Io sto facendo ancora gli ultimi scan per verificare se sto cavolo di Vundo è rimasto oppure no, poi vi posterò i vari log così se avrete tempo potrete aiutarmi...nel frattempo volevo chiedervi come ripristinare lo sfondo del desktop dato che (presumo causa Vundo dato che è successo dopo l'infezione) è completamente nero (icone e tutto il resto si vedono benissimo) e qualunque immagine io imposti non me la mette non fa nemmeno vedere l'anteprima...esiste per caso una soluzione ?

Ho provato a controllare qualche chiave di registro ma su ActiveDesktop non ce n'è nessuna..in ogni caso chiedo prima a voi per evitare di far danni =P

ho un prolema terribile con un file ho infettato col vundo il pc del da lavoro del mio capo e anche dopo aver seguito la vostra guida non ne vuole sapere di sloggiare.
la cosa strana che delle elle 4 scansioni che VundoFix FixVundo ComboFix trovano nulla ma viene rilevato solo da SuperAntiSpyware che comunque rha rilevato 1 solo file infetto e l'ha riparato ma non è servito a nulla.
Ora addirittura il pc non si naviga neanche piu (le mail vanno regolarmente)
questo (http://www.megaupload.com/?d=NANLDAC7) è il log di HiJackThis.
Viprego ho bisogno di aiuto perchè sono nella m***a fino al collo.

yama
ciao
comincia a caricare i log richiesti dalla guida secondo le modalità previste nelle regole di sezione

Io sto facendo ancora gli ultimi scan per verificare se sto cavolo di Vundo è rimasto oppure no, poi vi posterò i vari log così se avrete tempo potrete aiutarmi...nel frattempo volevo chiedervi come ripristinare lo sfondo del desktop dato che (presumo causa Vundo dato che è successo dopo l'infezione) è completamente nero (icone e tutto il resto si vedono benissimo) e qualunque immagine io imposti non me la mette non fa nemmeno vedere l'anteprima...esiste per caso una soluzione ?

Ho provato a controllare qualche chiave di registro ma su ActiveDesktop non ce n'è nessuna..in ogni caso chiedo prima a voi per evitare di far danni =P
ciao, vorremmo vedere i log

Avviso però che sto facendo lo scan ora con f-secure e mi sta dando 1 file infetto da virus..azz..per ora vi lascio i log..di hijack..combofix..vundofix...(mi pare) e fixvundo..o qualcosa del genere =P


http://www.mediafire.com/?rm4xlj10qme

http://www.mediafire.com/?flr0xmescfe

http://www.mediafire.com/?uzwlxchmwuu

http://www.mediafire.com/?ljhxyyqnize

ciao
comincia a caricare i log richiesti dalla guida secondo le modalità previste nelle regole di sezione

si sucsa ma ero in preda al panico e me ne sono dimenticato.

sono i log che servono manca solo il log di vundofix che non l'ha prodotto perchè non ha trovato nulla.

http://www.mediafire.com/?309ddswynys

http://www.mediafire.com/?ujqm03uvhew

http://www.mediafire.com/?i4kmdsbrz9y

http://www.mediafire.com/?jwl2wsqlglw

yama

si sucsa ma ero in preda al panico e me ne sono dimenticato.

sono i log che servono manca solo il log di vundofix che non l'ha prodotto perchè non ha trovato nulla.

http://www.mediafire.com/?309ddswynys

http://www.mediafire.com/?ujqm03uvhew

http://www.mediafire.com/?i4kmdsbrz9y

http://www.mediafire.com/?jwl2wsqlglw

yama

il log di vundofix si trova in C:\

ma il log lo crea lo stesso anche se non trova nulla?
Mi ha proprio dato il messaggio no vundo find.

Paolo

Avviso però che sto facendo lo scan ora con f-secure e mi sta dando 1 file infetto da virus..azz..per ora vi lascio i log..di hijack..combofix..vundofix...(mi pare) e fixvundo..o qualcosa del genere =P


http://www.mediafire.com/?rm4xlj10qme

http://www.mediafire.com/?flr0xmescfe

http://www.mediafire.com/?uzwlxchmwuu

http://www.mediafire.com/?ljhxyyqnize

Allega i log di SAS e F-Secure

si sucsa ma ero in preda al panico e me ne sono dimenticato.

sono i log che servono manca solo il log di vundofix che non l'ha prodotto perchè non ha trovato nulla.

http://www.mediafire.com/?309ddswynys

http://www.mediafire.com/?ujqm03uvhew

http://www.mediafire.com/?i4kmdsbrz9y

http://www.mediafire.com/?jwl2wsqlglw

yama

Allega i log di SAS e F-Secure

ma il log lo crea lo stesso anche se non trova nulla?
Mi ha proprio dato il messaggio no vundo find.

Paolo

si, e crea sempre in automatico una cartella di backup che io sappia

http://www.mediafire.com/?lncmhx29zty

Questo è quello di F-secure...SAS non so se mettertelo perchè non rileva niente...casomai se strettamente necessario lo rifaccio e metto pure il log...

http://www.mediafire.com/?lncmhx29zty

Questo è quello di F-secure...SAS non so se mettertelo perchè non rileva niente...casomai se strettamente necessario lo rifaccio e metto pure il log...
superantispyware deve essere configurato così (http://img165.imageshack.us/my.php?image=superpm6.jpg), affinchè scansioni correttamente
e ovviamente complete scan ;)

Sto facendo lo scan completo di nuovo con quelle impostazioni..ma poi il log come lo ottengo perchè non me lo dà subito come con gli altri programmi...in ogni caso avete qualche idea per il problema del desktop citato prima ? ;)

i log o li recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

http://www.mediafire.com/?m9gz4by1ivo

Eccolo...cmq riguardando il computer il desktop me lo fa settare solo a tinta unita e non visualizzo piu le anteprime delle icone qualsiasi cartella io apra...riesco a vederle solo se ogni volta cambio "visualizzazione" ma ogni volta che entro di nuovo in una cartella vedo solo i titoli dei file ma niente icone..

http://www.mediafire.com/?m9gz4by1ivo

Eccolo...cmq riguardando il computer il desktop me lo fa settare solo a tinta unita e non visualizzo piu le anteprime delle icone qualsiasi cartella io apra...riesco a vederle solo se ogni volta cambio "visualizzazione" ma ogni volta che entro di nuovo in una cartella vedo solo i titoli dei file ma niente icone..
scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log

http://www.mediafire.com/?xx92djyj2td

Eccolo di nuovo...

http://www.mediafire.com/?xx92djyj2td

Eccolo di nuovo...

Dovresti essere Ok riscontri problemi

E' quello che dicevo prima...ho il desktop solo monocolore, non posso settare nessuna immagini niente di niente...e poi alcune icone quando apro le cartelle non si vedono per bene ma solo i titoli dei file...e questo è successo dopo essermi beccato vundo..

E' quello che dicevo prima...ho il desktop solo monocolore, non posso settare nessuna immagini niente di niente...e poi alcune icone quando apro le cartelle non si vedono per bene ma solo i titoli dei file...e questo è successo dopo essermi beccato vundo..

Sono sintomi non legati al Vundo, hai provato ad attaccare un'altro monitor o si tratta di un Note

E' un Note..

Allega i log di SAS e F-Secure

F-SECURE non l'ho potuto fare visto che il pc è off-line per internet e per SAS dove si trova il log?
posso dirvi a memoria che nella prima scansione "veloce" (non potevo bloccare il pc per molto tempo) aveva trovato
2 file in fetti da vundo
piu di 200 tracking cookie
poi la sera prima di andare via gli ho fatto fare una scansione approfondita che ha trovato:
158 tracking cookie
6 adware.vundo variant/rel
2 trojan.downloader-newjuan/VM
1 trojan.vxgame-variant/D
e adesso gli ho fatto rifare la scansione solo delle aree importanti e continua a trovare gli stessi 2 file ddl infetti da vundo.

Yama

F-SECURE non l'ho potuto fare visto che il pc è off-line per internet e per SAS dove si trova il log?
posso dirvi a memoria che nella prima scansione "veloce" (non potevo bloccare il pc per molto tempo) aveva trovato
2 file in fetti da vundo
piu di 200 tracking cookie
poi la sera prima di andare via gli ho fatto fare una scansione approfondita che ha trovato:
158 tracking cookie
6 adware.vundo variant/rel
2 trojan.downloader-newjuan/VM
1 trojan.vxgame-variant/D
e adesso gli ho fatto rifare la scansione solo delle aree importanti e continua a trovare gli stessi 2 file ddl infetti da vundo.

Yama
i log di sas o li recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

se f-secure non puoi, usa Kaspersky Virus Removal Tool, lo scarichi e poi non necessita di connessione

sto incontrando qualche difficoltà a scaricare kaspeski intanto questi sono i log di sas:
SUPERAntiSpyware Scan Log - 06-18-2008 - 11-28-18.log (http://www.mediafire.com/?mxj4odxzylf)
SUPERAntiSpyware Scan Log - 06-19-2008 - 09-52-07.log (http://www.mediafire.com/?yb21uxmgtzc)
SUPERAntiSpyware Scan Log - 06-19-2008 - 09-58-01.log (http://www.mediafire.com/?ybjjdzf2vy0)

Yama

sto incontrando qualche difficoltà a scaricare kaspeski intanto questi sono i log di sas:
SUPERAntiSpyware Scan Log - 06-18-2008 - 11-28-18.log (http://www.mediafire.com/?mxj4odxzylf)
SUPERAntiSpyware Scan Log - 06-19-2008 - 09-52-07.log (http://www.mediafire.com/?yb21uxmgtzc)
SUPERAntiSpyware Scan Log - 06-19-2008 - 09-58-01.log (http://www.mediafire.com/?ybjjdzf2vy0)

Yama
Guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)al punto 4 e cominci ad eliminare i files inutili

con sas non hai mai fatto la scansione completa... aggiornalo, spunta tutte le partizioni e fai perform complete scan

SUPERAntiSpyware Scan Log - 06-19-2008 - 10-30-17.log (http://www.mediafire.com/?ml1ekqttzju)

questo è il Log dell'ultima scansione completa.

nelle ultime 7 o 8 scansioni del PC ha trovato sempre le stesse 2 chiavi di registro "infettate"

dopo questa scansione ho pulito tutto sia con ATF che con CCleaner (sia file che registro)

Il PC continua a non "girare" in internet riesce a scaricare la posta dal server aziendale

Yama

SUPERAntiSpyware Scan Log - 06-19-2008 - 10-30-17.log (http://www.mediafire.com/?ml1ekqttzju)

questo è il Log dell'ultima scansione completa.

nelle ultime 7 o 8 scansioni del PC ha trovato sempre le stesse 2 chiavi di registro "infettate"

dopo questa scansione ho pulito tutto sia con ATF che con CCleaner (sia file che registro)

Il PC continua a non "girare" in internet riesce a scaricare la posta dal server aziendale

Yama
il ripristino conf. di sistema è disattivato?

la scansione non mi sembra completa

Generated 06/19/2008 at 10:30 AM

Application Version : 4.15.1000

Core Rules Database Version : 3469
Trace Rules Database Version: 1460

Scan type : Custom Scan
Total Scan Time : 00:03:34

il ripristino di configurazione è disattivato.

Mi sono accorto anch'io DOPO averlo postato che c'era scritto custom scan.
Magari sbaglio io; nella finestra di scielta della scansione io scelgo perform complete scan ma fin'ora non avevo selezionato tutte le unita perchè ci sono anche 2 unità di rete (sul server aziendale) collegate al pc e il lettore CD.

Come non detto mi sono semplicemente sbagliato log ho postato il log di una scansione vecchia non completa quello giusto è:
SUPERAntiSpyware Scan Log - 06-19-2008 - 11-38-18.log (http://www.mediafire.com/?120ywvkqt3x)

Yama

ora sembra che vada molto bene. Non ho più problemi nella navigazione e l'avvio è molto più veloce. Grazie a tutti per l'aiuto che mi avete fornito

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

il ripristino di configurazione è disattivato.

Mi sono accorto anch'io DOPO averlo postato che c'era scritto custom scan.
Magari sbaglio io; nella finestra di scielta della scansione io scelgo perform complete scan ma fin'ora non avevo selezionato tutte le unita perchè ci sono anche 2 unità di rete (sul server aziendale) collegate al pc e il lettore CD.

Come non detto mi sono semplicemente sbagliato log ho postato il log di una scansione vecchia non completa quello giusto è:
SUPERAntiSpyware Scan Log - 06-19-2008 - 11-38-18.log (http://www.mediafire.com/?120ywvkqt3x)

Yama
come sei messo ora?

Io sono ancora alle prese con questo maledetto mallware.
Ho fatto per filo e per segno la procedura di rimozione, ma tutt'ora quando uso firefox non riesco ad entrare il google, yahoo e molti altri siti.
Mentre IE7 non sembra più aprirmi i pop-up fastidiosi.

Posto il log di hijackthis, fatto alla fine di tutta la procedura. Qulacuno può aiutarmi? ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43, on 2008-06-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\McAfee.com\Agent\mcagent.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\DAEMON Tools Lite\daemon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
C:\Programmi\McAfee\VirusScan\McShield.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Programmi\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1210757162078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210839589765
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B266640-667A-4798-875E-9B8B278FEC68}: NameServer = 212.216.112.222,212.216.172.162
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1DA3560-B152-4A6E-BB0C-01D175F888A1}: NameServer = 212.216.112.112,212.216.176.62
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Programmi\McAfee\VirusScan\McShield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 11083 bytes

come sei messo ora?

esattamente come settimena scorsa solo che adesso internet va per 1 pagina e poi smette nel senso che quando apro IE(7) vedo l'home page, Goggle, se faccio una ricerca va ma se mi azzardo a cliccare su un link qualsiasi mi da sempre e solo la finestra di pagina non trovata anche se poi faccio indietro.

Yama

Io sono ancora alle prese con questo maledetto mallware.
Ho fatto per filo e per segno la procedura di rimozione, ma tutt'ora quando uso firefox non riesco ad entrare il google, yahoo e molti altri siti.
Mentre IE7 non sembra più aprirmi i pop-up fastidiosi.

Posto il log di hijackthis, fatto alla fine di tutta la procedura. Qulacuno può aiutarmi? ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43, on 2008-06-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal



--
End of file - 11083 bytes

vogliamo vedere tutti i log
e caricali secondo le modalità che trovi nelle regole di sezione

Intanto lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user'

vogliamo vedere tutti i log
e caricali secondo le modalità che trovi nelle regole di sezione

Intanto lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

O2 - BHO: {23042ff4-74eb-fe4a-e634-258209d0cc4d} - {d4cc0d90-2852-436e-a4ef-be474ff24032} - C:\WINDOWS\system32\ucmdbcbg.dll (file missing)
O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\dkdneovs.dll",b
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user'


Ho fatto tutto come da tue indicazioni ed eccoti il log dopo il riavvio:

hijackthis2.log (http://wikisend.com/download/939420/hijackthis2.log)

Poi ti allego i log precedenti all'ultima operazione:

FixVundo.log (http://wikisend.com/download/359968/FixVundo.log)

combolog.txt (http://wikisend.com/download/497760/combolog.txt)

Spero possa bastare. Thanks in advance.. ;)

Ho fatto tutto come da tue indicazioni ed eccoti il log dopo il riavvio:

hijackthis2.log (http://wikisend.com/download/939420/hijackthis2.log)

Poi ti allego i log precedenti all'ultima operazione:

FixVundo.log (http://wikisend.com/download/359968/FixVundo.log)

combolog.txt (http://wikisend.com/download/497760/combolog.txt)

Spero possa bastare. Thanks in advance.. ;)
manca vundofix e virtumondo ;)
intando combo ha trovato un pò di robaccia

Apri il Blocco Note e incolla tutto il codice qui sotto

File::
C:\WINDOWS\system32\svoendkd.ini
C:\WINDOWS\system32\ucmdbcbg.dll
C:\WINDOWS\system32\dkdneovs.dll
C:\WINDOWS\system32\demxvshs.dll
C:\WINDOWS\system32\pajtrnfs.dll
C:\WINDOWS\system32\goablrmf.dll
C:\WINDOWS\system32\wcycqjwj.dll


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe ravviare ( eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


poi rimangono ancora questi che voglio vedere con qualcuno...
C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir
C:\WINDOWS\system32\efcATNEX.dll

manca vundofix e virtumondo ;)
intando combo ha trovato un pò di robaccia

Allora, vundoFix non mi trova nulla in scansione, mentre ti posto il log di Virtumondo:

VBG.TXT (http://wikisend.com/download/939558/VBG.TXT)

Eccoti il log appena sfornato da Combofix dopo la procedura che mi hai detto di fare, a me pare sia quasi tutto funzionante. Ora google e altri siti si aprono con mozilla! Siamo a buon punto? ;)

ComboFix.txt (http://wikisend.com/download/485724/ComboFix.txt)

C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir
C:\WINDOWS\system32\efcATNEX.dll
[/CODE]

Sono file rinominati dall'antivirus per renderli inoffensivi, si possono cestinare ;)

Sono file rinominati dall'antivirus per renderli inoffensivi, si possono cestinare ;)
ho visto ora i log restanti... è virtumondo che li ha rinominati ;)

ho visto ora i log restanti... è virtumondo che li ha rinominati ;)

Quindi dite che sono apposto? A me sembra di sì...
Grazie mille wjmat! A buon rendere.. ;)

Quindi dite che sono apposto? A me sembra di sì...
Grazie mille wjmat! A buon rendere.. ;)
C'è ancora qualcosa...
Guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)al punto 4 e ripulisciti dei files inutili con ccleaner e atfcleaner

cancella manualmente i file sopracitati
C:\WINDOWS\system32\geBSLbxw.dll.vir
C:\WINDOWS\system32\efcATNEX.dll.vir

poi fammi una scansione completa con superantispyware

Oltre a quanto detto da wjmat fai girare ADS Scanner leggi il Punto 2 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737
Porta a termine la Guida allega i log insieme ad un log nuovo di HijackThis

Ho fatto la scansione completa con Superantispyware ma non mi ha trovato nulla. Ma genera un log alla fine della scansione? Io non l'ho trovato da nessuna parte.
Ho eliminato i file manualmente come da te suggerito.

Per quanto riguarda quanto suggerito da Chill-Out, devo eseguire tutti gli scan e passaggi della guida? Cioè dal punto 2 al punto 11? O basta il punto 2?

Ho fatto la scansione completa con Superantispyware ma non mi ha trovato nulla. Ma genera un log alla fine della scansione? Io non l'ho trovato da nessuna parte.
Ho eliminato i file manualmente come da te suggerito.

Per quanto riguarda quanto suggerito da Chill-Out, devo eseguire tutti gli scan e passaggi della guida? Cioè dal punto 2 al punto 11? O basta il punto 2?

Pannelo di controllo di Superantispyware - Preferences - Statistics/Logs

Solo il Punto 2

i log di sas o li recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

basta il punto 2

Pannelo di controllo di Superantispyware - Preferences - Statistics/Logs

Solo il Punto 2

Ecco il log di Superantispyware. I tre file sospetti li ho rimossi. Ma sono altra cosa rispetto al problema di cui stiamo discutendo.

Altra cosa, allego immagine del messaggio che mi esce ogni volta che avvio Windows da quando ho fatto le ultime pulizie con i vostri suggerimenti.

SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log (http://wikisend.com/download/498900/SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log)

http://www.fileqube.com/shared/EfAnAdDdS46287

Ecco il log di Superantispyware. I tre file sospetti li ho rimossi. Ma sono altra cosa rispetto al problema di cui stiamo discutendo.

Altra cosa, allego immagine del messaggio che mi esce ogni volta che avvio Windows da quando ho fatto le ultime pulizie con i vostri suggerimenti.

SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log (http://wikisend.com/download/498900/SUPERAntiSpyware Scan Log - 06-23-2008 - 23-05-27.log)

http://www.fileqube.com/shared/EfAnAdDdS46287

E normale non preoccuparti è un residuo del Vundo porta a termine la Guida e segui il suggerimento dato qui: http://www.hwupgrade.it/forum/showpost.php?p=23026457&postcount=798

Ho portato a termine la scansione con ADS Scanner ed ho rimosso i file che mi ha trovato. Dopodichè ho rifatto il log con hijackthis ed ora ve lo posto.

hijackthis3.log (http://wikisend.com/download/499174/hijackthis3.log)

Ho dimenticato qualcosa? ;)

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s



Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Ho portato a termine la scansione con ADS Scanner ed ho rimosso i file che mi ha trovato. Dopodichè ho rifatto il log con hijackthis ed ora ve lo posto.

hijackthis3.log (http://wikisend.com/download/499174/hijackthis3.log)

Ho dimenticato qualcosa? ;)

Esegui HijackThis e fixa questa voce:

O4 - HKLM\..\Run: [BM6bd14c94] Rundll32.exe "C:\WINDOWS\system32\demxvshs.dll",s

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\demxvshs.dll
C:\WINDOWS\system32\dkdneovs.dll
C:\WINDOWS\system32\svoendkd.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d4cc0d90-2852-436e-a4ef-be474ff24032}]

Filelook::
C:\WINDOWS\system32\Drivers\uGuru.sys


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine log di Combo + nuovo log HijackThis

Fatto tutto come da ultime indicazioni, posto i log di HijackThis e Combo

ComboFix.txt (http://wikisend.com/download/478650/ComboFix.txt)

hijackthis5.log (http://wikisend.com/download/162994/hijackthis5.log)

l'errore all'avvio non dovresti più averlo vero?
procedi pure con il trattamento post ;)

l'errore all'avvio non dovresti più averlo vero?
procedi pure con il trattamento post ;)

No, nessun errore all'avvio! Ok, allora procedo con il trattamento post.
Intanto grazie mille a tutti voi. Troppo gentili e competenti!

di niente ;)

No, nessun errore all'avvio! Ok, allora procedo con il trattamento post.
Intanto grazie mille a tutti voi. Troppo gentili e competenti!

Sicuro di aver puilito gli ADS come indicato qui: http://www.hwupgrade.it/forum/showpost.php?p=23026457&postcount=798

Sicuro di aver puilito gli ADS come indicato qui: http://www.hwupgrade.it/forum/showpost.php?p=23026457&postcount=798

Sì, avevo fatto la scansione con ADS Scanner. come da te indicato, e mi aveva trovato 5-6 files che ho istantaneamente ripulito.

Ok, allora inserisci in Combofix questo Script

ADS::
C:\WINDOWS\system32:winsock32.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0DA3B9B7-3DB5-97A1-DA31-969D6950BB42}]

allega il log

Ok, allora inserisci in Combofix questo Script



allega il log

Eccoti il log dopo aver eseguito ciò che mi hai indicato.

ComboFix.txt (http://wikisend.com/download/574516/ComboFix.txt)

Eccoti il log dopo aver eseguito ciò che mi hai indicato.

ComboFix.txt (http://wikisend.com/download/574516/ComboFix.txt)

Ok ultima cosa e poi dovremmo essere a posto:

scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Ok ultima cosa e poi dovremmo essere a posto:

scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Scusa il ritardo, fatto come tue indicazioni.

Eccoti il log: Report.txt (http://wikisend.com/download/178828/Report.txt)

Ok metti in sicurezza il Pc seguendo la Guida linkata da wjmat

Ciao

Ok metti in sicurezza il Pc seguendo la Guida linkata da wjmat

Ciao

Grazie mille per la disponibiltà. Ciao! ;)

Grazie mille per la disponibiltà. Ciao! ;)

Prego ciao :)

ragazzi ieri ho formattato, riinstallo windows, alla ricerca di ritrovare online i software che avevo prima del format mi sono infettato con questi vundo...

potevo riformattare, ma perchè dargliela vinta???:D quindi dopo ore di scan e fix credo che siano tutti defunti.

ora il sistema mi sembra leggermente piu lento di prima e scannando con nod32 viene fuori che in c:\windows\system32 ho un exe chiamato process.exe che viene rivelato come riskware.

uppato su virustotal mi da queste segnalazioni process.exe (http://www.virustotal.com/it/analisis/11a113e006697dd99675cb3b7669d389)

quindi vi chiedo come devo procedere con questo exe...

vi allego anche il log di HJT (http://wikisend.com/download/499704/hijackthis.log) così vedete se ho eliminato i file dannosi.

grazie a tutti in advance

ragazzi ieri ho formattato, riinstallo windows, alla ricerca di ritrovare online i software che avevo prima del format mi sono infettato con questi vundo...

potevo riformattare, ma perchè dargliela vinta???:D quindi dopo ore di scan e fix credo che siano tutti defunti.

ora il sistema mi sembra leggermente piu lento di prima e scannando con nod32 viene fuori che in c:\windows\system32 ho un exe chiamato process.exe che viene rivelato come riskware.

uppato su virustotal mi da queste segnalazioni process.exe (http://www.virustotal.com/it/analisis/11a113e006697dd99675cb3b7669d389)

quindi vi chiedo come devo procedere con questo exe...

vi allego anche il log di HJT così vedete se ho eliminato i file dannosi.

grazie a tutti in advance
ciao il log di hjt non lo vedo ;)
vorremmo vedere anche i 4 log richiesti dalla guida

ciao il log di hjt non lo vedo ;)
vorremmo vedere anche i 4 log richiesti dalla guida

si scusa ho edittato dopo per il log di hijackthis

questo è il log di ComboFix (http://wikisend.com/download/473076/ComboFix.txt), vundofix,fixvundo e virtumundotobegone non mi trovano più risultati.

si scusa ho edittato dopo per il log di hijackthis

questo è il log di ComboFix (http://wikisend.com/download/473076/ComboFix.txt), vundofix,fixvundo e virtumundotobegone non mi trovano più risultati.
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programmi\ASUS\SmartDoctor\SmartDoctor.exe /start



Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

log di hijackthis (http://wikisend.com/download/595422/hijackthis.log)

questo è invece il file di superantispyware txt (http://wikisend.com/download/593618/antispy.txt)


cosa ne pensi dell'exe Process? sono pulito secondo te?

ho trovato in giro che quel file può essere lecito, ma può essere corrotto, un utente l'aveva cancellato e da li aveva avuto problemi con l'avvio di alcuni programmi....

fai anche una scansione completa con antivir aggiornato e posta il log

ho trovato in giro che quel file può essere lecito, ma può essere corrotto, un utente l'aveva cancellato e da li aveva avuto problemi con l'avvio di alcuni programmi....

fai anche una scansione completa con antivir aggiornato e posta il log

fatto ma non mi trova niente...

Guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)al punto 4 e ripulisciti dei files inutili con entrambi i programmi.

ho visto che hai usato lo scanner online di f-secure, ha trovato qualcosa?

Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) al punto 2 e 9, dopo ala pulizia degli ads posta il log di prevx

il file incriminato fallo controllare anche su http://virusscan.jotti.org/
Per l'esito copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.

Guarda qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)al punto 4 e ripulisciti dei files inutili con entrambi i programmi.

ho visto che hai usato lo scanner online di f-secure, ha trovato qualcosa?

Guarda la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) al punto 2 e 9, dopo ala pulizia degli ads posta il log di prevx

il file incriminato fallo controllare anche su http://virusscan.jotti.org/
Per l'esito copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.

grazie mille wjmat per il supporto :)

f-secure mi ha trovato un traking cookie e nient'altro.

virusscan mi dice questo (http://wikisend.com/download/145938/virusscan.txt) per quanto riguarda process.exe.

ne ads scanner ne prevx csi trovano infezioni... log di prevx (http://wikisend.com/download/140878/prev.log)

secondo te posso provare a isolare il file process.exe, magari mettendolo su una memoria flash e provare a vedere che reazioni ha il sistema...nel caso succedesse come all'utente che mi avevi indicato potrei sempre rimetterlo al suo posto no?

volevo consigliarti di rinominarlo per il momento....
il sistema è ancora lento?

volevo consigliarti di rinominarlo per il momento....
il sistema è ancora lento?

nono ora è praticamente come prima...
si vede che il rallentamento di prima era un trauma post-infezione :D

cosa dici? il pc ora è pulito?

nono ora è praticamente come prima...
si vede che il rallentamento di prima era un trauma post-infezione :D

cosa dici? il pc ora è pulito?
Dai log non vedo più nulla...
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Salve, allora come suggeritomi, mi attacco a questo 3d.
Mi sa che ho eliminato anche il vundo....infatti il PC sembra vada bene,
e soprattutto non trovo piu' gli "aggiornamenti automatici" disattivati da soli.
Non compaiono pubblicita' varie....etc
UNICO PROBLEMA che continuo a riscontrare, durante la navigazione,
alcune pagine web non si aprono....ne' dai preferiti, ne' se scrivo l'url manualmente....
cosa potrebbe essere e come potrei ancora fare ?
grazie 1000

Salve, allora come suggeritomi, mi attacco a questo 3d.
Mi sa che ho eliminato anche il vundo....infatti il PC sembra vada bene,
e soprattutto non trovo piu' gli "aggiornamenti automatici" disattivati da soli.
Non compaiono pubblicita' varie....etc
UNICO PROBLEMA che continuo a riscontrare, durante la navigazione,
alcune pagine web non si aprono....ne' dai preferiti, ne' se scrivo l'url manualmente....
cosa potrebbe essere e come potrei ancora fare ?
grazie 1000
carica i 4 log relativi alla guida di vundo che gli diamo un occhio

carica i 4 log relativi alla guida di vundo che gli diamo un occhio

Devo rifare le scansioni (guida vundo) allora, non ho salvato i log...
ma devo farlo sempre in modalita' provvisoria?

caricami almeno quello di combo, lo trovi in c:\

Ecco:
vi prego aiutatemi....non so piu cosa fare....

Ecco:
vi prego aiutatemi....non so piu cosa fare....

non è completo..
carica anche quello di hijackthis

Eccolo appena fatto:

hijackthis.log (http://wikisend.com/download/969164/hijackthis.log)

fixa questa per il momento
O4 - HKLM\..\Run: [BMf3cef77f] Rundll32.exe "C:\WINDOWS\system32\nubcrdoe.dll",s

voglio vedere il log di combo completo...

fixa questa per il momento
O4 - HKLM\..\Run: [BMf3cef77f] Rundll32.exe "C:\WINDOWS\system32\nubcrdoe.dll",s

voglio vedere il log di combo completo...

OK provvedo.
Ma come mai e' uscito incompleto?
devo farlo in modalita' provvisoria?
Edit:
Ho fixato....e per curiosita' ho rifatto una scansione Hijackthis....mi ricompare sempre
quel file di cui sopra.
Edito anche le domande su combo:
Ma come mai e' uscito incompleto?
devo farlo in modalita' provvisoria?

OK provvedo.
Ma come mai e' uscito incompleto?
devo farlo in modalita' provvisoria?
Edit:
Ho fixato....e per curiosita' ho rifatto una scansione Hijackthis....mi ricompare sempre
quel file di cui sopra.
Edito anche le domande su combo:
Ma come mai e' uscito incompleto?
devo farlo in modalita' provvisoria?

No in modalità normale, disconnesso dalla rete e disabilitando momentaneamente tutti i software di sicurezza, durante l'esecuzione del tool non toccare il PC.

Ed ecco anche il log del combo...finalmente....attendo info con ansia.:help:

Ed ecco anche il log del combo...finalmente....attendo info con ansia.:help:

Serve anche un log di questo tool ci sono tracce di Instan Access http://noahdfear.geekstogo.com/FindAWF.exe

Eseguire FindAWF premendo il tasto 1 e successivamente postate in questa discussione il log che FindAWF stamperà su un file di testo alla fine della ricerca.

Cos'e' Istan Access un'altro troian ?:muro: :muro: :muro:
Cmq ecco il report richiestomi:

wjmat grazie mille per l'aiuto che mi hai dato :)

finalmente credo di essere pulito...quel process.exe lo tengo finchè non vedo altri problemi...

grazie di nuovo a tutti

Cos'e' Istan Access un'altro troian ?:muro: :muro: :muro:
Cmq ecco il report richiestomi:
Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to move:
C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\EzButton\bak\CplBTQ00.EXE | C:\Programmi\EzButton\CplBTQ00.EXE
C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\TOSHIBA\E-KEY\bak\CeEKey.exe | C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\Power Management\bak\CePMTray.exe | C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
C:\Programmi\TOSHIBA\TouchPad\bak\TPTray.exe | C:\Programmi\TOSHIBA\TouchPad\TPTray.exe


E posta anche un nuovo log di FindAWF

Eccoli:


awf1.txt (http://wikisend.com/download/569880/awf1.txt)

Eccoli:


awf1.txt (http://wikisend.com/download/569880/awf1.txt)

Apri il Blocco Note copia e incolla queste righe:

File::
C:\WINDOWS\system32\nubcrdoe.dll
C:\WINDOWS\system32\dfmnkvax.dll
C:\WINDOWS\BMf3cef77f.xml

Filelook::
C:\WINDOWS\system32\dpfbcpml.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E895969-C35C-4A8F-8948-17DFACCFF29C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5C6B664-5F27-4A93-8550-8B15B7F35C27}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine prosegui con le scansioni indicate in Guida ovvero Superantispyware e F-Secure

Riepilogo log da allegare:
Combofix
Superantispyware
F-Secure
Log di HijackThis leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 7

Ok provvedo al + presto a postare quanto richiesto.
Nota.
Dopo aver fatto le operazioni del post # 846,
il pc ad ogni avvio mi da il seguente errore:

http://img362.imageshack.us/img362/4943/errorega8.jpg

in quel post ho dovuto farti rimpiazzare il file originale a quello corrotto
C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe

probabilmente si è corrotto anche altro...
prova con una reinstallazione di msn

in quel post ho dovuto farti rimpiazzare il file originale a quello corrotto
C:\Programmi\MSN Messenger\bak\MsnMsgr.Exe | C:\Programmi\MSN Messenger\MsnMsgr.Exe

probabilmente si è corrotto anche altro...
prova con una reinstallazione di msn

Scusa,non so se hai letto anche l'altro post....quando mi hai fatto fixare
quella riga con hijackthis....per curiosita' subito dopo ho fatto una nuova scansione e mela ridava....
(post # 839 - 840)
continuo come mi hanno indicato e tralascio la riga di cui sopra?

Scusa,non so se hai letto anche l'altro post....quando mi hai fatto fixare
quella riga con hijackthis....per curiosita' subito dopo ho fatto una nuova scansione e mela ridava....
(post # 839 - 840)
continuo come mi hanno indicato e tralascio la riga di cui sopra?
non fare confusione ;)
in hjt ti avevo fatto fixare questo
http://www.hwupgrade.it/forum/showpost.php?p=23071975&postcount=839

mentre con avenger avevamo sovrascitto in file MsnMsgr.Exe corrotto con quello originale della cartella bak.

segui quanto ti ha detto chill che risolviamo

non fare confusione ;)
in hjt ti avevo fatto fixare questo
http://www.hwupgrade.it/forum/showpost.php?p=23071975&postcount=839

mentre con avenger avevamo sovrascitto in file MsnMsgr.Exe corrotto con quello originale della cartella bak.

segui quanto ti ha detto chill che risolviamo

Si scusa non e' che faccio confusione...ma quasi non ci sto capendo + niente:muro: Cmq Messenger reinstallato, tutto ok.
Vado subito a fare quanto indicato da chill.....

Apri il Blocco Note copia e incolla queste righe:



Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Al termine prosegui con le scansioni indicate in Guida ovvero Superantispyware e F-Secure

Riepilogo log da allegare:
Combofix
Superantispyware
F-Secure
Log di HijackThis leggi qui: http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 7

Allora, dopo aver trascinato il file creato su combofix,
il PC si e' riavviato, ed al riavvio ho questo errore:

http://img367.imageshack.us/img367/8553/errorebx7.jpg

comunque questo e' il log di combofix:

combo29062008.txt (http://wikisend.com/download/597350/combo29062008.txt)

poi.....superantispyware, non mi ha dato il log...o non sono stato io capace,
cmq mi aveva rilevato e messo in quarantena tipo 28 adware,
e 2 trojan (o qlcosa di simile) c'era vundo variant/small :eek:

http://img105.imageshack.us/img105/4654/sasmj0.jpg

a seguire gli altri log:

fsecure.txt (http://wikisend.com/download/486424/fsecure.txt)

hijackthis2906.txt (http://wikisend.com/download/541150/hijackthis2906.txt)

attendo fiducioso:cry:

Il log di superantispyware lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BMf3cef77f] Rundll32.exe "C:\WINDOWS\system32\nubcrdoe.dll",s
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

Ecco:

SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log (http://wikisend.com/download/488526/SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log)

nuovohijackthis.txt (http://wikisend.com/download/946264/nuovohijackthis.txt)

non vorrei illudermi.....ma dopo gli ultimi passaggi il pc mi sembra che va meglio....o cmq almeno le pagine web ora si aprono....:)

Ecco:

SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log (http://wikisend.com/download/488526/SUPERAntiSpyware Scan Log - 06-29-2008 - 21-11-06.log)

nuovohijackthis.txt (http://wikisend.com/download/946264/nuovohijackthis.txt)

non vorrei illudermi.....ma dopo gli ultimi passaggi il pc mi sembra che va meglio....o cmq almeno le pagine web ora si aprono....:)

con superantispyware fai la scansione completa

Dimmi se hai ancora il problema indicato qui: http://www.hwupgrade.it/forum/showpost.php?p=23102911&postcount=854 che non è nulla di preoccupante è solo un rimasuglio del Vundo per il resto dovremmo essere ok, allega il log completo di SAS.

NON ho piu' quel problema....e apparentemente tutto e' tornato alla normalita'....ecco il log della scansione completa son SAS:

SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log (http://wikisend.com/download/924348/SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log)

:)

NON ho piu' quel problema....e apparentemente tutto e' tornato alla normalita'....ecco il log della scansione completa son SAS:

SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log (http://wikisend.com/download/924348/SUPERAntiSpyware Scan Log - 06-30-2008 - 14-50-47.log)

:)

Bene, ti suggerisco di leggere il Trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Bene, ti suggerisco di leggere il Trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Lo faro' stasera....problema risolto?

Lo faro' stasera....problema risolto?

Direi di si, davanti al Pc ci sei tu, se non riscontri anomalie abbiamo finito ;)

Ciao a tutti.
Da qualche giorno ho qualche problema con internet, ed ho notato che anche io mi sono beccato il Vundo.
Ora sono al punto di SuperAntiSpyware, però volevo chiedervi una cosa.

Praticamente, ormai tutte le volte che utilizzo Firefox3, dopo un certo momento mi crasha explorer (Esplora risorse ha smesso di funzionare) e quando lo chiudo mi fa impossibile connettersi, cosi' devo fare il refresh della pagina...
Qualcuno sa dirmi se può essere un problema riguardante al Vundo?

Ora finisco la scansione, poi vedrò... al massimo allego i log domani...

EDIT: Rimosso, riavviato e tolto i Run da regedit..
ora sembra che esplora risorse non crashi più.. e la linea cada di meno...

Ragazzi, allora mio personale e pubblico ringraziamento a WJMAT e CHILL-OUT
....senza di voi avrei formattato.....grazie siete dei genii.:D
Untima rottura:
Mi consigliate di sostituire Avast con Avira Antivir come indicato in guida post infezione ?

Ragazzi, allora mio personale e pubblico ringraziamento a WJMAT e CHILL-OUT
....senza di voi avrei formattato.....grazie siete dei genii.:D
Untima rottura:
Mi consigliate di sostituire Avast con Avira Antivir come indicato in guida post infezione ?
antivir a vita! ;)

Ciao a tutti.
Da qualche giorno ho qualche problema con internet, ed ho notato che anche io mi sono beccato il Vundo.
Ora sono al punto di SuperAntiSpyware, però volevo chiedervi una cosa.

Praticamente, ormai tutte le volte che utilizzo Firefox3, dopo un certo momento mi crasha explorer (Esplora risorse ha smesso di funzionare) e quando lo chiudo mi fa impossibile connettersi, cosi' devo fare il refresh della pagina...
Qualcuno sa dirmi se può essere un problema riguardante al Vundo?

Ora finisco la scansione, poi vedrò... al massimo allego i log domani...

EDIT: Rimosso, riavviato e tolto i Run da regedit..
ora sembra che esplora risorse non crashi più.. e la linea cada di meno...
postaci i log che verifichiamo, non basta disattivarli dallo startup

novità?

Segnalo Norman Vundo Clean (http://www.norman.com/Virus/Virus_removal_tools/52658/it):

http://download.norman.no/public/Norman_Vundo_Cleaner.exe

Ragazzi anche io mi son beccato virtumonde ed ho eseguito quanto suggerito nella prima pagina:
a) ho disabilitato ripristino del sistema
b) ho utilizzato VirtumundoBeGone.exe
di cui riporto il log:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

Adesso sto effettuando una scansione con Spybot!
Speriamo che sia la volta buona.
Attendo istruzioni.
GRAZIEEEEEEE
:D :D

:muro: :muro:
Credo che possa tornarvi utile, vi allego anche il file (grazie):


Logfile of Trend Micro HijackThis v2.0.2
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

--
End of file - 6532 bytes

Riedita i tuoi post caricando i log secondo le modalità
Poi cominceremo a guardarci sopra

modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

spyboot lascialo perdere per il momento

Segnalo Norman Vundo Clean (http://www.norman.com/Virus/Virus_removal_tools/52658/it):

http://download.norman.no/public/Norman_Vundo_Cleaner.exe


Grazie Nuz aspettavo il momento per testarlo

Ragazzi, scusate se riposto qui....ho notato che non mi parte piu' in automatico l'autoplay del lettore CD/DVD.
Mi riferisco a quella schermata che compare, quando inserisco un supporto,
che mi permette di scegliere con quale applicazione partire.
E' stato disattivato volutamente nel processo che abbiamo fatto?
No perche' non son riuscito a riattivarlo.
Grazie

Riedita i tuoi post caricando i log secondo le modalità
Poi cominceremo a guardarci sopra

modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

spyboot lascialo perdere per il momento

Ok.
Allora l'ordine è sempre quello che ho fornito nel precedente post e cioè:
ho disabilitato il ripristino del sistema.
b) ho utilizzato VirtumundoBeGone.exe
e di seguito c'è l'allegato.

ed ancora il log combofix.log

E per concludere il log di hijackthis.log
:muro:
Adesso vi prego datemi una mano!!
Ciao e grazie

E per concludere il log di hijackthis.log
:muro:
Adesso vi prego datemi una mano!!
Ciao e grazie
cosi va meglio anche se hjt manca e dovevi editare i post precedenti ;)
pensa se 4-5 persone come te incollano log chilometrici contemporaneamente...già fa caldo.... abbiamo bisogno di collaborazione :D :D

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [HP Software Update] c:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "D:\Programmi\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM..Run: [PDF3 Registry Controller] "D:ProgrammiScanSoftOmniPage15.0PDFConverter3\RegistryController.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe


Fai pulizia con ccleaner
Rimuovi questi files manualmente (in caso il 2° dia problemi vediamo dopo)
D:\WINDOWS\system32\mlJYqRLC.dll.vir
D:\WINDOWS\002699_.tmp

Ragazzi, scusate se riposto qui....ho notato che non mi parte piu' in automatico l'autoplay del lettore CD/DVD.
Mi riferisco a quella schermata che compare, quando inserisco un supporto,
che mi permette di scegliere con quale applicazione partire.
E' stato disattivato volutamente nel processo che abbiamo fatto?
No perche' non son riuscito a riattivarlo.
Grazie
guarda qui
http://support.microsoft.com/kb/330135/it

cosi va meglio anche se hjt manca e dovevi editare i post precedenti ;)
pensa se 4-5 persone come te incollano log chilometrici contemporaneamente...già fa caldo.... abbiamo bisogno di collaborazione :D :D

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [HP Software Update] c:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "D:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware15] "D:\Programmi\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM..Run: [PDF3 Registry Controller] "D:ProgrammiScanSoftOmniPage15.0PDFConverter3\RegistryController.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe


Fai pulizia con ccleaner
Rimuovi questi files manualmente (in caso il 2° dia problemi vediamo dopo)
D:\WINDOWS\system32\mlJYqRLC.dll.vir
D:\WINDOWS\002699_.tmp

Condivido tutto ciò che hai riportato.
Però sai cosa succede (credo a tutti) che quando abbiamo un problema simile, entriamo in agitazione, magari anche psicomotoria, e spesso non ci soffermiamo a leggere ciò che altri hanno fatto. Ci facciamo prendere dall'ansia che spesso ci induce a commettere più errori.
Comunque adesso sono al lavoro, non appena rientrerò provvederò a mettere in atto i tuoi suggerimenti,
:read:
Ancora: cosa si può fare per prevenire queste emerite rotture !!!
Il pc è protetto da Avira e fino ad un paio di giorni addietro avevo anche spyware terminator installato ma come vedi mi sono infettato lo stesso!!
Mi sono rotto e l'ho disinstallato e ho caricato spybot.
Infine hai idea come ripristinare il windows update ? Credo che quel maledetto spyware mi abbia corrotto wupdmgr.exe
GRAZIE MILLEEEEEEE
:D :D :D

Ho fatto tutto quello consigliato da wjmat.
Ti allego quindi il log di hijackthis.txt
Fammi sapere.
Ciao
:D

x sensitive
Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

x sensitive
Fai una scansione completa con Superantispyware
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Tutto fatto.
Ecco in allegato il log
Credo che dovrebber essere tutt ok.
Aspetto confortanti notizie.Grazie
:D :D :D (SPERO!)

ti avevo detto completa non fare il furbo ;)

ti avevo detto completa non fare il furbo ;)
Non ho fatto il furbo!!
E' completo! Ho ricontrollato ed il log è proprio quello che ti ho allegato!
SOB!!!
:(

io vedo Scan type : Quick Scan
Total Scan Time : 00:17:44

io vedo Scan type : Quick Scan
Total Scan Time : 00:17:44

Non l'ho fatto coscientemente!
:muro:
Non me ne sono completamente accorto. Ma secondo te è il caso di rifarla ?

Non l'ho fatto coscientemente!
:muro:
Non me ne sono completamente accorto. Ma secondo te è il caso di rifarla ?
se non vuoi vivere nel dubbio che ci sia altro... si ;)

se non vuoi vivere nel dubbio che ci sia altro... si ;)

Sai che se non ci fossero stati i vostri aiuti avrei naviagati chissà per quanti altri giorni nel mare di m....!!
:cry: :cry:
In fin dei conti è un'ardua impresa sistema la macchina in questi termini, però alla fine ne esci soddisfatto!
:D
Certo si impiegherebbe meno tempo a rifare il pc sopratutto se hai una immagine però poi ci sarebbe il problema del ripristino dei dati!!
Cmq questa volta ho evitato di rifarla!!

Secondo te sarebbe il caso di installare un firewall ?
Cioè ho già Avira, SuperAntiSpyware ... dovrebbero darmi un margine di sicurezza!!!
:confused: :confused:

Sai che se non ci fossero stati i vostri aiuti avrei naviagati chissà per quanti altri giorni nel mare di m....!!
:cry: :cry:
In fin dei conti è un'ardua impresa sistema la macchina in questi termini, però alla fine ne esci soddisfatto!
:D
Certo si impiegherebbe meno tempo a rifare il pc sopratutto se hai una immagine però poi ci sarebbe il problema del ripristino dei dati!!
Cmq questa volta ho evitato di rifarla!!

Secondo te sarebbe il caso di installare un firewall ?
Cioè ho già Avira, SuperAntiSpyware ... dovrebbero darmi un margine di sicurezza!!!
:confused: :confused:
nel trattamento che ho in firma ci sono tutte le info
il firewall è indispensabile, non bastano antivirus e antispyware

nel trattamento che ho in firma ci sono tutte le info
il firewall è indispensabile, non bastano antivirus e antispyware

Ok. Allora penso che installerò On Line Armor.
Ti allego la versione aggiornata dell'ultima scansione "completa"
Ciao e grazie

Ok. Allora penso che installerò On Line Armor.
Ti allego la versione aggiornata dell'ultima scansione "completa"
Ciao e grazie

rifai la scansione perchè dopo aver usato combofix hai il ripristino di sistema abilitato quidi devi ridisabilitarlo e poi scansionare :)

rifai la scansione perchè dopo aver usato combofix hai il ripristino di sistema abilitato quidi devi ridisabilitarlo e poi scansionare :)

No questa volta ho tenuto sotto controllo il problema del ripristino del sistema.
Quando mi son infettato la prima cosa che ho fatto è stata proprio quella di disabilitare l'avvio del servizio di rispristino del sistema. Risulta ancora così e cioè disabilitato.
Cmq grazie
:cool:

il file trovato da sas dovrebbe sparire semplicemente disattivando e riattivando il ripristino

poi sei ritieni di essere a posto, dai log a me pare di si, dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

il file trovato da sas dovrebbe sparire semplicemente disattivando e riattivando il ripristino

poi sei ritieni di essere a posto, dai log a me pare di si, dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.


Ok
Grazie
;)

Non ci credo, sono stato infettato di nuovo dal maledetto Vundo.
Il problema è che non riesco più ad avviare WinXp normalmente, solo in modalità provvisoria.

Ho eseguito Virtumondebegone con questo log finale:

http://www.fileqube.com/shared/ebtgCE56866

Non riesco a far partire Combofix.exe, non carica il programma.

Ho eseguito SuperAntiSpyware con questo log finale:

http://www.fileqube.com/shared/prrVrkk56869

Infine HiJackThis con questo log:

http://www.fileqube.com/shared/knfSlzvd56870

Quando avvio il pc normalmente mi esce schermata blu e mi si riavvia il pc.
Attendo aiuto, grazie! :mc:

Non ci credo, sono stato infettato di nuovo dal maledetto Vundo.
Il problema è che non riesco più ad avviare WinXp normalmente, solo in modalità provvisoria.

Ho eseguito Virtumondebegone con questo log finale:

http://www.fileqube.com/shared/ebtgCE56866

Non riesco a far partire Combofix.exe, non carica il programma.

Ho eseguito SuperAntiSpyware con questo log finale:

http://www.fileqube.com/shared/prrVrkk56869

Infine HiJackThis con questo log:

http://www.fileqube.com/shared/knfSlzvd56870

Quando avvio il pc normalmente mi esce schermata blu e mi si riavvia il pc.
Attendo aiuto, grazie! :mc:

Fai pulizia con ATF Cleaner come indicato qui in Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Esegui HijackThis e fixxa le seguenti voci:

O2 - BHO: {654a148a-790c-d3da-a424-399b17395485} - {58459371-b993-424a-ad3d-c097a841a456} - C:\WINDOWS\system32\mgfocu.dll
O4 - HKLM..Run: [MsUpdate] C:DOCUME~1StefanoIMPOST~1Temp\Setup_ver1.1427.0.exe
O4 - HKLM\..\Run: [68e27f08] rundll32.exe "C:\WINDOWS\system32\qguuhbpr.dll",b
O4 - HKCU\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
O4 - HKCU\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

Scarica questo tool http://download.norman.no/public/Norman_Vundo_Cleaner.exe

Disconnetti da Internet
Riavvia il Pc
Doppio click su Vundo Cleaner
Clicca su Scan Computer
Seleziona le eventuali dll infette
Clicca su Clean all o Clean selected

Successivamente vedi se riesci a far girare ComboFix

Riepilogo log da allegare:
HijackThis
Vundo Cleaner
Combofix

Fai pulizia con ATF Cleaner come indicato qui in Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Esegui HijackThis e fixxa le seguenti voci:



Scarica questo tool http://download.norman.no/public/Norman_Vundo_Cleaner.exe

Disconnetti da Internet
Riavvia il Pc
Doppio click su Vundo Cleaner
Clicca su Scan Computer
Seleziona le eventuali dll infette
Clicca su Clean all o Clean selected

Successivamente vedi se riesci a far girare ComboFix

Riepilogo log da allegare:
HijackThis
Vundo Cleaner
Combofix

Allora, sono solamente riuscito ad eseguire ATF Cleaner e a fixare le voci che mi hai detto con HijackThis di cui ti posto il log:

http://wikisend.com/download/475502/hijackthis2.log

Il tool norman_vundo_cleaner.exe non mi parte, mi esce errore di inizializzazione.

Combofix non parte proprio, senza darmi nessuna finestra di errore.

Sono sempre in modalità provvisoria perchè se faccio partire in modalità normale mi esce una schermata blu e si riavvia il pc.

Inserisci nel lettore Cd il Cd di installazione di Win, da Start - Esegui digita sfc /scannow

Ok, riuscirò a farlo domattina perchè oggi non ne ho il tempo. Ti posterò domattina il risultato. Grazie!

Ok, riuscirò a farlo domattina perchè oggi non ne ho il tempo. Ti posterò domattina il risultato. Grazie!

Quando puoi, ciao ;)

Quando puoi, ciao ;)

Ho inserito il cd di winxp, ho eseguito il comando da "Esegui" ma non parte niente. Sembra quasi che tutti gli eseguibili vengano bloccati.
Sono orientato alla formattazione.

Tu che ne pensi?

Ho inserito il cd di winxp, ho eseguito il comando da "Esegui" ma non parte niente. Sembra quasi che tutti gli eseguibili vengano bloccati.
Sono orientato alla formattazione.

Tu che ne pensi?

Spiegati meglio, hai digitato il comando sfc /scannow

Spiegati meglio, hai digitato il comando sfc /scannow

Sì, sono entrato in start, esegui, e ho digitato sfc /scannow

Non parte niente.

Sì, sono entrato in start, esegui, e ho digitato sfc /scannow

Non parte niente.

Facciamo un tentativo segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Antivir Rescue System ==>> opzione 2 per disinfettare il PC

Sì, sono entrato in start, esegui, e ho digitato sfc /scannow

Non parte niente.


Ho provato ad eseguirlo dal prompt di dos, e questo è il risultato:


http://wikisend.com/download/543022/Immagine.JPG

Facciamo un tentativo segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Antivir Rescue System ==>> opzione 2 per disinfettare il PC

Non riesco ad entrare nel link per il download di Antivir. Mi dà pagina inesistente. Ho provato ad entrare nel link di download anche da google ma è impossibile, mi da sempre redirect a link spazzatura.
Inoltre il mozilla non mi parte da quando ho beccato il virus.

Non riesco ad entrare nel link per il download di Antivir. Mi dà pagina inesistente. Ho provato ad entrare nel link di download anche da google ma è impossibile, mi da sempre redirect a link spazzatura.
Inoltre il mozilla non mi parte da quando ho beccato il virus.

prova con questo http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso devi masterizzare l'iso su cd/dvd

prova con questo http://dl.antivir.de/down/vdf/rescuecd/rescuecd.iso devi masterizzare l'iso su cd/dvd

Sono riuscito a scaricarlo e masterizzarlo. L'ho eseguito come da guida ma non mi ha trovato nessuna infezione.
E' rimasto tutto come prima, non parte in modalità normale e in provvisoria solito problema di esecuzione come nei post precedenti.

sempre da provvisoria lancia i 2 tool che usavamo prima per vundo
http://www.atribune.org/public-beta/VundoFix.exe
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe

e caricaci i log

sempre da provvisoria lancia i 2 tool che usavamo prima per vundo
http://www.atribune.org/public-beta/VundoFix.exe
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe

e caricaci i log


Entrambi i programmi non mi hanno trovato nulla!

Entrambi i programmi non mi hanno trovato nulla!

Clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> copia ed incolla nel prossimo post il contenuto del file Boot.ini

Clicca con il tasto destro su Risorse del computer ==>> Proprietà ==>> Avanzate ==>> Avvio e ripristino ==>> Impostazion ==>> copia ed incolla nel prossimo post il contenuto del file Boot.ini


Eccoti il boot.ini

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe) configurato per bene
magari riesce a trovare qualcosa che sfugge alla configurazione di default (sempre che tu non l'abbia già settato)


Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe) configurato per bene
magari riesce a trovare qualcosa che sfugge alla configurazione di default (sempre che tu non l'abbia già settato)


Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Fatto, eccoti il log:

SUPERAntiSpyware Scan Log - 07-12-2008 - 11-28-17.log (http://wikisend.com/download/878532/SUPERAntiSpyware Scan Log - 07-12-2008 - 11-28-17.log)

Fai una scansione completa con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php)
Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione.
Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e metti tutto in quarantena.

Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)


Poi allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità il log ottenuto.

Fai una scansione completa con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php)
Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione.
Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e metti tutto in quarantena.

Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)


Poi allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità il log ottenuto.

Non riesco a caricare le pagine dei tool che mi hai suggerito di scaricare. L'internet explorer mi da errore di caricamento.
Il firefox non parte.
Secondo me la soluzione è formattare. Ormai mi sto rassegnando.

una scansione virus non l'hai ancora fatta....

Fai una scansione con Kaspersky Removal Tool che puoi scaricare da qui (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Cerca sotto Last-modified l'ultima versione più aggiornata, in genere è quella più in basso.

Doppio click sul file scaricato → Next → Next → Si aprirà il tool
Lascia spuntati System Memory, Startup Objects, Disk boot sector
Spunta Risorse del Computer → Clicca su scan
A fine scansione apparirà una finestrella con le eventuali segnalazioni ed operazioni da fare → metti la spunta su "Apply to all" e clicca su Delete
Clicca su Reports... → Save to file → scegli un nome → salva
Esci dal programma e clicca su Si per disinstallare il tool, → Si per riavviare il Pc
Carica secondo le modalità il log zippato

Non riesco a scaricare nulla. Il pc è seriamente compromesso.

Vi ringrazio per l'interesse ma ho deciso di formattare. Grazie mille ancora.

Ciao

Appena puoi dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), per mettere al sicuro il pc "nuovo"

salve,
anche io problema vundo e altri virus....

vado per ordine:

questo è il log di vbg:

http://wikisend.com/download/526636/vbg 1.txt

poi, combofix sembra che si avvii e invece non compare nulla..

-ho fatto scansione con kaspersky e non ha trovato nulla.

- ho fatto scansione con SuperAntiSpyware e mi ha trovato 14 file infetti (cookies) da vundo + uno sempre da vundo ma di una chiave di registro. il log nn l'ho perchè il programma ha riavviato il pc dopo il trasferimento dei file in quarantina.

ho ripulito content.ie5 che aveva qualche intruso rilevato...

ho fatto pulizia con cclear e un analisi con hijackthis2 questo è iul log:

http://wikisend.com/download/605806/hijackthis2.txt

qui c'è il resoconto dei virus e della situazione che avevo postato prima di procedere con i passaggi descritti in questa discussione.

http://www.hwupgrade.it/forum/showthread.php?t=1782144

che ne pensate??

salve,
anche io problema vundo e altri virus....

vado per ordine:

questo è il log di vbg:

http://wikisend.com/download/526636/vbg 1.txt

poi, combofix sembra che si avvii e invece non compare nulla..

-ho fatto scansione con kaspersky e non ha trovato nulla.

- ho fatto scansione con SuperAntiSpyware e mi ha trovato 14 file infetti (cookies) da vundo + uno sempre da vundo ma di una chiave di registro. il log nn l'ho perchè il programma ha riavviato il pc dopo il trasferimento dei file in quarantina.

ho ripulito content.ie5 che aveva qualche intruso rilevato...

ho fatto pulizia con cclear e un analisi con hijackthis2 questo è iul log:

http://wikisend.com/download/605806/hijackthis2.txt

qui c'è il resoconto dei virus e della situazione che avevo postato prima di procedere con i passaggi descritti in questa discussione.

http://www.hwupgrade.it/forum/showthread.php?t=1782144

che ne pensate??
Scarica Norman Vundo cleaner da qui (http://download.norman.no/public/Norman_Vundo_Cleaner.exe) → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All

carica anche il log di kaspersky zippato

ciao a tutti
wjmat mi ha detto di postare qui i log...
il virus sembra nn dare + problemi però vorrei esserne sicuro se volete date un occhiatina ai log
combofix
http://wikisend.com/download/477680/ComboFix.txt
hijack
http://wikisend.com/download/855940/hijackthis.log
VBG
http://wikisend.com/download/505998/VBG.TXT

Esegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce:

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)


clicca su Fix checked

Apri il Blocco Note copia e incolla queste righe:

ADS::
C:\WINDOWS\system32:explore.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{23B57527-2C33-37D6-2516-57534A7E7CDF}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Porta a termine la Guida coi Punti 5 - 6

Riepilogo log da allegare
HijackThis
ComboFix
Sas
F-Secure

Ciao

per prima cosa ciao a tutti!!!!!:)

ho seguito la vostra guida per rimuovere trojan vundo ma esplora risorse mi da ancora problemi vi posto tutto:
combofix log http://www.mediafire.com/?fb2bzainoxz
vbg log http://www.mediafire.com/?zaczatj3ddh
superantispyware log http://www.mediafire.com/?zvhz3g1wlzr
hijackthis log http://www.mediafire.com/?fmbu2ncy7zh

ho fatto anche la scansione con eset online scanner mi dava 8 infezioni ma non riesco a trovare il log
grazie

per prima cosa ciao a tutti!!!!!:)

ho seguito la vostra guida per rimuovere trojan vundo ma esplora risorse mi da ancora problemi vi posto tutto:
combofix log http://www.mediafire.com/?fb2bzainoxz
vbg log http://www.mediafire.com/?zaczatj3ddh
superantispyware log http://www.mediafire.com/?zvhz3g1wlzr
hijackthis log http://www.mediafire.com/?fmbu2ncy7zh

ho fatto anche la scansione con eset online scanner mi dava 8 infezioni ma non riesco a trovare il log
grazie
Scarica Norman Vundo cleaner da qui (http://download.norman.no/public/Norman_Vundo_Cleaner.exe) → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All

che tipo di problemi sono rimasti?

Scarica Norman Vundo cleaner da qui (http://download.norman.no/public/Norman_Vundo_Cleaner.exe) → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All

che tipo di problemi sono rimasti?


grazie ora provo a farlo i problemi e che ogni tanto mi dice che esplora risorse ha smesso di funzionare che deve riavviare e lo stesso capita con explorer.

grazie ora provo a farlo i problemi e che ogni tanto mi dice che esplora risorse ha smesso di funzionare che deve riavviare e lo stesso capita con explorer.

lo ho fatto girare mi dice nessun file infetto i porblemi sembrano non comparire piu ma windows defender mi trova sempre trojan.vundo-gen qualcosa di simile...
consigli? è stato eliminato?
grazie

windows defender potresti anche disattivarlo e per le sue rilevazioni non saprei...

per gli errori
Fai Start -> esegui -> digita eventvwr (invio)
A sinistra clicca su Applicazione -> nella finestra di destra cerca l'eventuale errore controllando la data e l'ora dell'evento
La stessa cosa falla anche per le altre voci sulla sinistra.
Quando trovi i probabili errori doppio click su di essi -> nella finestra che si apre clicca sul simbolo "Copia" sotto la freccia in giù -> incolla tutte le informazioni così copiate in un file di testo -> carica il file di testo con la funzione gestisci allegati

ecco i miei log:

http://www.mediafire.com/?nht3tynj2g7




adesso è in corso la scansione con Kaspersky Virus Removal Tool e dopo faccio quella con SuperAntiSpyware

ecco i miei log:

http://www.mediafire.com/?nht3tynj2g7




adesso è in corso la scansione con Kaspersky Virus Removal Tool e dopo faccio quella con SuperAntiSpyware
un pò di roba è stata eliminata
elimina manualmente
C:\WINDOWS\system32\ssqOHyyV.dll.vir
C:\WINDOWS\system32\pxklapkg.dll.vir
C:\WINDOWS\system32\xxyaYqRl.dll.vir

idem con patate...stesso palloso virus...

ecco il log con hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.03.26, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it&source=iglk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Transfer with Image Converter 2 - C:\Programmi\Sony\Image Converter 2\menu.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1216503671703
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

--
End of file - 5822 bytes




mi potete aiutare?????

segui la guida nel primo post

sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Ciao ragazzi, ho appena rimosso (spero) Virtumonde seguendo svariate guide trovate su questo e altri forum...volevo qualche conferma e magari consigli su altra roba da rimuovere o installare (visto che fino ad oggi credevo che spybot fosse il miglior antispyware sulla piazza :doh:)

ecco il log di HJT:

Ciao ragazzi, ho appena rimosso (spero) Virtumonde seguendo svariate guide trovate su questo e altri forum...volevo qualche conferma e magari consigli su altra roba da rimuovere o installare (visto che fino ad oggi credevo che spybot fosse il miglior antispyware sulla piazza :doh:)

ecco il log di HJT:
ciao
carica anche il log di combo e virtumondo

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)

ecco gli altri due log e il nuovo log di hjt...odio combofix, mi cambia troppe impostazioni nel pc :D

Non so perchè, ma quel yayyvtUk.dll è rimasto lì anche dopo che l'ho fixato...

ecco gli altri due log e il nuovo log di hjt...odio combofix, mi cambia troppe impostazioni nel pc :D

Non so perchè, ma quel yayyvtUk.dll è rimasto lì anche dopo che l'ho fixato...
combo sembra non abbia rimosso nulla relativo a vundo, che altri tool hai utilizzato? hai dei loro log?

vedo riferimenti nel registro a ufo.exe....

Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

Fai una scansione con Kaspersky Removal Tool che puoi scaricare da qui (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)

Doppio click sul file scaricato → Next → Next → Si aprirà il tool
Lascia spuntati System Memory, Startup Objects, Disk boot sector
Spunta Risorse del Computer → Clicca su scan
A fine scansione apparirà una finestrella con le eventuali segnalazioni ed operazioni da fare → metti la spunta su "Apply to all" e clicca su Delete
Clicca su Reports... → Save to file → scegli un nome → salva
Esci dal programma e clicca su Si per disinstallare il tool, → Si per riavviare il Pc
Carica il log

I log dato che sarà molto pesante o lo zippi e lo carichi secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) sui server remoti, oppure scarichi da qui (http://hwupgrade.helloweb.eu/ParserLog/cureit.zip) un programmino in java per alleggerire il log.

Estrailo in una cartella
Lancia cureit.jar
Clicca Scegli file
Seleziona il log
Spunta upload automatico e conversione
Esegui conversione
Attendi il termine delle operazioni nella finestra che si apre e poi clicca sulla X per chiuderla
Ora ci sarà il nuovo log "filtrato" o sul desktop o già caricato su un server remoto all'indirizzo che appare nell finestra del programma
Per comodità incolla nella discussione l'indirizzo ti fornisce il programma (es.www.hwupgrade.helloweb.eu/ParserLog/output0123456789.txt)

i programmi che ho usato sono quelli segnalati in prima pagina e a-squared...però i log che ho postato sono di una scansione fatta ora,non di quella che ha rimosso il virtumonde!! purtroppo quelli li ho cancellati :( l'ultima scansione di superantispyware non ha rilevato nulla, se vuoi posto il log anche di quella..intanto uso kaspersky removal tool!

carica entrambi i log (erano tutte scansioni complete? sas era configurato adeguatamente?)

Il log di A-squared lo recuperi facendo Start -> Esegui -> Copia ed incolla il testo rosso
%USERPROFILE%\My Documents\a-squared\Reports (invio)

entrambi configurati come spiegato nelle guide :D

la cartella reports di a-squared free è vuota...però ho trovato il log di SAS quando ha rimosso le ultime tracce del virus!

ok, aspettiamo il log di kasp

Fai una anche scansione completa con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php) è molto veloce rispetto agli altri, e voglio vedere se elimina alcune tracce nel registro che altrimenti dovremo eliminare con combo...
Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione.
Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e metti tutto in quarantena.

Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

questo è quello di malwarebytes...ha trovato altri vundo :(

manca quello di kasp e poi facciamo un intervento manuale con combo

ecchilo! http://wikisend.com/download/570660/kaspersky.txt

ecchilo!

Devi prestare attenzione a cosa scarichi da emule, ci sono valide alternative free rispetto ai software più blasonati quindi a pagamento, non mi sembra di aver visto il log di combofix, ciao.

nel log di combo ci sono questi che non mi piacciono
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

aspettiamo che dia un occhio anche chill, e poi preparariamo uno script da dare in pasto a combo per pulire il registro


x chill
cosi può andare o va sistemata?
registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

nel log di combo ci sono questi che non mi piacciono
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

aspettiamo che dia un occhio anche chill, e poi preparariamo uno script da dare in pasto a combo per pulire il registro


x chill
cosi può andare o va sistemata?
registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
\Shell\Auto\command - UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

Così è Ok ;)


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]

Così è Ok ;)
grazie chill, le sottostringhe vengono così eliminate di conseguenza...

x ClaKK

Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8606fe0c-f5be-11dc-9aea-0011675ac4b7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6a7f41b-0e4b-11dc-80ca-806d6172696f}]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe ravviare ( eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><
virtumonde è poco rilevante
Scarica Norman Vundo cleaner da qui (http://download.norman.no/public/Norman_Vundo_Cleaner.exe) → Disconnetti il pc da internet → Riavvia il pc → Esegui il file precedentemente scaricato → Clicca sulle dll infette trovate e seleziona Clean All
Segnala poi se è stato trovato qualcosa
Poi passa a combofix

Ciao! Non riesco ad utilizzare VirtumundoBeGone in modalità provvisoria, si riavvia il sistema. Adesso non ricordo il messaggio in inglese, diceva qualcosa a proposito di un'impostazione. Cosa devo fare? Ci tengo a seguire tutto il procedimento ><

perchè quasi sicuramente hai ancora attiva la funzine di riavvio automatico in caso di errore e sicuramente quel bsod (= schermata blu) è causta da un virus, quindi vai in:
pannello dicontrollo -> sistema -> avanzate -> avvio e ripristino -> impostazioni e disabilita "Riavvia automaticamente in caso d'errore"

uhm questi i log

virtumondebegone (http://www.mediafire.com/?nztxj3yxmmv)

combo (http://www.mediafire.com/?wzqo32e8yyj)

kaspersky (http://www.mediafire.com/?bxv9v2zc3nw) (proprio non arrivo a capire come potevo avere tutti questi file, ci sono volute 6 ore per cancellare tutto)

superantispyware (http://www.mediafire.com/?n6tmxzjm3et)

hijackthis (http://www.mediafire.com/?i3dy0siztfd)

uhm questi i log

virtumondebegone (http://www.mediafire.com/?nztxj3yxmmv)

combo (http://www.mediafire.com/?wzqo32e8yyj)

kaspersky (http://www.mediafire.com/?bxv9v2zc3nw) (proprio non arrivo a capire come potevo avere tutti questi file, ci sono volute 6 ore per cancellare tutto)

superantispyware (http://www.mediafire.com/?n6tmxzjm3et)

hijackthis (http://www.mediafire.com/?i3dy0siztfd)
azzz kasp ti ha travato infetto tutta la musica... aspetta a rimuovere kasp, in modo da tenere ancora tutta la roba nella quarantena

Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

il punto è che tutta quella musica io non l'ho mai avuta, inoltre non era visibile tranne quando facevo la scansione boh!

il punto è che tutta quella musica io non l'ho mai avuta, inoltre non era visibile tranne quando facevo la scansione boh!

come ti sembra il pc ora?

come ti sembra il pc ora?

credo meglio

dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

ciao a tutti ho eliminato virtumonde infatti gli aggiornamenti automatici sn attivi e prima diceva di no ed erano attivi.Adesso la lan è scollegata e non riesco + a connettermi a internet.Ho seguito la guida TUTTA. aiuto!! La connessione senza fili funziona infatti ora sto scrivendo con il portatile.Ogni tnt quando riavvio mi dice acquisizione indirizzo di rete ma lo fa sempre e nn dice attiva.
hjackthis http://www.fileqube.com/shared/kxZyxB71801

combofix http://www.fileqube.com/shared/iIVIY71803
vitumondebegone http://www.fileqube.com/shared/ARxgeixDB71804

ciao a tutti ho eliminato virtumonde infatti gli aggiornamenti automatici sn attivi e prima diceva di no ed erano attivi.Adesso la lan è scollegata e non riesco + a connettermi a internet.Ho seguito la guida TUTTA. aiuto!! La connessione senza fili funziona infatti ora sto scrivendo con il portatile.Ogni tnt quando riavvio mi dice acquisizione indirizzo di rete ma lo fa sempre e nn dice attiva.
hjackthis http://www.fileqube.com/shared/kxZyxB71801

combofix http://www.fileqube.com/shared/iIVIY71803
vitumondebegone http://www.fileqube.com/shared/ARxgeixDB71804
Fai una scansione completa con Superantispyware (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Lancialo e fagli fare l'aggiornamento automatico cliccando su "Download and install the Update Now" nella finestrella che si apre / oppure cliccando su "Check for Updates" una volta aperto
Sotto Preference... -> Scanning control -> Configuralo come indicato qui (http://img165.imageshack.us/my.php?image=superpm6.jpg) -> Close
Per scansionare clicca su Avanti -> A sinistra metti la spunta a tutti gli hard disk e partizioni, a destra seleziona Perform Complete Scan -> Avanti
A fine scansione seleziona tutte le voci trovate e clicca su avanti per mettere tutto in quarantena.

Il log lo recuperi dal programma -> Preferences... -> Statistics/Logs
oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\SUPERAntiSpyware.com\SUPERAntiSpyware\Logs (invio)

...

Ecco il log!!

Ecco il log!!
il pc come sta ora?

Sembra stia molto meglio, e ora a-squared non trova più nulla!! Grazie mille dell'aiuto!! C'è ancora quella chiave strana che trova HJT:
O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)
come faccio a toglierla?

Un'altra domanda...ora la situazione "sicurezza" del mio pc è:

Nod32
Zonealarm
Spybot S&D
Superantispyware
Malwarebytes Anti-Malware
A-squared

Cosa mi consigliate di togliere/aggiungere/sostituire?

Sembra stia molto meglio, e ora a-squared non trova più nulla!! Grazie mille dell'aiuto!! C'è ancora quella chiave strana che trova HJT:
O20 - Winlogon Notify: yayyvtUk - yayyvtUk.dll (file missing)
come faccio a toglierla?

Un'altra domanda...ora la situazione "sicurezza" del mio pc è:

Nod32
Zonealarm
Spybot S&D
Superantispyware
Malwarebytes Anti-Malware
A-squared

Cosa mi consigliate di togliere/aggiungere/sostituire?
fixala pure quella voce, o carica il log di hjt che do un occhio

per il resto dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

eh il problema è proprio quello, anche facendo "fix checked" quella stringa non va via. L'unica cosa che succede è che si cancellano i risultati della scansione (in pratica la finestra di hjt ritorna bianca).

eh il problema è proprio quello, anche facendo "fix checked" quella stringa non va via. L'unica cosa che succede è che si cancellano i risultati della scansione (in pratica la finestra di hjt ritorna bianca).
start - esegui - digita regedit (invio)
vai a HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
se c'è il riferimento a quel file cancellalo

ho fatto la scansione ha trovato un virus e lo ha cancellato e mi ha detto di riavviare il pc. Adesso sul fisso la connessione lan è attiva infatti si connette ma nn mi fa andare su siti msn ecc.Certe volte mi dice che la linea è occupata e che il tempo di risposta della connessione remoto ci mette tnt a rispondere e la connessione è stata terminata
Log scansione http://www.fileqube.com/shared/RJEZyZnZr72613

L'aggiornamento non lo posso fare xke non ho internet....

ho fatto la scansione ha trovato un virus e lo ha cancellato e mi ha detto di riavviare il pc. Adesso sul fisso la connessione lan è attiva infatti si connette ma nn mi fa andare su siti msn ecc.Certe volte mi dice che la linea è occupata e che il tempo di risposta della connessione remoto ci mette tnt a rispondere e la connessione è stata terminata
Log scansione http://www.fileqube.com/shared/RJEZyZnZr72613

L'aggiornamento non lo posso fare xke non ho internet....
fai una scansione completa con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php)
Installalo e col programma chiuso aggiornarlo con il file che puoi scaricare da qui
http://www.malwarebytes.org/mbam/database/mbam-rules.exe

Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati"

Si aprirà il log che dovrai caricare secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
Lo recuperi dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

Grazie ancora!!

Con il metodo che dici tu non si cancellava, però ho usato regseeker facendo una ricerca del nome e ho cancellato tutte le chiavi!!ora non compare più!

Ciao!!

Grazie ancora!!

Con il metodo che dici tu non si cancellava, però ho usato regseeker facendo una ricerca del nome e ho cancellato tutte le chiavi!!ora non compare più!

Ciao!!
bene,
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

il prog che mi hai dato a trovato dei virus tra cui due trojan vundo _-_ e altri due virus uno di qst mi ha detto di riavviare e adesso all'avvio mi da errore rundll
C:\WINDOWS\system32\xfhxcqqj.dll quello che ho cancellato. Help!

il prog che mi hai dato a trovato dei virus tra cui due trojan vundo _-_ e altri due virus uno di qst mi ha detto di riavviare e adesso all'avvio mi da errore rundll
C:\WINDOWS\system32\xfhxcqqj.dll quello che ho cancellato. Help!
c'è una stringa che lo richiama e non lo trova...ora la togliamo

Scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis, mettila in una sua cartella dedicata, lancialo e clicca su "Do a system scan and save a log file" e carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598) il log che verra visualizzato e salvato nella cartella di Hijackthis

cioè? che cartella? non lo posso lanciare dal desktop?

cioè? che cartella? non lo posso lanciare dal desktop?
dagli un nome qualsiasi e estrailo li

Fatto. Scusa se te lo mando i log via sito ma quello di qst sito nn funziona boh o.O http://www.fileqube.com/shared/AhYikCQcz74109

Fatto. Scusa se te lo mando i log via sito ma quello di qst sito nn funziona boh o.O http://www.fileqube.com/shared/AhYikCQcz74109

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {62BA437C-7712-48C6-9F0B-D251FA43192B} (SayaTV Control) - http://www.sayatv.com/download/SayaTV.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

Fatto. Ora la lan mi dice connettività limitata o assente e l'errore all'avvio non me lo fa +
Log:
http://www.fileqube.com/shared/pxKJeLj74116

Fatto. Ora la lan mi dice connettività limitata o assente e l'errore all'avvio non me lo fa +
Log:
http://www.fileqube.com/shared/pxKJeLj74116
Allega un log di ESET SysInspector che puoi scaricare da qui (http://download.eset.com/download/sysinspector/32/ENU/SysInspector.exe)
Lancia SysInspector → Scorri in basso la licenza fina a quando si accente il pulsante "I agree" → attendi l'analisi del sistema → una volta che si sarà aperta l'interfaccia del programma clicca File → Save Log → Yes → Salva come: nel menu a tendina seleziona la prima opzione ovvero Eset SysInspector log (.xml) → Ok
Ora carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) il log ottenuto.

Eccolo http://www.fileqube.com/shared/DPCRGl74132

Eccolo http://www.fileqube.com/shared/DPCRGl74132
non vedo impostati i dns

Start → Impostazioni → Pannello di Controllo → Rete e connessioni internet → Doppio click Connessione di rete → Doppio click su Protocollo Internet TCP/IP → Metti la spunta su Utilizza i Seguenti DNS → Inserisci
208.67.222.222
208.67.220.220

Fai Start -> Esegui -> Digita cmd (invio)
Nella finestra dos che si apre digita
ipconfig /all
poi click sx in alto a sinistra sul simbolo c:\ della finestra dos -> modifica -> seleziona tutto -> batti INVIO
apri il blocco note, incolla, salva il file e allegalo con il comando Gestisci allegati"

Eccoli

Eccoli
com'è impostato il tuo collegamento internet?

vedo il DHCP abilitato
questo programma che fa?
O4 - HKLM\..\Run: [TWCU] C:\Programmi\TP-LINK\TWCU\TWCU.exe -nogui

Ho un router quello è un prog che non serve a nnt ma nn si cancella xD xrò è dell'router...

SIIIII grande ho modificato delle cose sulle impostazione ip gatwey ecc. stava su ottieni informazioni automaticamente ho messe quelle del router.

disabilita il dhpc

nelle impostazioni tcp/ip

Indirizzo IP configurazione manuale: 169.254.68.8 imposta come ultimo numero 8 per esempio
Subnet mask . . . . . . . . . . . . . : 255.255.255.0
Gateway predefinito . . . . . . . . . : 169.254.68.75 <--assiscurati che sia l'indirizzo del router

-.- dice errore 718 il computer remoto non ha risposto al termpo previsto la connessione è stata annulata.

se in firefox o ie nell'indirizzo metti 169.254.68.75, entri nel menù del router?

No il getewey è un altro. ma il dchp come faccio a disabilitarlo?

spiega bene com'è impostato, che solo dai log mi viene difficile...

Mi so connesso ma non mi fa andà su internet msn ecc... In che senso? Su msn faccio risolvi problemi e mi dice che le porte hanno qualcosa che non va

Mi so connesso
che significa??

il pc è attaccato al router?
hai trovato l'indirizzo del router?
sei riuscito ad entrarci?
le impostazioni internet del tuo provider snon nel router?
il router è online?

qui stiamo andando off topic
apri una nuova discussione "problemi di connessione post-rimozione vundo" o simile
e li rispondi alle domande
e carichi un nuovo log di ipconfig /all

ci vediamo di là ;)

Salve! Avevo aperto una discussione sul mio problema (http://www.hwupgrade.it/forum/showthread.php?t=1798828) ma mi hanno gentilmente fatto notare che avevo sbagliato sezione, comunque ho seguito le indicazioni della guida e ora posto i log:

VirtumondobeGone ---> http://wikisend.com/download/964444/VBG.TXT

ComboFix ---> http://wikisend.com/download/478274/combo.log.txt

hijackthis ---> http://wikisend.com/download/856470/hijackthis.log

altra cosetta ho fatto una scansione anche con Prevx CSI e mi dice che C:WINDOWS\system32\imsinstall_loc0410.dll è un Cloaked Malware ma che roba è? e che devo fare ora? (grazie per l'aiuto in anticipo)

Salve! Avevo aperto una discussione sul mio problema (http://www.hwupgrade.it/forum/showthread.php?t=1798828) ma mi hanno gentilmente fatto notare che avevo sbagliato sezione, comunque ho seguito le indicazioni della guida e ora posto i log:

VirtumondobeGone ---> http://wikisend.com/download/964444/VBG.TXT

ComboFix ---> http://wikisend.com/download/478274/combo.log.txt

hijackthis ---> http://wikisend.com/download/856470/hijackthis.log

altra cosetta ho fatto una scansione anche con Prevx CSI e mi dice che C:WINDOWS\system32\imsinstall_loc0410.dll è un Cloaked Malware ma che roba è? e che devo fare ora? (grazie per l'aiuto in anticipo)

1 - Esegui HijackThis clicca su Do a system scan only - metti il segno di spunta nella casella bianca a sx della sotto indicata voce

O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - hxxp://zxcd.info/code/1027.exe

clicca su Fix Checked

2 - Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to move:
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

clicca su Execute, al temine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

- 3 Allega un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe mandandolo in esecuzione con la funzione 1

Porta a termine la procedura con il Punto 5 e 6 allegando i relativi log, ciao.

Edit: dimenticavo allega il log di Prevx CSI ==>> per ottenere il log cliccare su Options - Save a Log File

Ah ecco cosa avevo dimenticato! :doh: sorry XD
Ok allora ecco i log:

Avenger ---> http://wikisend.com/download/514978/avenger.txt

FindAWF ---> http://wikisend.com/download/919524/awf.txt

Prevx CSI ---> http://wikisend.com/download/532940/Prevx CSIlog.log

Per i punti 5 e 6 mi sa che ci vorrà un bel po' di tempo intanto posto questi

Ah ecco cosa avevo dimenticato! :doh: sorry XD
Ok allora ecco i log:

Avenger ---> http://wikisend.com/download/514978/avenger.txt

FindAWF ---> http://wikisend.com/download/919524/awf.txt

Prevx CSI ---> http://wikisend.com/download/532940/Prevx CSIlog.log

Per i punti 5 e 6 mi sa che ci vorrà un bel po' di tempo intanto posto questi

Bene tutto il tempo che necessita, attendiamo ciao.

Finalmente si è completata la scansione con superantyspyware (punto 6) ecco il log ---> http://wikisend.com/download/494766/SUPERAntiSpyware Scan Log - 08-12-2008 - 19-58-56.log

Per l'altra credo proprio che ci proverò domani di buon ora perchè ora devo spegnere il pc ed è arrivato solo al 12% Beh che dire grazie grazie stragrazie 1000 per l'aiuto :D e a presto ciaooo XD!!

Ragazzi ho appena effettuato i test in prima pagina, come sonoi file di log?

VirtumundoBeGone
http://wikisend.com/download/447228/VBG.TXT

ComboFix
http://wikisend.com/download/528338/log combofix.txt

Hijackthis
http://wikisend.com/download/506504/hijackthis.log

Grazie per l'aiuto!

Ragazzi ho appena effettuato i test in prima pagina, come sonoi file di log?

VirtumundoBeGone
http://wikisend.com/download/447228/VBG.TXT

ComboFix
http://wikisend.com/download/528338/log combofix.txt

Hijackthis
http://wikisend.com/download/506504/hijackthis.log

Grazie per l'aiuto!

- Apri il Blocco Note copia e incolla queste righe:

RenV::
C:\WINDOWS\system32\ctfmon .exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

- Riallega log di HijackThis non è completo

- Giampi ripeti le scansioni con MBAM e A-Squared come ti ho indicato qui
http://www.hwupgrade.it/forum/showpost.php?p=23667926&postcount=2

Buongiorno!! Rieccomi con il log di kaspersky virus removal tool ---> http://wikisend.com/download/525170/kaspersky.txt

da quello che ne capisco sembrerebbe che il mio pc non sia più infetto da niente però ogni avvio Prevx CSI mi dà sempre quell'avviso :
C:WINDOWS\system32\imsinstall_loc0410.dll è un Cloaked Malware

Prevx CSI log ---> http://wikisend.com/download/552140/PrevxCSI.log

PS ieri poi ho fatto una nuova scansione con spiware doctor e mi aveva trovato Application Nir.Cmd livello rischio informazioni le l'ho cancellato, ora la sto rifacendo (è ancora in esecuzione) e lo ha ritrovato uff...:cry:

Chill-out Ecco i vari log che ai richiesto.

Malware bytes
http://wikisend.com/download/128494/mbam-log-8-13-2008 (11-27-28).txt

A-squared-free 3.0
http://wikisend.com/download/224864/A-squared.txt

ComboFix
http://wikisend.com/download/611020/ComboFix.txt

Hijackthis
http://wikisend.com/download/523972/hijackthis.log

Con quest’ultimo il log è corto non mi sembra essere completo, io avvio il programma e poi faccio scan e save log e mi salva questo che ho postato.

Scusate se mi intrometto. L'altra settimana ho installato il programma SDFix per rimuovere Vundo (problema risolto) e volevo solo chiedere come devo fare per disinstallare il programma SDFix. Grazie

Scusate se mi intrometto. L'altra settimana ho installato il programma SDFix per rimuovere Vundo (problema risolto) e volevo solo chiedere come devo fare per disinstallare il programma SDFix. Grazie

Elimina il suo eseguibile più tutte quello che trovi in C:\SDFix potrebbe essere necessario utilizzare la modalità provvisoria. Inoltre SDFix non rimuove Vundo in tutte le varianti, soprattutto l'ultima, se desideri fare ulteriori controlli utilizza i tool indicati in Guida, ciao.

Grazie per la risposta. ho usato anche combofix. rimuovendo la cartella SDFix e tutti i suoi componenti non è che rimane qualcosa nel registro?

Grazie per la risposta. ho usato anche combofix. rimuovendo la cartella SDFix e tutti i suoi componenti non è che rimane qualcosa nel registro?

Vai tranquillo, per disinstallare Combo leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

'Sera! chiedo scusa se sto ancora qui a chiedere l'altrui ausilio il problema con virtumonde sembra essere stato risolto (grazie 1000 Chill-Out!!!) e anche con quell'altro virus (io non ho fatto nulla ma non ce nè + traccia) ma Prevx CSI continua ancora a darmi quell'avviso ad ogni scansione e ad ogni avvio del pc e non posso rimuovere questo Cloaked Malware (che poi non ho ancora capito che roba è, ma quella B in rosso non mi fa pensare a nulla di buono) perchè ci vuole la versione con la licenza...
per piacere cosa devo fare adesso? :confused: ciao e grazie ancora per la disponibilità!

Buongiorno!! Rieccomi con il log di kaspersky virus removal tool ---> http://wikisend.com/download/525170/kaspersky.txt

da quello che ne capisco sembrerebbe che il mio pc non sia più infetto da niente però ogni avvio Prevx CSI mi dà sempre quell'avviso :
C:WINDOWS\system32\imsinstall_loc0410.dll è un Cloaked Malware

Prevx CSI log ---> http://wikisend.com/download/552140/PrevxCSI.log

PS ieri poi ho fatto una nuova scansione con spiware doctor e mi aveva trovato Application Nir.Cmd livello rischio informazioni le l'ho cancellato, ora la sto rifacendo (è ancora in esecuzione) e lo ha ritrovato uff...:cry:

'Sera! chiedo scusa se sto ancora qui a chiedere l'altrui ausilio il problema con virtumonde sembra essere stato risolto (grazie 1000 Chill-Out!!!) e anche con quell'altro virus (io non ho fatto nulla ma non ce nè + traccia) ma Prevx CSI continua ancora a darmi quell'avviso ad ogni scansione e ad ogni avvio del pc e non posso rimuovere questo Cloaked Malware (che poi non ho ancora capito che roba è, ma quella B in rosso non mi fa pensare a nulla di buono) perchè ci vuole la versione con la licenza...
per piacere cosa devo fare adesso? :confused: ciao e grazie ancora per la disponibilità!

Ciao e scusa per il ritardo sono riuscito a trovare 10 minuti adesso :D per quanto concerne Application Nir.Cmd non ti devi preoccupare è relativo a ComboFix per l'altro problema inserisci in Avenger che hai gia usato questo Script

Files to delete:
C:\WINDOWS\system32\imsinstall_loc0410.dll

Allega log di avenger + nuovo log di Prevx CSI :)

Chill-out Ecco i vari log che ai richiesto.

Malware bytes
http://wikisend.com/download/128494/mbam-log-8-13-2008 (11-27-28).txt

A-squared-free 3.0
http://wikisend.com/download/224864/A-squared.txt

ComboFix
http://wikisend.com/download/611020/ComboFix.txt

Hijackthis
http://wikisend.com/download/523972/hijackthis.log

Con quest’ultimo il log è corto non mi sembra essere completo, io avvio il programma e poi faccio scan e save log e mi salva questo che ho postato.

Cioa e scusa per il ritardo nella risposta inserisci in ComboFix come fatto in precedenza questo Script

File::
C:\WINDOWS\system32\ctfmon.exe

RenV::
C:\WINDOWS\system32\ctfmon .exe

allega il log

Ciao e scusa per il ritardo sono riuscito a trovare 10 minuti adesso :D macchè figurati so benissimo che non se po' stà incollati tutto il tempo al pc a risolvere i problemi degli altri! :D anzi mi dispiace se ho dato fastidio con la mia insistenza comunque a quanto pare tutto è stato risolto (sei l'angelo custode del mio pc!!!) ecco qui i log che mi hai detto di mettere

avenger ---> http://wikisend.com/download/504962/avenger.txt

Prevx CSI ---> http://wikisend.com/download/971138/Prevx CSI.log

Beh che altro dire... grazie (moltiplicato per un numero infinito di volte) di tutto e ciao!!