www.MegaLab.it

da **ares84** » gio nov 23, 2006 7:32 pm

Salve a tutti sono un nuovo iscritto a questo forum, che però conosco da un po poiche fonte illimitata di idee e soluzioni!!!
vado subito al dunque credo di aver beccato un nuovo cool web search molto simile ad about:blank(anche esso presente nel mio pc ma che ancora non ho rimosso)lo chiamo //:count.cc ed e ancora piu ingombrante dell'altro perche questo mi compare quando cerco di scaricare la posta e mi provoca il blocco della pagina e a volte dell intero sistema.
ho effettuato una scansione con Hijackthis(programmma molto utile che prima non conoscevo sono fatto un po arretrato devo dire)e questo e il log
Logfile of HijackThis v1.99.1
Scan saved at 18.07.36, on 23/11/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\PROGRAMMI\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\DESKTOP\PROGRAMMI\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;192.168.1.1;*windowsupdate*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (disabled by BHODemon)
O2 - BHO: (no name) - {268AE465-09C0-44AA-8EB4-F89D43B81D56} - C:\WINDOWS\SYSTEM\LHEIF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Startup: C6 Messenger.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMMI\YAHOO!\COMMON\YHEXBMESIT.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMMI\YAHOO!\COMMON\YHEXBMESIT.DLL
O9 - Extra button: Alice - {441439E4-3C77-4B24-9918-C0F0D1B3A131} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O18 - Filter: text/html - {29B8FC47-5717-485E-A753-01703FFC0E5B} - C:\WINDOWS\SYSTEM\LHEIF.DLL
O18 - Filter: text/plain - {29B8FC47-5717-485E-A753-01703FFC0E5B} - C:\WINDOWS\SYSTEM\LHEIF.DLL

Prima di intervenire e creare danni irreversibbili vorrei il vostro parare le righe che a me sembrano sospette sono le seguenti:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O18 - Filter: text/html - {29B8FC47-5717-485E-A753-01703FFC0E5B} - C:\WINDOWS\SYSTEM\LHEIF.DLL
O18 - Filter: text/plain - {29B8FC47-5717-485E-A753-01703FFC0E5B} - C:\WINDOWS\SYSTEM\LHEIF.DL

ma ce ne sono altre che non mi convincono piu di tanto ma lascio questo a persone esperte piu di me quello che mi sembra piu probabile come creatore di count.cc(perche mai individuato nelle precedenti scansioni con spybot) è:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
e vorrei qualche consiglio su come procedere.
Se non chiedo troppo vorrei anche eliminare i vari collegamenti che da di norton ormai disinstallato dal mio pc.
Aggiungo inoltre che non sono riuscito a eliminare count.cc nè con spybot che con ad-aware.
Spero presto di ricevere vostre notizie a presto un saluto a tutta la comunità

da **crazy.cat** » gio nov 23, 2006 8:21 pm

Scansiona con questo dalla modalità provvisoria
http://www.trendmicro.com/ftp/products/ ... redder.exe

Poi riposta un log di hijackthis

da **crazy.cat** » ven nov 24, 2006 2:52 pm

Oltre alle righe sospette che hai già individuato tu, c'è anche questa
O2 - BHO: (no name) - {268AE465-09C0-44AA-8EB4-F89D43B81D56} - C:\WINDOWS\SYSTEM\LHEIF.DLL

Se non risolvi con il programma che ti avevo indicato il file da eliminare è questo LHEIF.DLL
Puoi usare Unlocker per cancellarlo, oppure dalla modalità provvisoria cerca di spostarlo e rinominarlo togli l'estensione al file.
Riavvii il pc e poi cancelli il file rinominato.

da **ares84** » ven nov 24, 2006 7:38 pm

ciao e grazie x il tempestivo intervento ho letto spesso tuoi interventi.
questo e il log dopo aver eseguto la scansione con cws shared e spjfix con la scansione mi dice che about:blank non e presente e ha trovato un solo csw il log pero e stato eseguito prima di essermi collegato

Logfile of HijackThis v1.99.1
Scan saved at 18.00.17, on 24/11/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\PROGRAMMI\WEBSHOTS\WEBSHOTSTRAY.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\WINDOWS\DESKTOP\PROGRAMMI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;192.168.1.1;*windowsupdate*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {268AE465-09C0-44AA-8EB4-F89D43B81D56} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe C:\WINDOWS\Pirelli.USB\CnxTrApp.dll,AppEntryA -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMMI\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Startup: C6 Messenger.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMMI\YAHOO!\COMMON\YHEXBMESIT.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMMI\YAHOO!\COMMON\YHEXBMESIT.DLL
O9 - Extra button: Alice - {441439E4-3C77-4B24-9918-C0F0D1B3A131} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

al momento sembra tutto ok non ho avuto problemi se non sbaglio il programma che consigli da installare come protezione e spywareblaster??
quella riga riga che dicevi tu sembra averla eliminata o meglio il file non la riga molte grazie x l aiuto mi sa che ci semtiremo presto perche ultimamente ho un nuovo problema ti anticipo che zone allarm mi da alcuni problemi mi setta in automatico il livello di sicurezza al minimo e non mi fa avviare programmi come msn mah vedro di smanettarci un po a presto ciao e ancora grazie

da **crazy.cat** » ven nov 24, 2006 7:48 pm

Spywareblaster serve per la prevenzione dalle infezioni.

Rifai la scansione con hijackthis e selezioni queste righe e poi premi fix.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll (disabled by BHODemon)
O2 - BHO: (no name) - {268AE465-09C0-44AA-8EB4-F89D43B81D56} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O4 - Startup: C6 Messenger.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

da **ares84** » ven nov 24, 2006 8:13 pm

fatto grazie mille sai dirmi che cosa è questo programma??
C:\WINDOWS\SYSTEM\TAPISRV.EXE
compare nel primo log e a volte mi si blocca

da **crazy.cat** » ven nov 24, 2006 8:22 pm

E' quello che gestisce la connessione telefonica in windows 98

Process File: tapisrv or tapisrv.exe
Process Name: Microsoft TAPI Service

Description:
Background service that provides Windows Telephony (TAPI) Support in Windows 98 and Windows NT 4. This program is important for the stable and secure running of your computer and should not be terminated.

da **ares84** » sab nov 25, 2006 6:27 pm

ok grazie tante per il momento sembra andare tutto bene a presto spero peò che non sia per qualche problema eheeeh ciao [8D]

www.MegaLab.it

nuovo cool web search mi serve una mano ad eliminarlo

nuovo cool web search mi serve una mano ad eliminarlo

Chi c’è in linea