MegaLab.it

Ciao, ho un problema con il dialer WinMoviePlugin, ho seguito le istruzioni per cancellarlo manualmente, ma non riesco ad individuare tutte le voci che si riferiscono al programmaquesto è l'elenco, per favore aiutatemi:

Logfile of HijackThis v1.99.1
Scan saved at 10.23.13, on 09/05/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\WZF49B\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?301
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://the-exit.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://the-exit.com/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://the-exit.com/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://the-exit.com/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [CHotKey] mk9900.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\spoolsvc.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: HduSmart.lnk = C:\HDUSMART\HDUSMART.EXE
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Riepilogo Scadenzario.LNK = C:\Programmi\Scadenzario\AutoExecScadenze.exe
O4 - Startup: Symantec Setup Launcher.lnk = C:\WINDOWS\TEMP\SymLnch.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.sgrunt.biz
O16 - DPF: {131EB16C-BD58-443F-8151-6DFBB0DA1778} (Anark Client 3.0 ActiveX Control) - http://install.anark.com/client/version ... Client.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} (AnarkClient Class) - http://install.anark.com/client/version ... Client.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 151.99.125.2,151.99.125.3

Ciao, Magma

Il primo consiglio è di buttare norton e passare ad un antivirus più serio.
http://www.MegaLab.it/2501

Fai una scansione dalla modalità provvisoria seguendo queste istruzioni
http://www.MegaLab.it/2333

Rifai la scansione con hijackthis e metti il flag su queste righe e premi fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?301
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://the-exit.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://the-exit.com/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://the-exit.com/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://the-exit.com/search
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\spoolsvc.exe
O4 - Startup: Symantec Setup Launcher.lnk = C:\WINDOWS\TEMP\SymLnch.exe
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.sgrunt.biz

Controlla che spariscano i file exe indicati qui sopra, se sono ancora presenti usa questo programma
http://www.MegaLab.it/2427
per eliminarli.

Il file exe che è il vero winmovie plugin non lo vedo nel log (anche se potrebbe essere questo C:\WINDOWS\SYSTEM\spoolsvc.exe), guardando nelle proprietà del collegamento delle icone che hai sul desktop devi riuscire a capire di quale file si tratta.
Nell'articolo è spiegato come fare
http://www.MegaLab.it/2454

perché non aggiorni internet explorer alla versione 6 sp1?
http://www.rolbox.it/download/Explorer/ ... 0sp1it.zip
Già navigare con windows 98 è pericoloso, se non è neanche aggiornato è ancora peggio.

Grazie per la solerzia crazy.cat,
il nome del file è AUTO_299_N.exe e me lo indica in c:/windows/dowloaded program files/conflic.1, ma questa cartella non c'è in dowloaded program files.
non so come fare.

Io per fare pulizia nel registro di sistema e cancellare tutte le tracce lasciate da programmi che ho disinstallato utilizzo RegSeeker, funziona bene!!!
Anche io nn utilizzo più norton, come antivirus ora ho installato Avast è sembra abbastanza stabile!!

Baci8

magma ha scritto:Grazie per la solerzia crazy.cat,
il nome del file è AUTO_299_N.exe e me lo indica in c:/windows/dowloaded program files/conflic.1, ma questa cartella non c'è in dowloaded program files.
non so come fare.

Hai abilitato la visione dei file nascosti e di sistema?

Prova ad andare a vedere in quella cartella con i Gestione risorse di Nero burning o Winrar di solito vedono quelle cartelle in modo diverso, oppure ci puoi arrivare partendo con un floppy di boot dos.

Ho abilitato la visione dei files nascosti ma in dowloaded program files non mi fa vedere alcuna cartella.
come posso fare? io non ho nè Nero burning nè Winrar.
aiutami, grazie, Magma

Prova con questo sw
http://www.tgsoft.it/files/vnlt6081.exe
in un altro forum ho visto che ha trovato e rimosso il tuo stesso problema.
Lo installi e lo aggiorni poi fai la scansione.

Crazy.cat sei un grande !!!
sono riuscito a debellare il dialer con il programma che mi hai indicato con l'ultimo messaggio.
con HijackThis riuscivo a cancellare spoolsvc.exe, ma questo si riformava perché non veniva cancellato Auto_299_N.exe che si trovava in una sottocartella di Downloaded program files.
l'antivirus che mi hai fatto scaricare, invece, lo ha rimosso subito.
Ti ringrazio, senza di te non so proprio come avrei potuto fare.
Parlerò del vostro sito con più gente mi sarà possibile.
Grazie di nuovo e a buon rendere

occhio per occhio e .... il mondo diventa cieco.

Grazie per averci dato il riscontro del funzionamento di Virit, ne terrò contro per i prossimi problemi che arriveranno.