Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

exsplorer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

exsplorer

Postdi sgrunty » 28/01/06 22:09

Ciao,
ho seguito i passi indicati per rimuovere il virus ma c'è ancora.
Mi collego e parte una connessione chiamata "connessione predefinita" in automatico. Sul desktop appare l'icona di exsplorer e si apre una finestra "internet private zone" che mi dice che mi posso collegare ad un costo alto se clicco SI. Se clicco NO comunque pago. Chiudo tutto e mi collego con libero. La pagina di explorer che si apre di default è o di un sito porno oppure di sfondi del desktop.
Ho scaricato Hijack da pc-facile e questa è la videata che appare:

Logfile of HijackThis v1.99.1
Scan saved at 21.59.18, on 28/01/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMI\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\MIOENGINE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.4000.1001\IT\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAMMI\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMMI\MSN APPS\MSN TOOLBAR\01.02.4000.1001\IT\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_1.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [ICW] C:\PROGRAMMI\TELEFONOLIBERO\TELEFONOLIBERO.EXE
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [ICW] C:\PROGRAMMI\TELEFONOLIBERO\TELEFONOLIBERO.EXE
O4 - Startup: My 190.it.lnk = C:\WINDOWS\Application Data\mioObjects\[objects]\69GWEU9386MTAR08.mio
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMMI\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMMI\YAHOO!\MESSENGER\YPAGER.EXE
O12 - Plugin for .it/didattica/info/dida002/ecoteramb/pianoambiente03: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


Se elimino i tre 015 e riavvio il pc mi ritrovo di nuovo tutto.
Cosa posso fare?
Grazie.
sgrunty
Newbie
 
Post: 9
Iscritto il: 28/01/06 21:58

Sponsor
 

Postdi Luke57 » 28/01/06 22:57

Ciao, fai così Ciao, scarica Killsgrunt da qui: http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
Sul desktop
Scarica deldomains da qui
http://www.mvps.org/winhelp2002/restricted.htm
scompatti il file zip e metti il file .inf sul desktop
Avvii in modalità provvisoria (Istruzioni: avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio )
Lanci killsgrunt
Lanci deldomains clicchi col tasto dx sul file .inf e scegli installa
Avvii hijackthis, clicchi “do a system scan only”, cerchi e metti la spunta alle seguenti voci:
C:\WINDOWS\SYSTEM\SYSMON.EXE
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAMMI\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
Tutte le voci 015
Premi “fixchecked”
Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK., cerchi ed elimini i seguenti file ( se ci sono):
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
Elimina tutti I file temporanei di windows (Vai su Start\Cerca o Trova e copia-incolla:
*.bak;*.tmp;*.tmp; *.wbk ed elimina tutto quello che trova)
Cancella anche i file temporanei di IE, cookies, cronologia, svuota il cestino. Su pannello di controllo, installazioni\applicazioni, rimuovi tutti i programmi, se ci sono, non installati da te.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgrunty » 29/01/06 10:50

Grazie, ho fatto tutto e non c'è più.
Quando ho avviato hijack in modalità provvisoria non ho più trovato queste voci:
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
Tutte le voci 015


e non sono riuscita ad eliminare dai file temporanei hcdata

E' un problema?

In ogni caso, avviando il pc, ora non compare più l'icona exsplorer e non parte il collegamento con "connessione predefinita".

Ciao.
sgrunty
Newbie
 
Post: 9
Iscritto il: 28/01/06 21:58

Postdi Luke57 » 29/01/06 12:14

Ciao, fai girare hijackthis in modalità normale e verifica nel log se le voci indicate, comprese le 015, siano effettivamente sparite. Se lo sono fai così:
Portati in : C:\WINDOWS
con il blocco note apri il file HOSTS (senza estensione) [all'interno del file, se tutto è o.k. , la dicitura finale che trovi dovrebbe essere questa
127.0.0.1 localhost]
ed in fondo aggiungi
127.0.0.1 http://www.redfunny.com
127.0.0.1 http://www.archiviosex.net
127.0.0.1 http://www.skymasters.biz
Salva il file ed impostalo "A sola Lettura" (tasto destro > Proprietà)
In questo moo, il file è reso inaccessibile ai tre siti suddetti.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi sgrunty » 29/01/06 16:44

Ho fatto tutto! Grazie mille Luke57 per la spiegazione più che mai accurata :)

Ciao ciao.
sgrunty
Newbie
 
Post: 9
Iscritto il: 28/01/06 21:58


Torna a Sicurezza e Privacy


Topic correlati a "exsplorer":

exsplorer
Autore: fra5000
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti