log con hijackthis nuovo, spero potter levare quella pagina iniziale

[tania_marquez]

Logfile of HijackThis v1.98.1
Scan saved at 12.35.36, on 07/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Alberta\Desktop\HijackThis -- new --.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Alberta\IMPOST~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C5CB7E66-4AF2-4B73-8385-32FA446F9258} - C:\WINDOWS\System32\eppbi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{046C8E07-EBDC-462D-BE60-B1E5B10B1AAD}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{5938CA26-574F-4B55-ABDC-6944BC1F24E5}: NameServer = 212.216.176.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{97695047-4511-4253-B15C-B76BC9D757E2}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{046C8E07-EBDC-462D-BE60-B1E5B10B1AAD}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{046C8E07-EBDC-462D-BE60-B1E5B10B1AAD}: NameServer = 151.99.125.2,151.99.125.3
O18 - Filter: text/html - {CAFB3A5B-3804-45B6-80CE-456815422CAF} - C:\WINDOWS\System32\eppbi.dll
O18 - Filter: text/plain - {CAFB3A5B-3804-45B6-80CE-456815422CAF} - C:\WINDOWS\System32\eppbi.dll

[tania_marquez]

facendo delle ricerche dentro al forum, ho capito cosa devo eliminare. ma l'elimino, e poi dopo riappaiono.
non riesco ad entrare in modalità provvisoria, mi rimane la schermata nera e poi niente, non entra in windows provisorio

so che il forum , è pieno di queste cose. Ho presso un sacco di software, ma tutti mi trovano sempre delle spyware, adware diversi. pero questi della pagina iniziale di exploresr, gli ho già individuato dentro a regedit, ma non vogliono andare via

[antares11]

se analizzi il tuo log qua
http://hijackthis.de/index.php?langselect=english
hai un'idea di come può essere la tua situazione
attenzione: bisogna prendere con cautela quello che l'analisi ti propone di eliminare, come suppongo hai letto in questo forum
due sono le cose da fare: eliminare selettivamente, passo a passo, le singole voci di registro e vedere che succede: come sei messa col ripristino di sistema? è attivo e infettato o è già stato cancellato?
se però non riesci ad entrare in modalità provvisoria (=sicura, dove viene fatto girare solo il minimo indispensabile del sistema) non saprei altro che dirti anche se il fatto mi sembra strano (usi F8 o msconfig?)

a volte anche con spyboy s&d 1.3 in modalità avanzata, cliccando su utilities e su voci di registro, hai un'idea ulteriore di cosa eliminare, sempre ragionandoci su

certo che l'esperienza di amvinfe e simili è tutt'altra cosa, ma almeno con pazienza e ragionamento ci si arriva anche da soli anche se col tempo

[antares11]

aggiunta: hai provato a fare una scansione online?
a volte qualche trojan ti impedisce di usare msconfig come può mettere ko altri antimalware, ma con l'F8 dovrebbe comunque funzionare

[amvinfe]

in rilievo c'è un 3d da dove è possibile scaricare la nuova release di HijackThis che fixa alcuni bugs in NT\2000\XP
Una volta scaricata, mettila all'interno di una nuova cartella, fai un nuovo log e postalo.

[tania_marquez]

con hijackthis ho già individuato le voci dentro al registro di sistema che devo eliminare. Le elimino, ma dopo ricompaiono.
Con F8 cerco di entrare in modalità provvisoria, ma niente da fare, mi rimane la schermata tutta nera con il cursore il alto a sinistra que tintila, ma rimane li.
Farò ancora delle scansioni online- Ho fatto delle scansioni con norton antivirus, rimane bello pulito di virus e adware, doppo , faccio un'altra scansione e trova ancora della robba che elimina automaticamente.

è veramente noiosa questa cosa, sto perdendo un sacco di tempo. provo ancora. grazie per i consigli

[tania_marquez]

ho risolto il problema
già che non potevo entrare in modalita provisoria con F8, sono entrata su msconfig e ho messo l'avvio diagnostico
ho usato il CWSHREDDER e così ho levato il problema.
grazie per i consigli, non sapevo neanche che si potesi fare un tipo d'avvio così per diagnostica. GRAZIE INFINITE COME SEMPRE

[pasKuz]

per togliere una pagina iniziale nn richiesta scarica regsupreme e spybot

installali, avviali e cancella le stringhe che nn dovrebbero esserci!

dovrebbe risolverti tutto