quando hai tempo riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:
Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {00534B55-3155-CA4F-B41D-0E922121D03C} - (no file)
O2 - BHO: (no name) - {1B3DE3E5-DC06-4ADE-ADFE-092005F499F6} - (no file)
O2 - BHO: (no name) - {256E2B19-9812-45C5-842A-689767590779} - (no file)
O2 - BHO: (no name) - {317D1095-5B74-4CC5-8995-327989567562} - (no file)
O2 - BHO: (no name) - {43C31B69-A452-48AD-85C4-A25F41116D62} - (no file)
O2 - BHO: (no name) - {481E7983-1F2B-4250-951A-44E0902DF978} - (no file)
O2 - BHO: (no name) - {50908BCE-B9E2-46BF-8D18-A3C999500864} - (no file)
O2 - BHO: (no name) - {50DFD47B-2672-4E44-B681-E01CE39BE990} - (no file)
O2 - BHO: (no name) - {5B83DE18-2E04-456B-B338-576179AF9285} - (no file)
O2 - BHO: (no name) - {5C5AF64F-B0E8-41F8-8C3C-19E15B00C8DF} - (no file)
O2 - BHO: (no name) - {5CB8E310-CF64-4537-AD89-02E8EF2747AB} - (no file)
O2 - BHO: (no name) - {638F224D-608F-4F75-94EE-EDDEE34A0976} - (no file)
O2 - BHO: (no name) - {65A6F7FC-424B-4CDF-9B29-53DAEC48412C} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: (no name) - {7CAC2CA0-B6A4-444D-9104-06DEFF4C38B5} - (no file)
O2 - BHO: (no name) - {87631AF9-1BB4-4015-846A-AD0B61AAD7C5} - (no file)
O2 - BHO: (no name) - {8D7D2FCD-F428-4FC8-B34A-C670A23BB570} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {ADCFA266-329E-43B9-9D3E-630A85BC8EF0} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B7625BD7-32AD-4373-BC81-5E6CFE783657} - (no file)
O2 - BHO: (no name) - {B91B5D5E-5429-456A-9EE1-687CB535A799} - (no file)
O2 - BHO: (no name) - {C122F664-5C0D-4263-8623-61B140886C18} - (no file)
O2 - BHO: (no name) - {CCDCE380-7BA0-4C96-BDF3-E617B34E25DB} - (no file)
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O2 - BHO: (no name) - {E3086A3F-FE82-4A63-897F-A76B7B71699A} - (no file)
O2 - BHO: (no name) - {EC518A6A-E443-414A-8057-A77021E3F93B} - (no file)
O2 - BHO: (no name) - {F3FEA70A-A834-40EC-8A81-A2BAC19B0674} - (no file)
O2 - BHO: (no name) - {FEA1A32B-F9BF-4336-A9E3-4ED1DFED928D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167233963359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198136318187
O16 - DPF: {BD0D1F18-5561-11DC-A0D9-692F56D89593} - http://zxcd.info/code/1027.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82C6FCFF-E052-436B-8D20-98D8D9BD5370}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{96968AEC-2429-45B4-9BF9-F68DFDA68D61}: NameServer = 208.67.222.222,208.67.220.220
O20 - Winlogon Notify: awtqo - C:\WINDOWS\
O20 - Winlogon Notify: awtsp - C:\WINDOWS\
O20 - Winlogon Notify: awvvu - C:\WINDOWS\
O20 - Winlogon Notify: ddabc - C:\WINDOWS\
O20 - Winlogon Notify: ddcyx - C:\WINDOWS\
O20 - Winlogon Notify: fcccawu - fcccawu.dll (file missing)
O20 - Winlogon Notify: gebyx - C:\WINDOWS\
O20 - Winlogon Notify: geebc - C:\WINDOWS\
O20 - Winlogon Notify: geebx - C:\WINDOWS\
O20 - Winlogon Notify: jkhhf - C:\WINDOWS\
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\
O20 - Winlogon Notify: mlljh - C:\WINDOWS\
O20 - Winlogon Notify: mllml - C:\WINDOWS\
O20 - Winlogon Notify: opnllkj - opnllkj.dll (file missing)
O20 - Winlogon Notify: pmkhi - C:\WINDOWS\
O20 - Winlogon Notify: pmkji - C:\WINDOWS\
O20 - Winlogon Notify: pmnno - C:\WINDOWS\
O20 - Winlogon Notify: rqroopm - rqroopm.dll (file missing)
O20 - Winlogon Notify: rqrromm - rqrromm.dll (file missing)
O20 - Winlogon Notify: ssqpm - C:\WINDOWS\
O20 - Winlogon Notify: ssqpp - C:\WINDOWS\
O20 - Winlogon Notify: sstts - C:\WINDOWS\
O20 - Winlogon Notify: ssttu - C:\WINDOWS\
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\
O20 - Winlogon Notify: vtutt - C:\WINDOWS\
O20 - Winlogon Notify: xxyvvtu - xxyvvtu.dll (file missing)

giàun bel macello ma prima fixi queste voci è meglio è per il tuo pc, poi imposta i dns di www.opendns.com così eviti che l'infezione si autiripristini tra una scansione e l'altra

proseguiamo qui:
http://www.hwupgrade.it/forum/showthread.php?t=1603273

Scusa non era mia intenzione non curarmi di quello che mi hai scritto è solo che non avevo + aperto quella discussione visto che avevo sbagliato a scrivere lì, comunque non ho capito cosa devo fare con dns (l'ho detto che non so fare proprio niente XD) ma ho fixato quelle voci con HiJackThis (qualcosa la sto imparando grazie a voi) metto ora il nuovo log:
http://wikisend.com/download/929994/hijackthis.log

macchè figurati so benissimo che non se po' stà incollati tutto il tempo al pc a risolvere i problemi degli altri! :D anzi mi dispiace se ho dato fastidio con la mia insistenza comunque a quanto pare tutto è stato risolto (sei l'angelo custode del mio pc!!!) ecco qui i log che mi hai detto di mettere

avenger ---> http://wikisend.com/download/504962/avenger.txt

Prevx CSI ---> http://wikisend.com/download/971138/Prevx CSI.log

Beh che altro dire... grazie (moltiplicato per un numero infinito di volte) di tutto e ciao!!

Scusa non era mia intenzione non curarmi di quello che mi hai scritto è solo che non avevo + aperto quella discussione visto che avevo sbagliato a scrivere lì, comunque non ho capito cosa devo fare con dns (l'ho detto che non so fare proprio niente XD) ma ho fixato quelle voci con HiJackThis (qualcosa la sto imparando grazie a voi) metto ora il nuovo log:
http://wikisend.com/download/929994/hijackthis.log

Ciao Ornella sei ok se desideri approfondire leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Come ti diceva il Mod. per ragioni di sicurezza che non sono legate solo all'infezione debellata sarebbe opportuno utilizzare per navigare i server di http://www.opendns.com/

Buon proseguimento sul Forum di HWU

Salve a tutti! Ho anche io il problema di eliminare il malefico virtumonde. Dopo aver cercato la soluzione con spybot e una ventina di programmi simili (:muro: ), ho letto su questo forum che è necessario fixare delle voci nel log di hijackthis. Ora, fatto questo procedimento, credo di aver migliorato qualcosa visto che i messaggi pubblicitari non compaiono più, e il sistema è molto più veloce. Rimane però il problema del browser che credo sia causa del virus ovvero funziona tutto a meraviglia tranne che con i campi di ricerca. Esempio: cerco qualcosa in google o su youtube o wikipedia, vado a farmi un caffè torno e non ha ancora finito di caricare la pagina. :muro: :muro:
Uso Vista 32bit SP1
Vi posto il log di hjt
http://wikisend.com/download/532562/hijackthis2.txt

Grazie mille in anticipo!

Salve a tutti! Ho anche io il problema di eliminare il malefico virtumonde. Dopo aver cercato la soluzione con spybot e una ventina di programmi simili (:muro: ), ho letto su questo forum che è necessario fixare delle voci nel log di hijackthis. Ora, fatto questo procedimento, credo di aver migliorato qualcosa visto che i messaggi pubblicitari non compaiono più, e il sistema è molto più veloce. Rimane però il problema del browser che credo sia causa del virus ovvero funziona tutto a meraviglia tranne che con i campi di ricerca. Esempio: cerco qualcosa in google o su youtube o wikipedia, vado a farmi un caffè torno e non ha ancora finito di caricare la pagina. :muro: :muro:
Uso Vista 32bit SP1
Vi posto il log di hjt
http://wikisend.com/download/532562/hijackthis2.txt

Grazie mille in anticipo!

Devi semplicemente seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273 ed allegare i log per il controllo, ciao.

Salve ank'io son incappato in questo virus ma ho un problema in + infatti dopo essermi loggato dopo la schermata di avvio di winxp mi appare la finestra "windows warning message"
dove mi dice ke è stato trovato questo virus

ma poi tutto mi rimane vuoto.
Nessuna icona , nessuna barra niente di niente
Ho provato anke ad entrare in modalità provvisoria ma anke la stesso discorso ,
dopo essermi loggato (qui nn mi appare nessuna immagine) lo schermo rimane vuoto
cosa posso fare ???

p.s. non lo so se è importante comunque il pc infetto è un portatile
spero sappiate aiutarmi

ecco l'immagine che mi appare

ma poi tutto mi rimane vuoto.
Nessuna icona , nessuna barra niente di niente


Prova ad usare questa guida per risolvere il problema delle icone e della barra: http://www.hwupgrade.it/forum/showthread.php?t=1555416

Prova ad usare questa guida per risolvere il problema delle icone e della barra: http://www.hwupgrade.it/forum/showthread.php?t=1555416

Purtroppo nn mi affaccia niente ne dal tasto destro del mouse ne dalla combinazione alt+ctrl+canc

Posso muovere solo il puntatore del mouse ma niente di +

Devi semplicemente seguire questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273 ed allegare i log per il controllo, ciao.

ecco qui ho seguito il procedimento e sto finendo un ultimo scan da F-Secure (finora solo uno spyware). Nel frattempo posto i log:

Log di Hijack---> http://wikisend.com/download/519268/hijacklog2.txt
VirtumundoBeGone---> http://wikisend.com/download/593678/VBGlog.txt
Combofix---> http://wikisend.com/download/515274/logcombofix.txt

grazie mille per la pazienza :D


EDIT: l'ultimo scan ha trovato solo un cookie pericoloso.

ri-EDIT: ragazzi scusate ora è tutto ok! il browser funzioona alla grande! grazie mille!

ecco qui ho seguito il procedimento e sto finendo un ultimo scan da F-Secure (finora solo uno spyware). Nel frattempo posto i log:

Log di Hijack---> http://wikisend.com/download/519268/hijacklog2.txt
VirtumundoBeGone---> http://wikisend.com/download/593678/VBGlog.txt
Combofix---> http://wikisend.com/download/515274/logcombofix.txt

grazie mille per la pazienza :D


EDIT: l'ultimo scan ha trovato solo un cookie pericoloso.

ri-EDIT: ragazzi scusate ora è tutto ok! il browser funzioona alla grande!

grazie mille!

Esegui anche il Punto 6 dopodichè leggi questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Purtroppo nn mi affaccia niente ne dal tasto destro del mouse ne dalla combinazione alt+ctrl+canc

Posso muovere solo il puntatore del mouse ma niente di +

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1689812 per creare ed utilizzare Antivir Rescue System ==>> opzione 2 per disinfettare il PC

Ovviamente devi creare il DVD su un Pc funzionante

Sono riuscito a rimettere in sesto il pc grazie ad un copia live di ubuntu :D ,
infatti altre a eliminare il virus , ho dovuto ricopiare i file explorer.exe e svchost.exe :confused: :confused: che erano letteralmente scomparsi (i file li ho presi da un pc con xp pro mentre il portatile monta xp home succede niente?? :boh: intanto il pc funziona benissimo :sofico: )

Elimina, poi segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1603273

per ora ho usato solo combo fix: solo ke durante l acreazione del report mi ha dato 2 errori...


Qst è il log:

ComboFix 08-08-21.02 - Administrator 2008-08-22 18.17.19.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.708 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe

log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

189 --- E O F --- 2008-08-15 09:13:18

Rimuovi l'immagine che sfalsa il layout del Forum ed allega tutti i rimanenti log in un'unico post, grazie.

scusa ma era x farti vedere gli errori ke mi aveva dato! ora al riavvio del pc me li ha dati di nuovo!

prima d fare tutto il resto volevo kiederti due cose: dopo aver fatto la scansione mi ha creato in ( C: ) la cartella "QooBox" . Presumo ke qll ke sn dentro siano i presunti file infetti; cosa devo fare cn qst?!
...e poi come disinstallo combofix?! nn c'è tra i programmi... grazie!

scusa ma era x farti vedere gli errori ke mi aveva dato! ora al riavvio del pc me li ha dati di nuovo!

prima d fare tutto il resto volevo kiederti due cose: dopo aver fatto la scansione mi ha creato in ( C: ) la cartella "QooBox" . Presumo ke qll ke sn dentro siano i presunti file infetti; cosa devo fare cn qst?!
...e poi come disinstallo combofix?! nn c'è tra i programmi... grazie!

Non preoccuparti gli errori sono residui del virus, per il resto ovvero come disinstallare Combo e relative cartelle vediamo tutto alla fine ;)

@ ioo:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) :)

Questi sn i log:

http://wikisend.com/download/911288/VBG.TXT


http://wikisend.com/download/649886/ComboFix.txt


http://wikisend.com/download/226664/SUPERAntiSpyware

F-Secure Online l'ho provato 2 volte, e mi si è bloccato il pc, la seconda volta mi si è bloccato mentre scansionava il file "spuninst", nn so cos'è, ma l'ho cercato nel mio pc e tra file e cartelle ho trovato piu d 700 file cn ql nome :confused: ....boh, magari nn centra nulla....cmq da qst log ke mi dite!? il pc sembra nn avere piu nulla! solo ke mi rimane un file infetto in "QooBox", la cartella creata da ComboFix, il file è "ljJDWQKc.dll.vir"....ke devo fare!? grazie:)

Questi sn i log:

http://wikisend.com/download/911288/VBG.TXT


http://wikisend.com/download/649886/ComboFix.txt


http://wikisend.com/download/226664/SUPERAntiSpyware

F-Secure Online l'ho provato 2 volte, e mi si è bloccato il pc, la seconda volta mi si è bloccato mentre scansionava il file "spuninst", nn so cos'è, ma l'ho cercato nel mio pc e tra file e cartelle ho trovato piu d 700 file cn ql nome :confused: ....boh, magari nn centra nulla....cmq da qst log ke mi dite!? il pc sembra nn avere piu nulla! solo ke mi rimane un file infetto in "QooBox", la cartella creata da ComboFix, il file è "ljJDWQKc.dll.vir"....ke devo fare!? grazie:)

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

In alternativa a F-Secure c'è Kaspersky Removal Tool come indicato in Guida

Per quanto riguarda Combo come ti ho già detto precedentemente ci guardiamo alla fine :O

ho rifatto cm mi hai detto la scansione cn SAS:

http://wikisend.com/download/557520/SUPERAntiSpyware Scan Log - 08-23-2008 - 14-05-20(2).log

per kaspersky ho provato a far la scan on line ma dice ke ho la licenza scaduta!:confused:

ho rifatto cm mi hai detto la scansione cn SAS:

http://wikisend.com/download/557520/SUPERAntiSpyware Scan Log - 08-23-2008 - 14-05-20(2).log

per kaspersky ho provato a far la scan on line ma dice ke ho la licenza scaduta!:confused:

Vuol dire che hai un prodotto Kaspersky installato sul Pc, allega un log di HijackThis e dimmi come và il Pc

Ecco il log:

http://wikisend.com/download/474066/hijackthis.log

il pc cmq sembra essere OK! i problemi ke aveva prima ora nn ce li ha piu!:)

Ecco il log:

http://wikisend.com/download/474066/hijackthis.log

il pc cmq sembra essere OK! i problemi ke aveva prima ora nn ce li ha piu!:)

Esegui HijackThis clicca su Do a system scna only e metti il segna di spunta nella casella bianca a sx della sottoindicata voce

O20 - AppInit_DLLs: ptentq.dll qkzdxk.dll wxiqhm.dll

clicca su Fix checked, allega nuvo log

http://wikisend.com/download/562964/hijackthis.log

http://wikisend.com/download/562964/hijackthis.log

Bene adesso segui scrupolosamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dove troverai anche le istruzioni per rimuovere ComboFix, ciao. :)

Ok! grazie mille!!!:)
un'ultima cosa: ho disinstallato combofix, nella guida c'è scritto ke dopo bisogna cancellare la cartella QooBox, solo ke a me penso l'abbia cancellata cn la disinstallazione, perkè nn c'è piu in ( C:).... ho provato anke a fare "cerca" e nn l'ha trovata... puo essere ke si sia cancellata da sola no?!

...e poi volevo kiederti come si fa a sapere se il sistema operativo ke sto usando sia originale o meno?!

Ok! grazie mille!!!:)
un'ultima cosa: ho disinstallato combofix, nella guida c'è scritto ke dopo bisogna cancellare la cartella QooBox, solo ke a me penso l'abbia cancellata cn la disinstallazione, perkè nn c'è piu in ( C:).... ho provato anke a fare "cerca" e nn l'ha trovata... puo essere ke si sia cancellata da sola no?!

...e poi volevo kiederti come si fa a sapere se il sistema operativo ke sto usando sia originale o meno?!

La cartella QooBox l'ha falciata Superantispyware, mi raccomando segui tutta la Guida perchè dal log di Hjt ho notato diversi problemi, il tuo So è originale se ricevi regolarmente gli aggiornamenti di Windows. http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=it

scusa, ma ke genere di problemi?!:(

scusa, ma ke genere di problemi?!:(

Nel senso che usi IE sarebbe meglio utilizzare un browser alternativo come Firefox o Opera, inoltre sei ancora alla versione 6 decisamente vulnerabile, altro esempio è Java la tua versione è obsoleta quindi vulnerabile quindi veicolo di infezioni......etc

...altro esempio è Java la tua versione è obsoleta...
:asd: :asd:
ah ok, devo aggiornare un po tutto.... va bene allora, grazie mile per la pazienza ke hai avuto!;)

:asd: :asd:
ah ok, devo aggiornare un po tutto.... va bene allora, grazie mile per la pazienza ke hai avuto!;)

Esatto devi aggiornare un pò tutto :) Prego di nulla.

Salve, anche io sono stato infetto dal virtuemonde :muro:

Ho letto le vostre risposte e ho cercato di soluzionare da solo, ma non ci sono riuscito :mad: ecco di seguito cosa ho fatto:

- Installo ccsetup ed elimino un pò di roba
- Avvio VundoFix e mi rileva una paio di file che elimina
- Scansione con PREVXCSI e mi rileva dei file .exe infetti (che non riesco a eliminare, cmq prima erano d+ successivamente dopo l'avvio di vundo si sn ridotti).
- Avvio in modalità provvisoria Fixvundo e VirtumundobeGone e non rilevano nulla, dicono tutto ok.
- Scansione con rogueremover non rileva nulla.
- Spybot rileva virtumonde ma non lo elimina.
- Avvio SmitFraudFix in modalità provvisoria e non elimina nulla.
- Eseguito RegSeeker e fatto pulizia.

Di seguito tutti i log aggironati ad ora:

VundoFix.txt (1.01 KB)
http://www.megaupload.com/?d=WSUQ24XD
VBG.TXT (1.23 KB)
http://www.megaupload.com/?d=VQZ2RSMM
CSIlog.log (201.29 KB)
http://www.megaupload.com/?d=Z41PTU0K
SmitfraudFix log.txt (255.8 KB)
http://www.megaupload.com/?d=ZY2ZIUTL
FixVundo.log (8.4 KB)
http://www.megaupload.com/?d=C2T6ELTY
hijackthis.log (9.51 KB)
http://www.megaupload.com/?d=2IV1CLTR

http://img300.imageshack.us/img300/7865/98729881gn5.jpg

Ho letto che devo pubblicare i file su un host specifico, ma nn mi fa caricare nessun file :S ecco perchè ho usato questo...

hai utilizzato programmi inutili ;)
leggi il 1° post di questa discussione

http://www.hwupgrade.it/forum/showpost.php?p=23843658&postcount=47

ti ho semplicemente detto di seguire la guida in prima pagina ed allegare i log su i server remoti indicati in guida, che c'è di difficile?

scusa, non avevo capito...faccio tutto e posto... (sta notte nn ho dormito)...

TROJAN VUNDO

Istruzioni per la rimozione:
1) Disattivare ripristino configurazione di sistema. FAtto

2) Avviare in modalità provvisoria. FATTO

3) Eseguire i seguenti programmi e allegare i log:

VirtumundoBeGone
DL: http://wikisend.com/download/523684/VBG.TXT

ComboFix
DL: http://wikisend.com/download/511912/Combofix.txt

4) Riavviare il pc in modalità NORMALE. FATTO

5) Fare una scansione con con Kaspersky Virus Removal Tool. FATTO

Ha trovato file che conosco e nn sn virus. Il report pesa 92 mb...evito di metterlo qui.

6) Fare una scansione con SuperAntiSpyware. FATTO

DL log: http://wikisend.com/download/313448/SUPERAntiSpywareScanLog.log Scan Log - 08-28-2008 - 16-59-30.log

(ha torvato doubleckick che rileva anche spybot, nn capisco cosa sia)

Log finale di hijackthis:

http://wikisend.com/download/555318/hijackthis.log

IlGladiatore

Fai una scansione completa con Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam.php)
Lancialo e sotto la scheda " Aggiornamento" clicca su "Controlla aggiornamenti" fallo aggiornare, o riavviare e reinstallare se trova una nuova versione.
Una volta aggiornato sotto la scheda "Scansione" seleziona "Effettua una scansione completa"
Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"

Clicca su scansiona, seleziona tutti i dischi ed unità e seleziona "Avvia scansione"
A fine scansione seleziona tutte le voci trovate e clicca "Rimuovi elementi selezionati"

Si aprirà il log che dovrai caricare, lo recuperi o dal programma sotto la scheda "Files di log" oppure più comodo Start -> Esegui -> Copia ed incolla il testo rosso
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)

LOG:

http://wikisend.com/download/923988/mbam-log-08-28-2008(18-57-19).txt

mi ha rilevato file che an rilevato altri prog ma nn risolve...

LOG:

http://wikisend.com/download/923988/mbam-log-08-28-2008(18-57-19).txt

mi ha rilevato file che an rilevato altri prog ma nn risolve...
erano i file immunizzati dagli altri tool che hai utilizzato ;)

si, ma nn risolve nulla..che faccio?

si, ma nn risolve nulla..che faccio?

- Fai girare questo tool http://download.norman.no/public/Norman_Vundo_Cleaner.exe

Istruzioni http://www.norman.com/Virus/Virus_removal_tools/52658/it

- ● Dr.Web CureIt! Download (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

- Log di Prevx CSI

Riepilogo log da allegare:
Norman
CureIt
Prevx CSI

Norman n on rileva niente. Eccoti degli screen:
1. Avvio

http://img512.imageshack.us/img512/879/76571917bx1.jpg

2. Dopo aver premuto scan:

http://img329.imageshack.us/img329/7760/11451150pz7.jpg

Non ci sono log....

Cureit: log di 47 mb che evito di postare.Metto screen del risultato e lascio aperto.

http://img297.imageshack.us/img297/4237/93294907ea1.jpg
http://img297.imageshack.us/img297/2071/40656135xz2.jpg

Prevxcsi: http://wikisend.com/download/968082/PREVXcsi.log


Ma nn c'e rimedio? mi tocca entrare da cd con bartpe e scansionare t ti file di sistema con virustotale? e sostituire eventuali file cn quelli dle portatile dove è integro? altre soluzioni + veloci?

Elimina gli screenshot che sfalsano il layout del Forum ed allega i log, come snellire il log di CureIt http://www.hwupgrade.helloweb.eu/?p=5 :read: noto inoltre che non ha disattivato il ripristino configurazione sistema, disattivalo.

cureit mi ha spostato quei file che nn sono virus su quarantene, adesso che riportarli al suo posto? nn mi funzionano quei prog adesso....

cureit mi ha spostato quei file che nn sono virus su quarantene, adesso che riportarli al suo posto? nn mi funzionano quei prog adesso....
non ho capito....
non riesci a ripristinare i file?

esatto, eil virtumonde è ancora a piede libero... i banner puntano a chissà dove...

adesso ha ripreso a disconnettermi da internet ogni tot minuti....:muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro:

adesso ha ripreso a disconnettermi da internet ogni tot minuti....:muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro:


Allega quel benedetto log di Cureit, disattiva il system resore, e ripeti la procedura

log cureit:
www.hwupgrade.helloweb.eu/ParserLog/log/output-3081877373.txt

rifaccio scansione e rimetto log xkè ha riscritto il log di prima dp che c'e stato 5 ore :mad:

New log cureit:
www.hwupgrade.helloweb.eu/ParserLog/log/output4431458722.txt

New log cureit:
www.hwupgrade.helloweb.eu/ParserLog/log/output4431458722.txt
aggiorna i programmi che devi utilizzare, disattiva il ripristino, e riesegui tutta la guida rimanendo sempre sconnessso da internet

ok provo asp...

Salve ragazzi. Innanzitutto un saluto a tutti.
Ho un piccolo problema.
Facendo girare spybot, mi trova da scansionare 290000 oggetti, è premetto che pc non ha installato niente di che.

Ad un certo punto, inizia a scansionarmi virtumonde.dll e tutte le altre estensioni, son circa 100000 oggetti, ed infine, mi trova zlob.downloader.bs e rallenta la scansione di brutto.

Alla fine però, spybot non rileva alcuna minaccia, i vari antivirus che ho fatto girare (avg per la verità) non rileva anomalie.

Hijakthis mi da un log completamente OK.

Ho un problema con superantispyware 4.0.1154 che se lo faccio girare, al percorso: HKLM\SOFTWARE\Microsoft\WindowsCurrentversion\internetsettings\zonemap\domains\......ad un certo punto, dovo aver passato due volte tutti i siti visitati mi spegne il pc ma resta sotto tensione (spia verde illuminata ma il reset non lo riavvia, devo tener premuto power per i 5 secondi)

Devo preoccuparmi o meno?

Ciao,

sei chiaramente infetto dal trojan vundo quindi devi seguire la guida in prima pagina di questo thread e cioè questa: http://www.hwupgrade.it/forum/showthread.php?t=1603273

Mi raccomando segui ogni passo della guida e nel'ordine descritto, alla fine carica i log richiesti nelle modalità espresse dalle regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ti aspettiamo :)

Ok, appena ho un attimo procederò all'eliminazione di vundo.

Una cosa però non mi è chiara: perchè il mio pc sembra ok?

Non apre pagine a caso, non si impianta, non va piano, non mi cambia niente di niente.... :confused: :confused:

Allora, ho seguito la guida in prima pagina, tutto ok ora anche superaantispyware non mi si è piantato però, spybot ha sempre da scansionare 290000 oggetti ed ad un certo punto passa la virtumonde.dll (che sono 100000 oggetti come minimo).
Sotto il log di combofix

e quello di virtumondobegone (non e possibile caricare più allegati in un unico post?

Ora cosa devo fare?

ciao a tutti , ho letto le istruzioni per la rimozione di virtumonde, essendo il mio pc infetto.

-ho disattivato ripristino configurazione di sistema
-eseguito cc Cleaner(spuntando in opzioni avanzate :2 mesi temp)
-eseguito Spybot S&D : rilevava virtumonde e altri malware
-messo combofix nella root principale C:
-riavviato in modalita' provvisoria e eseguito combofix
-permesso il riavvio a combofix ed ecco il relativo log :


mi chiedevo non essendo esperto se posso fare altro per avere il pc a posto(premesso che unico pc a posto è spento :P)

P.S. sto navigando da 10 min e non sembrano esserci pop up strani et similia.

grazie per la cortese attenzione Danilo

aggiungo il log di Hjt

Salve a tutti. Quando avvio msn si apre un windows istaller e succesivamente mi da errore: Si è verificato un errore imprevisto durante l'istallazione di questo pacchetto. Probabile problema con questo pacchetto.Il codice errore è 2771. Ho fatto una scansione Malwarebytes' Anti-Malware e ho trovato dei virus tra cui vundo. Allego i log della scansione: http://www.fileqube.com/shared/eiYHYXng92304. Il problema ancora non si è risolto.

HiJackThis: http://www.fileqube.com/shared/gvMrsUS92303
VirtumundoBeGone: http://www.fileqube.com/shared/tEeSLq92307
ComboFix: http://www.fileqube.com/shared/gSjGXXezD92309

Problema risolto ho disistallo e ristallato msn non mi da errore e funziona ma non so se il vundo si è levato.

Per poter ricevere assistenza dovete allegare i log dei tool indicati in Guida ovvero:

VirtumundoBeGone
ComboFix
F-secure o Kaspersky removal tool
SuperAntiSpyware
HijackThis

grazie per la collaborazione

F-Secure OnLine Scanner come faccio a vedere i log?? E superantyspyware non ha trovato nulla quindi è inutile.

F-Secure OnLine Scanner come faccio a vedere i log?? E superantyspyware non ha trovato nulla quindi è inutile.

Per quanto concerne F-Secure leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1751772 in ogni caso i log vanno allegati indipendetemente dal responso.

ecco i links ai vari log:

- virtumundobegone http://www.mediafire.com/?nmy0i9entlc

- combofix http://www.mediafire.com/?io4nvihdmot

- HiJackThis http://www.mediafire.com/?jpitmmolukx

- SUPERAntiSpyware http://www.mediafire.com/?ybwtnwzmfgt

- Fsecure http://www.mediafire.com/?hx3nj1zjgzm

grazie per la cortese attenzione

ecco i links ai vari log:

- virtumundobegone http://www.mediafire.com/?nmy0i9entlc

- combofix http://www.mediafire.com/?io4nvihdmot

- HiJackThis http://www.mediafire.com/?jpitmmolukx

- SUPERAntiSpyware http://www.mediafire.com/?ybwtnwzmfgt

- Fsecure http://www.mediafire.com/?hx3nj1zjgzm

grazie per la cortese attenzione

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Controlla su http://www.virustotal.com/it/ e http://virscan.org/ il seguente file C:\WINDOWS\system32\CF5719.exe copia ed incolla nel prossimo post il risultato dell'analisi

Dimmi se riscontri ancora problemi, ciao.

Ripeti la scansione con Superantispyware impostando i seguenti parametri:

accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Controlla su http://www.virustotal.com/it/ e http://virscan.org/ il seguente file C:\WINDOWS\system32\CF5719.exe copia ed incolla nel prossimo post il risultato dell'analisi

Dimmi se riscontri ancora problemi, ciao.


grazie innanzitutto per l'aiuto, ecco i log di SuperAntiSpyware e il report di VirusTotal (vir scan si impalla sullo step 2 analyzing file).
http://www.virustotal.com/it/analisis/2e9687e3915885169d020e1280d04188

P.s. il file C:\WINDOWS\system32\CF5719.exe non esiste ho scansionato con VirusTotal C:combofix.exe

grazie innanzitutto per l'aiuto, ecco i log di SuperAntiSpyware e il report di VirusTotal (vir scan si impalla sullo step 2 analyzing file).
http://www.virustotal.com/it/analisis/2e9687e3915885169d020e1280d04188

P.s. il file C:\WINDOWS\system32\CF5719.exe non esiste ho scansionato con VirusTotal C:combofix.exe

bene dimmi come và il Pc, il file xhe ti ho chiesto di scansionare è questo C:\WINDOWS\system32\CF5719.exe ed è presente nel tuo log di HJT vedi http://www.mediafire.com/?jpitmmolukx, allega un nuovo log.

bene dimmi come và il Pc, il file xhe ti ho chiesto di scansionare è questo C:\WINDOWS\system32\CF5719.exe ed è presente nel tuo log di HJT vedi http://www.mediafire.com/?jpitmmolukx, allega un nuovo log.

ho capito cosa è successo, avevo combofix in esecuzione quando ho fatto girare hjt, quindi quello dovrebbe essere l'eseguibile di combofix che di sicuro è stato rimosso appena finita la scansione..

cmq il Pc sembra tutto ok, non rilevo vundo o simili..niente pop up strani, solo che ora ho resident S&D, avira e online armor , prima usavo avast e winzozz firewall, grazie per l'aiuto:cool:

ho capito cosa è successo, avevo combofix in esecuzione quando ho fatto girare hjt, quindi quello dovrebbe essere l'eseguibile di combofix che di sicuro è stato rimosso appena finita la scansione..

cmq il Pc sembra tutto ok, non rilevo vundo o simili..niente pop up strani, solo che ora ho resident S&D, avira e online armor , prima usavo avast e winzozz firewall, grazie per l'aiuto:cool:

Non ho capito perchè hai allegato il log qui http://www.hwupgrade.it/forum/showpost.php?p=23969134&postcount=9740 comunqeu adesso sei Ok, aggiungo inoltre che la tua configurazione di sicurezza attuale supera di gran lunga la precedente, ti consiglio di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

Non ho capito perchè hai allegato il log qui http://www.hwupgrade.it/forum/showpost.php?p=23969134&postcount=9740 comunqeu adesso sei Ok, aggiungo inoltre che la tua configurazione di sicurezza attuale supera di gran lunga la precedente, ti consiglio di leggere qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao


in quanto volevo sapere se c'era altro oltre a virutumonde/vundo, e aumentare le prestazioni, grazie di nuovo, avevo già letto il post-disinfezione;)

Ecco i miei files:

http://www.mediafire.com/file/bdrk6bpqivz/ComboFix.txt

http://www.mediafire.com/file/nrnn0cxfehw/VBG.TXT

http://www.mediafire.com/file/lwz22mw5cdh/Kaspersky.txt

http://www.mediafire.com/file/n4s1bks291m/hijackthis.log

Come sono messo?
Superantispyware è tornato a piantarsi.

Anche se torno a dire che per me il mio pc non presenta anomalie all'uso.

Anche se stavolta, e la seconda procedura che lancio, combofix ha trovato un file nascosto e l'orologio e sfasato di 4 ore, non è tornato a posto.

Ecco i miei files:

http://www.mediafire.com/file/bdrk6bpqivz/ComboFix.txt

http://www.mediafire.com/file/nrnn0cxfehw/VBG.TXT

http://www.mediafire.com/file/lwz22mw5cdh/Kaspersky.txt

http://www.mediafire.com/file/n4s1bks291m/hijackthis.log

Come sono messo?
Superantispyware è tornato a piantarsi.

Anche se torno a dire che per me il mio pc non presenta anomalie all'uso.

Anche se stavolta, e la seconda procedura che lancio, combofix ha trovato un file nascosto e l'orologio e sfasato di 4 ore, non è tornato a posto.

- Apri il Blocco Note copia e incolla queste righe:

File::
C:\DOCUME~1\Fabio\IMPOST~1\Temp\TMP4352$.TMP

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Per quanto riguarda l'orologio verifica qui Start -> Pannello di controllo -> Opzioni internazionali e della lingua -> Standard e formati che sia tutto in regola

Ecco qui il nuovo log di Combofix
http://www.mediafire.com/file/djdnnbioalm/ComboFix.txt

Ho cmq commesso un errore: la prima volta ho creato e trascinato sull'icona di combo fix un file chiamato CFScript.txt, alla fine ho eliminato il log , creato un nuovo file CFScript e trascinato quest'ultimo su combo fix.
Risultato messaggio di errore "impossibile accedere alla periferica......." do ok, parte combofix e in automatico messa di nokia pc sync.

Allego ancora log di HJ di oggi non si sa mai, magari serve:
http://www.mediafire.com/file/ycuzfwzdtm2/hijackthis.log

Ecco qui il nuovo log di Combofix
http://www.mediafire.com/file/djdnnbioalm/ComboFix.txt

Ho cmq commesso un errore: la prima volta ho creato e trascinato sull'icona di combo fix un file chiamato CFScript.txt, alla fine ho eliminato il log , creato un nuovo file CFScript e trascinato quest'ultimo su combo fix.
Risultato messaggio di errore "impossibile accedere alla periferica......." do ok, parte combofix e in automatico messa di nokia pc sync.

Allego ancora log di HJ di oggi non si sa mai, magari serve:
http://www.mediafire.com/file/ycuzfwzdtm2/hijackthis.log

Direi che sei ok, leggi attentamente questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Se dici che sono ok, allora ok:D .
Una domanda: come mai la scansione di spybot mi passa sempre i soliti 290000 oggetti e 100000 di questi sono virtumonde.dll virtumonde.sci etc etc???
Mi viene il dubbio che spybot in realtà, i file che mi mostra sul contatore, non sono i miei ma quelli che lui ha nel database......:confused:

Se dici che sono ok, allora ok:D .
Una domanda: come mai la scansione di spybot mi passa sempre i soliti 290000 oggetti e 100000 di questi sono virtumonde.dll virtumonde.sci etc etc???
Mi viene il dubbio che spybot in realtà, i file che mi mostra sul contatore, non sono i miei ma quelli che lui ha nel database......:confused:

Non uso Spybot da tempo immemorabile :D allega uno screenshot della stesso su fileqube

Spybot http://www.mediafire.com/?vzm4yvezzfl

Comunque penso che spybot ogni aggiornamento ampli il data base difatti adesso mi passa 295000 oggetti: appena aggiornato.

Volevo inoltre cambiare avg con antivir, la versione che scarico è quella per xp home anche se io uso il professional, vero???

Scusa se ti rompo ancora: cambio o no il mio buon vecchio fidato firewall sygate con quello che viene specificato alla guida alla quale mi hai rimandato???

Spybot http://www.mediafire.com/?vzm4yvezzfl

Comunque penso che spybot ogni aggiornamento ampli il data base difatti adesso mi passa 295000 oggetti: appena aggiornato.

Volevo inoltre cambiare avg con antivir, la versione che scarico è quella per xp home anche se io uso il professional, vero???

Scusa se ti rompo ancora: cambio o no il mio buon vecchio fidato firewall sygate con quello che viene specificato alla guida alla quale mi hai rimandato???
la scritta che dici indica lo stato di avanzamemnto della scansione e le firme virali conosciute, che ovviamente aumentano aggiornandolo

per antivir si

idem per il firewall

@wjmat: qui il link delle scansioni..
virtumundobegone l'avevo gia eseguito, ma lo vedrai da te..

Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=fbJyzmBOFTml0cBWOm4M)

perdonatemi i post uno dietro l'altro ma volevo solo dire che i log sono in uno zip, si puo' fare oppure ho sbagliato? scusate ma sono praticamente un newbie!:help:

perdonatemi i post uno dietro l'altro ma volevo solo dire che i log sono in uno zip, si puo' fare oppure ho sbagliato? scusate ma sono praticamente un newbie!:help:
ricaricali singolarmente secondo le modalità che ho in firma

dal log di hjt che hai messo di là


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: (no name) - {90ED80CB-EA25-45D1-B1E0-FBD727967AFF} - C:\WINDOWS\system32\khfDtSmk.dll (file missing)
O2 - BHO: (no name) - {B5692A49-DD43-432C-AF77-4846DA4E47F0} - (no file)
O2 - BHO: (no name) - {F22B7E8D-83B6-4369-A6B6-35312541D85F} - (no file)
O4 - HKCU\..\Run: [\YUR25.exe] C:\Windows\system32\YUR25.exe
O4 - HKCU\..\Run: [\YUR26.exe] C:\Windows\system32\YUR26.exe
O4 - HKCU\..\Run: [\YUR27.exe] C:\Windows\system32\YUR27.exe
O4 - HKCU\..\Run: [\YUR28.exe] C:\Windows\system32\YUR28.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKCU\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKCU\..\Run: [\YUR7.exe] C:\Windows\system32\YUR7.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O20 - AppInit_DLLs: kooijg.dll
O20 - Winlogon Notify: pmnLDWOi - C:\WINDOWS\
O20 - Winlogon Notify: __c00982B1 - C:\WINDOWS\

scusa..

log di mbam:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=k4NQCvlN2t7cjJSHoPeV)

log di a-squared:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=v3gZXgxtQtueqSGIFVQ1)

f-secure:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=fRMhfLaHLwklySxRFKlo)

cureit:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=VFijb5qv601EVoM4vW5p)

sysinspector:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=odSWXx5N5MwbnzD73ZqX)

spero di non avere sbagliato anche stavolta, se si martellatemi...

nuovo log di hjt dopo il fix che ti ho indicato sopra

come mi chiesto, ecco il nuovo log di hijack:

non ho visto quello di combofix

non lo avevo ancora eseguito... cosa faccio lo eseguo e poi rifaccio tutte le scansioni?

solo combo

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet → Chiudi ogni altra finestra o programma
Lancialo → Aspetta che appaia una finestra in cui ti chieda di digita 1 per continuare → Digita 1 → Attendi la scansione evitando di fare qualsiasi altra operazione → Dai conferma nel caso ti chieda di rimuovere alcuni driver → Attendi pazientemente senza toccare nulla → Al termine verrà mostrato il log che si trova in C:\ComboFix.txt. → Carica il log

log di combofix:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=bpznXw3Xs5DS3vIE7xgR)

mi sto rileggendo tutto il 3ad dall' inizio,combofix era da fare in modalita' provvisoria... va bene lo stesso o rifaccio?

nel frattempo ho disinstallato spybot s&d, dava segni di forte squilibrio al riavvio..

il log mostra qualcosa ancora e combo ha comunque eliminato altre cose....

voglio analizzarlo meglio con chill

intanto comincia a mettere al sicuro il pc leggendo il trattamento che ho in firma

so di essere OT ma vorrei chiedere due cose :

1: avast non va proprio bene come antivirus?

2: sono dietro a un router con le sue belle regole del firewall gia' inserite, me ne devo procurare uno software lo stesso?

1 noi lo sconsigliamo
2 io lo metterei comunque, il router non controlla tutto il trafficoo

x chill
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1ea8417-6f5c-11dd-abdf-000c6ef4ffc9}]
\Shell\AutoRun\command - L:\ClickMe.exe
queste le seghiamo entrambe?

tu vedi altro?

non so proprio dirti cosa siano, per non rischiare io le eliminerei comunque..

come lo faccio?

quando chill li vede probabilmente li facciamo sparire, magari lui ti trova anche altro

scusa la domanda da ignorante ma cos'e' chill? lo devo scaricare?

qualche donna forse, l'avrà "scaricato"..... :D :D :D :D

http://www.hwupgrade.it/forum/member.php?u=195361
è l'esperto dei log di combo, e non solo ;)

qualche donna forse, l'avrà "scaricato"..... :D :D :D :D

http://www.hwupgrade.it/forum/member.php?u=195361
è l'esperto dei log di combo, e non solo ;)



che figura da cioccolataio...:tapiro: :tapiro: :tapiro:

chill,ti chiedo umilmente scusa..:mc:

adesso controllero' il 3ad piu' di rado, causa mocciosa in casa, se mi segnalate qualcosa cerchero' di rispondere prima possibile..

1 noi lo sconsigliamo
2 io lo metterei comunque, il router non controlla tutto il trafficoo

x chill
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1ea8417-6f5c-11dd-abdf-000c6ef4ffc9}]
\Shell\AutoRun\command - L:\ClickMe.exe
queste le seghiamo entrambe?

tu vedi altro?

Le voci sopra indicate sono da eliminare, attenzione ci sono supporti removibili USB infetti, attendiamo il log di combo dopo lo script in quanto il precedente è in parte incompleto.

Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1ea8417-6f5c-11dd-abdf-000c6ef4ffc9}]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

a scanso do equivoci lo faccio in modalita' provvisoria o no?

a scanso do equivoci lo faccio in modalita' provvisoria o no?

In modalità normale, mi raccomando disconnesso dalla rete e con tutti software di sicurezza disabilitati.

nuovo log di combofix:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=mfAko2ezgKSw8AFpBzdm)

durante l'esecuzione e' saltato fuori il fumetto del centro sicurezza pc, avvertiva che ero senza antivirus, e in tray e' apparsa l'icona del tomtom home, che in teoria avevo tolto dall'autorun.. puo' aver dato problemi?

1 normale che esca
2 non so...
nuovo log di hjt

log di hjt:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=bJFLYFwWlpA4zLHcVjnD)

x chill
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnLDWOi]
[BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00982B1]
[BU]

queste in hjt sono O20 e con fix erano rimaste, le facciamo fuori con combo?

x chill
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnLDWOi]
[BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00982B1]
[BU]

queste in hjt sono O20 e con fix erano rimaste, le facciamo fuori con combo?

non vedo i file per il momeeto procediamo col fix

Da modalità normale
Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnLDWOi]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00982B1]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

Da modalità normale
Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnLDWOi]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\__c00982B1]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

intendevo il fix con HijackThis

già fatto ma non aveva funzionato

già fatto ma non aveva funzionato

Me l'hai gia detto ma non vedo i files col fix si rimuovono le chiavi, nell'eventualità il fix con HJT non dovesse funzionare è sinonimo di qualcosa che non và, ecco perchè in questo momento preferisco HJT

qui è dove gli ho dato il fix
http://www.hwupgrade.it/forum/showpost.php?p=24063153&postcount=1090

qui è dove gli ho dato il fix
http://www.hwupgrade.it/forum/showpost.php?p=24063153&postcount=1090

Ieri, oggi vediamo

O20 - Winlogon Notify: pmnLDWOi - C:\WINDOWS\
O20 - Winlogon Notify: __c00982B1 - C:\WINDOWS\

esegui HijackThis clicca su Do a system scan only e metti il segno di spunta a sx delle sopra indicate voci, clicca su Fix checked ed allega nuovo log, thx.

scusate ma mi ero allontanato...

dunque, ricapitolando, fixo le 020 con hjt e poi nuovo log?


p.s.: nel frattempo ho riacceso il pc causa black-out, se rifaccio lo scan senza log di hjt non dovrebbe cambiare nulla, vero?

scusate ma mi ero allontanato...

dunque, ricapitolando, fixo le 020 con hjt e poi nuovo log?


p.s.: nel frattempo ho riacceso il pc causa black-out, se rifaccio lo scan senza log di hjt non dovrebbe cambiare nulla, vero?

fixa le 020 poi nuovo log

log hjt:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=gxZZiQ6PZzSmR7MszSEv)

oggi è andata meglio ;)

queste sono inutili all'avvio

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\user\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

quindi? nuovo scan con hjt,fix di quello che hai indicato e basta?

devo postare un nuovo log?

io le fixerei, poi controlla tu se sono sparite, oramai sei esperto ;)

poi col trattamento che ho in firma sistema sp3
antivir al posto di avast ecc..

quindi sono pulito?:D :D :D

e riguardo a questo?

chill-out:"attenzione ci sono supporti removibili USB infetti"

a parte alcune SD(compresa quella del tomtom) ho un packard bell(store & play 3500) , mi sembra di non averlo mai collegato, durante l'infezione...
non ho altri supporti sempre collegati.

intanto fixo:lamer:

quindi sono pulito?:D :D :D

e riguardo a questo?

chill-out:"attenzione ci sono supporti removibili USB infetti"

a parte alcune SD(compresa quella del tomtom) ho un packard bell(store & play 3500) , mi sembra di non averlo mai collegato, durante l'infezione...
non ho altri supporti sempre collegati.

intanto fixo:lamer:
Prima di fare pulizia sulla chiavetta/e, hard disk esterni per sicurezza prima disabilità la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica su XP pro
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Oppure tieni premuto il tasto Shift ( quello tra Ctrl e Cap Lock) prima di collegarla

Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Da risorse computer tasto destro sul supporto e scansiona con:
Antivir
Malwarebytes
A-Squared

Al termine delle scansioni, riabilita la riproduzione automatica, se l'avevi disattivata in precedenza

log hjt:Clicca qui per scaricare (http://fileup.itadib.com/download.php?id=gxZZiQ6PZzSmR7MszSEv)

Bene :) per il resto segui quanto detto da wj, ciao.

grazie ancora di tutto, vi sono debitore a vita!!

grazie ancora di tutto, vi sono debitore a vita!!
di nulla ma......a chi la intesto la fattura? :D :D

a quelli di avast,magari...
Domani proseguo col trattamento post-infezione, vi trovo per nell'altro thread? Ci sono un paio di cose che mi turbano...
Buonanotte!

doppio post scusate.

a quelli di avast,magari...
Domani proseguo col trattamento post-infezione, vi trovo per nell'altro thread? Ci sono un paio di cose che mi turbano...
Buonanotte!
se avrai problemi col trattamento chiedi di la

ho seguito questa guida; forse ho risolto ora infatti anche la scritta virus alert dall orologio nn c'è piu e adesso in risorse del computer sono ritornati C: e D:.... ho fatto de varie scansioni: allego i log
non sono riuscito a fare l'antivirus su internet F secure scanner...nn riusciva a connettersi

queso è il primo

http://www.fileqube.com/shared/EooEoZAu101708

queso è il log di cure it o di combo fix li ho confusi
http://www.fileqube.com/shared/SQYAa101707

questo è hyjack
http://www.fileqube.com/shared/GVkAz101710

ricarica gli allegati come modalità che ho in firma
fai scansione completa con Kaspersky removal tool [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

ricarica gli allegati come modalità che ho in firma
fai scansione completa con Kaspersky removal tool [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

ok ho fatto anche kaspersky che è questo
65206

Se mi dite che è tutto a posto posso procedere a riettivare il ripristino config sistema e magari posso salvare questo come punto di ripristino...e poi magari vi chiederò come fare per fare un backup


grazie a tutti

ok ho fatto anche kaspersky che è questo
65206

Se mi dite che è tutto a posto posso procedere a riettivare il ripristino config sistema e magari posso salvare questo come punto di ripristino...e poi magari vi chiederò come fare per fare un backup


grazie a tutti
manca anche la scansione completa con SUPERAntiSpyware [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033121&postcount=10)



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\Quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSISETUP] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\GsiInst.exe INSTALL C:\DOCUME~1\PROPRI~1\Desktop\DATAWA~1\ 13
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - AppInit_DLLs: pvjskc.dll

manca anche la scansione completa con SUPERAntiSpyware [info] (http://www.hwupgrade.it/forum/showpost.php?p=24033121&postcount=10)



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Programmi\SpeedBit Video Accelerator\VideoAccelerator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\Quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GSISETUP] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\GsiInst.exe INSTALL C:\DOCUME~1\PROPRI~1\Desktop\DATAWA~1\ 13
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - AppInit_DLLs: pvjskc.dll





grazie mille wjmat

ecco il nuovo log hyjackthis
http://www.fileqube.com/shared/jdpnJBf102747

la scansione con super anty spyware l avevo fatta ma mi son dimenticato di salvare il log
cmq aveva trovato un virus che non era virtumonde e qualche spyware

grazie mille wjmat

ecco il nuovo log hyjackthis
http://www.fileqube.com/shared/jdpnJBf102747

la scansione con super anty spyware l avevo fatta ma mi son dimenticato di salvare il log
cmq aveva trovato un virus che non era virtumonde e qualche spyware

Il log di HJT è pulito puoi procedere col fix anche di questa voce

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

se non riscontri altri problemi direi che siamo a posto

ciao raga, è la prima volta che scrivo.
dopo aver scansionato con spybot e nod32, virtumonde torna sempre.
ho anche provato a levare manualmente dal registro con regedit, ma torna comunque.

ho seguito la guida:
-levato ripristino sistema
-da modalità provvisoria avviato virtumondobegone e combofix.
-tornato in modalità normale fatto scansione online con FSECURE
-alla fine avviato HJT, ecco i file di log:
1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)

http://www.mediafire.com/?sharekey=54b0f710814f8e62d2db6fb9a8902bda

vi prego aiutatemi!:muro: :mc: :cry: :(

ciao raga, è la prima volta che scrivo.
dopo aver scansionato con spybot e nod32, virtumonde torna sempre.
ho anche provato a levare manualmente dal registro con regedit, ma torna comunque.

ho seguito la guida:
-levato ripristino sistema
-da modalità provvisoria avviato virtumondobegone e combofix.
-tornato in modalità normale fatto scansione online con FSECURE
-alla fine avviato HJT, ecco i file di log:
1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)

http://www.mediafire.com/?sharekey=54b0f710814f8e62d2db6fb9a8902bda

vi prego aiutatemi!:muro: :mc: :cry: :(

da combo abbiamo da eliminare queste secondo me
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cdc8ffd-28b5-11dd-a757-001d602c703a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL infocamere\bkmlauncher.exe
\Shell\ICBK\command - L:\infocamere\bkmlauncher.exe

manca la scansione completa con SUPERAntiSpyware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033121&postcount=10)

manca la scansione completa con SUPERAntiSpyware

:doh: già...me n'ero dimenticato...
sto scansionando ora, poi salvo il log, rifaccio HJT, e posto.
a tra poco

ecco qua, rilinko il link dei log

1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)
http://www.mediafire.com/?sharekey=54b0f710814f8e62d2db6fb9a8902bda

e poi qui c'è il risultato di superantispyware
http://img291.imageshack.us/img291/8799/superantispywarels1.jpg

e di nuovo hjt dopo superantispyware...
http://www.fileqube.com/shared/sFcayzup104032

ecco qua, rilinko il link dei log

1.virtumondobegone(da mod. provv)
2.combofix(da mod. provv)
3.HJT(da mod. normale, prima della scansione con fsecure)
4.fsecure (da mod. normale)
5. HJT (dopo scansione con fsecure)
http://www.mediafire.com/?sharekey=54b0f710814f8e62d2db6fb9a8902bda

e poi qui c'è il risultato di superantispyware
http://img291.imageshack.us/img291/8799/superantispywarels1.jpg

e di nuovo hjt dopo superantispyware...
http://www.fileqube.com/shared/sFcayzup104032
il log di super non te l'ho chiesto così.... le info mi sembrano più che chiare...

excuse me:oink: :( :(

ecco qui superantisp..: http://www.fileqube.com/shared/ozdDH104034

excuse me:oink: :( :(

ecco qui superantisp..: http://www.fileqube.com/shared/ozdDH104034
ho paura che non sia configurato come da guida...

:rolleyes:

...e da hjt cosa mi puoi dire, posso fixare qualcosa?

:rolleyes:

...e da hjt cosa mi puoi dire, posso fixare qualcosa?


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le voci O16 non le segnalo, ma vanno fixate tutte, con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0DC314F3-9E8F-44C1-8B0B-A3D3A2CB6FDF} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A47239E3-79E2-41C0-BCEA-CCEACF1DAE00} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - Winlogon Notify: winzwr32 - C:\WINDOWS\

ecco qui.

ecco qui.
Da modalità normale
Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cdc8ffd-28b5-11dd-a757-001d602c703a}]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

ecco qui.

log pulito :)

Da modalità normale
Apri il Blocco Note e incolla tutto il codice qui sotto

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cdc8ffd-28b5-11dd-a757-001d602c703a}]


Salva il file sul Desktop come CFScript.txt → Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione → al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt



fatto, ma quando trascino su combofix e si apre, mi appare una finestra che mi dice:

CFScript errore nome
Tentavate di far funzioare CFscript?
Il nome, CFScript appare ortograficamente non corretto

e si chiude combofix

ps: è normale che quando apro combofix parta in automatico la scansione di spybot?

ps2: mi sà che f-secure, prima, scansionando online, mi abbia cancellato un bel pò di file...non li ritrovo più...

fsecure ha eliminato questi
Result: 12 malware found
Backdoor.Win32.Rbot (virus)
System
Client-IRC.Win32.mIRC (spyware)
System
PSWTool.Win32.RAS (spyware)
System
RemoteAdmin.Win32.WinVNC (spyware)
System
RemoteAdmin.Win32.WinVNC-based (spyware)
System
TrackingCookie.Adbrite (spyware)
System
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Zanox (spyware)
System
W32/Packed/FSG_1.C (virus)
D:\PROGRAMMI\NATIVE INSTRUMENTS\TRAKTOR DJ STUDIO 2\TRAKTOR261_KEYGEN.EXE (Submitted)
W32/Packed/FSG_2.A (virus)
K:\PROGRAMMI\MIRC\AUTHPATCH.EXE (Submitted)
W32/Suspicious_U.gen (virus)
D:\DIVX PRO 6.5 (FINAL-SUITE) INC.KEYGEN+ BY CONTROLLER PROGRAMMI ITA\KEYGENS+ISTRUZIONI\KEYGEN_PRO+PLUG-INS.EXE (Submitted)

combofix va usato con i programmi di protezione disattivati, disabilita spybot
se si sono corrotti i suoi file riscaricalo e reinstallalo

Penso di essere infetto ancora dal Maledetto Vundo. Continuano ad uscirmi finestre fake che sono infetto, tipo "Micro Antivirus 2009".

Questo è il Log fatto con Hjackthis.

http://wikisend.com/download/605738/log1.txt

Se qualcuno mi può aiutare. Grazie... :mc:

Penso di essere infetto ancora dal Maledetto Vundo. Continuano ad uscirmi finestre fake che sono infetto, tipo "Micro Antivirus 2009".

Questo è il Log fatto con Hjackthis.

http://wikisend.com/download/605738/log1.txt

Se qualcuno mi può aiutare. Grazie... :mc:

Ciao segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Ciao segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

Ho seguito la guida, apparentemente sembrerebbe tutto ok ora.

Posto i relativi log:

http://www.fileqube.com/shared/awGfCbNm109252

http://www.fileqube.com/shared/LgXaE109253

http://www.fileqube.com/shared/ereqRLs109255

http://www.fileqube.com/shared/hvnIU109256

Spero vada tutto bene...

Ho seguito la guida, apparentemente sembrerebbe tutto ok ora.

Posto i relativi log:

http://www.fileqube.com/shared/awGfCbNm109252

http://www.fileqube.com/shared/LgXaE109253

http://www.fileqube.com/shared/ereqRLs109255

http://www.fileqube.com/shared/hvnIU109256

Spero vada tutto bene...

Avresti dovuto allegare i log nel 3D che ti avevo indicato, comunque riallega il log di DrWeb in formato .txt le istruzioni le trovi sempre qui http://www.hwupgrade.it/forum/showthread.php?t=1789446

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella a sx delle sottoindicate voci

O21 - SSODL: mgxfebsq - {713DD47B-A277-4BC0-8559-EBD42B6E695F} - C:\WINDOWS\mgxfebsq.dll (file missing)
O21 - SSODL: dtseqrxk - {90DF3FF3-3CB4-440D-85B1-24A66933C653} - C:\WINDOWS\dtseqrxk.dll (file missing)

clicca su Fix checked

Mi hanno consigliato di venire in questo thread.

Mi date un'occhiata a questi file di log:


Ci sono due log di virtumondebegone perchè mi ha fatto il boot della macchina.

Virtumondebegone 1: http://wikisend.com/download/532934/VBG.TXT

Virtumondebegone 2: http://wikisend.com/download/544016/VBG2.TXT

Combofix :http://wikisend.com/download/855902/log.txt

Kespersky : www.hwupgrade.helloweb.eu/ParserLog/log/output3279091252.txt

SuperAntySpyware : http://www.fileqube.com/shared/YKrXS109242


Allego anche il file di hijackthis: http://www.fileqube.com/shared/ebzubrdtO109245

Grazie :)

Ripeti la scansione con SAS ed allega il log non lo screenshot, thx.

Avresti dovuto allegare i log nel 3D che ti avevo indicato, comunque riallega il log di DrWeb in formato .txt le istruzioni le trovi sempre qui http://www.hwupgrade.it/forum/showthread.php?t=1789446

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella a sx delle sottoindicate voci



clicca su Fix checked

Ti ho risposto nell'altro 3D come da te suggerito.

Ti ho risposto nell'altro 3D come da te suggerito.

hai deciso di farmi impazzire :D

ciao a tutti,
allora... ho eseguito passo passo gli step suggeriti da bugs.
ecco il link con tutti i logs:
http://www.mediafire.com/?sharekey=515e92e1d7b1c0e1d2db6fb9a8902bda

vista la mia sostanziale ignoranza, ho ancora dei dubbi:
1- devo tornare sul "ripristino configurazione di sistema" o (come sembra) tutto è tornato come in principio (cioe senza disattivazione spuntata)?
2- debbo eliminare in toto o in parte i vari .exe installati (VirtumundoBeGone, ComboFix, Kaspersky Virus Removal Tool - per altro pesantino - e SuperAntiSpyware)?
3- da quando ho fatto tutta l'operazione windows mi segnala che non ho firewall e il pc potrebbe essere esposto a rischi. siccome ho una copia crackata non vorrei fare ulteriori danni...
4- il mio antivirus (avira) mi segnala continuamente la pericolosa presenza dei succitati .exe, in particolare di combofix. che debbo fare? ignoro o smantello?

grazie anticipatamente,
K

ciao a tutti,
allora... ho eseguito passo passo gli step suggeriti da bugs.
ecco il link con tutti i logs:
http://www.mediafire.com/?sharekey=515e92e1d7b1c0e1d2db6fb9a8902bda

vista la mia sostanziale ignoranza, ho ancora dei dubbi:
1- devo tornare sul "ripristino configurazione di sistema" o (come sembra) tutto è tornato come in principio (cioe senza disattivazione spuntata)?
2- debbo eliminare in toto o in parte i vari .exe installati (VirtumundoBeGone, ComboFix, Kaspersky Virus Removal Tool - per altro pesantino - e SuperAntiSpyware)?
3- da quando ho fatto tutta l'operazione windows mi segnala che non ho firewall e il pc potrebbe essere esposto a rischi. siccome ho una copia crackata non vorrei fare ulteriori danni...
4- il mio antivirus (avira) mi segnala continuamente la pericolosa presenza dei succitati .exe, in particolare di combofix. che debbo fare? ignoro o smantello?

grazie anticipatamente,
K

Apri il Blocco Note copia e incolla questa riga:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{53bc054e-3795-11dd-a7b0-001e8c07a32f}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

NB: è assai probabile che tu abbia un supporto removibile USB infetto

Oltre al log di Combofix mi alleghi anche un log di HijackThis vedi qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 Punto 7

Apri il Blocco Note copia e incolla questa riga:
1-allega il log che trovi in C:\ComboFix.txt

2-ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

3-Oltre al log di Combofix mi alleghi anche un log di HijackThis vedi qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 Punto 7

dunque, intanto grazie mille.
1-non capisco bene con quale tempistica debbo fare quest'operazione, cioè se dopo la trascrizione dello script, a prescindere da esso o cosa
2-combofix l'ho già eseguito, come da indicazioni di bugs bunny, in modalità provvisoria
3-vedo che suggerite di leggere bene il manuale italiano e che l'operazione non è una cosa da due secondi; visto che sto andando fuori per il weekend, forse è il caso che mi applico con calma e pazienza da lunedì?
4-non mi hai risposto sulle 4 questioni che ponevo nel post precendente; in particolare sono spaventato dal punto3, il fatto che il mio windows crackato mi allerti sull'improvvisa NON presenza di un firewall.
grazie ancora

dunque, intanto grazie mille.
1-non capisco bene con quale tempistica debbo fare quest'operazione, cioè se dopo la trascrizione dello script, a prescindere da esso o cosa
2-combofix l'ho già eseguito, come da indicazioni di bugs bunny, in modalità provvisoria
3-vedo che suggerite di leggere bene il manuale italiano e che l'operazione non è una cosa da due secondi; visto che sto andando fuori per il weekend, forse è il caso che mi applico con calma e pazienza da lunedì?
4-non mi hai risposto sulle 4 questioni che ponevo nel post precendente; in particolare sono spaventato dal punto3, il fatto che il mio windows crackato mi allerti sull'improvvisa NON presenza di un firewall.
grazie ancora

Cosa vuol dire con quale tempistica, apri il blocco note copi ed incolli lo Script che ti ho indicato lo salvi come indicato e lo tracini sull'icona di combo in modalità normale.

Per le altre cose le sistemiamo via via

no, quello che non mi tornava era che prima dicevi di incollare-salvare-trascinare quel .txt, poi invece (forse solo nel caso in cui il pc non si riavvia da solo?) dici di allegare il log che trovo in C:\ComboFix.txt.

comunque, ho fatto l'operazione relativa al CFScript.txt, e ora?

no, quello che non mi tornava era che prima dicevi di incollare-salvare-trascinare quel .txt, poi invece (forse solo nel caso in cui il pc non si riavvia da solo?) dici di allegare il log che trovo in C:\ComboFix.txt.

comunque, ho fatto l'operazione relativa al CFScript.txt, e ora?

Hai creato il file denominato CFScript.txt? Se si trascinalo sull'icona di Combofix

ecco il nuovo log:
http://www.mediafire.com/?sharekey=515e92e1d7b1c0e1d2db6fb9a8902bda

ecco il nuovo log:
http://www.mediafire.com/?sharekey=515e92e1d7b1c0e1d2db6fb9a8902bda

Non hai fatto nulla di ciò che ti ho chiesto ti riallego le istruzioni

Apri il Blocco Note copia e incolla questa riga:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{53bc054e-3795-11dd-a7b0-001e8c07a32f}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

NB: allega i prossimi log qui http://www.fileqube.com/

forse ho sbagliato non copiando anche registry::
ora dovrebbe essere corretto:
http://www.fileqube.com/shared/XUeLEVHUY114275

forse ho sbagliato non copiando anche registry::
ora dovrebbe essere corretto:
http://www.fileqube.com/shared/XUeLEVHUY114275

Ok adesso và bene :) ora allegami un log di HijackThis http://www.hwupgrade.it/forum/showthread.php?t=1599737 leggi il Punto 7

ora non riesco a leggere la guida. se ha un senso quello che ho fatto, ecco il log di hijackthis:
http://www.fileqube.com/shared/MlYBGNcUF114283

altrimenti ci torno su lunedi.
ancora grazie

ora non riesco a leggere la guida. se ha un senso quello che ho fatto, ecco il log di hijackthis:
http://www.fileqube.com/shared/MlYBGNcUF114283

altrimenti ci torno su lunedi.
ancora grazie

Ok c'è un motivo specifico del perchè utilizzi questi DNS

212.17.192.217
address: BT Italia S.p.A.
address: Via M. Bianchini 15 - 00142 Roma (IT)
address: Via Umberto Saba 11
address: I-00144 Roma

Poi per quanto concerne

3- da quando ho fatto tutta l'operazione windows mi segnala che non ho firewall e il pc potrebbe essere esposto a rischi. siccome ho una copia crackata non vorrei fare ulteriori danni...

immagino tu veda la segnalazione a mò di scudetto rosso nella Systray vicino all'orologio, giusto?

Ok c'è un motivo specifico del perchè utilizzi questi DNS

212.17.192.217
address: BT Italia S.p.A.
address: Via M. Bianchini 15 - 00142 Roma (IT)
address: Via Umberto Saba 11
address: I-00144 Roma

Poi per quanto concerne



immagino tu veda la segnalazione a mò di scudetto rosso nella Systray vicino all'orologio, giusto?
nessun motivo specifico, credo siano le coordinate immesse dal negozio che mi ha installato il pc.
per quanto concerne il punto 3 esatto, proprio lo scudo in basso a dx

nessun motivo specifico, credo siano le coordinate immesse dal negozio che mi ha installato il pc.
per quanto concerne il punto 3 esatto, proprio lo scudo in basso a dx

OK successivamente sistemiamo anche i DNS, sarebbe opportuno installare un Firewall visto che ne sei sprovvisto, l'installazione comporta anche la sparizione dello scudetto.

allora ho preso un virus vundo con windows home premium sul mio portatile ora allego i files

combo fix http://rapidshare.com/files/148870782/ComboFix.txt.html

vertmundobegone http://rapidshare.com/files/148870783/VBG.TXT.html

ho eseguito la scansione in modalità provvisoria e riavviato poi ho eseguito la scansione con kaspersky virus removal tool e anche f-secure online scanner purtroppo non ho i file.txt per questi programmi allego un file di hijackthis

http://rapidshare.com/files/148872058/hijackthis.log.html

vorrei chiedere se ho eliminato il virus vundo

allora ho preso un virus vundo con windows home premium sul mio portatile ora allego i files

combo fix http://rapidshare.com/files/148870782/ComboFix.txt.html

vertmundobegone http://rapidshare.com/files/148870783/VBG.TXT.html

ho eseguito la scansione in modalità provvisoria e riavviato poi ho eseguito la scansione con kaspersky virus removal tool e anche f-secure online scanner purtroppo non ho i file.txt per questi programmi allego un file di hijackthis

http://rapidshare.com/files/148872058/hijackthis.log.html

vorrei chiedere se ho eliminato il virus vundo
i log caricali secondo le modalità che ho in firma please

i log caricali secondo le modalità che ho in firma please

scusa siete un po' rompi

ti carico i file txt di combo.fix e di vertmundobegone e di hijackthis i primi due ho fatto in modalità provvisoria e poi avviato in modalità normale avviando kaspersky removal virus tool e f-secure online scanner dopo aver deselezionato riconfigurazione di sistema non ho i files di questi due ultimi antivirus


http://www.mediafire.com/?tnmznmzjcmm


http://www.mediafire.com/?mmtzqmtz2mz

vi chiedo se ho eliminato il virus vundo

ragazzi anche io purtroppo sono incappato in questo maledetto!

ho seguito alla lettera la guida proposta in prima pagina ecco i log fatti ovviamente in modalità provvisoria

log VirtumundoBeGone:

http://www.mediafire.com/?sharekey=048548b0fb9e95e0d2db6fb9a8902bda

log combofix:
http://www.mediafire.com/?sharekey=048548b0fb9e95e0d2db6fb9a8902bda

ho fatto poi la scansione online con F-Secure OnLine Scanner che non ha trovato nulla, mentre con la scansione finale con SuperAntiSpyware ho trovato file che sono stati correttamente eliminati.

Il problema è che spesso e volentieri vengono fuori queste schermate:

http://i37.tinypic.com/2edb62g.jpg
http://i36.tinypic.com/ynd5z.jpg
http://i37.tinypic.com/9leqhf.jpg

Vi allego anche il log di HJT eseguito dopo tutta la procedura:

http://www.mediafire.com/?sharekey=cd4a632cc583c1b0d2db6fb9a8902bda

ragazzi anche io purtroppo sono incappato in questo maledetto!

ho seguito alla lettera la guida proposta in prima pagina ecco i log fatti ovviamente in modalità provvisoria

log VirtumundoBeGone:

http://www.mediafire.com/?sharekey=048548b0fb9e95e0d2db6fb9a8902bda

log combofix:
http://www.mediafire.com/?sharekey=048548b0fb9e95e0d2db6fb9a8902bda

ho fatto poi la scansione online con F-Secure OnLine Scanner che non ha trovato nulla, mentre con la scansione finale con SuperAntiSpyware ho trovato file che sono stati correttamente eliminati.

Il problema è che spesso e volentieri vengono fuori queste schermate:

http://i37.tinypic.com/2edb62g.jpg
http://i36.tinypic.com/ynd5z.jpg
http://i37.tinypic.com/9leqhf.jpg

Vi allego anche il log di HJT eseguito dopo tutta la procedura:

http://www.mediafire.com/?sharekey=cd4a632cc583c1b0d2db6fb9a8902bda
ciao
ci carichi anche il log di SuperAntiSpyware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033121&postcount=10)

ciao
ci carichi anche il log di SuperAntiSpyware http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033121&postcount=10)

eccolo qua

http://www.mediafire.com/?sharekey=cd4a632cc583c1b0d2db6fb9a8902bda

eccolo qua

http://www.mediafire.com/?sharekey=cd4a632cc583c1b0d2db6fb9a8902bda


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)


O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programmi\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programmi\Rapidown\rapidownGetAll.htm
O20 - AppInit_DLLs: ahwndm.dll hzkmud.dll tjltjt.dll
O16 - tutte le voci senza riferimenti a microsoft



poi scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

OK successivamente sistemiamo anche i DNS, sarebbe opportuno installare un Firewall visto che ne sei sprovvisto, l'installazione comporta anche la sparizione dello scudetto.

ok quando vuoi sono di nuovo operativo.
thanx

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)


O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Vidalia] "C:\Programmi\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programmi\Rapidown\rapidownGet.htm
O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programmi\Rapidown\rapidownGetAll.htm
O20 - AppInit_DLLs: ahwndm.dll hzkmud.dll tjltjt.dll
O16 - tutte le voci senza riferimenti a microsoft



poi scansione completa con Kaspersky removal tool http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

ecco il log di HJT prima di aver effettuato la scansione con Kaspersky

http://www.mediafire.com/?kljbzy9xinm

ed ecco il log della scansione

http://www.mediafire.com/?xtoutugppwi

ok quando vuoi sono di nuovo operativo.
thanx

In che senso :) hai installato il firewall ?

ecco il log di HJT prima di aver effettuato la scansione con Kaspersky

http://www.mediafire.com/?kljbzy9xinm

ed ecco il log della scansione

http://www.mediafire.com/?xtoutugppwi

Allega un log di Prevx CSI http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14 ed aggiornami sullo stato di salute del Pc ad adesso, ciao.

In che senso :) hai installato il firewall ?

ehm... :rolleyes: ... non so neanche come si fa... :help:

ehm... :rolleyes: ... non so neanche come si fa... :help:

http://www.hwupgrade.it/forum/showthread.php?t=1726383

ti suggerisco Online Armor

ecco il log di HJT prima di aver effettuato la scansione con Kaspersky

http://www.mediafire.com/?kljbzy9xinm

ed ecco il log della scansione

http://www.mediafire.com/?xtoutugppwi
i problemi persistono?

C:\Programmi\Rapidown\rapidown.exe
è proprio necessario questo programma?

http://www.hwupgrade.it/forum/showthread.php?t=1726383

ti suggerisco Online Armor

ho scaricato la 3 italiana. certo che se nel thread leggo cose tipo "SCONSIGLIO VIVAMENTE DI INSTALLARLA SE NON SI HA TEMPO/VOGLIA/CONOSCENZE INFORMATICHE SUFFICIENTI DI PARTECIPARE AL BETA TESTING: CON QUESTO INTENDO DIRE CHE E' INUTILE CHE LA INSTALLIATE, SE POI NON POSTATE I BUG SUL FORUM IN INGLESE DELLA TALLEMU (SE VOLETE PROVARLA PER CONTO VOSTRO, POTETE FARLO, MA A VOSTRO RISCHIO E PERICOLO)" diciamo che non mi sento per niente sicuro di procedere da solo... :(

i problemi persistono?

C:\Programmi\Rapidown\rapidown.exe
è proprio necessario questo programma?

allora quel programma l'ho fixato cmq è un utility che serve per il download da siti come rapidshare, l'ho disinstallato per maggiore sicurezza

Allega un log di Prevx CSI http://www.hwupgrade.it/forum/showpo...5&postcount=14 ed aggiornami sullo stato di salute del Pc ad adesso, ciao.

il log di prevx eccolo
http://www.mediafire.com/?mlybkmfmd2l

i problemi riscontrati come finestre di avviso di nod e aperture di strane pagine web sono scomparsi quindi presumo che il problema sia stato risolto, aspetto un vostro giudizio finale per sicurezza

ho scaricato la 3 italiana. certo che se nel thread leggo cose tipo "SCONSIGLIO VIVAMENTE DI INSTALLARLA SE NON SI HA TEMPO/VOGLIA/CONOSCENZE INFORMATICHE SUFFICIENTI DI PARTECIPARE AL BETA TESTING: CON QUESTO INTENDO DIRE CHE E' INUTILE CHE LA INSTALLIATE, SE POI NON POSTATE I BUG SUL FORUM IN INGLESE DELLA TALLEMU (SE VOLETE PROVARLA PER CONTO VOSTRO, POTETE FARLO, MA A VOSTRO RISCHIO E PERICOLO)" diciamo che non mi sento per niente sicuro di procedere da solo... :(

innazitutto è opportuno che tu legga bene la Guida, dopodichè per eventuali chiarimenti chiedi tranquillamente qui http://www.hwupgrade.it/forum/showthread.php?t=1597881 ;)

allora quel programma l'ho fixato cmq è un utility che serve per il download da siti come rapidshare, l'ho disinstallato per maggiore sicurezza



il log di prevx eccolo
http://www.mediafire.com/?mlybkmfmd2l

i problemi riscontrati come finestre di avviso di nod e aperture di strane pagine web sono scomparsi quindi presumo che il problema sia stato risolto, aspetto un vostro giudizio finale per sicurezza

Per cortesia mi carichi il log di Prevx su http://www.fileqube.com/ perchè Mediafire fà capricci

Per cortesia mi carichi il log di Prevx su http://www.fileqube.com/ perchè Mediafire fà capricci

ecco a te

http://www.fileqube.com/shared/LgPeRY116319

ecco a te

http://www.fileqube.com/shared/LgPeRY116319

Bene direi che siamo a posto, ti suggerisco di leggre questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

Bene direi che siamo a posto, ti suggerisco di leggre questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

ok grazie mille a te e a wjmat per l'assistenza;)

ok grazie mille a te e a wjmat per l'assistenza;)

Prego ;)

installato anche online armor (mi resta qualche dubbio su quali prog consentire o meno, ma questo semmai lo risolvo nell'apposito thread).

a questo punto c'era da sistemare i DNS, capire se ho un virus sulla porta USB, capire che fare coi vari programmini scaricati per vundo e non solo (combofix, virtumundobegone, kaspersky lab tool, hijackthis, super antispyware) di cui in particolare combofix mi viene segnalato di CONTINUO da avar antivir.

installato anche online armor (mi resta qualche dubbio su quali prog consentire o meno, ma questo semmai lo risolvo nell'apposito thread).

a questo punto c'era da sistemare i DNS, capire se ho un virus sulla porta USB, capire che fare coi vari programmini scaricati per vundo e non solo (combofix, virtumundobegone, kaspersky lab tool, hijackthis, super antispyware) di cui in particolare combofix mi viene segnalato di CONTINUO da avar antivir.


Start → Pannello di Controllo
click su Rete e connessioni internet o Connessione di rete
click su Connessioni di rete
click destro su Connessione alla rete locale (LAN) -> proprietà
scorri l'elenco e doppio click su Protocollo Internet TCP/IP
Metti la spunta su Utilizza i Seguenti DNS
Inserisci gli Open DNS
208.67.222.222
208.67.220.220
Ok → Ok → Riavvia il pc


combofix è normale che venga segnalato

installato anche online armor (mi resta qualche dubbio su quali prog consentire o meno, ma questo semmai lo risolvo nell'apposito thread).

a questo punto c'era da sistemare i DNS, capire se ho un virus sulla porta USB, capire che fare coi vari programmini scaricati per vundo e non solo (combofix, virtumundobegone, kaspersky lab tool, hijackthis, super antispyware) di cui in particolare combofix mi viene segnalato di CONTINUO da avar antivir.

Nel Thread http://www.hwupgrade.it/forum/showthread.php?t=1726383 indicato precedentemente ci sono le istruzioni per disinstallare i tool utilizzati, Combofix compreso

Per quanto riguarda i DNS ti suggerisco di utilizza quelli di OpenDNS qui trovi le istruzioni http://www.opendns.com/ - https://www.opendns.com/smb/start/device/windows-xp

capire se ho un virus sulla porta USB

non sulla porta, ma su un supporto removibile USB tipo chiavetta o HD esterno

[LIST]


ciao wjmat,
in un altro thread, su Ccleaner, consigli:
Vai su Pulizia → Nelle opzioni Avanzate mettti la spunta su "Disinstallatori aggiornamenti di WinUpdate" Infine clicca su Avvia pulizia.

siccome ho installato una copia di windows crackata (nonché adobe e nero), non vorrei fare casini... procedo?
stesso cruccio su "trova problemi nel registro"; non vorrei che mi trova dei problemi solo perché non riconosce la matrice originale.+

ad ogni modo, l'elenco prevalente dei problemi è il seguente:
- DLL condivise mancanti
- Estensione file non usata
- Problema Activex/COM
- Icona predefinita non valida
- Problema Apri con applicazione
- Problema percorso applicazione
- Problema riferimento a uninstaller
- Chiave di software obsoleto
- Chiave obsoleta del menù start
- Riferimento MUI mancante

Nel Thread http://www.hwupgrade.it/forum/showthread.php?t=1726383 indicato precedentemente ci sono le istruzioni per disinstallare i tool utilizzati, Combofix compreso

Per quanto riguarda i DNS ti suggerisco di utilizza quelli di OpenDNS qui trovi le istruzioni http://www.opendns.com/ - https://www.opendns.com/smb/start/device/windows-xp



non sulla porta, ma su un supporto removibile USB tipo chiavetta o HD esterno

ho disinstallato tutto il (non) necessario.
come scopro ora se ho il virus su supporto removibile USB?

ciao wjmat,
in un altro thread, su Ccleaner, consigli:
Vai su Pulizia → Nelle opzioni Avanzate mettti la spunta su "Disinstallatori aggiornamenti di WinUpdate" Infine clicca su Avvia pulizia.

siccome ho installato una copia di windows crackata (nonché adobe e nero), non vorrei fare casini... procedo?
stesso cruccio su "trova problemi nel registro"; non vorrei che mi trova dei problemi solo perché non riconosce la matrice originale.+

ad ogni modo, l'elenco prevalente dei problemi è il seguente:
- DLL condivise mancanti
- Estensione file non usata
- Problema Activex/COM
- Icona predefinita non valida
- Problema Apri con applicazione
- Problema percorso applicazione
- Problema riferimento a uninstaller
- Chiave di software obsoleto
- Chiave obsoleta del menù start
- Riferimento MUI mancante
cancella pure....
un aggiornamento lascia una copia del proprio installatore, ccleaner rimuove solo queste copie

per la pulizia del registro, ripara tutto al max ripristini dal backup

ho disinstallato tutto il (non) necessario.
come scopro ora se ho il virus su supporto removibile USB?

Per puilire i supporti removibili devi disabilitare l'autoplay per evitare di infettarti il metodo più veloce è il seguente: inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay

Una volta inserita la chiavetta con le modalità sopra indicate e bene scansionarla con tutti i software di sicurezza di cui si dispone, se non hai dati importanti formatti e ti levi il pensiero.

Per puilire i supporti removibili devi disabilitare l'autoplay per evitare di infettarti il metodo più veloce è il seguente: inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay

Una volta inserita la chiavetta con le modalità sopra indicate e bene scansionarla con tutti i software di sicurezza di cui si dispone, se non hai dati importanti formatti e ti levi il pensiero.

scusa ancora, ho provato a fare quanto mi dici ma evidentemente mi sfugge qualcosa.
io ho 3 pendrive USB sempre attaccate al pc, nessuno di questi mi pare si attivi in autoplay:
- HD esterno con musica (scansionato di continuo; a parte 2 warnings non sembra avere alcun problema)
- un XX-SkyPhone che per altro non riesco più ad usare (nè ad individuare per scansione)
- modem Hamlet di connessione ADSL

scusa ancora, ho provato a fare quanto mi dici ma evidentemente mi sfugge qualcosa.
io ho 3 pendrive USB sempre attaccate al pc, nessuno di questi mi pare si attivi in autoplay:
- HD esterno con musica (scansionato di continuo; a parte 2 warnings non sembra avere alcun problema)
- un XX-SkyPhone che per altro non riesco più ad usare (nè ad individuare per scansione)
- modem Hamlet di connessione ADSL

Il problema poteva essere riferito solo a questo

- HD esterno con musica (scansionato di continuo; a parte 2 warnings non sembra avere alcun problema)

ma se mi dici che è sempre attaccato allora ok, evidentemente a suo tempo è stato interessato da un'infezione a dimostrazione di ciò il log di Combo di alcuni giorni fà.

Il problema poteva essere riferito solo a questo
ma se mi dici che è sempre attaccato allora ok, evidentemente a suo tempo è stato interessato da un'infezione a dimostrazione di ciò il log di Combo di alcuni giorni fà.

quindi ora è tutto ok?
per la cronaca, disponendo come detto di una copia crackata di windows, non so perché ma dopo aver fatto tutta la pulizia da voi consigliata, mi è improvvisamente rispuntata la segnalazione che ci sono aggiornamenti di sistema disponibili.
per non correre rischi ho disattivato gli aggiornamenti sia dal pannello di controllo che dal services.msc (start-esegui).
fatto male?
per sicurezza ti allego anche il log dell'ultima scansione (con 15 detections e 2 warnings): http://www.fileqube.com/shared/zrshJv117340
grazie di cuore per l'assitenza, che dio vi benedica ;)

quindi ora è tutto ok?
per la cronaca, disponendo come detto di una copia crackata di windows, non so perché ma dopo aver fatto tutta la pulizia da voi consigliata, mi è improvvisamente rispuntata la segnalazione che ci sono aggiornamenti di sistema disponibili.
per non correre rischi ho disattivato gli aggiornamenti sia dal pannello di controllo che dal services.msc (start-esegui).
fatto male?
per sicurezza ti allego anche il log dell'ultima scansione (con 15 detections e 2 warnings): http://www.fileqube.com/shared/zrshJv117340
grazie di cuore per l'assitenza, che dio vi benedica ;)

Dire di si, per quanto riguarda gli agiornamenti hai fatto ben a disattivarli prima che ti impicci col WGA.

Prego di nulla ;)

Dire di si, per quanto riguarda gli agiornamenti hai fatto ben a disattivarli prima che ti impicci col WGA.


le ultime parole famose...
stasera sono tornato a casa, avevo lasciato il pc acceso, ho trovato una schermata blu con scritto la seguente cosa:

Stop: c000021a [errore irreversibile di sistema].
Processo di sistema Windows Logon Process terminato in modo inatteso con stato di 0xc0000006 (0x00000000 0x00000000).
Il sistema è stato chiuso.

le ultime parole famose...
stasera sono tornato a casa, avevo lasciato il pc acceso, ho trovato una schermata blu con scritto la seguente cosa:

Stop: c000021a [errore irreversibile di sistema].
Processo di sistema Windows Logon Process terminato in modo inatteso con stato di 0xc0000006 (0x00000000 0x00000000).
Il sistema è stato chiuso.
dicci se lo fa ancora e se in corrispondenza dell'avvio di qualche programma

le ultime parole famose...
stasera sono tornato a casa, avevo lasciato il pc acceso, ho trovato una schermata blu con scritto la seguente cosa:

Stop: c000021a [errore irreversibile di sistema].
Processo di sistema Windows Logon Process terminato in modo inatteso con stato di 0xc0000006 (0x00000000 0x00000000).
Il sistema è stato chiuso.

Anche se ne dubitO dopo l'errore il PC sei riuscito a riavviarlo?

... e non solo.
mi ha cancellato il nome utente e password dalla finestra di connessione (per fortuna che avevo conservato i parametri...)

... e non solo.
mi ha cancellato il nome utente e password dalla finestra di connessione (per fortuna che avevo conservato i parametri...)

Quindi?

dicci se lo fa ancora e se in corrispondenza dell'avvio di qualche programma
per ora non me l'ha più fatto.

Anche se ne dubitO dopo l'errore il PC sei riuscito a riavviarlo?
***
ho dovuto spegnerlo a forza tenendo il pulsante pigiatoper 5 secondi

Quindi?

quindi niente, speravo fosse un buon indizio per voi, per capire che diavolo sta succedendo.

per ora non me l'ha più fatto.

Anche se ne dubitO dopo l'errore il PC sei riuscito a riavviarlo?
***
ho dovuto spegnerlo a forza tenendo il pulsante pigiatoper 5 secondi

Si è riavviato regolarmente o no?

cancellato o nascosto?

Si è riavviato regolarmente o no?

regolarmente

cancellato o nascosto?

ID User e PW? se ti riferisci a questo, le aveva cancellate lasciando solo il nome utente fittizio (Oem) che mi ritrovo da quando mi hanno installato il pc

ci sono altri problemi?

Fai Start -> esegui -> digita eventvwr (invio)
A sinistra clicca su Applicazione -> nella finestra di destra cerca l'eventuale errore controllando la data e l'ora dell'evento
La stessa cosa falla anche per le altre voci sulla sinistra.
Quando trovi i probabili errori doppio click su di essi -> nella finestra che si apre clicca sul simbolo "Copia" sotto la freccia in giù -> incolla tutte le informazioni così copiate in un file di testo -> carica il file di testo con la funzione gestisci allegati

ci sono altri problemi?

Fai Start -> esegui -> digita eventvwr (invio)
A sinistra clicca su Applicazione -> nella finestra di destra cerca l'eventuale errore controllando la data e l'ora dell'evento
La stessa cosa falla anche per le altre voci sulla sinistra.
Quando trovi i probabili errori doppio click su di essi -> nella finestra che si apre clicca sul simbolo "Copia" sotto la freccia in giù -> incolla tutte le informazioni così copiate in un file di testo -> carica il file di testo con la funzione gestisci allegati
Ecco i risultati:
http://www.fileqube.com/shared/DEFsFu118316
http://www.fileqube.com/shared/mhIQyd118319
http://www.fileqube.com/shared/msuMYpeI118320
http://www.fileqube.com/shared/HKXqTpZ118321
http://www.fileqube.com/shared/mFZnbQTe118322
http://www.fileqube.com/shared/CZRHDTU118324

thanx a lot

Ecco i risultati:
http://www.fileqube.com/shared/DEFsFu118316
http://www.fileqube.com/shared/mhIQyd118319
http://www.fileqube.com/shared/msuMYpeI118320
http://www.fileqube.com/shared/HKXqTpZ118321
http://www.fileqube.com/shared/mFZnbQTe118322
http://www.fileqube.com/shared/CZRHDTU118324

thanx a lot

configura antivir come da guida e fai una bella scansione completa e caricaci il log

Elimina il secondo link a Fileqube ;)

verifica anche il ripristino conf. sia ancora disattivato

configura antivir come da guida e fai una bella scansione completa e caricaci il log

Av Scan: http://www.fileqube.com/shared/HJRJR118455
HiJackThis: http://www.fileqube.com/shared/uQQPwpBDo118456
c'è qualcosa in particolare attraverso quest'ultimo che mi consigli di "analizzare"?

verifica anche il ripristino conf. sia ancora disattivato

azz... non era spuntato... può esser stato quello?

Elimina il secondo link a Fileqube ;)

come? non riesco più a risalire alla pagina che mi permetteva il delete

come? non riesco più a risalire alla pagina che mi permetteva il delete

ok risolto il remove

Av Scan: http://www.fileqube.com/shared/HJRJR118455
HiJackThis: http://www.fileqube.com/shared/uQQPwpBDo118456
c'è qualcosa in particolare attraverso quest'ultimo che mi consigli di "analizzare"?
Primary action...................: repair
Secondary action.................: delete
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

come da trattamento post sistema la conf. di antivir
Primary action...................: repair
Secondary action.................: quarantine
senza la spunta su copy....

l'euristica io terrei media

adobe va ancora aggiornato


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [CmSkype346814] C:\Programmi\XX-SkyPhone\CmSkype.exe RUNSTART
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programmi\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O16 - tutte le voci senza riferimenti a microsoft

mah, il settaggio con la secondary su "delete" e l'heuristica high era consigliato proprio da voi: http://www.hwupgrade.it/forum/showthread.php?t=1514684
comunque ho cambiato come mi hai appena detto.
quanto ad adobe, non posso aggiornarlo che è crackato :(
ecco il log che mi hai chiesto: http://www.fileqube.com/shared/rgoNrT118660

mah, il settaggio con la secondary su "delete" e l'heuristica high era consigliato proprio da voi: http://www.hwupgrade.it/forum/showthread.php?t=1514684
comunque ho cambiato come mi hai appena detto.
quanto ad adobe, non posso aggiornarlo che è crackato :(
ecco il log che mi hai chiesto: http://www.fileqube.com/shared/rgoNrT118660
a me sembra che tu abbia eliminato qualche O4 di troppo...
oppure il log non è corretto...

a me sembra che tu abbia eliminato qualche O4 di troppo...
oppure il log non è corretto...

oh merda! lì per lì avevo capito che dovevo cancellarle tutte.
e ora? :mc:

da bigino in firma cerca su hjt come recuperare il backup
poi lo rilanci e fixi solo quello che ti ho indicato

da bigino in firma cerca su hjt come recuperare il backup
poi lo rilanci e fixi solo quello che ti ho indicato

Sistemati gli 04 secondo indicazione; solo, non ho trovato O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
In più ho messo
09 - Extra 'Tools' menuitem: Windows Messengers
016 - DPF (Trend Micro Activex Scan Agent)
018 - Protocol: skype4com

Ecco il nuovo log: http://www.fileqube.com/shared/kEAje118736

Sistemati gli 04 secondo indicazione; solo, non ho trovato O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
In più ho messo
09 - Extra 'Tools' menuitem: Windows Messengers
016 - DPF (Trend Micro Activex Scan Agent)
018 - Protocol: skype4com

Ecco il nuovo log: http://www.fileqube.com/shared/kEAje118736
schermate blu?

schermate blu?

no more...

no more...
facci sapere se tiene....;)

Ho seguito alla lettera le istruzioni x la rimozione di stò capsula di virus... sono riuscito a toglierlo, grazie 1000 davvero!

;24376226']Ho seguito alla lettera le istruzioni x la rimozione di stò capsula di virus... sono riuscito a toglierlo, grazie 1000 davvero!
ciao
riesci a caricarci i log, in quello di combo si trovano spesso riferimenti a chiavette infette da eliminare

facci sapere se tiene....;)

eccoci qua di nuovo... :cry:
dunque, stamane mentre usavo il pc l'ho dovuto riavviare perché il sistema era parecchio imballato. mentre chiudeva i programmi è comparsa al volo una voce relativa ai DLL ma non sono riuscito a vedere molto di più.
Ecco il log: http://www.fileqube.com/shared/WdAEugag120151
Altra cosa: vorrei fare in modo che il mio Avira Antivir partisse in automatico come prima; forse l'abbiamo disattivato l'ultima volta attraverso hijackthis?

eccoci qua di nuovo... :cry:
dunque, stamane mentre usavo il pc l'ho dovuto riavviare perché il sistema era parecchio imballato. mentre chiudeva i programmi è comparsa al volo una voce relativa ai DLL ma non sono riuscito a vedere molto di più.
Ecco il log: http://www.fileqube.com/shared/WdAEugag120151
Altra cosa: vorrei fare in modo che il mio Avira Antivir partisse in automatico come prima; forse l'abbiamo disattivato l'ultima volta attraverso hijackthis?
disabilita il ripr. conf. su e:

disabilita il ripr. conf. su e:

è disabilitata. la finestra d'altronde parla espressamente di "tutte le unità" e sotto, sia c: che e: risultano "disattivata"

è disabilitata. la finestra d'altronde parla espressamente di "tutte le unità" e sotto, sia c: che e: risultano "disattivata"

Fai un check-up veloce

carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) i log di:
HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
Eset Sysinspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
Prevx http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

Ciao, mi sposto qui dal 3d di analisi log HijackThis, ho seguito le istruzioni di questo 3d incontrando qualche problema (vbg non trova niente, f-secure online scanner si inchioda appena inizia lo scanning dandomi blue screen e rebootando il sistema e combofix si inchioda appena apre una finestra promt con scritto in francese che combofix si sta apprestando ad iniziare)

Ultimo log di Hjt (http://fileup.itadib.com/download.php?id=emC4zeyh2M8y4ErL3oA3)

Ciao, mi sposto qui dal 3d di analisi log HijackThis, ho seguito le istruzioni di questo 3d incontrando qualche problema (vbg non trova niente, f-secure online scanner si inchioda appena inizia lo scanning dandomi blue screen e rebootando il sistema e combofix si inchioda appena apre una finestra promt con scritto in francese che combofix si sta apprestando ad iniziare)

Ultimo log di Hjt (http://fileup.itadib.com/download.php?id=emC4zeyh2M8y4ErL3oA3)

fixa
O2 - BHO: (no name) - {BAE72624-6786-442D-8982-79197E35E1B8} - C:\Windows\system32\nnnkKDut.dll
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\ssqPjgFv.dll,#1

combo l'hai eseguito da mod. provvisoria?

Quelle due voci si ripresentano sempre, mentre combofix non l'ho usato in mod provvisoria, chiedo venia e provvedo subito.

Aggiornamento: ho eseguito combofix da mod provv ed è andato "quasi tutto" a buon fine (c'è stato qualche crash e qualche froz in modalità provvisoria) e sembra essersi sistemato tutto.
Posto i log di Combofix e quello di hjt fatto ora e apparentemente pulito.

ComboFix log (http://fileup.itadib.com/download.php?id=UMOc6fKcyrq7p8iAyRHY)

HjT log (http://fileup.itadib.com/download.php?id=gMbzo8S2DSfXRdjv2g65)

Aggiornamento: ho eseguito combofix da mod provv ed è andato "quasi tutto" a buon fine (c'è stato qualche crash e qualche froz in modalità provvisoria) e sembra essersi sistemato tutto.
Posto i log di Combofix e quello di hjt fatto ora e apparentemente pulito.

ComboFix log (http://fileup.itadib.com/download.php?id=UMOc6fKcyrq7p8iAyRHY)

HjT log (http://fileup.itadib.com/download.php?id=gMbzo8S2DSfXRdjv2g65)

hai una chiavetta infetta, non collegarla per ora...
combo ha eliminato molta roba, prova ora a fare il resto delle scansioni della guida

Fai un check-up veloce

carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) i log di:
HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
Eset Sysinspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
Prevx http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

HiJacThis: http://www.fileqube.com/shared/WfSMQnlj121060
Eset SysInspector: http://www.fileqube.com/shared/hXigip121062
Prevx: http://www.fileqube.com/shared/YQeRgz121063
Purtroppo non riesco a estrarre il zip di Gmer, mi dice "accesso negato".
Ti allego anche l'ultimo log di AvScan; con l'occasione ti ricordo che (forse dopo il fix di HiJackThis) non si attiva più in autoplay: http://www.fileqube.com/shared/vYEHhmV121064

per l'autorun vedi se basta questo
http://support.microsoft.com/kb/330135/it

prova a disattivare OA e dimmi come va...

per l'autorun vedi se basta questo
http://support.microsoft.com/kb/330135/it

prova a disattivare OA e dimmi come va...
doppio pardon, forse mi sono spiegato male:
1. non ho problemi di autoplay con cd et similia. intendevo solo dire che il mio antivirus (avira) prima compariva da solo con l'ombrello chiuso in basso a dx, ora neanche più quello. forse non cambia niente ma ho l'impressione che se mi dimentico di attivarlo io manualmente non mi protegge.
2. cos'è OA?:mbe:

1 prova ad aggiornarlo e avviarlo manualmente e riavviare
2 online armor

1 prova ad aggiornarlo e avviarlo manualmente e riavviare
2 online armor

niente, avira continua a non attivarsi da solo e OA non me lo fa neanche disinstallare, mi pare dica errore accesso negato

ho scritto disattivare oa non disinstallare... tasto dx sull'icona a fianco dell'orologio

per ogni problema specifico chiedi pure nei loro 3d dedicati