Cattura_thumb

Come rimuovere definitivamente searchqu dal proprio pc con Hijackthis

15 Repliche

visto 43.615 volte

Tempo fa è cambiata la home page di tutti i miei browser (ie, firefox e chrome), da quella solita (iGoogle) sono involontariamente passato a tal “searchqu.com

Mi insospettisco e cerco di capire perchè, faccio qualche ricerca (con google ovviamente e non con searchqu) e scopro che è una brutta bestiolina, non crea particolari problemi se non impostarti sempre la home page predefinita che decide lui ed infettarti non so quante chiavi di registro e compagnia bella.

Provo cosi ad eliminarlo in maniera “lite” ossia cercando di reimpostare la home su iGoogle e disinstallando la searchqu toolbar dai vari browser.

Dopo qualche smanettamento vario riesco a toglierlo dalle scatole su chrome ed explorer, ma non c’è proprio verso di toglierlo da firefox. Sembra proprio che questo piccolo “vermetto” adori alla follia la volpe.

Inizia cosi la ricerca del software giusto per rimuoverlo definitivamente… provate varie soluzioni seguendo alcuni forum in italiano, ma nulla… tornava sempre in home!

Quando ormai avevo perso le speranze ho trovato questo semplice intervento di MrGoodguy su un forum inglese, senza particolari istruzioni o passi supercomplessi da seguire:

Hi,
Download HijackThis from this link:
http://download.cnet.com/Trend-Micr…
Scan and go through the list looking for Toolbars with searchqu in the name. Check what you find, and press fix.
The download Malwarebytes, update and run a full scan in safe mode. Here’s the link:
http://www.malwarebytes.org/

Questo il link della discussione:

http://www.computing.net/answers/security/searchqu-uninstall-how-to/33902.html

Mi son detto…proviamo, tanto si tratta di fare l’ennesimo test con due software scaricati.

Cosi ho fatto questa sequenza di operazioni:

1 – Ho scaricato ed installato “HijackThis” (da qui)

2 – Ho scaricato ed installato “Malwarebytes’ Anti-Malware” (da qui)

3 – Ho aggiornato firme virus/malware di “Malwarebytes’ Anti-Malware

4 – Ho riavviato il pc in modalità provvisoria

5 – Ho lanciato (come amministratore) “HijackThis

6 – Ho cercato tutte le voci che contenevano la stringa “searchqu” e le ho fissate (FIX)

7 – Ho lanciato (come amministratore) “Malwarebytes’ Anti-Malware

8 – Ho eseguito una scansione completa del disco C:\

Devo dire che risolutivo (nel mio caso) è stato “HijackThis” perchè poi il secondo software non mi ha trovato nulla, quindi me lo sarei potuto anche risparmiare, comunque è gratis, per cui male non ha fatto.

Ritornato in modalità normale FINALMENTE searchqu si è definitivamente tolto dalle pelotas ed io posso riusare firefox senza avvelenarmi ogni volta.

Provare per credere.

PS:
Fate attenzione, Molta Attenzione!!!

Provando “HijackThis” ho potuto constatare di persona quanto sia POTENTE il programma da un punto di vista della rimozione di QUALSIASI cosa dal pc, per cui se usato male potrebbe fare dei danni assai seri al vostro computer.

Se non siete sicuri di quello che state facendo vi consiglio di fare cosi:

Lanciate HijackThis e cliccate su “Do a system scan and save a log file

Cattura

Alla fine del processo vi si aprirà un file di testo con la scansione fatta dal software:

Cattura2

Andate su questo link: http://www.hijackthis.de/it e copiate ed incollate il contenuto del vostro file nella casella di testo che troverete nel forum che vi ho segnalato. Poi cliccate su “Analizza

Cattura3

Voce per voce vi verrà prospettata una guida che vi consentirà di capire se è consigliabile fissare (cancellare) oppure no il record dal computer.

Cattura4

Buona fortuna.

 

L’autore dell’articolo non è responsabile per un errato utilizzo dello stesso che possa causa danni al pc

Vuoi rimanere aggiornato ogni volta che pubblico un nuovo articolo?



Nessun articolo correlato

Questo articolo è stato pubblicato in tech e taggato come , , , , , il da

Informazioni su etrusco

Da sempre appassionato di tecnologia ed informatica, dal 1998 ho fatto di questa mia passione una professione. Oggi sono un professionista IT specializzato nell'analisi, progettazione e realizzazione di web application orientate ai sistemi GIS e di vehicle tracking (AVL-AVM system) sia in ambiente open source che in ambiente Microsoft . Adoro mia moglie, mia figlia, la fotografia analogica e questo blog.

15 pensieri su “Come rimuovere definitivamente searchqu dal proprio pc con Hijackthis

  1. Giua

    Ciao e grazie per l’articolo,
    anch’io come te sono perseguitato da searchqu …
    Ho seguito le tue istruzioni, HijackThis ha fissato ed eliminato la voce:
    O2 – BHO: Searchqu Toolbar – ………
    Malwarebytes Anti-Malware non ha trovato nulla.

    Ma alla fine mi ritrovo ancora il maledetto!!!!

    Bohhhh, hai qualche idea ulteriore?
    Grazie…….

  3. Giua

    Ecco il resoconto di HijackThis:
    non mi sembra di trovare altre voci che riconducono a searchqu…
    Tu trovi qualcosa di sospetto?
    Grazie ancora per la gentilezza!

    Logfile of Trend Micro HijackThis v2.0.4 Dovrebbe trattarsi dell’ultima
    versione.
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00
    (8.00.6001.18702)
    Dovrebbe trattarsi dell’ultima
    versione.
    Boot mode: Normal
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\System32\smss.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\winlogon.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\services.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\lsass.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\svchost.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\System32\svchost.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\spoolsv.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\Explorer.EXE
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\System32\svchost.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\drivers
    \CDAC11BA.EXE Sicuro
    C:\Programmi\Java\jre6\bin\jqs.exe
    Sicuro
    Sicuro (4.15 / 5.00)
    C:\Programmi\Malwarebytes’
    Anti-Malware\mbamservice.exe Davvero
    sicuro
    Sicuro (4.75 / 5.00)
    C:\Programmi\Norton AntiVirus\Engine
    \19.1.1.3\ccSvcHst.exe Abbastanza sospetto! Secondo il
    nostro archivio, questo programma
    gira normalmente in c:\programme
    \norton 360\engine\.*\!. Controllare
    questa installazione e sottoponila a
    controllo antivirus se ritieni. Norton
    Antivirus
    C:\Programmi\CDBurnerXP\NMSAccessU.exe
    Sicuro
    Sicuro (4.25 / 5.00)
    C:\Programmi\Norton AntiVirus\Engine
    \19.1.1.3\ccSvcHst.exe Abbastanza sospetto! Secondo il
    nostro archivio, questo programma
    gira normalmente in c:\programme
    \norton 360\engine\.*\!. Controllare
    questa installazione e sottoponila a
    controllo antivirus se ritieni. Norton
    Antivirus
    C:\WINDOWS\system32\svchost.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\wuauclt.exe
    Neutral Windows Update AutoUpdate Client
    C:\WINDOWS\RTHDCPL.EXE
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    2 di 8 23/09/2011 17.53
    C:\WINDOWS\system32\hkcmd.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\igfxsrvc.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\igfxpers.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\Programmi\Hewlett-Packard\Toolbox
    \StatusClient\StatusClient.exe Toolbox for a Hewlett-Packard Printer
    C:\Programmi\Hewlett-Packard\HP Software
    Update\HPWuSchd2.exe Davvero
    sicuro
    Part of Hewlett-Packard
    C:\Programmi\ScanSoft\PaperPort
    \pptd40nt.exe Davvero
    sicuro
    Scansoft related
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\Programmi\Brother\ControlCenter2
    \brctrcen.exe Davvero
    sicuro
    Brother Control Center
    C:\WINDOWS\System32\spool\DRIVERS
    \W32X86\3\E_S4I0P1.EXE Epson Status Monitor
    C:\Programmi\File comuni\Real\Update_OB
    \realsched.exe Sicuro Checks for updates for RealPlayer
    C:\Programmi\Hewlett-Packard\Toolbox
    \jre\bin\javaw.exe Sicuro Abbastanza sospetto! Secondo il
    nostro archivio, questo programma
    gira normalmente in c:\programme
    \java\jre1.5.0_05\bin\!. Controllare
    questa installazione e sottoponila a
    controllo antivirus se ritieni. Java
    C:\Programmi\File comuni\Nikon\Monitor
    \NkMonitor.exe Davvero
    sicuro
    Sicuro (4.11 / 5.00)
    C:\Programmi\Winamp\winampa.exe
    Sicuro
    C:\Programmi\DivX\DivX
    Update\DivXUpdate.exe
    Sicuro (3.59 / 5.00)
    C:\WINDOWS\Samsung\PanelMgr
    \ssmmgr.exe Sicuro Samsung Printer Monitor
    C:\Programmi\File comuni\Java\Java
    Update\jusched.exe Davvero
    sicuro
    Abbastanza sospetto! Secondo il
    nostro archivio, questo programma
    gira normalmente in c:\programme
    \java\.*\bin\!. Controllare questa
    installazione e sottoponila a controllo
    antivirus se ritieni. Questa voce è
    stata classificata dai nostri visitatori
    come sicura.
    C:\PROGRA~1\WINDOW~4\Datamngr
    \DATAMN~1.EXE
    Sicuro (3.92 / 5.00)
    C:\Programmi\Adobe\Reader 9.0\Reader
    \Reader_sl.exe Davvero
    sicuro
    Acrobat Reader
    C:\Programmi\Microsoft
    ActiveSync\wcescomm.exe Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\ctfmon.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\PROGRA~1\MICROS~4\rapimgr.exe
    Davvero
    sicuro
    Microsoft ActiveSync
    C:\Programmi\WinZip\WZQKPICK.EXE
    Sicuro
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    3 di 8 23/09/2011 17.53
    C:\Programmi\Mozilla Firefox\firefox.exe
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\WINDOWS\system32\wscntfy.exe
    Sicuro Questa voce è stata classificata dai
    nostri visitatori come sicura.
    C:\Programmi\Mozilla Firefox\plugincontainer.
    exe Davvero
    sicuro
    Sicuro (4.51 / 5.00)
    C:\Programmi\Trend Micro\HiJackThis
    \HiJackThis.exe Davvero
    sicuro
    Ricorda che Hijackthis deve essere
    avviato da una cartella a lui dedicata.
    Solo così Hijackthis creerà copie di
    backup prima di apportare modifiche!
    Tool, mit dem sie dieses Logfile
    erzeugt haben. Das Programm sollte
    so angelegt sein ! C:\Programme
    \HijackThis\HijackThis.exe
    R1 – HKCU\Software\Microsoft\Internet
    Explorer\Main,Search Page =
    ${URL_SEARCHPAGE}
    Questa pagina è stata identificata
    come sicura.
    R0 – HKCU\Software\Microsoft\Internet
    Explorer\Main,Start Page =
    http://search.babylon.com/home?AF=12316
    E’ consigliabile premere subito il
    pulsante Fix in HijackThis!
    R1 – HKLM\Software\Microsoft\Internet
    Explorer\Main,Default_Page_URL =
    http://go.microsoft.com/fwlink
    /?LinkId=69157
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    R1 – HKLM\Software\Microsoft\Internet
    Explorer\Main,Default_Search_URL =
    http://go.microsoft.com/fwlink
    /?LinkId=54896
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    R1 – HKLM\Software\Microsoft\Internet
    Explorer\Main,Search Page =
    http://go.microsoft.com/fwlink
    /?LinkId=54896
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    R0 – HKLM\Software\Microsoft\Internet
    Explorer\Main,Start Page =
    http://go.microsoft.com/fwlink
    /?LinkId=69157
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    R0 – HKCU\Software\Microsoft\Internet
    Explorer\Toolbar,LinksFolderName =
    Collegamenti
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    R3 – URLSearchHook: Yahoo! Toolbar con
    blocco Pop-Up – {EF99BD32-
    C1FB-11D2-892F-0090271D4F88} – (no file)
    Sicuro
    Questo oggetto è sicuro.
    R3 – URLSearchHook: (no name) – {2c965f3f-
    8efd-4bfc-a2c5-1672845fdbbf} – (no file)
    Premere Fix se non conoscete
    l’applicazione. Premere Fix in
    HijackThis se non conoscete
    l’applicazione oppure se non è
    indicato alcun nome.
    O2 – BHO: AcroIEHelperStub – {18DF081CE8AD-
    4283-A596-FA578C2EBDC3} -
    C:\Programmi\File comuni\Adobe\Acrobat
    \ActiveX\AcroIEHelperShim.dll
    Davvero
    sicuro
    Sicuro (4.01 / 5.00)
    O2 – BHO: Winamp Toolbar Loader -
    {25CEE8EC-5730-41bc-
    8B58-22DDC8AB8C20} – C:\Programmi
    \Winamp Toolbar\winamptb.dll
    winamptb.dll – Winamp Toolbar,
    http://beta.aol.com
    /projects.php?project =winamp&
    loc=10
    O2 – BHO: RealPlayer Download and Record
    Plugin for Internet Explorer – {3049C3E9-
    B461-4BC5-8870-4C09146192CA} -
    C:\Documents and Settings\All Users\Dati
    applicazioni\Real\RealPlayer
    \BrowserRecordPlugin
    \IE\rpbrowserrecordplugin.dll
    Davvero
    sicuro
    rpbrowserrecordplugin.dll -
    RealPlayer, http://www.real.com
    /realsuperpass.html?o
    page=404__404_index.html
    O2 – BHO: Increase performance and video
    formats for your HTML5 – {326E768D-
    4182-46FD-9C16-1449A49795F4} -
    C:\Programmi\DivX\DivX Plus Web Player\ie
    \DivXHTML5\DivXHTML5.dll
    Sicuro (3.59 / 5.00)
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    4 di 8 23/09/2011 17.53
    O2 – BHO: Norton Vulnerability Protection -
    {6D53EC84-6AAE-4787-AEEEF4628F01010C}
    - C:\Programmi\Norton
    AntiVirus\Engine\19.1.1.3\IPS\IPSBHO.DLL
    IPSBHO.dll – Symantec Intrusion
    Prevention – see here,
    http://investor.symantec.com
    /phoenix.zht ml?c=89422&p=irolnewsArticle&
    ID=738300& highlight=
    O2 – BHO: Searchqu Toolbar -
    {99079a25-328f-4bd4-be04-00955acaa0a7}
    - C:\PROGRA~1\WINDOW~4\Datamngr
    \ToolBar\searchqudtx.dll
    Neutral (3.18 / 5.00)
    O2 – BHO: Loader Class -
    {9D717F81-9148-4f12-8568-69135F087DB0}
    - C:\PROGRA~1\WINDOW~4\Datamngr
    \BROWSE~1.DLL
    Sicuro (3.96 / 5.00)
    O2 – BHO: Google Toolbar Notifier BHO -
    {AF69DE43-7D58-4638-
    B6FA-CE66B5AD205D} – C:\Programmi
    \Google\GoogleToolbarNotifier\5.1.1309.3572
    \swg.dll
    swg.dll – Google Toolbar Notifier,
    http://googlesystem.blogspot.com
    /2006/07 /google-is-your-defaultsearch.
    html
    O2 – BHO: Java(tm) Plug-In 2 SSV Helper -
    {DBC80044-A445-435b-
    BC74-9C25C1C588A9} – C:\Programmi
    \Java\jre6\bin\jp2ssv.dll
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O2 – BHO: JQSIEStartDetectorImpl -
    {E7E6F031-17CE-4C07-BC86-
    EABFE594F69C} – C:\Programmi\Java\jre6
    \lib\deploy\jqs\ie\jqs_plugin.dll
    Sicuro
    jqs_plugin.dll – Java Quick Starter,
    https://jdk6.dev.java.net/testQS.html
    O4 – HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – HKLM\..\Run: [IgfxTray] C:\WINDOWS
    \system32\igfxtray.exe Sicuro
    Non pericoloso, ma superfluo. Quick
    access to the control panel via a
    System Tray icon for graphics based
    upon the Intel chipsets (ie, i810).
    These chipsets are often included on
    motherboards. Available via Start ->
    Settings -> Control Panel
    O4 – HKLM\..\Run: [HotKeysCmds]
    C:\WINDOWS\system32\hkcmd.exe Sicuro
    Application that implements the Intel
    Hotkey command.
    O4 – HKLM\..\Run: [Persistence]
    C:\WINDOWS\system32\igfxpers.exe Sicuro
    Intel Common User Interface Module
    O4 – HKLM\..\Run: [StatusClient 2.6]
    C:\Programmi\Hewlett-Packard\Toolbox
    \StatusClient\StatusClient.exe /auto
    Part of Hewlett-Packard Toolbox
    O4 – HKLM\..\Run: [TomcatStartup 2.5]
    C:\Programmi\Hewlett-Packard\Toolbox
    \hpbpsttp.exe
    Part of Hewlett-Packard Toolbox
    O4 – HKLM\..\Run: [HP Software Update]
    “C:\Programmi\Hewlett-Packard\HP Software
    Update\HPWuSchd2.exe”
    Non pericoloso, ma superfluo. HP
    software updates. If a shortcut
    doesn’t exist
    O4 – HKLM\..\Run: [SSBkgdUpdate]
    “C:\Programmi\File comuni\Scansoft
    Shared\SSBkgdUpdate\SSBkgdupdate.exe”
    -Embedding -boot
    Neutral
    O4 – HKLM\..\Run: [PaperPort PTD]
    C:\Programmi\ScanSoft\PaperPort
    \pptd40nt.exe
    Sicuro
    Non pericoloso, ma superfluo.
    “PaperPort” software associated with
    scanners
    O4 – HKLM\..\Run: [IndexSearch]
    C:\Programmi\ScanSoft\PaperPort
    \IndexSearch.exe
    Non pericoloso, ma superfluo.
    Associated with PaperPort scanner
    software from ScanSoft
    O4 – HKLM\..\Run: [ControlCenter2.0]
    C:\Programmi\Brother\ControlCenter2
    \brctrcen.exe /autorun
    Non pericoloso, ma superfluo. Brother
    scanner ‘Control Center’ application;
    can be started manually
    O4 – HKLM\..\Run: [EPSON PictureMate]
    C:\WINDOWS\System32\spool\DRIVERS
    \W32X86\3\E_S4I0P1.EXE /P17 “EPSON
    PictureMate” /O6 “USB001″ /M “PictureMate”
    Sicuro
    Applicazione sconosciuta.
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    5 di 8 23/09/2011 17.53
    O4 – HKLM\..\Run: [TkBellExe]
    “C:\Programmi\File comuni\Real\Update_OB
    \realsched.exe” -osboot
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – HKLM\..\Run: [Adobe ARM]
    “C:\Programmi\File comuni\Adobe\ARM\1.0
    \AdobeARM.exe”
    Davvero
    sicuro
    Sicuro (4 / 5.00)
    O4 – HKLM\..\Run: [Nikon Transfer Monitor]
    C:\Programmi\File comuni\Nikon\Monitor
    \NkMonitor.exe
    Sicuro (4.11 / 5.00)
    O4 – HKLM\..\Run: [WinampAgent]
    C:\Programmi\Winamp\winampa.exe Davvero
    sicuro
    Loads the System Tray icon for the
    WinAmp media player. Can be used
    to mantain file associations so
    programs like QuickTime and
    RealPlayer don t take over as default
    player for various media types.
    Available via Start -> Programs
    O4 – HKLM\..\Run: [DivXUpdate]
    “C:\Programmi\DivX\DivX
    Update\DivXUpdate.exe” /CHECKNOW
    Sicuro (3.59 / 5.00)
    O4 – HKLM\..\Run: [Samsung PanelMgr]
    C:\WINDOWS\Samsung\PanelMgr
    \ssmmgr.exe /autorun
    Davvero
    sicuro
    Samsung Panel Manager
    O4 – HKLM\..\Run: [SunJavaUpdateSched]
    “C:\Programmi\File comuni\Java\Java
    Update\jusched.exe”
    Davvero
    sicuro
    Java von Sun
    O4 – HKLM\..\Run: [DATAMNGR]
    C:\PROGRA~1\WINDOW~4\Datamngr
    \DATAMN~1.EXE
    Sicuro (3.92 / 5.00)
    O4 – HKLM\..\Run: [Adobe Reader Speed
    Launcher] “C:\Programmi\Adobe\Reader
    9.0\Reader\Reader_sl.exe”
    Davvero
    sicuro
    Non pericoloso, ma superfluo. Speeds
    up the time it takes to load the Adobe
    Reader application. Your choice
    O4 – HKCU\..\Run: [swg] C:\Programmi
    \Google\GoogleToolbarNotifier
    \GoogleToolbarNotifier.exe
    Davvero
    sicuro
    Sicuro (3.73 / 5.00)
    O4 – HKCU\..\Run: [H/PC Connection Agent]
    “C:\Programmi\Microsoft
    ActiveSync\wcescomm.exe”
    Active sync for use with Windows CE
    based palm PC
    O4 – HKCU\..\Run: [ctfmon.exe]
    C:\WINDOWS\system32\ctfmon.exe Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE]
    C:\WINDOWS\system32\CTFMON.EXE (User
    ‘SERVIZIO LOCALE’)
    Davvero
    sicuro
    Office related
    O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE]
    C:\WINDOWS\system32\CTFMON.EXE (User
    ‘SERVIZIO DI RETE’)
    Sicuro
    Office related
    O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE]
    C:\WINDOWS\system32\CTFMON.EXE (User
    ‘SYSTEM’)
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE]
    C:\WINDOWS\system32\CTFMON.EXE (User
    ‘Default user’)
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O4 – Global Startup: WinZip Quick Pick.lnk =
    C:\Programmi\WinZip\WZQKPICK.EXE
    Non pericoloso, ma superfluo. Added
    with WinZip version 8.1. “The new
    WinZip Quick Pick taskbar tray icon
    gives you instant access to WinZip
    and your Zip files. Just left click the
    icon to open WinZip
    O8 – Extra context menu item: Add to
    AMV/AVI Video Converter… – C:\Programmi
    \Media Player Utilities 4.25\AMVConverter
    \grab.html
    Sicuro (3.71 / 5.00)
    O8 – Extra context menu item: Add to Google
    Photos Screensa&ver – res://C:\WINDOWS
    \system32\GPhotos.scr/200
    Sicuro
    L’elemento Add to Google Photos
    Screensa&ver è stato identificato
    come sicuro.
    O9 – Extra button: (no name) – {e2e2dd38-
    d088-4134-82b7-f2ba38496583} -
    C:\WINDOWS\Network
    Diagnostic\xpnetdiag.exe
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    6 di 8 23/09/2011 17.53
    O9 – Extra ‘Tools’ menuitem:
    @xpsp3res.dll,-20001 – {e2e2dd38-
    d088-4134-82b7-f2ba38496583} -
    C:\WINDOWS\Network
    Diagnostic\xpnetdiag.exe
    Sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O16 – DPF: {30528230-99f7-4bb4-88d8-
    fa1d4f56a2ab} – C:\Programmi\Yahoo!
    \Common\yinsthelper.dll
    Controllate se conoscete il sito web
    altrimenti eliminatelo (Fix). Oggetti
    ActiveX sconosciuti oppure oggetti
    ActiveX provenienti da siti web
    sconosciuti devono sempre essere
    eliminati. Se il nome dell’oggetto
    ActiveX o dell’indirizzo (URL) contiene
    le parole ‘dialer’, ‘casino’, ‘free plugin’
    ecc, deve essere immediatamente
    cancellato (pulsante Fix di
    HijackThis)!
    O16 – DPF: {6414512B-B978-451DA0D8-
    FCFDF33E833C} (WUWebControl Class)
    - http://update.microsoft.com/windowsupdate
    /v6/V5Controls/en/x86/client/wuweb_site
    .cab?1242901763714
    Questo oggetto è sicuro.
    O16 – DPF: {6E32070A-766D-4EE6-879CDC1FA91D2FC3}
    (MUWebControl Class) -
    http://update.microsoft.com/microsoftupdate
    /v6/V5Controls/en/x86/client/muweb_si
    te.cab?1242901804180
    Questo oggetto è sicuro.
    O16 – DPF: {E2883E8F-472F-4FB0-9522-
    AC9BF37916A7} -
    http://platformdl.adobe.com/NOS/getPlusPlus
    /1.6/gp.cab
    Sicuro
    Controllate se conoscete il sito web
    altrimenti eliminatelo (Fix). Questa
    voce è stata classificata dai nostri
    visitatori come sicura.
    O17 – HKLM\System\CCS\Services\Tcpip
    \..\{E29DE625-F8EE-483C-
    88F0-715294286877}: NameServer =
    212.216.112.112,212.216.172.62
    L’indirizzo IP od il Dominio
    ’212.216.112.112,212.216.172.62′
    è stato identificato come sicuro.
    O20 – AppInit_DLLs: C:\PROGRA~1
    \WINDOW~4\Datamngr\datamngr.dll
    C:\PROGRA~1\WINDOW~4\Datamngr
    \IEBHO.dll C:\PROGRA~1\KASPER~1
    \KASPER~1\kloehk.dll
    O22 – SharedTaskScheduler: Precaricatore
    Browseui – {438755C2-A8BA-11D1-
    B96B-00A0C90312E1} – C:\WINDOWS
    \system32\browseui.dll
    Davvero
    sicuro
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O22 – SharedTaskScheduler: Daemon di cache
    delle categorie di componenti – {8C7461EF-
    2B13-11d2-BE35-3078302C2030} -
    C:\WINDOWS\system32\browseui.dll
    Davvero
    sicuro
    Sicuro (3.96 / 5.00)
    O23 – Service: Application Driver Auto
    Removal Service (01) (appdrvrem01) -
    Protection Technology – C:\WINDOWS
    \System32\appdrvrem01.exe
    Sicuro
    Servizio sconosciuto.
    (appdrvrem01.exe) Questa voce è
    stata classificata dai nostri visitatori
    come sicura.
    O23 – Service: C-DillaCdaC11BA – Macrovision
    - C:\WINDOWS\system32\drivers
    \CDAC11BA.EXE
    Sicuro
    Questo servizio (CDAC11BA.EXE) e’
    stato identificato come non
    pericoloso.
    O23 – Service: Servizio di Google Update
    (gupdate1c9e2d373840fc2)
    (gupdate1c9e2d373840fc2) – Google Inc. -
    C:\Programmi\Google\Update
    \GoogleUpdate.exe
    Sicuro (3.81 / 5.00)
    O23 – Service: Servizio Google Update
    (gupdatem) (gupdatem) – Google Inc. -
    C:\Programmi\Google\Update
    \GoogleUpdate.exe
    Sicuro (3.81 / 5.00)
    O23 – Service: Google Software Updater
    (gusvc) – Google – C:\Programmi\Google
    \Common\Google
    Updater\GoogleUpdaterService.exe
    Questo servizio
    (GoogleUpdaterService.exe) e’ stato
    identificato come non pericoloso.
    HijackThis Logfileauswertung http://www.hijackthis.de/it#anl
    7 di 8 23/09/2011 17.53
    O23 – Service: InstallDriver Table Manager
    (IDriverT) – Macrovision Corporation -
    C:\Programmi\File comuni\InstallShield
    \Driver\11\Intel 32\IDriverT.exe
    Sicuro
    Questo servizio (IDriverT.exe) e’ stato
    identificato come non pericoloso.
    Questa voce è stata classificata dai
    nostri visitatori come sicura.
    O23 – Service: Java Quick Starter
    (JavaQuickStarterService) – Sun
    Microsystems, Inc. – C:\Programmi\Java\jre6
    \bin\jqs.exe
    Davvero
    sicuro
    Servizio sconosciuto. (jqs.exe) Questa
    voce è stata classificata dai nostri
    visitatori come sicura.
    O23 – Service: MBAMService – Malwarebytes
    Corporation – C:\Programmi\Malwarebytes’
    Anti-Malware\mbamservice.exe
    Davvero
    sicuro
    Sicuro (4.75 / 5.00)
    O23 – Service: Norton AntiVirus (NAV) -
    Symantec Corporation – C:\Programmi\Norton
    AntiVirus\Engine\19.1.1.3\ccSvcHst.exe
    Questo servizio (ccSvcHst.exe) e’
    stato identificato come non
    pericoloso.
    O23 – Service: NMSAccess – Unknown owner -
    C:\Programmi\CDBurnerXP\NMSAccessU.exe Sicuro
    Sicuro (4.25 / 5.00)
    O23 – Service: Pml Driver HPZ12 – HP -
    C:\WINDOWS\system32\HPZipm12.exe Sicuro
    Questo servizio (HPZipm12.exe) e’
    stato identificato come non
    pericoloso. Questa voce è stata
    classificata dai nostri visitatori come
    sicura.

  4. Giua

    Scusa, quello che ho postato prima era il resoconto prima della pulizia (fatta in modalità provvisoria), ma la scansione l’avevo fatta in modalità normale.
    Quello di seguito è il resoconto attuale, dopo la pulizia.
    Voci relative a searchqu non le trovo. Vedi qualcosa di strano?
    Grazieeeee

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 21.32.27, on 23/09/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

    R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 – URLSearchHook: Yahoo! Toolbar con blocco Pop-Up – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – (no file)
    O2 – BHO: AcroIEHelperStub – {18DF081C-E8AD-4283-A596-FA578C2EBDC3} – C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 – BHO: Winamp Toolbar Loader – {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} – C:\Programmi\Winamp Toolbar\winamptb.dll
    O2 – BHO: RealPlayer Download and Record Plugin for Internet Explorer – {3049C3E9-B461-4BC5-8870-4C09146192CA} – C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    O2 – BHO: Increase performance and video formats for your HTML5 – {326E768D-4182-46FD-9C16-1449A49795F4} – C:\Programmi\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
    O2 – BHO: Norton Vulnerability Protection – {6D53EC84-6AAE-4787-AEEE-F4628F01010C} – C:\Programmi\Norton AntiVirus\Engine\19.1.1.3\IPS\IPSBHO.DLL
    O2 – BHO: Loader Class – {9D717F81-9148-4f12-8568-69135F087DB0} – C:\PROGRA~1\WINDOW~4\Datamngr\BROWSE~1.DLL
    O2 – BHO: Google Toolbar Notifier BHO – {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} – C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 – BHO: Java(tm) Plug-In 2 SSV Helper – {DBC80044-A445-435b-BC74-9C25C1C588A9} – C:\Programmi\Java\jre6\bin\jp2ssv.dll
    O2 – BHO: JQSIEStartDetectorImpl – {E7E6F031-17CE-4C07-BC86-EABFE594F69C} – C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 – HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 – HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 – HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 – HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 – HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 – HKLM\..\Run: [StatusClient 2.6] C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
    O4 – HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
    O4 – HKLM\..\Run: [HP Software Update] “C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe”
    O4 – HKLM\..\Run: [SSBkgdUpdate] “C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot
    O4 – HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
    O4 – HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
    O4 – HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
    O4 – HKLM\..\Run: [EPSON PictureMate] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 “EPSON PictureMate” /O6 “USB001″ /M “PictureMate”
    O4 – HKLM\..\Run: [TkBellExe] “C:\Programmi\File comuni\Real\Update_OB\realsched.exe” -osboot
    O4 – HKLM\..\Run: [Adobe ARM] “C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe”
    O4 – HKLM\..\Run: [Nikon Transfer Monitor] C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
    O4 – HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
    O4 – HKLM\..\Run: [DivXUpdate] “C:\Programmi\DivX\DivX Update\DivXUpdate.exe” /CHECKNOW
    O4 – HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
    O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Programmi\File comuni\Java\Java Update\jusched.exe”
    O4 – HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
    O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] “C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe”
    O4 – HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 – HKCU\..\Run: [H/PC Connection Agent] “C:\Programmi\Microsoft ActiveSync\wcescomm.exe”
    O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVIZIO DI RETE’)
    O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
    O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
    O4 – Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
    O8 – Extra context menu item: Add to AMV/AVI Video Converter… – C:\Programmi\Media Player Utilities 4.25\AMVConverter\grab.html
    O8 – Extra context menu item: Add to Google Photos Screensa&ver – res://C:\WINDOWS\system32\GPhotos.scr/200
    O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 – DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} – C:\Programmi\Yahoo!\Common\yinsthelper.dll
    O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1242901763714
    O16 – DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1242901804180
    O16 – DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} – http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 – HKLM\System\CCS\Services\Tcpip\..\{E29DE625-F8EE-483C-88F0-715294286877}: NameServer = 212.216.112.112,212.216.172.62
    O20 – AppInit_DLLs: C:\PROGRA~1\WINDOW~4\Datamngr\datamngr.dll C:\PROGRA~1\WINDOW~4\Datamngr\IEBHO.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O22 – SharedTaskScheduler: Precaricatore Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\system32\browseui.dll
    O22 – SharedTaskScheduler: Daemon di cache delle categorie di componenti – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\WINDOWS\system32\browseui.dll
    O23 – Service: Application Driver Auto Removal Service (01) (appdrvrem01) – Protection Technology – C:\WINDOWS\System32\appdrvrem01.exe
    O23 – Service: C-DillaCdaC11BA – Macrovision – C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 – Service: Servizio di Google Update (gupdate1c9e2d373840fc2) (gupdate1c9e2d373840fc2) – Google Inc. – C:\Programmi\Google\Update\GoogleUpdate.exe
    O23 – Service: Servizio Google Update (gupdatem) (gupdatem) – Google Inc. – C:\Programmi\Google\Update\GoogleUpdate.exe
    O23 – Service: Google Software Updater (gusvc) – Google – C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 – Service: Java Quick Starter (JavaQuickStarterService) – Sun Microsystems, Inc. – C:\Programmi\Java\jre6\bin\jqs.exe
    O23 – Service: MBAMService – Malwarebytes Corporation – C:\Programmi\Malwarebytes’ Anti-Malware\mbamservice.exe
    O23 – Service: Norton AntiVirus (NAV) – Symantec Corporation – C:\Programmi\Norton AntiVirus\Engine\19.1.1.3\ccSvcHst.exe
    O23 – Service: NMSAccess – Unknown owner – C:\Programmi\CDBurnerXP\NMSAccessU.exe
    O23 – Service: Pml Driver HPZ12 – HP – C:\WINDOWS\system32\HPZipm12.exe


    End of file – 7983 bytes

  6. Erika

    a me invece…cioè….vado qui: http://www.hijackthis.de/it#anl metto sfoglia.. ma non trovo niente… come devo fare??? ed invece nella ricerca trovo i siti di searchqu ma non so che schiacciare dopo averli selezionati :( che devo mettere?? save log??? oppure fix checked?

  7. Erika

    ________________________

    AIUTATEMIIIIIII allora …. li sopra c’è scritto: Voce per voce vi verrà prospettata una guida che vi consentirà di capire se è consigliabile fissare (cancellare) oppure no il record dal computer. …. MA ho trovato cio che voglio eliminare ma non so come farlo! come devo eliminarlo???

  8. Erika

    :’( :( :( aiutatemi vi prego :’(
    ________________________

    AIUTATEMIIIIIII allora …. li sopra c’è scritto: Voce per voce vi verrà prospettata una guida che vi consentirà di capire se è consigliabile fissare (cancellare) oppure no il record dal computer. …. MA ho trovato cio che voglio eliminare ma non so come farlo! come devo eliminarlo???

    :( :( :( :’( :(

  12. Giua

    Caro Maurizio,
    grazie. Finalmente con IoObit Uninstaller sono riuscito a eliminare il maledetto Searchqu.
    Grazie ancora.
    Giua

  14. Sarah

    Andate in modalità provvisoria, gestione risorse e nell’opzione di ricerca mettete “searchqu”, quindi cancellate tutto quello che trova con tale nome. Con me ha finzionato e non c’è più traccia, bye.

    Sarah

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>