Condividi:        

Eliminare e1xplorer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Eliminare e1xplorer

Postdi mickypv » 24/05/06 09:08

Potete aiutarmi? Ho provato a seguire altre discussioni, ho installato Hijackthis, Del Domains, Spybot, NoAdware, e Microsoft antispyware ma non sono riuscito a eliminare definitamente gli intrusi.
Vi allego il mio report nella speranza che qualcuno mi possa dare un consiglio:
Logfile of HijackThis v1.99.1
Scan saved at 10.08.31, on 24/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\mcshield.exe
C:\Programmi\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programmi\Fujitsu\BtnHnd\BtnHnd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\File comuni\Network Associates\TalkBack\tbmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programmi\lg_fwupdate\fwupdate.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\macromed\flash\GetFlash.exe
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
C:\Documents and Settings\SPINELLI M\Documenti\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyrm.wind.root.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.wind;*.pos.wind.it;*.enel;10.*;192.168.*;*.infostrada.it;*.wind.root.it;172.16.*;155.libero.it;*.enelit.it;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programmi\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programmi\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.powersoft.name
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\vstskmgr.exe


Inoltre ho tra i programmi installati una cartella Xerox vuota che non ho mai installato e che non è possibile cancellare!!
Vi ringrazio anticipatamente. :( :( :(
mickypv
Newbie
 
Post: 2
Iscritto il: 24/05/06 08:44
Località: Bari

Sponsor
 

Postdi Luke57 » 24/05/06 15:26

Ciao scarica Killsgrunt da qui:
http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
ed eseguilo sul computer
Scarica Cwshredder da qui:
http://www.trendmicro.com/ftp/products/ ... redder.exe
e mettilo sul desktop.
1) Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
2) Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
3) Apri hijackthis, clicchi “open the misc tools section”, “open process manager”, cerchi ed evidenzi i seguenti processi (se ci sono):
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
Premi “kill process”
4) Torni alla pagina principale con back, premi scan, cerchi e spunti le seguenti voci ( se ci sono tutte):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.h
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
Tutte le voci 015
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll
Premi fix chcked
5) esegui Cwshredder.exe cliccando sul file e scegliendo Fix, non scan only.
6) cerca ed elimina i seguenti file:
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe----- > tutta la cartella
C:\WINDOWS\SYSTEM32\winxrz32.dll
7) - Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
8 - sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
9) svuota il cestino.
10) Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te
Per finire scansione on line qui:
http://www.bitdefender.com/scan8/ie.html
Posta nuovo log per controllo
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

eliminare e1xplorer

Postdi mickypv » 29/05/06 10:01

Ho effettuato tutto quello che mi hai ben spiegato, non sono riuscito ad effettuare il Bitdefender on line perchè si blocca dopo qualche minuto.
Inoltre con hijackthis non ho trovato le seguenti righe:
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe
C:\Documents and Settings\SPINELLI M\Dati applicazioni\sgrunt\IE4321.exe

Ti rigrazio per la tua professionalità e ti invio nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 10.50.38, on 29/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\mcshield.exe
C:\Programmi\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Programmi\Fujitsu\BtnHnd\BtnHnd.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\File comuni\Network Associates\TalkBack\tbmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programmi\lg_fwupdate\fwupdate.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\SPINELLI M\Dati applicazioni\tofareraci\systvmrs.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\SPINELLI M\Documenti\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyrm.wind.root.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.wind;*.pos.wind.it;*.enel;10.*;192.168.*;*.infostrada.it;*.wind.root.it;172.16.*;155.libero.it;*.enelit.it;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programmi\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programmi\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\SPINELLI M\Dati applicazioni\tofareraci\systvmrs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.xxx-content.name
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\vstskmgr.exe
mickypv
Newbie
 
Post: 2
Iscritto il: 24/05/06 08:44
Località: Bari

Postdi Luke57 » 29/05/06 10:49

Ciao, Sgrunt non l’hai trovato perché è stato eliminato da killsgrunt.
Scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll
e clicchi sulla crocetta rossa (il computer si riavvierà)
Riavvii in mod.provvisoria, apri hijakthis, clicchi “open the misc tools section”, “open process manager”, cerchi ed evidenzi questo processo ( se lo conosci, lascialo stare):
C:\Documents and Settings\SPINELLI M\Dati applicazioni\tofareraci\systvmrs.exe
Premi kill porcess.
Torni alla pagina principale del programma con back, scan, cerchi e spunti le seguenti voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\SPINELLI M\Dati applicazioni\tofareraci\systvmrs.exe (se lo conosci, lascialo stare)
Tutte le voci 015
O20 - Winlogon Notify: winxrz32 - C:\WINDOWS\SYSTEM32\winxrz32.dll ( in caso ci fosse sempre, eventualmente ci sarà la scritta “file missing”)
Premi fix checked.
Cerchi ed elimini il file:
C:\Documents and Settings\SPINELLI M\Dati applicazioni\tofareraci\systvmrs.exe
Posta nuovo log per controllo
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Eliminare e1xplorer":


Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti