Da qualche giorno al posto della solita immagine del desktop (io ho l'immaggine standard di winXP), mi compare lo sfondo nero con un rettangolo rosso al cui interno è scritto "Your computer is in danger Windows security center has detected....". Provo a cambiare queste questo sfondo ma niente.... Inoltre non riesco ad accedere al task manager, mi dice che non è abilitato, una volta riabilitato al riavvio è lo stesso.
Ho provato con diversi link nello sticky di questa sezione. Ho scaricato anche un programma che indivuduato ed elimanato diversi problemi. Ma non questo.... Il rettangolo in giallo (quello che spunta dalla x rossa di windows) continua a scrivermi "Warning! Security report, your computer is infected!".
Io credo si tratti di questo trojan "f03WtR1066.exe".
Ma è un trojano o uno spyware/malware ?
Ho provato a formattare ma niente....
Cosa consigliate voi esperti ?

Grazie mille per le risposte :)

Hai un antivirus? se si quale? hai fatto una scansione?

scarica hijackthis dalla mia firma e posta il log qui.

Ok grazie.
Questo è il log


Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mevegapa] C:\Programmi\Internet Explorer\mevegapa22011.exe
O4 - HKLM\..\Run: [Windows Framework] C:\DOCUME~1\BAYERN\IMPOST~1\Temp\frmwrk.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2977 bytes

1)Prima cosa grave e da farti notare è che tu (da quello che risulta dal log) non hai un Antivirus e questo è gravissimo per una persona che naviga in Internet. Io personalmente ti consiglio Avira AntiVir Personal Edition che considero il miglio antivirus free sul "mercato". Lo puoi benissimo scaricare dalla mia firma (qui sotto) e puoi configuralo con la ottima guida di juninho85
QUI (http://www.hwupgrade.it/forum/showthread.php?t=1514684).

2)Adesso passiamo al log di Hijackthis, fixa questa voce:

O4 - HKLM\..\Run: [mevegapa] C:\Programmi\Internet Explorer\mevegapa22011.exe

3)Adesso scarica e installa ASQUARED da questo link. (http://download5.emsisoft.com/a2FreeSetup.exe) Esegui lo scan in modalità "Deep Scan" e quando ha finito rimuovi tutte le voce trovate, escluso i riferimenti a MIrc, fotocamere e scanner (naturalmente se hai queste cose).

4)Fai anche una scansione con Panda a questo link (http://www.pandasoftware.com/activescan/it/activescan_principal.htm). Non importa installarlo, basta scendere nella pagina e cliccare "analizza pc".

5)Alla fine di queste scansioni riposta qui il log di hijackthis.

Fixare anche questa:
O4 - HKLM\..\Run: [Windows Framework] C:\DOCUME~1\BAYERN\IMPOST~1\Temp\frmwrk.exe

Ragazzi che sfortuna.... provo ad installare l'antivirus e mi dice questo :cry:

http://img295.imageshack.us/img295/3231/immaginend2.th.png (http://img295.imageshack.us/my.php?image=immaginend2.png)

ottimo :D
posta un log di gmer

ottimo :D
posta un log di gmer


cosa intendi con gmer (perdonami l'ignoranza) :p ?

cosa intendi con gmer (perdonami l'ignoranza) :p ?

gmer è un ottimo programma per individuare RootKit, lo trovi al seguente indirizzo:
http://www.gmer.net/gmer.zip

stp provando ad utilizzare gmer.... ma cosa devo fare esattamente ?
lo scan mi elenca una serie di voci ma non trovo il "setup.exe" che mi serve....

lancia gmer.exe e poi clicca su scan. quindi riporta tutte le voci in rosso

non c'è nessuna voce in rosso, è positivo ?

C:\Programmi\Internet Explorer\mevegapa22011.exe..elimina fisicamente questo file dal disco...
poi esegui una scansione anti ads con questo programma
http://www.nod32.it/getfile.php?tool=adsr

anche questo file va eliminato:

C:\DOCUME~1\BAYERN\IMPOST~1\Temp\frmwrk.exe

anche questo file va eliminato:

C:\DOCUME~1\BAYERN\IMPOST~1\Temp\frmwrk.exe

io consiglierei di svuotare tutta la cartella temp oltre quel file

Niente :(

Se formatto dite che risolvo ?

Niente :(

Se formatto dite che risolvo ?

se formatti risolvi sicuramente,ma vale la pena formattare per un trojan?

Ciao Disattivazione del ripristino configurazione sistema:
Disattivazione ripristino: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla seconda, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:

poi Scarica http://www.zonavirus.com/datos/descargas/95/elibagla.asp scorri a fondo pagina e clicca su "descargar elibagla"
Assicurati che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavvia il pc e posta il log che trovi in: C:\InfoSat.txt
Mi raccomando...lancia prima l'elistar e poi l'elibagla.

Ciao Disattivazione del ripristino configurazione sistema:
Disattivazione ripristino: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla seconda, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:

poi Scarica http://www.zonavirus.com/datos/descargas/95/elibagla.asp scorri a fondo pagina e clicca su "descargar elibagla"
Assicurati che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavvia il pc e posta il log che trovi in: C:\InfoSat.txt
Mi raccomando...lancia prima l'elistar e poi l'elibagla.

a ke serve l elistar?

scarica elistarA Mi raccomando...lancia prima l'elistar e poi l'elibagla.
Ciao socio :ave: ;)
vedo che, dagli scantinati dei quartieri spagnoli del web :D hai recuperato un nuovo tool.
Annotato, anche questo :mano: .

a ke serve l elistar?
E un Tool che consente di rimuovere il trojan.Startpage e sue varianti.

Ciao Socio :D Effettivamente i quartieri spagnoli vanno di fama:D comunque inizialmente era nato per quello ma dalla terza edizione rimuove parecchie cose,testato su un pc con un dialer e annesso clicker ha spazzato un bel pò di cose e mi ha aiutato parecchio.;)

Ciao a tutti..credo di aver trovato una discussione che mi riguarda, ma non so che fare; mi date un mano per favore?

Per motivi che non vi sto a spiegare, ho seguito la procedura che indicate 2 volte..la prima volta ho fatto girare i programmi in elenco fino a Dr.Web CureIT; pensando erroneamente che fosse tutto a posto mi sono interrotto, ma evidentemente non era così. Ho ripreso la procedura da capo e seguita fino alla fine, anche se con qualche problema: F-Secure OnLine mi si impianta..ho fatto girare
Kaspersky Virus Removal Tool e non mi ha trovato niente...e non riesco a "prendere" il log di Dr.Web CureIT perchè non mi permette di accedere alla cartella C:\Documents and Settings..anzi, dall'icona sembra un collegamento e se clicco su proprietà/protezione, nessun utente/gruppo ha autorizzazioni su questo oggetto..ho allegato le immagini delle schermate, se serve

I log sono qui di seguito.

log di Malwarebytes Anti-Malware:
mbam-log-2009-08-25 (19-38-33).txt (http://wikisend.com/download/435410/mbam-log-2009-08-25 (19-38-33).txt)

Log di A-Squared Free v4.x
a2scan_090825-194144.txt (http://wikisend.com/download/473568/a2scan_090825-194144.txt)

Log di F-Secure OnLine:
lanciato due volte, mi si è impiantato su un file e non procede..annulo e cmq mi disinfesta..la prima volta trova 16 spyware(credo), la seconda 8..
FSecure_2.txt (http://wikisend.com/download/492348/FSecure_2.txt)
volendo ho anche il log precedente

Log di Dr.Web CureIT:
lanciato due volte, mi si è impiantato su un file e non procede..annulo e cmq mi permette di curare il Trojan.StartPage.1505 allego le immagine delle videate, sperando che serva..
CureIt.1_a.jpg (http://wikisend.com/download/497998/CureIt.1_a.jpg)
e
CureIt_2.JPG (http://wikisend.com/download/494948/CureIt_2.JPG)

Log di ESET SysInspector:
SysInspector-PC-PALLADINO-090826-1931.xml (http://wikisend.com/download/481902/SysInspector-PC-PALLADINO-090826-1931.xml)

Log di HiJackThis:
hijackthis.log (http://wikisend.com/download/961640/hijackthis.log)

Log di Gmer:
nessuna voce in rosso
Gmer.log (http://wikisend.com/download/637286/Gmer.log)

Log di Prevx:
Prevx3.0 (http://wikisend.com/download/482918/Prevx3.0)
e immagine:
Prevx3.0.JPG (http://wikisend.com/download/964444/Prevx3.0.JPG)

Spero di aver fatto tutto a dovere, grazie in anticipo per l'aiuto
ciaoo

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab



non si vede o è disattivato il firewall

Le voci che mi hai detto di fixxare non ci sono più
ho riavviato e controllato, ora il firewall me lo da attivo...prima di riavviare non ci ho pensato a controllare

se non hai più problemi prosegui con il trattamento post disinfezione

ok, grazie wjmat gentilissimo..e rapidissimo! :)
Secondo te però, per curiosità, potrebbe essere stato questo trojan la causa per il quale il computer si impiantava(tipo che non la schermata si bloccava e non rispondeva più ne alla tastiera ne al mouse) o che si riavviava da solo?
..o che dopo essersi spento da solo, non ripartiva più se non lasciandolo 10/15 min spento??
o potrebbe esserci qualche problema hardware?
io inizialmente avevo pensato che questi errori fossero dovuti o alla RAM o all'Hd con qualche problema, poi trovato il virus ho dato per scontato che il colpevole fosse lui.
Ora cmq faccio qualche prova ed eseguo il trattamento post disinfezione.
Grazie ancora, ciaoo

rieccomi..ho installato Avira ed eseguito una scansione e mi ha trovato altri 2 virus. Ho eseguito l'azione di default e credo dal report abbia messo tutto in quarantena.
Che faccio? sono a posto così? allego il log di Avira avira.txt (http://wikisend.com/download/537488/avira.txt)
Grazie per la pazienza!

se non sbaglio i file trovati da avira sono nella quarantena della scansione online di f-secure
come da trattamento quella cartella andava eliminata insime a tutta la cartella di f-secure

procedi pure ;)

eccomi
Mi ero perso un pezzo, sorry :)
in C:\Windows\Downloaded Program Files c'è un file che si chiama F.Secure Online Scanner Launcher, non me lo fa cancellare, cliccando col destro mi da solo la possibilità di vedere le proprietà
Cancello direttamente la cartella?(se me lo fa fare)

poi C:\fsaua.data non lo trovo (ho abilitato la visualizzazione dei files nascosti)

Per quanto riguarda il 3 passaggio della guida riesco trovo solo la cartella OnlineScanner, che ho eliminato

Non riesco più a far girare F.Secure però, mentre scarica i files inteviene Avira e mi segnala dei files, a cui come azione di default, nego l'accesso...e poi si pianta e mi restituisce un errore 4.1

un ultima curiosità..è normale che non possa accedere a c:\Documents and Settings e che me la visualizzi come fosse un collegamento?

Thank's!!!

se vuoi rieseguire fsecure tieni disabilitato antivir se interferisce o altrimenti come scelta ignora, negando ovviamente blocchi fsecure

c:\Documents and Settings contiene le cartelle dei vari utenti che se protetti con psw non permettono di accedere alle proprie cartelle a meno che diventi proprietario di esse
http://support.microsoft.com/?kbid=308421

ok, disabilitato Avira e rilanciato F.Secure..e per quei files che non riesco a cancellare(F.Secure Online Scanner Launcher) ? elimino la cartella?
Dopo FSecure mi considero salvo?

ok, disabilitato Avira e rilanciato F.Secure..e per quei files che non riesco a cancellare(F.Secure Online Scanner Launcher) ? elimino la cartella?
Dopo FSecure mi considero salvo?

Allega un log di HJT

Eccolo, intanto sta girando F.Secure..ed ha individuato 7 spyware

Eccolo, intanto sta girando F.Secure..ed ha individuato 7 spyware

Allega anche il log di F-Secure, dopodichè fixi

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

che corrisponde agli ActiveX Objects salvati in Downloaded Program Files

Il log di F-Secure se vuoi ho quello precedente e posso postarlo subito...adesso ci metterà 2/3 ore prima che finisca e probabilmente, come le altre 2 volte che l'ho lanciato, si impianterà..quando finisce fixo e provo a eliminare..

Finito!! mi ricordavo ci mettesse di più..cmq si è impiantato ancora, sempre sullo stesso file, ho stampato la schermata se serve.
il log di F-Secure Fsecure_3.txt (http://wikisend.com/download/464330/Fsecure_3.txt)
Non c'è più il file in Downloaded Program Files Downloaded Program Files ed ho cancellato le cartelle.

Finito!! mi ricordavo ci mettesse di più..cmq si è impiantato ancora, sempre sullo stesso file, ho stampato la schermata se serve.
il log di F-Secure Fsecure_3.txt (http://wikisend.com/download/464330/Fsecure_3.txt)
Non c'è più il file in Downloaded Program Files Downloaded Program Files ed ho cancellato le cartelle.

A posto, ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

oléé :)
ora seguo la guida e cerco di sistemare bene tutto..
Grazie mille wjmat e Chill-Out!!