• Non sono ammesse registrazioni con indirizzi email temporanei usa e getta

Applicazioni indesiderate

faraone73

faraone73

Digital-Forum Junior Plus
Registrato
12 Agosto 2004
Messaggi
120
Da non molto ho notato un notevole rallentamento del pc e andando a controllare con il Task ho visto che mi si aprono molte applicazioni dal nome S3vu... seguito da altri numeri e lettere e me le trovo nella cartella Temp ma non riesco ad eliminarle. Ho win98 ed ho fatto un controllo con Norton, Ad-aware e Spybot, ma niente di nuovo.
Qualche suggerimento?
Grazie
 
Allora prova ad entrare in modalità provvisoria(tasto F8) all'accensione e vedi se riesci a cancellarli.

Mi puoi dire i nomi di quelle che ritieni strane(per intero)


Su msconfig le puoi disattivare.

Start---->avvio poi digita

msconfig

e vai su avvio li c'è tutto quello che parte all'avvio,puoi disattivare le cose che riteini inutili o strane.

La cosa è reversibile ,vengono solo disattivate e non si caricano + all'avvio.


Usa questo tool e metti il log sul forum
 
Ultima modifica:
Grazie Ercolino :icon_wink:
ho fatto analizzare a hijackthis e verificato il log online. C'erano delle voci sospette ed ho fatto un pò di pulizia.
Le applicazioni "sospette" non partono all'avvio, cercherò di capire quando si attivano per avere dati più precisi.

P.S. il link del tool non funziona.
Ciao
 
Una cosa l'ho scoperta: si attivano ogni volta che clikko su qualunque icona! Allegherei volentieri un immagine, ma non ne sono capace :icon_redface:
 
Ho fatto una scansione online con trendmicro e mi ha trovato diversi troyan, adware e grayware, ma questo ADW_CLICKER.GN che si trova nel file C:\WINDOWS\SYSTEM\msx.dll non riesce ad eliminarlo perchè "...il pattern non supporta la disinfezione". Ho provato ad eliminarlo manualmente ma pare che sia usato da windows e quindi non posso.
L'immagine con alcuni :crybaby2:dei programmi avviati è questa:
[img=http://img29.imageshack.us/img29/9829/immagine7tx.th.jpg]
 
Fai cosi riavvia il pc in modalitaà Dos.

Poi vai su c:/windows/temp e cancellali uno a uno con il comando

del


Devi svuotare tutto il contenuto della cartella Temp



Mi metti il log di hijackthis sul forum?
 
Logfile of HijackThis v1.99.1
Scan saved at 18.44.46, on 20/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\QPC\QVTNET\BIN\TERM.EXE
C:\PROGRAM FILES\QPC\QVTNET\BIN\TERM.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.50:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {8D9BA85D-F668-4E08-5910-32DC8B6156C4} - (no file)
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - (no file)
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\SYSTEM\MSX.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [e-DT LAN Sniffer] C:\Programmi\HP\e-DiagTools\edtlancfg.exe OS
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmwordtrans.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = elecomonline.it
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 151.99.125.1,151.99.0.100
 
Disattiva dal msconfig

C:\PROGRAM FILES\QPC\QVTNET\BIN\TERM.EXE


poi fai le varie scansioni e cancella i file temp
 
Sono riuscito a cancellare tutti i files dalla TEMP ma continuavano ad attivarsi.
Allora ho provato a cancellare la cartella TEMP ed in effetti hanno smesso di rompere, ma una volta ricreata la cartella si sono riproposti :eusa_wall:
Ma che cosa è? E' un malware, adware, trojan, x-file...:eusa_think:
 
Devi cancellare term.exe con il tool che ti ho dato ,devi farlo in modalità provvisoria
 
Scusa Ercolino, ma quello penso faccia parte del programma gestionale dell''azienda in cui lavoro. Sei proprio sicuro che devo cancellarlo?
Ciao
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso