Programmi\File comuni\Cloanto\Software Manager\softmngr.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Eraser] C:\Programmi\eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

di **andorra24** » 05/08/06 18:34

Bene, adesso il log e' bello pulito.

e1xplorer

e1xplorer

Topic correlati a "e1xplorer":

Chi c’è in linea