MegaLab.it

Salve a tutti.
Ho un problemino con l'adware Ntsearch.
Norton lo rileva nei files che si trovano a questi percorsi

1. C:WINDOWSDownloaded Program FilesConflict.1sp.exe
2. C:WINDOWSDownloaded Program Files sp.exe

Spybot ed Ad-aware 6.0 aggiornati non lo rilevano.

Nelle chiavi di registro al HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
non c'è il valore che Symantec dice di cancellare, ovvero "sp"="<path to .exe file>"

Entrando nella cartella Downloaded Program Files (anche con i file nascosti resi visibili)
sembra non ci sia nulla.
In C:Documents and Settings c'è inoltre una cartella di nome Bill ineliminabile(poichè in uso) piuttosto strana.C'entra qualcosa con sp.exe?

Ho provato Regcleaner: nella lista degli startup non trova sp.exe.Comunque ho pulito nel registro i riferimenti a file inesistenti.
Ho provato "Security task manager" ma nei processi di Windows non vi è sp.exe


Devo usare HiJackThis e postare il log?
Devo cancellare la cartella Downloaded Program Files?

Grazie.

Si manda qui il log anche perché ci dovrebbe essere una dll particolare da eliminare e se non vedo il suo nome non ti posso guidare.
Benvenuto nel forum e aspetto tue notizie.

Ecco il log:

Logfile of HijackThis v1.98.2
Scan saved at 17.04.28, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSSystem32
vsvc32.exe
C:ProgrammiNorton AntiVirusSAVScan.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32carpserv.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiLogitechiTouchiTouch.exe
C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
C:ProgrammiMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiInternet Exploreriexplore.exe
C:WINDOWSSystem32wuauclt.exe
C:Documents and SettingsFedericaDocumentiFedericaHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.libero.it/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32NeroCheck.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [CARPService] carpserv.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [zBrowser Launcher] C:ProgrammiLogitechiTouchiTouch.exe
O4 - HKLM..Run: [EM_EXEC] C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
O4 - HKLM..Run: [MMTray] C:ProgrammiMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O17 - HKLMSystemCCSServicesTcpip..{33A82AA2-70C3-40B8-B4F8-CD02E19D24F5}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLMSystemCCSServicesTcpip..{C4A9DA30-CC0B-4FF6-9D6F-A5291051289C}: NameServer = 212.216.112.112

Grazie,ciao.

Usa il programma che consiglio in questa pagina
http://www.zanezane.net/articoli.asp?id=427
lo scarichi riparti in modalità provvisoria, elimini tutti i file temporanei di internet, fai la scansione con questo programma e poi rifai la scansione sempre dalla modalità provvisoria con Norton.
E vediamo se lo ritrova.
In effetti nel log che hai mandato non si vede niente di pericoloso.
Prima di cancellare cartelle a mano, vediamo cosa toglie la scansione.

Ho fatto la scansione con CWshredder.
Norton ha però rilevato ancora i files sp.exe nelle stesse cartelle di prima.

Prova a disabilitare il ripristino della configurazione di sistema, se hai win me dovrebbe essere questa la strada
Sistema-Prestazioni-File System-Avanzate-Disattiva Ripristino Configurazione di Sistema

Riavvii il pc e ritorni in modalità provvisoria, controlli in quella directory se vedi quel file sp.exe (se c'è lo cancelli), rifai la scansione con cwshredder, tutto quello che trovo mi dice che dovrebbe risolvertelo lui il problema.
Se non hai altri file in quella directory downloaded program cancellala.

Il ripristino della configurazione di sistema l'avevo già disabilitato fin dall'inizio, ma nella directory il files sp.exe non si è mai visto.
Il mio s.o. è windows XP.
In Downloades Program Files ci sono o meglio sono visibili i seguenti files(credo siano dei plug-in):
-Officeupdate installation engine
-Shockwawe Flash Object
-Update class(controllo activex)

Se cancello la cartella poi devo reinstallarli?Se sì come?

Grazie.

Non ho + avuto tue notizie.
Hai abbandonato la discussione?

Un po',non avevo più molte idee da suggerirti e poi ieri era ferragosto.
Non hai niente di quello che dovresti avere nelle posizioni dove dovrebbero essere,diventa un problema anche cercare di "guarirti" a distanza.
Qui due file sp.exe e Conflict.1sp.exe li hai cercati nel pc che non siano in qualche altra directory?
Proviamo anche con Bazooka che trovi in questa pagina e dovrebbe rimuovere quell'adware, ma ci sarebbe dovuto riuscire anche CWshredder
http://kephyr.com/spywarescanner/supportus.phtml

Non volevo rompere,spero tu abbia passato un buon ferragosto![:-D]
Dunque:
Sp.exe l'ho cercato anche altrove ma non risulta.
Con bazooka devo avviare la scansione sempre in modalità provvisoria,vero?

Grazie.

Non è che causa di tutto sia proprio il norton che ha un op' bevuto, e cercando di riparare il guaio ha fatto danni?????
Magari forse provare col buon vecchio panda on line può servire...(magari disattivando norton...)
http://www.pandasoftware.com/activescan ... ncipal.htm

Perdonami l'ignoranza, come disabilito Norton?

Prova sempre dalla modalità provvisoria, cerca se nel registro (start-esegui-regedit invio) ci sono voci relative a quei due file ed eliminale.
Mi assento per alcune ore (devo lavorare ogni tanto).

Ok,grazie.
Proverò a fare come dite.
Mi assento per qualche giorno (vacanza anche per me).
La settimana prossima vi aggiornerò sugli sviluppi.
Grazie mille per l'aiuto che finora mi avete dato!

A presto.

Ho cercato nel registro,ma non trovo nulla di quei file.
Ho fatto la scansione con bazooka.
Ha individuato 2 elementi.Per il momento non li ho disinstallati.
Ecco il log della scansione:

****************************************
Bazooka Scanner v1.13.02
http://www.kephyr.com/spywarescanner/
http://www.kephyr.com/spywarescanner/library/
support@kephyr.com
Log created 10:28:21.
OS: Windows NT 5.1
Database version: 2.300000
Database format version: 1.020000
Database date: 20040817
Current date: 2004-08-23 10:28


****************************************
Result when scanning:

KeenValue.Updater 643.000.001 %ProgramsDir%Common Filesupdater
C:ProgrammiCommon Filesupdater

http://www.kephyr.com/spywarescanner/li ... ndex.phtml

MS Media Player GUID 404.888.000
HKEY_CURRENT_USERSoftwareMicrosoftMediaPlayerPlayerSettingsClient ID
http://www.kephyr.com/spywarescanner/li ... ndex.phtml

****************************************
Auto start entries:
C:Documents and SettingsAll UsersMenu AvvioProgrammiEsecuzione automaticadesktop.ini
C:Documents and SettingsAll UsersMenu AvvioProgrammiEsecuzione automaticadesktop.ini
C:Documents and SettingsAdministratorMenu AvvioProgrammiEsecuzione automaticadesktop.ini
C:Documents and SettingsAdministratorMenu AvvioProgrammiEsecuzione automaticadesktop.ini

Go here to analyse the startup entries and the associated files:
http://www.kephyr.com/filedb/index.php

****************************************
Run entries:
NeroCheck C:WINDOWSSystem32NeroCheck.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunNeroCheck

NvCplDaemon RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunNvCplDaemon

nwiz nwiz.exe /install
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
wiz

CARPService carpserv.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunCARPService

ccApp "C:ProgrammiFile comuniSymantec SharedccApp.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunccApp

zBrowser Launcher C:ProgrammiLogitechiTouchiTouch.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunzBrowser Launcher

EM_EXEC C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunEM_EXEC

MMTray C:ProgrammiMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMMTray

MSConfig C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSConfig

CTFMON.EXE C:WINDOWSSystem32CTFMON.EXE
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunCTFMON.EXE


Go here to analyse the run entries and the associated files:
http://www.kephyr.com/filedb/index.php

****************************************
Browser helper objects:

SOFTWARE not set Error when opening a registry key, the key doesn't exist. Key: HKEY_CLASSES_ROOTCLSIDSOFTWAREInprocServer32

System error message: Impossibile trovare il file specificato.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper ObjectsSOFTWARE

{53707962-6F74-2D53-2644-206D7942484F} not set C:PROGRA~1SPYBOT~1SDHelper.dll
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{53707962-6F74-2D53-2644-206D7942484F}


****************************************
Toolbars:

{8E718888-423F-11D2-876E-00A0C9082467} C:WINDOWSSystem32msdxm.ocx
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{8E718888-423F-11D2-876E-00A0C9082467}


{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} C:ProgrammiNorton AntiVirusNavShExt.dll
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:WINDOWSSystem32rowseui.dll
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerToolbarShellBrowser{01E04581-4EEE-11D0-BFE9-00AA005B4383}

{01E04581-4EEE-11D0-BFE9-00AA005B4383} C:WINDOWSSystem32rowseui.dll
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerToolbarWebBrowser{01E04581-4EEE-11D0-BFE9-00AA005B4383}

{0E5CBF21-D15F-11D0-8301-00AA005B4383} C:WINDOWSsystem32SHELL32.dll
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerToolbarWebBrowser{0E5CBF21-D15F-11D0-8301-00AA005B4383}

{4D5C8C25-D075-11d0-B416-00C04FB90376} C:WINDOWSSystem32shdocvw.dll
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExplorer Bars{4D5C8C25-D075-11d0-B416-00C04FB90376}

{32683183-48a0-441b-a342-7c2a440a9478} C:WINDOWSSystem32rowseui.dll
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerExplorer Bars{32683183-48a0-441b-a342-7c2a440a9478}


****************************************

All processes:

[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
explorer.exe
spywarescanner.exe

Go here to analyse the running processes:
http://www.kephyr.com/filedb/index.php

****************************************
Internet Explorer Settings:

Default_Page_URL http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL

Default_Search_URL http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Search_URL

Local Page C:WINDOWSsystem32lank.htm
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainLocal Page

Search Page http://www.microsoft.com/isapi/redir.dl ... r=iesearch

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainSearch Page

Start Page http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page

SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchSearchAssistant

CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearchCustomizeSearch

http://
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix


www http://
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixeswww


****************************************

Da dos sono riuscita a vedere quei 2 files nelle directory
che Norton indicava.Li cancello da lì?
I risultati di Bazooka sono attinenti allo spyware Ntsearch o meno?
Grazie.

Hai provato regseeker

Per verificare se il tuo antivirus è impazzito prova lo scan online della symantec e vediamo cosa esce.
http://security.symantec.com/sscv6/defa ... &venid=sym

No,bazooka non ha trovato niente di quel spyware, cancella comunque questo valore.

KeenValue.Updater 643.000.001 %ProgramsDir%Common Filesupdater
C:ProgrammiCommon Filesupdater
http://www.kephyr.com/spywarescanner/li ... ndex.phtml

Non ho più molte idee.

Ok grazie,lo cancellerò.
Ti informo che da DOS ho cancellato i file sp.exe e con Regcleaner i riferimenti della chiavi a file inesistenti.Tutto ok.

Rimane però in Documents and Settings, accanto alle cartelle degli utenti, anche una cartella di nome BILL, da me mai creata.
Questa è impossibile da aprire e da eliminare(nè da modalità provvisoria, nè da DOS), alla scansione di Norton sembrerebbe vuota,ma a quella di Ad-aware risulta essere piena di Cookie, Temporary Internet files, e Preferiti.
Dopo aver provato a navigare in internet ho fatto una scansione con Ad-aware che ha trovato spyware proprio in questa cartella
C:Documents and SettingsBillCookiesill@overture[1].txt
C:Documents and SettingsBillCookiesill@tradedoubler[1].txt
C:Documents and SettingsBillCookiesill@cgi-bin[1].txt

Secondo la tua esperienza BILL potrebbe essere collegata all'adware NTSEARCH che ho appena rimosso oppure si tratta di tutt'altro?
Grazie,

Non dovrebbero essere collegati, dovrebbe solo mostrarti dei popup quando ti colleghi ad internet.
Adware.Ntsearch is an adware program that displays pop-up windows that contain advertisements when you browse the Internet.

(se vai su goole e inserisci Adware Ntsearch come ricerca prima viene fuori la symantec e poi questa discussione.)

Gurda se nel pannello di controllo--frà gli utenti e password-- ne hai uno che si chiama bill , se i tuoi documenti sono al sicuro da un altra parte puoi provare ad eliminare bill , creato magari da chissa quale programma o virus