www.MegaLab.it

[emiman]

Un caro saluto a tutti, esendo la prima volta che scrivo.

Da due giorni ho alcuni problemi sul mio computer.
- all'accensione, esce il messaggio WINNT/System32/bridge.dll
- molte pagine di internet (non tutte) escono per pochi secondi, poi spariscono.
- altre, non posso neppure caricarle (la vostra, ad esempio, non riuscivo a digitarla e ho dovuto chiamarla con i nomi in memoria da ieri)
- infine, mi esce (non richiesto, e prima non c'era) una agina di Libero (bianca, non pubblicitaria).

Sono totalmente novizio, e visitando il vostro sito (trovato con Google cercando di risolvere System/bridge) ho deciso di scricare HiJiack This, che ha funzionato subito eliminando il messaggio iniziale.
Ma ho tuttora tutti gli altri problemi. Norton non segnala virus presenti.
Seguendo il vostro consiglio, non posso fare altro che mandarvi lo scan di HiJack, e chiedervi istruzioni su cosa cancellare e cosa no.
Temo infatti di eliminare righe sbagliate.
Grazie per l'aiuto che vorete darmi!!
Emilio

Logfile of HijackThis v1.98.0
Scan saved at 23.15.26, on 02/08/2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINNTSystem32svchost.exe
C:ProgrammiKerioPersonal Firewall 4kpf4ss.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:ProgrammiKerioPersonal Firewall 4kpf4gui.exe
C:WINNTExplorer.exe
C:ProgrammiKerioPersonal Firewall 4kpf4gui.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiWinampwinampa.exe
C:WINNTSystem32kxonmu.exe
C:WINNTSystem32internat.exe
C:sp.exe
C:ProgrammiWinZipWZQKPICK.EXE
C:ProgrammiInternet ExplorerIEXPLORE.EXE
C:ProgrammiWinampWinamp.exe
C:ProgrammiAdobeAcrobat 5.0ReaderAcroRd32.exe
C:PROGRA~1WINZIPwinzip32.exe
C:Documents and SettingsUtente MSImpostazioni localiTempHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.libero.it
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = http://www.google.it/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:WINNT
em219.dll (file missing)
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:WINNTmxTarget.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:ProgrammiSideFindsfbho.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [hpfsched] C:WINNThpfsched.exe
O4 - HKLM..Run: [NeroCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe
O4 - HKLM..Run: [RunDLL] rundll32.exe "C:WINNTSystem32ridge.dll",Load
O4 - HKLM..Run: [rrvhxatuif] C:WINNTSystem32kxonmu.exe
O4 - HKLM..Run: [IST Service] C:ProgrammiISTsvcistsvc.exe
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - HKCU..Run: [sp] C:sp.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:ProgrammiWinZipWZQKPICK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:ProgrammiSideFindsidefind.dll (file missing)
O12 - Plugin for .mov: C:ProgrammiInternet ExplorerPLUGINS
pqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLMSystemCCSServicesTcpip..{CE1C7117-F408-413B-B7C1-C120D3ADFBE8}: NameServer = 193.70.192.25 193.70.152.25

[crazy.cat]

Intanto benvenuto nel forum,un consiglio subito,cambia antivirus, norton è frà i più pesanti ed inefficaci antivirus, sopratutto con i trojan virus.

Queste voci le puoi eliminare,rifai la scansione e metti il flag su quelle che ti indico e poi premi fix,cancella anche tutti i cookies e i file temporaney di internet
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:WINNT
em219.dll (file missing)
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:WINNTmxTarget.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:ProgrammiSideFindsfbho.dll (file missing)
O4 - HKLM..Run: [RunDLL] rundll32.exe "C:WINNTSystem32ridge.dll",Load
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -C:ProgrammiSideFindsidefind.dll (file missing)
O4 - HKLM..Run: [NeroCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinampwinampa.exe

La prima di queste voci è dubbia,dovrebbe essere uno spy,le altre due non ho trovato notizie
O4 - HKCU..Run: [sp] C:sp.exe
O4 - HKLM..Run: [rrvhxatuif] C:WINNTSystem32kxonmu.exe
O4 - HKLM..Run: [IST Service] C:ProgrammiISTsvcistsvc.exe

Proprio perché hai il norton ti direi di seguire queste istruzioni e di farti un bel scan dal dos (potrebbe rivelarti molte "sorprese")
http://www.zanezane.net/articoli.asp?id=187

Naturalmente fai una bella pulizia con Adware o Spybot search & destroy che non fà mai male.
Alla fine di tutte le pulizie rifai il controllo con hijackthis e facci sapere come và.

[emiman]

Cari amici,
vi ringrazio per la cortese risposta.
Temo comunque che dovrete avere un po' di pazienza...

Ho svolto le istruzioni come segue:
- ho messo il flag e fissato tutte le voci suggerite, comprese le tre "sospette".
- ho cancellato tutti i cookies.
- non sono riuscito a trovare i "Temporary Internet Files": so di averli, da qualche parte, ma neppure con "Trova" sono emersi dalle nebbie del mio computer....
- ho lanciato la scansione con Norton (però dall'icona normale: cosa vuol dire dal DOS?). Dopo 25' mi ha informato che non ci sono virus di nessun tipo!!
- ho fatto la scansione con ADWare: eliminati 4 files con virus ed eliminati tutti quelli precedentemente messi in quarantena.

Dopo di che ho provato a navigare, per scoprire che.. è tutto come prima:

- Le finestre di Libero non escono in effetti più (ma ho navigato poco..
- Continuano a sparire le videate dei siti dopo pochi secondi (e segnala ancora operazione completata).
- Altri siti non possono essere caricati (anche il vostro, lo confermo, ho potuto caricarlo solo grazie all'indirizzo contenuto nel vostro messaggio di avviso cambio sito, e non per "digitazione"

Sono un caso grave?
Cosa si può fare adesso?
Grazie di nuovo per i votri consigli!!!
Ciao,
Emilio

Allego nuovo scn con Hijack:

Logfile of HijackThis v1.98.0
Scan saved at 23.58.33, on 03/08/2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINNTSystem32svchost.exe
C:ProgrammiKerioPersonal Firewall 4kpf4ss.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:ProgrammiKerioPersonal Firewall 4kpf4gui.exe
C:WINNTExplorer.exe
C:ProgrammiKerioPersonal Firewall 4kpf4gui.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiWinampwinampa.exe
C:WINNTSystem32kxonmu.exe
C:WINNTSystem32internat.exe
C:sp.exe
C:ProgrammiWinZipWZQKPICK.EXE
C:ProgrammiInternet ExplorerIEXPLORE.EXE
C:ProgrammiOutlook Expressmsimn.exe
C:PROGRA~1WINZIPwinzip32.exe
C:Documents and SettingsUtente MSImpostazioni localiTempHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.it/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.libero.it
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = http://www.google.it/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [hpfsched] C:WINNThpfsched.exe
O4 - HKLM..Run: [fvyluj] C:WINNTSystem32kxonmu.exe
O4 - HKCU..Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:ProgrammiWinZipWZQKPICK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O12 - Plugin for .mov: C:ProgrammiInternet ExplorerPLUGINS
pqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLMSystemCCSServicesTcpip..{CE1C7117-F408-413B-B7C1-C120D3ADFBE8}: NameServer = 193.70.152.25 193.70.192.25

[crazy.cat]

Le istruzioni in questa pagina
http://www.zanezane.net/articoli.asp?id=187
ti permattono di farti un cd di boot o una serie di floppy per farti una scansione dal dos (con il cd o i floppy) in modo da fare un controllo più accurato dei virus.
Se vedi,nonostante dici di averle cancellate,queste due voci
O4 - HKLM..Run: [fvyluj] C:WINNTSystem32kxonmu.exe
C:sp.exe
sono risaltate fuori,quindi il colpevole dei tuoi problemi direi che sono loro.
Per i files temporanei fai tasto dx sull'icona di internet--Proprietà--elimina file-- e metti il flag su elimina tutto il contenuto non in linea e poi premi Ok.

[emiman]

Carissimi consiglieri e guide in un mondo sconosciuto,
Ho letto ed attuato i vostri suggerimenti, procedendo come segue:

- ottenuta eliminazione dei temporanei, seguendo le istruzioni.
- Ho ricancellato le due voci, che ad una successiva accensione del PC non appaiono più.
- Ho tentato l’avventura del controllo accurato, leggendo le istruzioni nell'articolo ed agendo come segue. Naturalmente ho sbagliato qualcosa, perché si intoppa.
Ho inizialmente creato una nuova directory, Update Antivirus, in cui ho scaricato e salvato McAfee Cleanboot. Sono riuscito, penso per caso, a scompattare il file che mi si presenta senza il file Clnbtmgr.exe che dovrei usare. Ho provato a digitare il comando da Esegui, senza esito. Ho provato a lanciare l’applicazione sdat4383, ma non si apre perché esce un messaggio "Imopssibile trovare alcuno dei prodotti richiesti" e da lì si può solo uscire.

Quindi, sono di nuovo incastrato…..
Come posso proseguire?

Grazie e ciao,

Emilio

[crazy.cat]

"C:Update AntivirussdatXXXX.exe" /e
non hai inserito nel comando l'opzione /e per quello hai il messaggio che non trova alcuni prodotti.

Il cleanboot che scarichi,lo devi poi installare lanciando il file
CLEANBT.MSI e dopo che lo installato in una directory trovi il Clnbtmgr.exe che ti serve.