Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Yaku83]

Quote:

Originariamente inviato da Chill-Out

Dal log non si evince nulla di chè, ripristina le modifiche apportate da SpyBot

e come si fa ? io appena ho visto che faceva cose simili spybot l ho disinstallato ... quindi non si può risolvere la questione ?

[Chill-Out]

Quote:

Originariamente inviato da Yaku83

e come si fa ? io appena ho visto che faceva cose simili spybot l ho disinstallato ... quindi non si può risolvere la questione ?

Fai girare nuovamente SDFix e vediamo se ripristina i valori di default, dopodiche fai girare questo tool

Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

[NBz_GT4]

ragazzi, è impressione mia oppure non funziona più nessun link? ci sto mettendo ua vita a tovare tutti i programi e sono ancora ai primi 2.... Dr.Web CureIt lo to cercando ancora... -.-'

[Chill-Out]

Quote:

Originariamente inviato da NBz_GT4

ragazzi, è impressione mia oppure non funziona più nessun link? ci sto mettendo ua vita a tovare tutti i programi e sono ancora ai primi 2.... Dr.Web CureIt lo to cercando ancora... -.-'

Appena testati funzionano tutti correttamente

[Yaku83]

Tramite spybot ho fatto ripristina a tutte le modifiche che aveva fatto , ma non è cambiato nulla... la cosa buffa è che i menu sulla sinistra del desktop sono realmente funzionanti ... cioè se clicco documenti si apre documenti ecc ecc

[Yaku83]

Eseguito Superantispyware poi ccleaner, e poi systemscan , la situazione è peggiorata in quanto adesso su start non c'è più nemmeno il tasto tutti i programmi ....

questo è il log :

http://www.fileqube.com/shared/EDJNIOZ93110

adesso provo la tua soluzione Chill-out

[Yaku83]

Quote:

Originariamente inviato da Chill-Out

Fai girare nuovamente SDFix e vediamo se ripristina i valori di default, dopodiche fai girare questo tool

Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Sdfix prima del riavvio

http://www.fileqube.com/shared/ZfclUe93132

sdfix dopo il riavvio

http://www.fileqube.com/shared/SmWytYZ93133

e questo è il rapport dopo aver eseguito tutta la tua guida

http://www.fileqube.com/shared/aDmneBZx93134

non è cambiato nulla ma ti volevo ringraziare per la pazienza e per tutto quello che stai facendo

[Chill-Out]

Quote:

Originariamente inviato da Yaku83

Eseguito Superantispyware poi ccleaner, e poi systemscan , la situazione è peggiorata in quanto adesso su start non c'è più nemmeno il tasto tutti i programmi ....

questo è il log :

http://www.fileqube.com/shared/EDJNIOZ93110

adesso provo la tua soluzione Chill-out

Mai chiesto SystemScan ma su quanti Forum stai chiedendo assistenza, ti consiglio per evitare sovrapposizioni di seguire una procedura o l'altra, se no si fanno macelli.

[Chill-Out]

Quote:

Originariamente inviato da Yaku83

Sdfix prima del riavvio

http://www.fileqube.com/shared/ZfclUe93132

sdfix dopo il riavvio

http://www.fileqube.com/shared/SmWytYZ93133

e questo è il rapport dopo aver eseguito tutta la tua guida

http://www.fileqube.com/shared/aDmneBZx93134

non è cambiato nulla ma ti volevo ringraziare per la pazienza e per tutto quello che stai facendo

Sei sicuro di aver fatto girare ancora MBAM

che ci fanno queste chiavi ancora in giro

Quote:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"

fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

NB: disabilita anche quel cavolo di SpyBot

[Yaku83]

Quote:

Originariamente inviato da Chill-Out

Sei sicuro di aver fatto girare ancora MBAM

che ci fanno queste chiavi ancora in giro



fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

NB: disabilita anche quel cavolo di SpyBot

Ecco questo è il nuovo log di MBAM

http://www.fileqube.com/shared/nzUcOvCK93184

questo è quello di combofix

http://www.fileqube.com/shared/nOMiDOi93185

come prima non è cambiato nulla .... si scusa se ho fatto girare prima altri programmi ma sembra che sono in alto mare comunque sto seguendo alla lettera tutto ciò che mi dici di fare , e ti ringrazio davvero di nuovo

[Chill-Out]

Quote:

Originariamente inviato da Yaku83

Ecco questo è il nuovo log di MBAM

http://www.fileqube.com/shared/nzUcOvCK93184

questo è quello di combofix

http://www.fileqube.com/shared/nOMiDOi93185

come prima non è cambiato nulla .... si scusa se ho fatto girare prima altri programmi ma sembra che sono in alto mare comunque sto seguendo alla lettera tutto ciò che mi dici di fare , e ti ringrazio davvero di nuovo

Purtroppo hai provveduto a reinfettarti, procedi così:

1 ripeti la Deep Scan con A-Squared come indicato in Guida in prima pagina
2 Prevx CSI -> Download
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File
3 Gmer -> Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

[NBz_GT4]

ragazzi, tutto sistemato grazie a voi
Ho solo un problema. perchè non mi visualizza il "link" Tutti i programmi nello Start?

[NBz_GT4]

niente più. Sistemato Ho avviato ComboFix in provvisoria

[storr]

Allora, io ho beccato il Rogue XP Antivirus proprio ieri, ho fatto la scansione con Malwarebytes' Anti-Malware e mi ha rilevato e messo in quarantina alcune voci di registro, librerie, ecc. Dopo di che ho rifatto la scansione sempre con Malwarebytes' Anti-Malware e anche con altri antyspyware e non mi è stato rilevato più alcun problema da tali software.

Posso stare tranquillo e ritenere il virus definitivamente sparito dal mio sistema?
Dato che dopo il virus ho riscontrato alcuni problemi di rete sul mio pc tali problemi possono essere attribuiti al virus? E se si come potrei risolverli?

Ultima domanda: il virus potrebbe in qualche modo aver incasinato il router?

grazie a tutti

[Chill-Out]

Quote:

Originariamente inviato da storr

Allora, io ho beccato il Rogue XP Antivirus proprio ieri, ho fatto la scansione con Malwarebytes' Anti-Malware e mi ha rilevato e messo in quarantina alcune voci di registro, librerie, ecc. Dopo di che ho rifatto la scansione sempre con Malwarebytes' Anti-Malware e anche con altri antyspyware e non mi è stato rilevato più alcun problema da tali software.

Posso stare tranquillo e ritenere il virus definitivamente sparito dal mio sistema?
Dato che dopo il virus ho riscontrato alcuni problemi di rete sul mio pc tali problemi possono essere attribuiti al virus? E se si come potrei risolverli?

Ultima domanda: il virus potrebbe in qualche modo aver incasinato il router?

grazie a tutti

Io porterei a termine la Guida allegando i log per il controllo, inoltre che cosa intendi di preciso per "incasinamento del router"?

[storr]

Allora, i log li posto stasera da casa perchè ora sono al lavoro, spero avrete la bontà di dargli un'occhiata e farmi sapere (oltre al log di Malwarebytes' Anti-Malware quale altro log devo postarti?). Quanto a incasinamenti del router mi riferivo ai seguenti problemi di rete tra i miei due pc che ho riscontrato dopo aver preso (ed eliminto) il virus da uno dei due (il portatile):

- il portatile pinga il fisso ma il fisso non pinga il portatile

- se dal fisso digito \\indirizzo IP Portatile mi appare il messaggio di errore: "xx.xx.xx.xx nessun provider di rete ha accettato il percorso di rete specificato"

- la porta TCP configurata per Emule risulta chiusa, anche se sul firewall del router io l'ho aperta

Ripeto, questi ultimi tre problemi di rete si sono verificato dopo aver preso ed eliminato il rogue sul protatile.

Grazie

[Chill-Out]

Quote:

Originariamente inviato da storr

Allora, i log li posto stasera da casa perchè ora sono al lavoro, spero avrete la bontà di dargli un'occhiata e farmi sapere (oltre al log di Malwarebytes' Anti-Malware quale altro log devo postarti?). Quanto a incasinamenti del router mi riferivo ai seguenti problemi di rete tra i miei due pc che ho riscontrato dopo aver preso (ed eliminto) il virus da uno dei due (il portatile):

- il portatile pinga il fisso ma il fisso non pinga il portatile

- se dal fisso digito \\indirizzo IP Portatile mi appare il messaggio di errore: "xx.xx.xx.xx nessun provider di rete ha accettato il percorso di rete specificato"

- la porta TCP configurata per Emule risulta chiusa, anche se sul firewall del router io l'ho aperta

Ripeto, questi ultimi tre problemi di rete si sono verificato dopo aver preso ed eliminato il rogue sul protatile.

Grazie

Dubito che i problemi descritti possano derivare dal malware, hai fatto le opportune verifiche sul router, sulla configurazione di rete, sul firewall e sui i permessi? Per il resto attendiamo i log

Domanda: il portatile viaggia in rete senza problemi?

[xcdegasp]

in una stessa la lan non ci possono essere due emule che usano la stessa porta remota! ovviamente intendo anche che non puoi creare la regola nel router per emule con le stesse porte per entrambi i pc
quindi cambia su ciasc'un ip la porta e vedrai che il mulo torna a galoppare

se ci chiedi assistenza devi essere disposto ad avallare le richieste di pubblicazione dei log, noi mettiamo il nostro tempo a disposizione per aiutare te e gli altri gratuitamente ma se ci mettete in difficoltà richiedendo anche la capacità di chiaroveggienza allora forse viene richiesta assistenza al forum sbagliato

[storr]

Scusa, xcdegasp, ma nel mio ultimo post ho detto che avrei postato i log stasera (più probabilmente stanotte, quando moglie e pupo sono a nanna e posso stare finalmente al pc in santa pace) perchè ora sono al lavoro.

Quanto ai dubbi da voi evidenziati aggiungo che sia portatile che fisso viaggiano su internet senza problemi, ovviamente il mulo parte solo su un pc per volta, ma mentre sul fisso va senza problemi di apertura porte sul portatile (lo lancio dopo averlo chiuso sul fisso) la porta TCP risulta essere chiusa anche se sul router è aperta.

Grazie e ciao

[xcdegasp]

ripeto:
nel router devi creare le regole con prote differenti per entrambi i pc, esempio:

virtual server (per i router us-robotics lo schema è formato così):
4262 | 4262 | tcp | 4262 | 4262 | 192.168.1.2 -> pc1
4272 | 4272 | udp | 4272 | 4272 | 192.168.1.2 -> pc1

4462 | 4462 | tcp | 4462 | 4462 | 192.168.1.3 -> pc2
4472 | 4472 | udp | 4472 | 4472 | 192.168.1.3 -> pc2

come vedi ogni ip deve avere porte differenti indipendentemente che stiua usando emule o meno