rimozione cartella Downloaded program files

[sonar]

Salve a tutti!
A causa della difficoltà a rimuovere un eseguibile chiamato sp.exe
collegato all'adware ntsearch (ho provato veramente di tutto e questo adware non viene mai beccato),in quanto rilevato da norton essere presente nella cartella "downloaded program files", posso cancellare la cartella e tutto il suo contenuto?
Essa contiene i files
-Office update installation engine
-Shockwawe Flash Object
-Update class(controllo activex)

Se questi si possono rimuovere come si fa la eventuale reinstallazione?
Grazie

[dado]

Ciao.
Mai hai provato a far pulizia direttamente con programmi apposta x la rimozione degli spyware come AdAware e SpyBot? Li trovi nella nostra sezione download.

Cmq, quando hai dei problemi contro gli spyware, c'è già un topic apposta su qs forum che spiega tutto x bene.

[sonar]

Dunque ti spiego cosa è successo:
Norton rileva l'adware Ntsearch nei files che si trovano a questi percorsi

1. C:WINDOWS\Downloaded Program Files\Conflict.1\sp.exe
2. C:WINDOWS\Downloaded Program Files \sp.exe

Spybot ed Ad-aware 6.0 aggiornati non lo rilevano.

Ho disabilitato il ripristino della conf. di sistema.(il sistema operativo è windows xp)
Nelle chiavi di registro al HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
non c'è il valore che Symantec dice di cancellare, ovvero "sp"="<path to .exe file>"

Entrando nella cartella Downloaded Program Files (anche con i file nascosti resi visibili)sp.exe non c'è.
In C:Documents and Settings c'è inoltre una cartella di nome Bill ineliminabile(poichè in uso) piuttosto strana.C'entra qualcosa con sp.exe?

Ho provato Regcleaner: nella lista degli startup non trova sp.exe.Comunque ho pulito nel registro i riferimenti a file inesistenti.
Ho provato "Security task manager" ma nei processi di Windows non vi è sp.exe

Il log di HijackThis è il seguente:
Logfile of HijackThis v1.98.2
Scan saved at 17.04.28, on 14/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiFile comuniSymantec SharedccSetMgr.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniMicrosoft SharedVS7DEBUGMDM.EXE
C:ProgrammiNorton AntiVirus\navapsvc.exe
C:WINDOWSSystem32\nvsvc32.exe
C:ProgrammiNorton AntiVirusSAVScan.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32carpserv.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiLogitechiTouchiTouch.exe
C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
C:ProgrammiMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:WINDOWSSystem32ctfmon.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiInternet Exploreriexplore.exe
C:WINDOWSSystem32wuauclt.exe
C:Documents and SettingsFedericaDocumentiFedericaHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.libero.it/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [CARPService] carpserv.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [zBrowser Launcher] C:ProgrammiLogitechiTouchiTouch.exe
O4 - HKLM..Run: [EM_EXEC] C:PROGRA~1LogitechMOUSEW~1SYSTEMEM_EXEC.EXE
O4 - HKLM..Run: [MMTray] C:ProgrammiMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O17 - HKLMSystemCCSServicesTcpip..{33A82AA2-70C3-40B8-B4F8-CD02E19D24F5}: NameServer = 193.70.152.25 193.70.192.25
O17 - HKLMSystemCCSServicesTcpip..{C4A9DA30-CC0B-4FF6-9D6F-A5291051289C}: NameServer = 212.216.112.112

Ho eliminato i files temporanei ,fatto inoltre una scansione in modalità provvisoria con CWSHREDDER, norton ,spybot ed ad-aware.
Non so + cosa provare.
Dovrei eliminare la cartella Downloaded program files?
Essa contiene i files
-Office update installation engine
-Shockwawe Flash Object
-Update class(controllo activex)

[Dylan666]

Entrando nella cartella Downloaded Program Files (anche con i file nascosti resi visibili)sp.exe non c'è.

Se ne è già parlato di casi analoghi, la prossima volta Cerca PRIMA di postare!:

http://www.pc-facile.com/forum/viewtopi ... gram+files

http://www.pc-facile.com/forum/viewtopi ... gram+files

Quella cartella non è fatta per ospitare gli EXE quindi al 100% è un software "cattivo". Eliminalo da DOS e cancellane i riferimenti del reigistro (magari tieniti una copia di tutto per sicurezza)

[sonar]

Proverò a vedere gli esempi dei 2 link.
Non appena ho novità ti faccio sapere.

[sonar]

Ciao, rieccomi.
Ho letto i 2 casi analoghi che mi hai indicato.
Da DOS vedo i 2 files(sp.exe) nelle directory che mi indicava Norton.
Ecco il risultato
Directory di C:\WINDOWS\Downloaded Program Files\CONFLICT.1

30/07/2004 13.38 <DIR> .
30/07/2004 13.38 <DIR> ..
24/07/2004 17.32 89.088 sp.exe
1 File 89.088 byte
2 Directory 74.147.069.952 byte disponibili


Directory di C:\WINDOWS\Downloaded Program Files

30/07/2004 13.38 <DIR> CONFLICT.1
14/10/1997 19.52 697 DirectAnimation Java Classes.osd
25/08/2003 19.12 1.096 iuctl.inf

20/01/2000 16.25 1.162 Microsoft XML Parser for Java.osd
22/08/2003 22.10 226 opuc.inf
24/07/2004 17.32 89.088 sp.exe
04/09/2003 15.14 3.759 swflash.inf
6 File 96.028 byte
1 Directory 74.147.065.856 byte disponibili

Ora li posso salvare du floppy e cancellare da DOS come dicevi?

[sonar]

Ho cancellato i file sp.exe da DOS e cancellato con Regcleaner i riferimenti della chiavi a file inesistenti.Tutto ok.
Rimane però in Documents and Settings, accanto alle cartelle degli utenti, anche una cartella di nome BILL, da me mai creata.
Questa è impossibile da aprire e da eliminare(nè da modalità provvisoria, nè da DOS), alla scansione di Norton sembrerebbe vuota,ma a quella di Ad-aware risulta essere piena di Cookie, Temporary Internet files, e Preferiti.
Dopo aver provato a navigare in internet ho fatto una scansione con Ad-aware che ha trovato spyware proprio in questa cartella
C:\Documents and Settings\Bill\Cookies\bill@overture[1].txt
C:\Documents and Settings\Bill\Cookies\bill@tradedoubler[1].txt
C:\Documents and Settings\Bill\Cookies\bill@cgi-bin[1].txt

Secondo te BILL potrebbe essere collegata ancora all'adware NTSEARCH che ho appena rimosso oppure si tratta di un' altra cosa?

[Dylan666]

Sembrerebbe una normale cartella di XP.
Leggi dove dice Microsoft's Super Hidden Files:

http://www.freerepublic.com/focus/f-chat/826788/posts

[Sergio1983]

Secondo te BILL potrebbe essere collegata ancora all'adware NTSEARCH che ho appena rimosso oppure si tratta di un' altra cosa?

Bill è per caso il nome della tua utenza XP? Se così fosse, sarebbe regolare; cancellare quella directory significherebbe perdere tutti i tuoi documenti e file più importanti!

[Joseuan]

Innanzi tutto buon pomeriggio a tutti voi. (per me non lo è più)...
Sono venuto a conoscenza del vostro forum facendo una ricerca sulllo spyware Ntsearch.
Ho già letto i vostri post al rigurado...ma non essendo un genio del pc, ma un comune grafico pubblicitario faccio un po' di difficoltà a seguirvi.
Vorrei se possibile che qualcuno di voi mi aiutasse passo passo..ve ne sarei immensamente grato..
Credo di avere questo spy, premetto che non sono molto a conoscenza degli stessi e delle loro potenzialità..
andiamo a noi....il mio pc è protetto dal norton....non ha rilevato virus...ho installato adware adesso, prelevato da qui....ho regcleaner...ed ho beccato sp.exe negli start up...eliminato...ma nellacartella c: è rimasto e non lo rimuove , dice che è in uso. Poi, se userete, aimè termini tecnici e linguaggi asganaueps credo che saro' un po' deficente nel seguirvi...cercate di venirmi in contro pleaseeee aiuto!
I problemi che ho riscontrato sono:
apertura di pop up e relativa pagina di http://www.ntsearch.com...con ulteriori pop e interruzione per script pericoloso da parte di Norton....poi noto che il browser refresha la pagina subito dopo averla caricata, e cosa pi' assurda...tutto ciò che di testuale in una pagina html è :"web....search....design....calcio...sport..." mi risulta lincata ad ntsearch...
insomma questo è quanto!!! spero di essere stato chiaro....aiutatemi vi prego...è importate che riesca a ripristinare il pc al pu' presto!
GRAZIE INFINITAMENTE a tutti già da adesso.
Peppe

[Dylan666]

http://www.pc-facile.com/guide.php?t=111274

[Joseuan]

allora mettiamola cosi'.....ho installato adware e mi ha trovato 15 famiglie e 430 e rotti file....ma non so' come procedere...che devo fare?

[Dylan666]

Li selezioni tutti e glieli fai eliminare... che altro vuoi fare?

[Joseuan]

li ha messi in quarantena.......

[Dylan666]

se i sintomi sono spariti... amen!