Detected SPYware! System error #384 & e1xplorer

[3v3lin3]

Per favore, qualcuno può aiutarmi? Da qualke giorno mi appare una finestra con scritto Detected SPYware! System error #384 (esattamente come è stato spiegato da un altro utente del forum) e, oltre a ciò, cerca in continuazione di attivarsi un dialer "e1xplorer" (penso si dica così) per un sito porno(http://www.1987324.com)sono diperata, non ci capisco molto di pc... ho provato a scaricare diversi antivirus e antispyware ma non funzionano e continuo ad essere perseguitata!!
grazie mille. Ste

[fabrizius]

ciao,
posta un log hijackthis e dicci che procedimenti hai già esguito...

[3v3lin3]

grazie x il supporto... ok ti mando il logfile del pc:

Logfile of HijackThis v1.99.1
Scan saved at 10:01:20 PM, on 4/26/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\ezSP_Px.exe
C:\WINNT\system32\spoolsvc.exe
C:\Program Files\paytime.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\a\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00043.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [vXCXssdss] C:\WINNT\SYSTEM32\FSArrp.exe
O4 - HKLM\..\Run: [VasddwDg] zxXZwd.exe
O4 - HKLM\..\Run: [Start aThx Roll] f0mered.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
O4 - HKLM\..\RunServices: [VasddwDg] zxXZwd.exe
O4 - HKLM\..\RunServices: [Start aThx Roll] f0mered.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKCU\..\Run: [Start aThx Roll] f0mered.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O15 - Trusted Zone: http://www.1987324.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/act ... Atchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D542B1B0-8B30-4143-80DB-07B55E7FFA20}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: 62426 - Unknown owner - \\151.38.226.246\Admin$\eraseme_13380.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

come mi muovo a questo pto? quali file eliminare?!?
Stefania

[Alexsandra]

Visto che non ha ancora risposto nessuno,lo faccio io.
Da tempo volevo testare un software (Virit) su questi problemi. Il tuo log è un bel mercatino prova a scaricare Virit http://www.tgsoft.it/italy/index_ita.html,aggiornalo e dopo riavvia il pc in provvisoria(Premi F8 al boot ripetutamente e alla schermata di avvio scegli "Modalità provvisoria" . Una volta aviato il sistema rendi visibili file e cartelle di sistema nascosti (start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK) e dopo lancia una scansione con Virit (quando lo scarichi ti mette un collegamento sul desktop,fai doppio clik sopra e lancia la scansione, è molto intuitivo). dopo posta un nuovo log di Hijacthis. E' molto utile per vederne l'efficacia,in ogni caso stai tranquillo che ci sono tanti altri sistemi per toglierti i problemi ma così sarebbe molto utile per noi per vedere l'effettiva efficacia di Virit con le nuove firme.
Ciao

[Alexsandra]

Il link mi ha preso anche la frase successiva questo è quello giusto
http://www.tgsoft.it/italy/index_ita.html clicca su "Download"

[fabrizius]

ciao...
il log effettivamente é messo maluccio :
Comunque se vuoi fai cosi:
-Scarica lo script per riparare la trusted zone <--->(tasto destro sul link e salvalo sul desktop)
-Scarica Ewido--->é shareware ma dopo i 14 gg di prova,smetterà di funzionare solo la protezione in tempo reale, il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.
-Scarica CWShredder-->>Guida all'uso

-Adesso vai nel task manager (Ctrl+Alt+Del) e termina questi processi:
spoolsvc.exe
paytime.exe
-Ora vai nel pannello di controllo e disinstalla tutti i programmi che non hai installato tu.
Poi:
1/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
2/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).
-Una volta riavviato esegui lo script per riparare la Trusted Zone--->click con il tasto destro sul file .inf e seleziona Installa.
-Adesso esegui uno scan con CWShredder ma cliccando su fix e non su scan only
-Fai uno scan con Ewido (assicurati che in scansione-->> impostazioni ci siano le spunte dappertutto a parte l'ultima)
-Vai su start-->>esegui-->>digita sc stop winscntrl o wins e dai l'ok
poi sempre in esegui-->>digita [/b]sc delete winscntrl[/b] o wins e dai l'ok
-Adesso riavvia hijackthis e fixa queste voci se ancora presenti:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
Tutte le voci R0-
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00043.exe"
O4 - HKLM\..\Run: [vXCXssdss] C:\WINNT\SYSTEM32\FSArrp.exe
O4 - HKLM\..\Run: [VasddwDg] zxXZwd.exe
O4 - HKLM\..\Run: [Start aThx Roll] f0mered.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT\system32\spoolsvc.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe
O4 - HKLM\..\RunServices: [VasddwDg] zxXZwd.exe
O4 - HKLM\..\RunServices: [Start aThx Roll] f0mered.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] mcafeeupdate.exe
O4 - HKCU\..\Run: [Start aThx Roll] f0mered.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] mcafeeupdate.exe
O15 - Trusted Zone: http://www.1987324.com
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

Adesso
Cerca ed limina se ancora presenti:
spoolsvc.exe
paytime.exe
ibm00043.exe

Dai una ripulita ai files inutili,temp etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Ritorna in modalità normale,e posta un log aggiornato

[Alexsandra]

Non per mettere in dubbio quanto hai quotato,ma non testeremo mai altri programmi,l'evoluzione che hanno avuto e la possibilità di utilizzarli per "scremare" il log. Una prova si potrebbe fare.

[fabrizius]

la prova stà all'utente se vuole farla mica decido io ,io gli posto solo la procedura che secondo me é giusta per ripulire un log del genere....
le prove io le faccio quando ripulisco i computer degli amici o dei clienti,altrimenti a mio avviso le prove si fanno su un secondo computer di proprietà, tenuto al limite solo per quello,non mi piace farle a spese di altri utenti.....poi Virit lo hai già fatto testare in un'altro log con piu o meno le stesse infezioni se non sbaglio,e hai visto che i risultati non sono stati cosi brillanti....Anche se tutto sommato a mio avviso é un buon programma, sempre a mio avviso é da usare in determinate occasioni non sempre (poi ognuno fà come meglio crede)

[3v3lin3]

buongiorno...vi ringrazio entrambi, visto quanto segue mi sentirei più tranquilla a seguire la procedura normale, evitando di fare da 'cavia' con un programma ke, a quello ke ho letto, non è stato ancora completamente testato... senza offesa, ma già il mio pc sta messo male di suo ed io non sono proprio esperta!!
Domani proverò subito quanto mi hai spiegato, mi sento già un pò sollevata ... grazie ancora x la tua disponibilità, a domani... Stefania

[Alexsandra]

Non è che devi fare da "Cavia" Virit è un prodotto già testato ed è uno dei più potenti in commercio,ho notato negli ultimi tempi che la software house produttrice di Virit ha incrementato le firme di tantissimi altri Virus & Co. pertanto non danneggi assolutamente il tuo pc. La mia proposta era solo di poterne testare l'effettiva potenzialità su log come il tuo.
Il tutto si riduce ad una semplice scansione.

[fabrizius]

buongiorno...vi ringrazio entrambi, visto quanto segue mi sentirei più tranquilla a seguire la procedura normale, evitando di fare da 'cavia' con un programma ke, a quello ke ho letto, non è stato ancora completamente testato... senza offesa, ma già il mio pc sta messo male di suo ed io non sono proprio esperta!!
Domani proverò subito quanto mi hai spiegato, mi sento già un pò sollevata ... grazie ancora x la tua disponibilità, a domani... Stefania

Ciao,ok ti aspettiamo...
PS: io parlavo di prove in generale non di virit espressamente...
non avresti rischiato niente nel caso avessi fatto una scansione con quest'ultimo,
Poi voglio precisarti che qui nessuno ti consiglierà mai qualcosa da fare che potrebbe portarti casino nel computer,quindi puoi stare tranquilla....
Facci sapere

[3v3lin3]

primo dubbio: quando dici "...Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e ... ", come viene tradotto in inglese MODALITà PROVVISORIA? ho diverse possibilità, ma non conosco l'esatta corrispondente... grazie!

[fabrizius]

ciao,si dice SAFE MODE,comunque se hai delle difficoltà guarda qui

[3v3lin3]

eccomi, mi sto x preparare al SAFE MODE, una cosa: quando dici" Adesso riavvia hijackthis e fixa queste voci se ancora presenti", cosa intendi con fissa di preciso?? grazie. Stef

[3v3lin3]

ecco... ho fatto... mentre ero in modalità provvisoria non sono riuscita a vedere bene lo scan con EWIDO (le scritte erano poko kiare) e non ho trovato i file SC STOP WINSCNTRL O WINS e neppure [/b]sc delete winscntrl[/b] o wins.
Dopo aver riavviato non appare più ARCHIVIO SEX, neppure il WARNING, ma ho ancora inserita la connessione dial-up di un certo RES- TESTA e anke varie icone di e1xplorer...
già mi ritengo a buon punto, e devo dir ke ora internet va molto più veloce...
x ora grazie infinite...
come risolvo ancora questi 2 pti?
ti mando il log.
Logfile of HijackThis v1.99.1
Scan saved at 10:07:49 PM, on 4/28/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoctrl.exe
C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\ezSP_Px.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Documents and Settings\a\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/act ... Atchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D542B1B0-8B30-4143-80DB-07B55E7FFA20}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: 62426 - Unknown owner - \\151.38.226.246\Admin$\eraseme_13380.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoguard.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

buon week end!
Stefania

[fabrizius]

ecco... ho fatto... mentre ero in modalità provvisoria non sono riuscita a vedere bene lo scan con EWIDO (le scritte erano poko kiare) e non ho trovato i file SC STOP WINSCNTRL O WINS e neppure [/b]sc delete winscntrl[/b] o wins.
Dopo aver riavviato non appare più ARCHIVIO SEX, neppure il WARNING, ma ho ancora inserita la connessione dial-up di un certo RES- TESTA e anke varie icone di e1xplorer...
già mi ritengo a buon punto, e devo dir ke ora internet va molto più veloce...
x ora grazie infinite...
come risolvo ancora questi 2 pti?

Ciao,
il log sembra pulito adesso...
allora il servizio non devi cercarlo ma devi eliminarlo digitando il comando che ti ho suggerito,cioé:
Vai su start,poi clicca su esegui,nello spazio bianco scrivi sc delete wins e dai l'ok...

Poi per qunato riguarda la connessione e le icone non ho capito bene che problemi hai ancora...dacci piu info e vediamo cosa si puo fare

[3v3lin3]

allora... si, avevo capito ke sc etc dovessi digitarlo io, ma appena provo mi appare un warning ke dice "impossibile trovare file sc o uno dei suoi componenti...".
A parte ciò ho riutilizzato edwido ed ora anke le icone di e1xplorer ke erano ovunque sul desktop sono sparite... riguardo la connessione predefinita, era praticamente un dialer (penso si dica così) ke cercava di attivarsi appena avviavo, ma anke lui sembra out. Ti mando l'ultimo logfile aggiornato....
grazie di cuore, non pensavo di riuscire a risolvere il tutto così rapidamente... sei stato molto kiaro e soprattutto mooolto paziente!
stef

Logfile of HijackThis v1.99.1
Scan saved at 5:23:56 PM, on 4/29/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoctrl.exe
C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\ezSP_Px.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\a\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.it/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\a\LOCALS~1\Temp\delus.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by15fd.bay15.hotmail.msn.com/act ... Atchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D542B1B0-8B30-4143-80DB-07B55E7FFA20}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: 62426 - Unknown owner - \\151.38.226.246\Admin$\eraseme_13380.exe (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\a\Desktop\antivirus programma\ewido anti-malware\ewidoguard.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)

[Luke57]

Con hijackthis fissa:
O4 - HKLM\..\RunOnce: [delus] C:\DOCUME~1\a\LOCALS~1\Temp\delus.exe
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINNT\system32\winscntrl.exe (file missing)
Vai su:
start>esegui>sc stop wins>OK
start>esegui>sc delete wins>OK
Elimina poi tutti i file .temp e .tmp. come già suggerito nei post precedenti.

[cracra]

Aiuto anch'io mi trovo alle prese con lo stesso tipo di dialer e non riesco a liberarmene.... sembra che alcuni file come paytime.exe si rigenerino in continuazione!!!! non so che fare e non riesco a stare collegata per più di 3 minuti
ecco il log:
Logfile of HijackThis v1.99.1
Scan saved at 16.22.57, on 09/05/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\system32\algsys.exe
D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\Bluetooth\Software Bluetooth\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\explorer.exe
D:\WINNT\SOUNDMAN.EXE
D:\Programmi\ATI Technologies\Pannello di controllo ATI\atiptaxx.exe
D:\WINNT\system32\carpserv.exe
D:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Programmi\Real\RealPlayer\RealPlay.exe
D:\Programmi\Trust\Ami Mouse 300 Cordless Dual Scroll\Amoumain.exe
D:\Programmi\PCX 370\shwicon.exe
D:\Programmi\MusicMatch\MusicMatch Jukebox\mm_tray.exe
D:\Programmi\File comuni\ACD Systems\EN\DevDetect.exe
C:\programmi\hp\HP Share-to-Web\hpgs2wnd.exe
c:\PROGRA~1\hp\HPSHAR~1\hpgs2wnf.exe
D:\Program Files\Libero\Adsl\dslstat.exe
D:\Program Files\Libero\Adsl\dslagent.exe
D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
C:\Programmi\iTunes\iTunesHelper.exe
D:\programmi\quicktimebis\qttask.exe
D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINNT\system32\internat.exe
C:\Programmi\iPod\bin\iPodService.exe
D:\Programmi\ATI Multimedia\main\launchpd.exe
D:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programmi\WinZip\WZQKPICK.EXE
D:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
D:\Programmi\Bluetooth\Software Bluetooth\BTTray.exe
C:\StopDialers\StopDialer.exe
D:\WINNT\system32\wuauclt.exe
c:\Program Files\paytime.exe
D:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programmi\Internet Explorer\iexplore.exe
c:\kl1.exe
c:\countrydial.exe
c:\Program Files\paytime.exe
D:\WINNT\system32\NOTEPAD.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
D:\Documents and Settings\P4\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "D:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00123.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [RealTray] D:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NetWatcherPro] D:\Documents and Settings\Alessandro\Documenti\AlePC\My Documents\Shared File\netwatcher\NetWatcherPro.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [ShowIcon_PC Expert TECH. CO., LTD._PCX 370 v1.01] "D:\Programmi\PCX 370\shwicon.exe" -t"PC Expert TECH. CO., LTD.\PCX 370 v1.01"
O4 - HKLM\..\Run: [MMTray] D:\Programmi\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Device Detector] "D:\Programmi\File comuni\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CXMon] "c:\programmi\hp\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\programmi\hp\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [DSLSTATEXE] D:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] D:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB002" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\programmi\quicktimebis\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SysTray] c:\Program Files\paytime.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ATI Launchpad] "D:\Programmi\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [EPSON Stylus Photo R240 Series] D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /M "Stylus Photo R240" /EF "HKCU"
O4 - Startup: Stop Dialers.lnk = C:\StopDialers\StopDialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = D:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: BTTray.lnk = D:\Programmi\Bluetooth\Software Bluetooth\BTTray.exe
O8 - Extra context menu item: Invia a &Bluetooth - D:\Programmi\Bluetooth\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\Bluetooth\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\Bluetooth\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .dll: D:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: D:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3014042671
O17 - HKLM\System\CCS\Services\Tcpip\..\{53880187-8C69-43B5-9C1F-3D8936F96AA9}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - D:\WINNT\System32\btxppanel.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\Bluetooth\Software Bluetooth\bin\btwdins.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - D:\WINNT\system32\zjpmsb.exe (file missing)

Aiutatemi per favore... non sono molto abile

[Luke57]

Ciao, prova a fare così:
1)Riavvia in modalità provvisoria
( Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
2)Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", e deseleziona "nascondi file protetti e di sistema". Clicca su OK.
3) Apri hiajckthis, premi “open the misc tools section”, “Open process manager”, individui ed evidenzi questi processi ( se non ci sono non importa):
D:\WINNT\system32\algsys.exe
c:\Program Files\paytime.exe
c:\kl1.exe
c:\countrydial.exe
Premi kill process
4) Torni alla pagina principale con back, premi “scan”, cerchi e spunti le voci seguenti.
R1 e R0 con C\secure23.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file
F2 - REG:system.ini: Shell=explorer.exe "D:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00123.exe"
O4 - HKLM\..\Run: [NetWatcherPro] D:\Documents and Settings\Alessandro\Documenti\AlePC\My Documents\Shared File\netwatcher\NetWatcherPro.exe
O4 - HKLM\..\Run: [ShowIcon_PC Expert TECH. CO., LTD._PCX 370 v1.01] "D:\Programmi\PCX 370\shwicon.exe" -t"PC Expert TECH. CO., LTD.\PCX 370 v1.01"
O4 - HKLM\..\Run: [SysTray] c:\Program Files\paytime.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - D:\WINNT\system32\zjpmsb.exe (file missing)
Premi fix checked
5)Cerca ed elimini i seguenti file ( se ci sono tutti):
D:\WINNT\system32\algsys.exe
c:\Program Files\paytime.exe
c:\kl1.exe
c:\countrydial.exe
D:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00123.exe
6) Poi elimina tutti i file temporanei di windows (temp e tmp, (fai così start>cerca>tutti i file e cartelle, nello spazio bianco “nome del file o parte del nome” copi : *.temp; *.tmp ed elimini tutti quelli trovati)
7)cancella tutti i file temporanei di IE, cronologia, cookies,
Svuota il cestino
9)Da pannello di controllo, installazioni\applicazioni, cerchi ed elimini tutti i programmi che non hai installato tu.
10)Fai una scansione on line qui:
http://www.bitdefender.com/scan8/ie.html
Posta un nuovo log di hijackthis