e1xplorer e company e adultkey@gmail.com

**pinguino** · 17-08-2006, 22:00

quello che succede a lasciare in mano ai propri vecchi un pc...

vabbè, mi trovo in crisi con un pc con installato windows 98 (c'ho pagato la licenza, piuttosto di buttarlo butto il mio breil) che si è impestato di tutto di più. ogni volta all'accensione mi si apre una sorta di finestra (non chiudibile) con un bel "complimenti.. bla bla bla... 300 eurocent al minuto... bla bla bla", seguito da un link (che non visualizza nemmeno per intero) e l'indirizzo di posta elettronica di riferimento adultkey@gmail.com.
oltre a questo, c'era l'e1xplorer.
seguendo le istruzioni per un altro caso di e1xplorer penso di essere riuscito a toglierlo, ma temo che le due cose non siano separate e che uno mi installi nuovamente l'altro fino a quando non li elimino entrambi.
ah, per riuscire a procedere (la finestra rimane sempre in primo piano) devo chiudere tramite task manager l'applicazione sysfind. il problema è che non vorrei fosse un caso che chiuda anche la finestra, serve per caso a qualcosa sysfind?

ah, che faccio non posto nemmeno il log di hijack? (già fatto andare antivirus e ad aware prima)
eccolo (ricordo che la finestra sysfind risulta chiusa)

Logfile of HijackThis v1.99.1
Scan saved at 21.33.05, on 17/08/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMMI\FILE COMUNI\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\DOWNLOADED PROGRAM FILES\I8AOER\9E5RD4.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\LICH.EXE
C:\PROGRAMMI\FILE COMUNI\KODAK\KODAK_DR\KODAKCCS.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 3.0 SE\CALCHECK.EXE
C:\PROGRAMMI\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE
C:\PROGRAMMI\KODAK\KODAK SOFTWARE UPDATER\7288971\PROGRAM\KODAK SOFTWARE UPDATER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\1040\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRAMMI\TEXTWARE\QUICKFIND\PLUGINS\IEHELP.DLL
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\SYSTEM\KMEHFP~1.DLL (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\IT\MSNTB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [KodakCCS] C:\Programmi\File comuni\KODAK\KODAK_DR\KodakCCS.exe --pdr: "C:\Programmi\File comuni\KODAK\KODAK_DR\dcmnter.pdr"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TVWatch] C:\WINDOWS\SYSTEM\TVWatch.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Ulead Photo Express 3.0 SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O15 - Trusted Zone: www.1987324.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\SYSTEM\TEXTWAREILLUMINATORBASEPROTOCOL. DLL

**pinguino** · 20-08-2006, 13:12

so che è antipatico uppare i thread, ma nessuno ha qualche suggerimento o idea?

**Simeon** · 21-08-2006, 00:51

Ok, vediamo di far pulito.

Operazione preliminare: posiziona l'eseguibile di HijackThis in una cartella esclusivamente a lui dedicata e posizionata in C:\ o C:\Programmi.

Scarica CCleaner;
Scarica Ewido Antimalware e aggiornalo.

Disabilita il ripristino di configurazione:
Risorse del computer => Proprietà => Ripristino configurazione di sistema => Disattiva ripristino configurazione di sistema (lo riattiverai a problema risolto).

Abilita la visualizzazione dei file nascosti:
Strumenti => Opzioni cartella => Visualizzazione => Visualizza cartelle e file nascosti.

Avvia HijackThis
clicca su Open the Misc Tools section / Open process manager; seleziona i processi:
C:\WINDOWS\System\sysmon.exe;
C:\WINDOWS\SYSTEM\LICH.EXE;
clicca su "Kill process".

Sempre con HijackThis fixa queste voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\SYSTEM\KMEHFP~1.DLL (file missing)
O4 - HKLM\..\Run: [lich] lich.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O15 - Trusted Zone: www.1987324.com

Stampati queste istruzioni poiché non potrai utilizzare la connessione:

Entra in modalità provvisoria (tasto F8 subito al riavvio => Modalità provvisoria).

Cerca ed elimina (se presenti):
- sysmon.exe in C:\WINDOWS\system\
- KMEHFP~1.DLL in C:\WINDOWS\SYSTEM\
- lich.exe in C:\Windows\System

Fai pulizia con CCleaner.
Fai una scansione con Ewido.

Riavvia.
Posta un nuovo log di HijackThis.

Discussione: e1xplorer e company e adultkey@gmail.com

Strumenti discussione

Ricerca discussione

Visualizza

e1xplorer e company e adultkey@gmail.com

Permessi di invio