Dunque.... iniziamo l'ardua impresa:
I programmi indicati in questo post, (se non li hai già) puoi scaricarli da questa pagina: (scaricali e aggiornali prima di procedere)
http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp ?TID=1393&PN=1
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::
In questa pagina
http://www.h3.dion.ne.jp/%7Esole/Yoghi/Hijackguida/Hijack-gu ida.html puoi leggere una breve guida su Hijack
Esegui queste operazioni ------ > (Stampa la pagina)
Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.
(Pannello di controllo > Opzioni Cartella > Visualizzazione)
Disattiva il RIPRISTINO DI CONFIGURAZIONE su tutte le unità
(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo un paio di giorni da questa procedura)
Avvia il sistema in modalità provvisoria
Avvia Hijack e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe &n bsp; (è un trojan)
Conosci l'indirizzo IP o il Dominio '80.241.160.79,80.241.169.5'? Se no, elimina questo oggetto.
E questo?
'80.241.160.79,80.241.160.5'? Se no, elimina questo oggetto.
che sarebbe:
questo il primo che ti ho detto:
O17 - HKLM\System\CCS\Services\Tcpip\..\{501EEBAA-D27A-4F87-941A-1 C6A5BA8B735}: NameServer = 80.241.160.79,80.241.169.5
e questo il secondo:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E66E97D3-6F57-4DB2-997B-B C583CA64114}: NameServer = 80.241.160.79,80.241.160.5
Fissa questo se non conosci questo sito:
'http://ie.redirect.hp.com/svs/r dr?TYPE'
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/r dr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd =p avilion&pf=laptop
Per eliminare questo:
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
scarika questo programma:
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
Il + brutto da togliere è questo:
O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
devi faer 4 passaggi:
1 - DISATTIVA IL RIPRISTINO DI CONFIGURAZIONE
2 - AGGIORNA TUTTI I TUOI ANTIVIRUS
3 - FAI UNA SCANSIONE CON TUTTI I TUOI ANTIVIRUS E CANCELLA TUTTO CIò CHE TROVANO
4 - CANCELLA ALCUNI VIRUS NEL REGISTRO
Fino al 3° punto ci arrivi anke da solo.
Passiamo al 4° punto:
Vai su START poi clikka su ESEGUI e digita REGEDIT e premi invio.
Portati su questa SubKey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run
e vedi se c'è questa chiave:
".svchost" = "%Windir%\System\CSRSS.EXE"
se c'è, eliminala naturalmente.
E infine esci dal registro. In caso ci fosse ancora nel log, eliminala cnke da lì.
Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza
(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.
Pulisci il registro con RegSeeker
Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione,
rifai il log e mettilo qui per un ultimo controllo
NB___se le voci non compaiono in modalità provvisoria vanno fisate da quella normale.
Vista la situazione fai una scansione on line qui:
http://www.pandasoftware.com/activescan/it/activescan_princi pal.htm
e nn dimenticarti di ripostarci il log!!!
P.S Finalmente ce l'ho fatta!!!!! è da + di 2 ore che sto a controllà sto log!! Che sonno!!!! [I)]