Uno spyware sempre presente: "Common Extension hijack"

Salve a tutti,

una piccola curiosità: per caso qualcuno di voi s'è già imbattuto in questa "spia"? Io, ogni volta che eseguo la scansione con "Spy-boot" o "Ad aware 6" me la trova (sebbene la elimini ogni volta), non so da dove possa essere generata, mi sta facendo uscir pazzo.. Ho pure installato spywareBlaster, ma questa spia mi si riproduce sempre....
Eccola nel dettaglio:


Common Extension hijack: Default executable handler (Modifica al registro, nothing done)
HKEY_CLASSES_ROOT\exefile\shell\open\command\="%1" %*


--- Spybot-S&D version: 1.2 ---
2003-03-16 Includes\plugin-ignore.ini
2003-11-12 Includes\QA Tests.sbi
2003-11-05 Includes\Dialer.sbi
2003-11-05 Includes\Security.sbi
2003-11-11 Includes\Keyloggers.sbi
2003-11-21 Includes\Temporary.sbi
2003-11-05 Includes\Cookies.sbi
2003-12-17 Includes\Malware.sbi
2003-12-10 Includes\Trojans.sbi
2003-12-17 Includes\Hijackers.sbi
2003-12-17 Includes\Spybots.sbi
2003-11-27 Includes\Tracks.uti


Grazie per l'attenzione

<p><font class='xsmall'>[<i>Modificato da W LE DONNE 21/01/2004&nbsp;19.17</i>]</font></p>

Salve, sono di nuovo io:

ho appena eseguito una scansione on-line del mio pc, andando su:
http://www.symantec.com/region/it/avcenter.html

alla fine mi ha rivelato che nel computer ho... 37 file infettati.
Soprattutto mi è stato detto che:
È necessario arrestare immediatamente il computer e riavviarlo con un disco di soccorso antivirus o un altro strumento simile.
Ma dove lo trovo (gratuitamente o lo devo andare assolutamente a comprare ?)????
"Trojan.ByteVerify" e "Backdoor.OptixPro.13" sono le voci che ricorrono....
Dimenticavo utilizzo già Spyware6, Adaware e Spyware Blaster!!!!

Questo comunque il prospetto completo della scansione

C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP349\A0065240.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP345\A0064912.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP323\A0061502.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP319\A0061155.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP313\A0060563.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP309\A0059920.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP375\A0070214.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP373\A0069972.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP372\A0069891.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP371\A0069726.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP370\A0069642.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP369\A0069573.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP368\A0069454.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP368\A0069486.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP368\A0069524.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP367\A0069258.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP366\A0069141.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP364\A0067957.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP364\A0067993.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP363\A0067828.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP361\A0067729.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP358\A0066404.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP357\A0066367.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP356\A0066237.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP355\A0066037.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP354\A0065884.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP353\A0065764.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP353\A0065792.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP352\A0065621.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP352\A0065631.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP352\A0065640.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP352\A0065656.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP350\A0065317.exe è infettato con Backdoor.OptixPro.13
C:\System Volume Information\_restore{88EB3767-C056-40ED-970F-546A1D749F82}\RP339\A0064594.exe è infettato con Backdoor.OptixPro.13
C:\Documents and Settings\xxx\Dati applicazioni\Sun\Java\Deployment\cache\j
avapi\v1.0\jar\plugin.jar-3e14071c-44b9949a.RB0 è infettato con Trojan.ByteVerify
C:\WINDOWS\system32\vrs.exe è infettato con Backdoor.OptixPro.13
C:\WINDOWS\system32\winlog32.exe è infettato con Backdoor.OptixPro.13

Help!!!! Help!!!! Help!!!!

<p><font class='xsmall'>[<i>Modificato da W LE DONNE 21/01/2004&nbsp;21.23</i>]</font></p>

.tacci!!!
scusa ma non fai prima a formattare ?

Beh........ma se hai 3 programmi per gli spyware e hai 37 voci di registro infettate da spy vuol dire che tutti quei programmi non sono mai stati aggiornati,giusto ?
Ma se li elimini,dopo ti risultano ancora tutti i 37 spy?

---

Scritto da: mapex 21/01/2004 23.47
Beh........ma se hai 3 programmi per gli spyware e hai 37 voci di registro infettate da spy vuol dire che tutti quei programmi non sono mai stati aggiornati,giusto ?
Ma se li elimini,dopo ti risultano ancora tutti i 37 spy?

---

Praticamente capita anche a me, nonostante periodicamente aggiorni gli Spyware sistematicamente mi trovo a correggere sempre gli stessi file...

Per quanto riguarda quel troiano, non è che ci sia da strapparsi i capelli. Si rimuove. Cancellando i file .exe, rimuovendolo dall'esecuzione automatica (regedit, solite chiavi oppure - probabile - msconfig), cancellando le sue tante copie nella cartella dei punti di ripristino (dalla modalità provvisoria).
In ogni caso, c'è scritto come fare in tutti i siti d'antivirus, per esempio: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.optixpro.13.html
Che poi le copie in quella cartella siano 1 o 100, poco conta.
ciao
Paolo

---

Scritto da: Danielsan 22/01/2004 0.47


Praticamente capita anche a me, nonostante periodicamente aggiorni gli Spyware sistematicamente mi trovo a correggere sempre gli stessi file...

---

Attenzione però...
..se,esempio,hai ad-aware e spybot,uno ti individua gli spy che l'altro ha nella quarantena
Da quando ho installato spybot non ho nemmeno un piccolissimo spy,ed è mega aggiornato.
Boh....
Ciao

---

Scritto da: bboss 21/01/2004 21.35
scusa ma non fai prima a formattare ?

---

Non v'è proprio altro rimedio, a parte l'"eutanasia"???

----------------------------------------------------------------

---

Scritto da: mapex 21/01/2004 23.47
Beh........ma se hai 3 programmi per gli spyware e hai 37 voci di registro infettate da spy vuol dire che tutti quei programmi non sono mai stati aggiornati,giusto ?

---

Invece no, li ho aggiornati eccome... Li ho aggiornati pure dopo aver fatto quella scansione sul sito della Symantec. Li ho aggiornati tutti e tre, ma di quelle 37 voci infettate essi non segnalano alcuna traccia (a parte quel solito e onnipresente "Common Extension hijack", che però sembra fare storia a sè, e che comunque, ripeto, elimino ad ogni scansione...). Dimenticavo, quando ho rieseguito la riprova tramite l'antivurus on-line presente nel sito della Symantec, di voci infette me ne ha trovate 38!!!Una in più rispetto a prima (anche se i nomi dei virus erano poi sempre quelli...).

---

Scritto da: mapex 21/01/2004 23.47
Ma se li elimini,dopo ti risultano ancora tutti i 37 spy?

---

Al limite posso eliminare gli ultimi tre (ma li posso cancellare, rimuovere tranquillamente dal computer senza che lui ne abbia a male? ), ma il percorso: "C:\System Volume Information.." ecc. ecc. non lo riesco a trovare

Curiosità, ho provato ad effettuare una scansione del disco C con Norton Antivirus presente nel mio pc, ma non mi segnala nulla e non mi segnala nulla nemmeno se provo ad eseguire una scansione tramite l'antivirus gratuito e aggiornatissimo offerto on-line da:
http://www.admsoft.it/<p><font class='xsmall'>[<i>Modificato da W LE DONNE 22/01/2004&nbsp;1.59</i>]</font></p>

> Non v'è proprio altro rimedio, a parte l'"eutanasia"???

Hai letto la mia risposta o hai tirato dritto..?
Quella cartella non la vedi perchè è nascosta, comunque. E non è direttamente accessibile da windows se è attivo il servizio di ripristino del sistema.
ciao
Paolo

Dunque, non so se ho fatto tutto giusto, ad ogni modo ho scaricato il file 20040121-006-i32.exe e l'ho fatto partire. Poi ho eseguito una scansione con Norton Antivirus. Mi ha rivelato 4 Trojan.ByteVerify e 2 Backdoor.OptixPro.13
Alcuni me li ha fatti mettere in quarantena, altri, dato che non riusciva neanche a metterli in quarantena, me li ha fatti eliminare...
Adesso ne dovrebbero essere rimasti 32 ancora attivi; dico giusto (32+6 eliminati = 38 )?
Domani eseguirò un'altra scansione on line sul sito della Symantec e vedrò cosa mi dice...
Ehm, si nota che sono parecchio imbranato e che l'inglese non è il mio forte.....

Vabbe', comunque appena posso leggerò con più calma quella pagina che tu così gentilmente mi hai consigliato(sperando di poterne capire un po' di più di adesso ). Ad ogni modo grazie per la tua gentilezza e scusami ancora se prima mi sei sfuggito!!!!

P.S.
Non sapevo che se è attivo il servizio di ripristino del sistema, le cartelle nascoste non si vedevano... A momenti neanche sapevo che esisteva "il servizio di ripristino del sistema"(uso Windows XP Home Edition).
Okay, la prossima volta vengo più preparato!!!!
Saluti a tutti!!!<p><font class='xsmall'>[<i>Modificato da W LE DONNE 22/01/2004&nbsp;3.20</i>]</font></p>

Non è questione di moderatore o non moderatore, è questione che in quel link c'è scritto solo....come eliminare il troiano senza formattare (ci mancherebbe solo dover formattare per una cosa simile).
ciao
Paolo

---

Scritto da: Paolo1 22/01/2004 3.23
Non è questione di moderatore o non moderatore, è questione che in quel link c'è scritto solo....come eliminare il troiano senza formattare (ci mancherebbe solo dover formattare per una cosa simile).
ciao
Paolo

---

Mi hanno spaventato le 2 pagine di messaggi:o
Un amico mi segnala che PCcllin gli ha trovato il
Worm PUROL.A non Cleanable
Qualche idea di cosa può fare?

disattiva il ripristino configurazione di sistema.
poi visualizza tutti i file e le cartelle nascoste.
vai sotto dos con dischetto e elimina tutti i file che stanno nella cartella _restore
tipo c:\_restore\>del *.*

fai anche una scansione in modalità provvisoria con un buon antivirus e anche con ad-aware e spybot

---

Scritto da: ohifra 22/01/2004 9.56
disattiva il ripristino configurazione di sistema.
poi visualizza tutti i file e le cartelle nascoste.
vai sotto dos con dischetto e elimina tutti i file che stanno nella cartella _restore
tipo c:\_restore\>del *.*

fai anche una scansione in modalità provvisoria con un buon antivirus e anche con ad-aware e spybot

---

grazie!!
passo la palla all'amico

Dunque, come detto ieri, sono andato alla pagina:
http://securityresponse.symantec.co...ges/IT-N95.html e da lì
ho scaricato sul mio computer il file: "20040121-006-i32.exe".
L'ho fatto partire cliccandoci sopra.
Dopodichè ho eseguito una scansione con Norton Antivirus presente sul mio pc. Mi ha così rivelato 4 Trojan.ByteVerify e 2 Backdoor.OptixPro.13
Alcuni me li ha fatti mettere in quarantena, altri, dato che non riusciva neanche a metterli in quarantena, me li ha fatti eliminare...
Oggi, sono poi riandato sul sito della Symantec per effettuare un'altra scansione on-line gratuita...
Questa volta mi ha trovato ben 39 virus infetti, ma sempre riconducibili tutti a: "Backdoor.OptixPro.13" (sembra invece essere stato debellato il trojan: "Trojan.ByteVerify").
Inoltre, c'è da dire che se adesso non disattivo il Norton antivirus, non mi fa nemmeno collegare a Internet, o che so, vedere anche semplici fotografie che ho sul pc...
Non solo, ma ho pure provato ad eseguire una scansione tramite lo stesso Norton che ho sul pc, ma non appena cerco di eseguirla, prima mi avvisa che il computer è infetto dal virus: "Backdoor.OptixPro.13", ripetendomi tale messaggio otto/nove volte (il virus ed il suo percorso -C:/Windows/System32/winlog32.exe- è sempre lo stesso, solo che mi alterna "impossibile riparare questo file" con "accesso al file è stato negato"), poi dopo aver cliccato varie volte su questi avvisi, mi dice che è: "impossibile accedere alla periferica, al percorso, al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie".
Insomma un bel casino, devo disattivare Norton perchè altrimenti è impossibile fare qualsiasi cosa, anche magari aprire una semplice foto che mi ricicciano questi messaggi...

P.S.
Avevo pure provato a scaricare (sempre da: http://securityresponse.symantec.co...ges/IT-N95.html) il file "20040121-006-i32-1.exe" (occorre?), solo che poi, non ho capito, mi dice che devo inserire disco numero 2!!!!
Mannaggia a me che non capisco l'inglese
Vabbe', se qualcuno è in grado di risolvere questo rompicapo per un imbranato cosmico come me, si faccia vivo!!!!

P.P.S.
Era meglio se la scansione sul sito della Symantec non la facevo...per stare ancora più sicuro adesso sto peggio...

<p><font class='xsmall'>[<i>Modificato da W LE DONNE 22/01/2004&nbsp;19.40</i>]</font></p>