| Autore |
 Discussione  |
|
generalmente no
Junior Member
55 Messaggi |
 Inserito il - 17/01/2006 : 13:12:01
|
Per Giove, l'ho preso anch'io.
E' la prima volta che scrivo su questo forum, ma ho letto preventivamente il "caso Mara".
Quello che e' successo e' questo: Al'inizio in basso a destra compariva la finestra che mi annunciava che il mio computer e' infetto e bla-bla; all'avvio explorer andava alla pagina di un fantomatico antispyware; ctrl+alt+canc segnalava la presenza di msserchnet.exe che ovviamente "rinasceva" ad ogni chiusura. IE si chiudeva inaspettatamente
Io: ho ucciso Norton che mi aveva tradito, (assieme a Spybot S&D e firewall Windows che pero' non ho ancora ucciso: dovrei?!) e ho installato Antivir 7 beta e Hijack.
Con Hijack sono riuscito ad eliminare mssearchnet.exe dicendogli di ucciderlo al reeboot.
Nonostante questo continua il messaggio di avviso in basso a destra e apertura di pop up di un casino' (e io so giocare solo a scopone scientifico...)
Vi posto il log di hijack perche' possiate vedere un po' che ve ne pare...:
Vi ringrazio molto,
d
Logfile of HijackThis v1.99.1
Scan saved at 13.13.25, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InfoMyCa.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programmi\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WUSB54Gv4] C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt*://security.symantec[.com]/sscv6/SharedContent/common/bin/cabsa .cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)
|
|
|
generalmente no
Junior Member
55 Messaggi |
 Inserito il - 17/01/2006 : 14:05:00
|
Mi correggo: il bastardo e' tornato.
mssearchnet.exe.
Oro provo a ritoglierlo come feci allora...
E che la sorte mi assista... |
 |
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 17/01/2006 : 14:37:23
|
| da modalità provvisoria aggiorna spybot,cc cleaner e adware e li fai partire con ripristino configurazione di sistema disabilitato e: htt*://[www].forumer.it/about43-trucchiperpc.html in questo sito ti fa scaricare un programmino, c'è anche la guida. |
Modificato da - Lollo in data 17/01/2006 14:39:12 |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 16:49:59
|
Niente da fare.
Installato l'antivirus Escan crea un conflitto tremendo tanto da non riuscire a far partire windows in modalita' normale (riavvia automaticamente...!).
Cosi' l'ho disinstallato e ora carica.
Adware, Spybot S&D, Antiv 7 non trovano una mazza (in mod.provvisoria) o se trovano cancellano e poi ritrovano. E mssearchnet.exe
compare riregolarmente dopo essere stato cancellato in modalita' provvisoria e tramite hijack.
Che faccio?
Gladiator, Yves, saggi?!
:)
Grazie |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 17:00:39
|
...posto un nuovo log di hijack (my heart...)
per il coraggioso/la coraggiosa che si voglia cimentare...!
Logfile of HijackThis v1.99.1
Scan saved at 17.02.00, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InfoMyCa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEEF7.tmp
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WUSB54Gv4] C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ Monitor] C:\bases\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt*://security.symantec[.com]/sscv6/SharedContent/common/bin/cabsa .cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 17/01/2006 : 17:48:20
|
Sposta Hijackthis in una cartella a lui riservata tipo C\HJK, in modo che il programma possa fare il backup in caso di errori) ,lancialo e clicca su "open the misc tools selection" poi su "open process manager", cerca questi processi
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\nvctrl.exe
clicca su "kill process" poi su "back" e poi su "scan" , metti il segno di spunta alle seguenti voci:
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpEEF7.tmp
Queste sotto elencate sono toolbar se le hai installate tu e le vuoi tenere altrimenti le puoi fixare
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
Queste invece si riferiscono a delle scansioni on line le puoi togliere
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt*://security.symantec[.com]/sscv6/SharedContent/common/bin/cabsa .cab
spuntate le voci clicca sul pulsante "Fix checked".
cerca questi file nella cartella C:\WINDOWS\system32
mssearchnet.exe e nvctrl.exe e cancellali.
Riavvia e lancia Regseeker ed elimina tutto quello che trova,poi lancia ancora HJK e controlla che i file siano spariti |
|
|
|
generalmente no
Junior Member
55 Messaggi |
 Inserito il - 17/01/2006 : 18:30:58
|
Alexsandra, molte grazie dell'intervento.
Ho seguito le tue istruzioni.
Premetto che Hijack lo ho eseguito sia in modalita' normale che provvisoria e Regseeker li solo in provvisoria anche se non era specificato (mi pare di aver capito da altri post che cosi' si fa...:) ).
Ho trovato e cancellato in modalita' provvisoria i 2 file indicati.
Lanciato regseeker e cancellato tutto il trovato.
Ravviato in modalita' normale non c'e' smsearchnet.exe (il quale pero' era gia' sparito e ricomparso piu' volte
dopo averlo eliminato in provvisoria.
Ma purtroppo c'e' ancora il maledeto messaggio nella barra delle applicazioni che dice che il pc e' infetto e bla-bla.
Aggiungo il log di hijack fatto dopo tutta l'operazione
(delle toolbar ho tolto solo quelle di messenger che non avevo chiesto)
un po' abbacchiato,
d
Logfile of HijackThis v1.99.1
Scan saved at 18.26.32, on 17/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InfoMyCa.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WUSB54Gv4] C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: WUSB54Gv4SVC - Unknown owner - C:\Programmi\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe" "WUSB54Gv4.exe (file missing)
|
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 19:25:43
|
Tutto inutile.
Sempre piu' sconsolato mi rendo conto che mssearchnet.exe ricompare ancora dopo aver fatto finta di sparire.
Mi accorgo anche che quando cio' succede IE si chiude inaspettatamente e si creano 2 icone nel desktop, una nei preferiti e 2 nel menu' start.
Scansioni con Ad aware, Spybot S&D, Antiv 7, CCleaner, tutti aggiornati, tutti in mod.provvisoria e anche normale sono risultate inutili.
E Hijack logga...!
Escan aveva detto di aver trovato un virus, ma che per toglierlo...dovevo comprare il programma!
Era qualcosa tipo spyware VRed.
E se mi mettessi a giocare selvaggiamente al casino' on-line e scaricare tutti gli antispyware che mi propongono?!!
|
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 17/01/2006 : 19:43:49
|
Ciao, prova a scaricare questo da usare in modalità provvisoria
htt*://[www].simplytech.it/ETRemover/ETRemover_v212.zip e scaricati anche virit
dopo averlo fixato come ha detto alexsandra: Riavvii in modalità provvisoria, rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK.)
cerchi ed elimini il file:
C:\WINDOWS\System32\mssearchnet.exe
Cancella poi tutti I file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino. Vai in pannello di controllo, installazioni|applicazioni, togli tutto quello che non hai installato tu. Fai una scansione con antivirus aggiornato. Verifica con un nuovo log se la mssearchnet è scomparso.
|
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 19:48:08
|
Ho ucciso la tartaruga, on c'era niente da ballare...!
Lollo, rifaro' ora quello che mi hai consigliato, ma l'ho gia'fatto almeno 3-4 volte senza risultati. Mssearchnet.exe si toglie in modalita' provvisoria ma dopo un paio di riavvi o di riconnessioni a Internet ricompare.
E anche quando non e' presente il messaggio nella barra delle applicazioni e' continuo.
Ora cmq scarico i 2 che mi hai detto.
E Grazie! |
|
|
|
Nikon
New Member
Città: Galatone
38 Messaggi |
Inserito il - 17/01/2006 : 20:04:10
|
Ciao.
Se vuoi scarica questo:
htt*://[www].silentrunners.org/Silent%20Runners.zip
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Con tutte le applicazioni chiuse,apri la cartella\doppio click
sul file con estensione "VBScript Script File" si avvierà una
scansione,visualizzerai una finestra che ti dice dove è stato
salvato il file in formato txt,apri il file txt che si trova nella
cartella creata in precendenza,il file si chiama Startup Programm
(nome della macchina).txt seleziona tutto\copie ed incolli nella
tua risposta.
Ciao. |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 17/01/2006 : 20:05:48
|
Scarica questo programma
htt*://[www].diamondcs[.com].au/downloads/apt.zip
scompattalo dove vuoi,aprilo trova il processo(evidenzialo) e clicca o su Kill3 o 4 decidi tu come ammazzarlo poi elimina il file,ciao |
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 17/01/2006 : 20:09:01
|
| sempre da modalità provvisoria scansiona con regseeker ciao |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 17/01/2006 : 20:43:23
|
Il consiglio di Lollo è giusto,nel tuo log non c'è più la presenza di Mssearchnet.exe.ci sono sicuramente ancora le chiavi di attivazione e
potrebbe trattarsi anche di un falso positivo.
hai queste 2 chiamate
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
start-esegui-digita services.msc
nella finestra che ti compare cerca il servizio"Aggiornamenti automatici" fai doppio clik sopra e clikka sul pulsante "Arresta",nel box centrale metti come tipo avvio "Manuale".
Disabilita il ripristino di sitema
clik col Dx del mouse sull'icona presente sul desktop "Risorse del computer", proprietà e metti la spunta su "disattiva ripristino di sistema.
riavvia
lancia HJK e controlla il log se sono ancora presenti C:\WINDOWS\system32\wuauclt.exe,se sono presenti naviga con explorer fino a cercare il file e fai clik sopra col Dx e vedi le proprietà del file,quando è stato creato e le dimensioni,segnatele e dopo eventualmente postale
dopo fai Start-esegui e digita regedit.
naviga nella finestra di Sx cliccando sui + fino a questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
controlla se esiste questa chiamata nel pannello di Dx kernel32.dll se esiste cancellala (clik sopra il valore Dword e nel menù che compare scegli elimina.
con quanto ti ha suggerito Lollo e questo procedimento il processo non può più esistere.
ti consiglio di lanciare HJK e fixare queste voci
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
anche se non lo hai voluto fare per i tuoi motivi,fixando con HJK puoi sempre ripristinare il tutto,almeno vediamo se il problema si risolve.
pulisci il registro con regSeeker,crea un nuovo punto di ripristino |
|
|
|
generalmente no
Junior Member
55 Messaggi |
Inserito il - 17/01/2006 : 21:59:44
|
Alessandra grazie.
Mo'faccio tutto quanto hai consigliato.
Grazie anche a Lollo anche se quello di fare kill3 kill 4 scegli tu come ammazzarlo purtroppo e' inutile visto che rinasce come lazzaro.
Vediamo se dopo una giornata intera a combattere contro 'sto virus se ne va.
Ora per esempio non c'e' il file, ma continua la finestra pop-up.
Vivit intanto, ed e' il quinto antivirus che scarico e provo oggi, ha trovato delle cose, cancellate, il problema sussiste.
Ale'. |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 17/01/2006 : 22:06:56
|
|
Sarebbe utile anche vedere un log dopo queste operazioni |
|
|
|
Discussione |
|
|
|
ancora mssearchnet.exe!
Forum Bloccato
