www.MegaLab.it

da **Mr.TFM** » mar gen 25, 2005 1:41 pm

crazy.cat ha scritto:Dyfuca lo ho rimosso proprio questa mattina con spybot da un cliente maniaco che aveva fatto il giro di tutti i siti porno ed aveva 6 dialer attivi sul pc.

da **alexe** » mar gen 25, 2005 7:41 pm

ok...appena fatta la scansione in modalita provvisoria e andato via.Io invece(visto che ci sono)non riesco a togliere Elitum.EliteBar,mentre DSO Exploit lo elimina ma non appena mi connetto lo riprendo nuovamente [:p]

Ho provato anche dalla modalità provvisoria per quanto riguarda Elitum.EliteBar ma niente...resiste.Che posso fare?? [:p]

da **crazy.cat** » mar gen 25, 2005 8:07 pm

Adware aggiornato o Spysweeper (anche se dura 30 giorni) aggiornato dovrebbero togliere tutto senza problemi.
Controlla anche nella lista delle applicazioni installate se trovi voci strane ed eliminale,molte volte si nascondono li dentro.

da **alexe** » mer gen 26, 2005 5:02 pm

crazy.cat ha scritto:Adware aggiornato o Spysweeper (anche se dura 30 giorni) aggiornato dovrebbero togliere tutto senza problemi.
Controlla anche nella lista delle applicazioni installate se trovi voci strane ed eliminale,molte volte si nascondono li dentro.

niente...no se ne vole andare anzi allego l'immagine del file incriminato e delle chiavi di registro...

da **crazy.cat** » mer gen 26, 2005 7:30 pm

Ho letto in giro che quel spyware è collegato molto spesso a un virus trojan e per questo si ricrea.
Disabilita il ripsistino della configurazione del sistema, riavvia il pc e rifai la scansione dalla modalità provvisoria con scangui, aggiorna le definizioni dei virus.
Cancella i file temporanei di internet e controlla nella cartella windows e windows\system32 se trovi dei file .exe con nomi molto strani tipo yxled.exe con date magari recenti.

cerca una cartella che contenga il nome Elite e con hijackthis puoi selezionare i file che contiene e dirgli di cancellarli al prossimo riavvio del pc (trovi le istruzioni nell'articolo in home page), a mano poi puoi cancellare anche le chiavi nel registro che hai mostrato prima.
Cerca anche nel registro il nome dello spyware ed eliminalo.

Molta altra gente ha problemi ad eliminarlo.

Se non lo ammazzi così......

da **alexe** » mer gen 26, 2005 11:21 pm

ma le chiavi di registro che hai visto li posso eliminare tranquillamente tutte???

da **crazy.cat** » gio gen 27, 2005 8:15 am

alexe ha scritto:ma le chiavi di registro che hai visto li posso eliminare tranquillamente tutte???

Si

da **alexe** » gio gen 27, 2005 1:00 pm

ok...fatto tutto...pero il file incriminato non se ne vole andare [cry]

questo e il log dopo tutte le scansioni

Logfile of HijackThis v1.97.7
Scan saved at 12.58.49, on 27/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Belkin\Software Bluetooth\BTTray.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\StopDialers\StopDialer.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programmi\Opera\Opera.exe
D:\programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4BEB50-F984-4324-A35E-3B30FCE95023}: NameServer = 194.185.97.134 194.185.97.134

da **Mr.TFM** » gio gen 27, 2005 1:27 pm

Povero.... Te ne capitano di tutti i colori.......
Mi sa che ti conviene fare un backup e una bella formattata......
Poi ti reinstalli tutto daccapo! [:D]

Questo Jusched ce l'ho anch'io....

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe

da **crazy.cat** » gio gen 27, 2005 1:30 pm

Dopo questo non ho più idee
http://www.majorgeeks.com/download4465.html

chi ha il tuo problema dovrebbe avere questa riga nel log di hijackthis
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
che tu non hai.

Le scansioni con adware o spysweeper trovano lo stesso problema?
Che non sia un falso di spybot e stiamo a diventare scemi per niente.

da **alexe** » gio gen 27, 2005 8:41 pm

crazy.cat ha scritto:Dopo questo non ho più idee
http://www.majorgeeks.com/download4465.html

chi ha il tuo problema dovrebbe avere questa riga nel log di hijackthis
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
che tu non hai.

Le scansioni con adware o spysweeper trovano lo stesso problema?
Che non sia un falso di spybot e stiamo a diventare scemi per niente.

allora inanzitutto grazie,poi le scansioni con quell'altri non trovano lo stesso problema [sbigot]

mentre le righe che dici te c'erano prima ma l'ho cancellati io,ho fatto del casino???

da **crazy.cat** » ven gen 28, 2005 7:40 am

Quindi questa cartella e questi file esistono ancora?
EliteToolBar\EliteToolBar version 58.dll
Non ho più idee, ho letto comunque che è una grossa rogna togliere questo spyware.
Se vai su google e inserisci EliteToolBar vedrai quante voci vengono fuori.

da **alexe** » ven gen 28, 2005 12:16 pm

crazy.cat ha scritto:Quindi questa cartella e questi file esistono ancora?
EliteToolBar\EliteToolBar version 58.dll
Non ho più idee, ho letto comunque che è una grossa rogna togliere questo spyware.
Se vai su google e inserisci EliteToolBar vedrai quante voci vengono fuori.

allora ho cercato i file ma sul computer non c'e traccia [:-D]

quindi significa che sono pulito,e allora perche spy bot me lo trova sempre??? [banned]

da **crazy.cat** » ven gen 28, 2005 12:31 pm

Si chiamano falsi positivi.
Tutti gli antispyware e antivirus possono riconoscere cose simili a quelle pericolose ma che in realtà sono causate da programmi puliti.
Problema risolto.

da **alexe** » ven gen 28, 2005 12:46 pm

crazy.cat ha scritto:Si chiamano falsi positivi.
Tutti gli antispyware e antivirus possono riconoscere cose simili a quelle pericolose ma che in realtà sono causate da programmi puliti.
Problema risolto.

www.MegaLab.it

problema di navigazione

Chi c’è in linea