Ho fatto scansioni con più programmi ed effettivamente c'è qualcosa che non va. Quando apro IE si collega alla pagina about:blank e mi impedisce di accedere alla posta elettronica o di entrare in alcuni siti (pagine interne di Virgilio o gli aggiornamenti microsoft....)Il problema più grosso è che non so ed ho paura di dove metto le mani. E poi ho tutta una serie di dubbi .....Ad esempio:
1) AD Aware SE ha rilevato 14 Coolwebsearch, 2 possibili hijacker browser. A questo punto mi chiedo elimino tutto ciò che è segnalato? Se non sbaglio i files dovrebbero essere messi in quarantena per darti la possibilità di ripristinarli se qualcosa non funziona. Ma quarantena significa che elimina il file oppure inserisce una versione corretta? Cosa mi consigliate ?
2) Ho fatto anche una scansione con CWShredder, che però non ha rilevato presenza di Coolwebsearch
3) L'ultima scansione, per la quale chiedo lumi, l'ho fatta con hijackthis ed invio log per consiglio. Anche qui ho però bisogno di una illuminazione. Mi sembra di aver capito che prima di procedere alla correzione in modalità provvisoria devo disattivare il ripristino configurazione automatica. Dalla spiegazone on line leggo "Disattivando Ripristino configurazione di sistema verranno eliminati tutti i punti di ripristino. Dopo aver riattivato Ripristino di configurazione di sistema sarà necessario creare nuovi punti di ripristino". Mi chiedo che vuol dire , a me questa definizione fa paura. Se mi si impalla il pc mentre sto lavorando con il ripristino disattivato cosa succede? Ed inoltre come faccio a creare nuovi punti di ripristino....succede in automatico semplicemente riattivando l'opzione che però mi salva la versione sulla quale sto operando e che potrebbe non essere corretta?

Scusatemi però mi farebbe piacere se qualcuno mi potesse dare un consiglio -- Vi ringrazio di cuore anticipatamente--- Ciao

Logfile of HijackThis v1.99.0
Scan saved at 20.10.28, on 23/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Backup Qualita\Marianna\Informatica\trojan\freescan.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Marianna\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Marianna\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.it.netscape.com/it/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Marianna\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.it.netscape.com/keyword/:s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da e-Family
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D8B6A270-E1A2-4896-906A-10A91B5BAB44} - C:\WINDOWS\system32\cfgn.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\Backup Qualita\Marianna\Informatica\trojan\freescan.exe -FastScan
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.e-family.it
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/098bbd8607e7d41e7618/netzip/RdxIE601_it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E580DC47-7FFD-4505-A231-8A0A47E4E717}: NameServer = 85.37.17.5 151.99.125.1
O18 - Filter: text/html - {B22AD51C-569D-48A1-9089-B934F5DFAF56} - C:\WINDOWS\system32\cfgn.dll
O18 - Filter: text/plain - {B22AD51C-569D-48A1-9089-B934F5DFAF56} - C:\WINDOWS\system32\cfgn.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Ciao Emma,

tutto quello che intercetta AD-AWARE e SPYBOT può essere eliminato senza problemi, l'unico problema che puoi avere eliminando gli spyware e che i programmi che li utilizzano potrebbero non funzionare più, ad esempio i programmi di scambio file, ma non e un problema, in Aiutamici puoi trovare programmi alternativi assolutamente sicuri.

Disattivare il ripristino di configurazione, questo serve per poter tornare indietro nel caso, dopo aver installato un programma, il sistema diventa instabile. Cosa succede se mentre lo disabiliti qualcosa va storto ? Be se lo disattivi come in questo caso e perché il sistema e già instabile o con problemi vari, pertanto e necessario disattivarlo per poter eliminare i problemi che si vanno a copiare nel ripristino, altrimenti anche se risolvi il problema questi possono ripristinarsi nuovamente.

Ecco cosa devi fare:

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Marianna\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.it.netscape.com/it/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Marianna\IMPOST~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.it.netscape.com/keyword/:s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da e-Family
-
O2 - BHO: (no name) - {D8B6A270-E1A2-4896-906A-10A91B5BAB44} - C:\WINDOWS\system32\cfgn.dll
-
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
-
O14 - IERESET.INF: START_PAGE_URL=http://www.e-family.it
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/098bbd8607e7d41e7618/netzip/RdxIE601_it.cab
-
O18 - Filter: text/html - {B22AD51C-569D-48A1-9089-B934F5DFAF56} - C:\WINDOWS\system32\cfgn.dll
O18 - Filter: text/plain - {B22AD51C-569D-48A1-9089-B934F5DFAF56} - C:\WINDOWS\system32\cfgn.dll
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
cfgn.dll
sp.dll
==================================

al termine utilizza i programma AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

---

Collaboratore Aiutamici

Sembra che il problema sia risolto, stento ancora a crederci.
Un grazie veramente di cuore... Ciao