Problema con master69: cosa rimuovere con hijack?

[allegria256]

Ciao a tutti.
Anche io, come tanti, su uno dei Pc mi sono preso sto maledettissimo sgrunt o come diavoli si chiama.
Ho seguito tutte le informazioni che avete postato, tuttavia il log del software hijack (restituitomi dopo aver fatto una scansione in modalità normale) è differente da altri, e non so quindi cosa eliminare. Ve lo posto:

Logfile of HijackThis v1.99.1
Scan saved at 9.31.07, on 01/07/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\COMMON FILES\SEARCHUPGRADER\SEARCHUPGRADER.EXE
C:\WINDOWS\SYSTEM\ITDDD.EXE
C:\WINDOWS\SYSTEM\ITDG.EXE
C:\PROGRAMMI\POWERQUEST\DATAKEEPER\DATAKEEPER.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\1040\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTO_2015_N.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\itDDD.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DataKeeper.lnk = C:\Programmi\PowerQuest\DataKeeper\DataKeeper.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: MktBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\PROGRAMMI\MARKETBROWSER\LMT\MarketBrowser_Launc h.xpy
O9 - Extra 'Tools' menuitem: MarketBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\PROGRAMMI\MARKETBROWSER\LMT\MarketBrowser_Launc h.xpy
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.linkautomatici.com
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 97\AcPreview.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 97\AcDcToday.ocx
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred Control) - file://C:\Programmi\AutoCAD LT 97\InstFred.ocx
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606703.exe



Immagino che sia da togliere il collegamento ai siti redfunny, skymasters etc.. e immagino anche IDDD.exe . Ma altro?

Vi ringrazio sin d'ora.

[antares11]

attaccati a www.hijackthis.de e fai analizzare il tuo log (fai un copia/incolla): immediatamente ti dice cosa fixare e naturalmente in ... allegria

[allegria256]

Originariamente inviato da antares11
attaccati a www.hijackthis.de e fai analizzare il tuo log (fai un copia/incolla): immediatamente ti dice cosa fixare e naturalmente in ... allegria

Tnx ora provo.

Cmq ...c'è poco da stare in allegria con sto spyware

[allegria256]

Ps.: mi ha detto di cancellare anche mybar.dll...IO non ho mai letto che per eliminare sto sgrunt bisognasse cancellare un file del genere ...Siamo sicuri che non cancello qualcosa di utile?

[allegria256]

mmmmmmmm ma qui c'è qualcosa che non quadra;
come è possibile che quel sito mi abbiad etto di eliminare:
ITDG.EXE , AUTO_2005_N.exe se non li vedo nella schermata dove spunto le applicazioni (dato che li vedo solo nel file .log del notepad tra i processi)per poi eliminarle? o_0

[antares11]

ora con meno allegria e più serietà dai un'occhiata qua
http://forum.html.it/forum/showthrea...is#post6927114
http://www.dslreports.com/faq/8428
http://forum.html.it/forum/showthrea...93#post6768393
http://forum.html.it/forum/showthrea...is#post6828677

[allegria256]

Originariamente inviato da antares11
ora con meno allegria e più serietà dai un'occhiata qua
http://forum.html.it/forum/showthrea...is#post6927114
http://www.dslreports.com/faq/8428
http://forum.html.it/forum/showthrea...93#post6768393
http://forum.html.it/forum/showthrea...is#post6828677

Guarda, non so che cosa dirti.
Mi spiace di aver scritto una domanda che hanno gia' fatto moltissime altre persone. Tuttavia se questo sgrunt sta imperversando e sta contagiando molti PC non è colpa nè mia(visto che me lo sono preso mentre stavo tranquillamente navigando su internet cercando l'email di un prof. universitario) nè degli altri utenti che lo hanno contratto.

Io ho postato dopo aver scaricato e testato in ogni sorta di modalita' tutti i softwrae elencati nel post in rilievo su questo forum e su altri forum. Ho anche seguito altre istruzioni trovate su internet ...Ma sempre con insuccesso. Ho quindi deciso di seguire la vostra procedura. Vedendo quel log , ho deciso di postare solo per non cancellare gratuitamente dei files importanti ...

[holifay]

Beh, dai, non te la prendere, ma proprio alla lettera i suggerimenti dei link in rilievo non li hai letti... si vede dal tuo log
Comunque direi che nel tuo caso non puoi proprio avere dei dubbi sulla risposta di www.Hijackthis.de. Se non hai già provveduto...

Questi vanno cancellati dal PC:

C:\PROGRAMMI\COMMON FILES\SEARCHUPGRADER\SEARCHUPGRADER.EXE
C:\WINDOWS\SYSTEM\ITDDD.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTO_2015_N.EXE
C:\WINDOWS\SYSTEM\ITDG.EXE

Queste voci sono da fixare:

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMMI\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\itDDD.exe
O9 - Extra button: MktBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\PROGRAMMI\MARKETBROWSER\LMT\MarketBro
O9 - Extra 'Tools' menuitem: MarketBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\PROGRAMMI\MARKETBROWSER\LMT\MarketBrowser_Launc h.xpy
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.linkautomatici.com
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606703.exe

Però prima leggiti il tutorial di HijacK.

[antares11]

Originariamente inviato da holifay
B..........

benvenuta la tua ... pazienza, Lisa e auguri x il 13
sai come va la vita, prima caffè puro, poi decaff indi camomilla valerianata come ho già prescritto a qualcuno
sorry x o/t ma una piccola digressione stempera l'atmosfera

quanto ho voluto farti comprendere, allegria256 era l'importanza di procedere con ordine e metodo nel lavoro di riparazione altrimenti è fatica sprecata e attenendosi strettamente ai consigli (quel forum u.s.a. è consigliato dallo zio, btw)
se non ci fosse hjt tutto andrebbe avanti fors'anche meglio in quanto non indurrebbe facilmente in ... tentazione

bacio le mani :master:

[allegria256]

Ringrazio holifay per la pazienza. Sto procedendo.

@antares11: ti chiedo ancora scusa per il post. tuttvia non capisco dov'è che non procedo con ordine ... :S

Beh, dai, non te la prendere, ma proprio alla lettera i suggerimenti dei link in rilievo non li hai letti... si vede dal tuo log

Forse che non ho messo l'eseguibile di hijack in una cartella a parte?