Elitum.EliteBar spyware! AIUTO!!!!

Pubblicità

FabioG80

Nuovo Utente
Messaggi
7
Reazioni
0
Punteggio
24
Si è installata la Elite Bar... dopo averla rimossa continuano ad aprirsi dei noiosissimi popup. Adaware trova le chiavi di registro ecc , li cancella ma dopo un po' si rigenerano da soli (lo stesso x spybot). Questo è il file di log fatto con HijackThis, dopo aver usatoAdaware.
Aiutatemi! Ditemi cosa fare (sono molto inesperto, siate chiari e semplici...)
Grazie! :confused: :muro:


Logfile of HijackThis v1.99.0
Scan saved at 18:25:27, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\svchst.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\HijackThis\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.europe.yahoo.com/config/mail?.intl=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programmi\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\svchst.exe /i
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteggf32.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 
Prima di tutto aggiorna ad-aware e spybot, riavvia in modalità provvisoria e fai la scansione da li.

Per il log di hijackThis leggi qui ...
 
Già fatto tutto.... ho anche cercato di cancellare le cose che la pagina di HijackThis dava per non sicuro, si cancellano tutti tranne uno, che riappare alla scansione successiva (eliteggs32.exe).... Non so più che fare!!!
Aiuto!!
 
ciao

hai controllato con Msconfig nella lista di avvio se c'e' qualcosa che non ti quadra?

come altra cosa puoi (visto che ti e' successo oggi) fare una semplice ricerca con windows di tutti i file(usando l'asterisco nel campo "nome file") con data creazione 09/02/05(oggi)...armarti di pazienza e scovare man mano il file criminale :D che blocca la cancellazione di eliteggf32.exe ...sicuro che quest'ultimo non sia impostato in sola lettura(tasto destro sul file > opzioni)?
 
Ultima modifica:
noto adesso un particolare...
ma il file si chiama eliteggf32.exe o eliteggS32.exe
perche' nella lista che hai pubblicato prima si trova questo:
O4 - HKLM\..\Run: [antiware] C:\windows\system32\eliteggf32.exe

ma poco fa lo hai nominato come eliteggs32.exe

se sono due file differenti ,direi che sono strettamente correlati...

ciao
 
no, ho sbagliato a scrivere...è giusto quello che dici tu. Ma la cosa strana è che il file non lo trovo nel pc!! Me lo trova HijackThis, am se faccio "Cerca", in windows non lo trovo...
Non è successo oggi, cmq, e in più non è il mio pc ma di un'amica...

Proverò ancora.
Grazie
 
hai controllato nel menu Strumenti >Opzione cartella> che le due opzioni segnate dalle frecce in figura siano settate in quella maniera(quindi deselezionati),in modo da mostrare tutti i file?comunque cerca bene sulla cartella system32 e' facile confondersi e non individuare i files...
 
Ok, ho tolto il "visto" dal file bas***do nello startup in Msconfig e credo di averlo eliminato ora! Ma ora come faccio a eliminare la voce dallo startup? Altrimenti ogni volta che avvio windows mi dice che è in avvio selettivo...! Grazie mille!
 
ok,
attento che il file lo hai ancora nel pc semplicemente in quella maniera hai fatto in modo che all'avvio non parta...percio' devi comunque trovarlo ed eliminarlo...riprova con HijackThis adesso che non e' attivo riuscira' probabilmente a farlo fuori....

per togliere la voce dallo startup devi cercare il nome del file,che leggi nella lista statup,nel registro di sistema(Start>esegui>regedit).... ed eliminare le voci che trovi che hanno quel nome..attento che e' una manovra delicata..prima di eliminare qualcosa assicurati che sia veramente cio che cerchi...usa la funzione Trova(su modifica) e per avanzare con la ricerca il tasto F3(sara' un po lungo)...

se serve una mano fai un fischio :)
ciao

Ps:hai ricontrollato nella cartella System32 se c'e' il file?cosi' lo elimini manualmente e sei apposto..
 
Fatto!! Ora HijackThis l'ha rimosso! Poi ho scaricato il software RegCleaner e mi ha eliminato le chiavi di registro ecc...! Ora sono a posto!
La mia amica (è suo il pc) ringrazia! ;)
Ciao
 
Pubblicità
Pubblicità
Indietro
Top