comunque oggi sono stato tutto il giorno sul pc e - apparentemente - nessun problema; eccetto che:
1. ad un certo punto vedevo un film e improvvisamente è caduta la connessione (mai fatto prima)
2. differentmente dagli inizi, continuano a non attivarsi da soli né avira antivi né online armor
3. cosa debbo fare di sysinspector, prevx e gmer (lo zip del quale non sono mai riuscito ad aprire)

Sono stato infettato da Vundo. Dopo diversi minuti è stato trovato e ucciso con un fulmine da ComboFix :) Di seguito la procedura eseguita:

Primo tentativo con VirtumundoBeGone. Il programma ha fallito

VBG

[10/05/2008, 23:39:02] - VirtumundoBeGone v1.5 ( "D:\Downloads\VirtumundoBeGone.exe" )
[10/05/2008, 23:39:04] - Detected System Information:
[10/05/2008, 23:39:04] - Windows Version: 5.1.2600, Service Pack 2
[10/05/2008, 23:39:04] - Current Username: Administrator (Admin)
[10/05/2008, 23:39:04] - Windows is in SAFE mode with Networking.
[10/05/2008, 23:39:04] - Searching for Browser Helper Objects:
[10/05/2008, 23:39:04] - BHO 1: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} (Adobe PDF Link Helper)
[10/05/2008, 23:39:04] - BHO 2: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[10/05/2008, 23:39:04] - Finished Searching Browser Helper Objects
[10/05/2008, 23:39:04] - Finishing up...
[10/05/2008, 23:39:04] - Nothing found! Exiting...

Secondo tentativo con ComboFix. Il programma lo ha trovato ed eliminato

Log

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
D:\Autorun.inf
D:\tyktjfww.exe

Infine è stata fatta una scansione completa dal programma F-Secure OnLine Scanner. Adesso che il troyan non c'è più come tolgo le schifezze che mi ha installato F-Secure OnLine Scanner?

Sono stato infettato da Vundo. Dopo diversi minuti è stato trovato e ucciso con un fulmine da ComboFix :) Di seguito la procedura eseguita:

Infine è stata fatta una scansione completa dal programma F-Secure OnLine Scanner. Adesso che il troyan non c'è più come tolgo le schifezze che mi ha installato F-Secure OnLine Scanner?

ciao

ci carichi i log completi secondo le modalità che ho in firma?
per f-secure leggi nel bigino che ho in firma

stamane ho rifatto lo scan, ti allego una particina relativa alle warnings, forse indicativa:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <HD 250>
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
[0] Archive type: CAB SFX (self extracting)
--> \Setup\db_pcc.dat
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed

dal basso della mia ignoranza emergono due problemi apparentemente collegati con i dubbi dei giorni precedenti:
- cosa fare dei software scaricati per ulteriori analisi (in questo caso non riesce ad aprire C:\hiberfil.sys, che forse ha a che fare con SysInspector)
- cosa fare con l'HD esterno (segnala un problema che non so se è grave o meno)
mi permetto di ribadire la questione avira e online armor: partivano da soli, ora non più.

stamane ho rifatto lo scan, ti allego una particina relativa alle warnings, forse indicativa:

Begin scan in 'C:\'
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <HD 250>
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
[0] Archive type: CAB SFX (self extracting)
--> \Setup\db_pcc.dat
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed

dal basso della mia ignoranza emergono due problemi apparentemente collegati con i dubbi dei giorni precedenti:
- cosa fare dei software scaricati per ulteriori analisi (in questo caso non riesce ad aprire C:\hiberfil.sys, che forse ha a che fare con SysInspector)
- cosa fare con l'HD esterno (segnala un problema che non so se è grave o meno)
mi permetto di ribadire la questione avira e online armor: partivano da soli, ora non più.

C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!

sono files di sistema e sono ok

E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
disabilita il ripristino conf. su e:

per antivir e oa chiedi nelle rispettive guide

ciao

ci carichi i log completi secondo le modalità che ho in firma?
per f-secure leggi nel bigino che ho in firma


Ok!

log VirtumundoBeGone

log ComboFix

Anche il log di F-secure?

log ComboFix

Anche il log di F-secure?
si
carica anche un log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

C:\hiberfil.sys
E:\System Volume Information\_restore{2A84D906-FC6C-4AC8-85B6-D49577E97069}\RP174\A0015595.exe
disabilita il ripristino conf. su e:


non me lo fa disattivare, mi esce una finestra che recita:
"Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".
ho già riavviato più volte, ma niente... Qualche volta mi scompare persino la tabella "Ripristino configurazione di sistema" dalle proprietà del sistema delle risorse del computer.

non me lo fa disattivare, mi esce una finestra che recita:
"Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".
ho già riavviato più volte, ma niente... Qualche volta mi scompare persino la tabella "Ripristino configurazione di sistema" dalle proprietà del sistema delle risorse del computer.

guarda qui
http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php
scarica System Restore Repair
poi se si sistema vedi se riesci a disattivarlo

guarda qui
http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php
scarica System Restore Repair
poi se si sistema vedi se riesci a disattivarlo
porcazozza non mi fa più estrarre file dai zip! e non è la prima volta.
ecco il messaggio:
! C:\Documents and Settings\Oem\Desktop\system_restore_repair.zip: Impossibile creare system_restore_repair\System Restore Repair.exe
! Accesso negato.
! Impossibile eseguire "C:\DOCUME~1\Oem\IMPOST~1\Temp\Rar$EX01.250\system_restore_repair\System Restore Repair.exe"

porcazozza non mi fa più estrarre file dai zip! e non è la prima volta.
ecco il messaggio:
! C:\Documents and Settings\Oem\Desktop\system_restore_repair.zip: Impossibile creare system_restore_repair\System Restore Repair.exe
! Accesso negato.
! Impossibile eseguire "C:\DOCUME~1\Oem\IMPOST~1\Temp\Rar$EX01.250\system_restore_repair\System Restore Repair.exe"
tutto tuo ;)
http://www.fileqube.com/shared/oBVhgi127963

tutto tuo ;)
http://www.fileqube.com/shared/oBVhgi127963
mi sa che sto proprio impicciato... :cry:
non mi permette neanche di aprirlo:
"Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie".
aiutoooooo!!!!!:mc:

mi sa che sto proprio impicciato... :cry:
non mi permette neanche di aprirlo:
"Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie".
aiutoooooo!!!!!:mc:
il problema è solo con questo file?

il problema è solo con questo file?

per quanto ne so io sì, nel senso che non riesco più ad estrarre zip, ma che mi bloccasse gli eseguibili non era ancora successo

scarica questo e mettilo come predefinito
http://www.izarc.org/download.html

tutti gli eseguibili sono bloccati?

scarica questo e mettilo come predefinito
http://www.izarc.org/download.html

tutti gli eseguibili sono bloccati?

credo di sì, non mi fa aprire neanche izarc, mi dice la stessa cosa di cui sopra.
riavviando il pc mi è apparsa una finestra che diceva più o meno "Inizializzazione DLL non riuscita". Può esserti utile?
vi prego cacciatemi fuori da quest'empasse :(

credo di sì, non mi fa aprire neanche izarc, mi dice la stessa cosa di cui sopra.
riavviando il pc mi è apparsa una finestra che diceva più o meno "Inizializzazione DLL non riuscita". Può esserti utile?
vi prego cacciatemi fuori da quest'empasse :(
http://www.fileqube.com/shared/iBXljvsnr128099
click destro e unisci

http://www.fileqube.com/shared/iBXljvsnr128099
click destro e unisci

sempre peggio... mi dice che è impossibile aprire bla, bla, bla...
la foto dell'avviso di registro la trovi qui: http://www.fileqube.com/shared/RRosaLZkw128133

sempre peggio... mi dice che è impossibile aprire bla, bla, bla...
la foto dell'avviso di registro la trovi qui: http://www.fileqube.com/shared/RRosaLZkw128133

log di hijackthis please (se va...)

log di hijackthis please (se va...)

http://www.fileqube.com/shared/DzthQfj128143

http://www.fileqube.com/shared/DzthQfj128143
posso escludere che ti sei reinfettato??

posso escludere che ti sei reinfettato??

cioè?
mi stai dicendo che lo escludi assolutamente o mi stai domandando se ho l'impressione di essermi reinfettato?
a naso direi di essere di nuovo infetto...

cioè?
mi stai dicendo che lo escludi assolutamente o mi stai domandando se ho l'impressione di essermi reinfettato?
a naso direi di essere di nuovo infetto...
se mi dici che ti sei messo a pastrugnare con file rischiosi ti fai una pulizia completa...

se mi dici che ti sei messo a pastrugnare con file rischiosi ti fai una pulizia completa...

no nessuna pastrugnata rischiosa, tra l'altro ho già fatto un'ampia pulizia con l'altro senior member.
dico che a naso sono infetto solo perché sto riscontrando tutti questi problemi col sistema operativo: non riesco più a disattivare la conf. ripristino, non riesco più ad estrarre zip, non riesco più a lanciare eseguibili. insomma... io non ho proprio idea di cosa stia succedendo, ma qualcosa di sicuro non va.

mi pare di capire che alcuni .exe partano o sbaglio?

riassumi tutti i problemi...

mi pare di capire che alcuni .exe partano o sbaglio?

riassumi tutti i problemi...

cacchio ci riprovo, è che l'informatica non è esattamente il mio forte.
dunque, dopo varie scansioni, pulizie radicali e log di ogni sorta, il tuo collega senior member mi ha detto che qualcosa non andava sull'HD esterno E:
dice "prova a farlo partire senza autoplay". ma io in realtà lo tengo sempre attaccato...
comunque, tra una cosa e l'altra mi consiglia di disattivare il ripristino della configurazione di sistema anche su E:
da lì nascono i nuovi problemi. non mi permette di farlo, come ti scrivevo mi dice: ""Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare". inutile dirti che ho riavviato 100 volte e non cambia nulla.
poi tu hai provato a farmi installare un po' di programmini, ma non mi estrae più dalle compressioni zip: "! C:\Documents and Settings\Oem\Desktop\system_restore_repair.zip: Impossibile creare system_restore_repair\System Restore Repair.exe
! Accesso negato.
! Impossibile eseguire "C:\DOCUME~1\Oem\IMPOST~1\Temp\Rar$EX01.250\system_restore_repair\System Restore Repair.exe".
infinemi sono reso conto che non mi lancia più gli eseguibili (a quanto pare NESSUNO): ""Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie".
:( :cry: :( :cry: :( :cry: :( :cry: :( :cry:

start - esegui - digita msconfig (invio)
sotto le schede servizi e avvio togli la spunta a ogni riferimento a online armor
riavvia e dimmi come va

start - esegui - digita msconfig (invio)
sotto le schede servizi e avvio togli la spunta a ogni riferimento a online armor
riavvia e dimmi come va

non mi fa accedere, dice "Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie"

prova da mod. provvisoria

Prova a creare un'altro utente con privilegi di amministratore e dimmi se riscontri i medesimi problemi

Prova a creare un'altro utente con privilegi di amministratore e dimmi se riscontri i medesimi problemi

ora sono su una nuova utenza. cosa dovrei provare a scaricare per fare la verifica?

ora sono su una nuova utenza. cosa dovrei provare a scaricare per fare la verifica?

http://www.hwupgrade.it/forum/showpost.php?p=24485908&postcount=1283

ho provato a disattivare il ripristino conf. sistema ma, di nuovo, anche su questa utenza mi dice: "Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".

inoltre, se può essere utile, allego wordpad con foto dell'avvio della nuova utenza, perché un problema in effetti lo riscontrava:
http://www.fileqube.com/shared/YJvxqmWMm128925

ho provato a disattivare il ripristino conf. sistema ma, di nuovo, anche su questa utenza mi dice: "Ripristino configurazione di sistema ha riscontrato un errore durante il tentativo di attivare/disattivare una o più unità. Riavviare il computer, quindi riprovare".

inoltre, se può essere utile, allego wordpad con foto dell'avvio della nuova utenza, perché un problema in effetti lo riscontrava:
http://www.fileqube.com/shared/YJvxqmWMm128925

allega lo screenshot in formato .jpg

allega lo screenshot in formato .jpg

vabbè, fondamentalmente diceva: "Errore durante la creazione del processo <C:\WINDOWS\INF\unregmp2.exe /Shortcuts /RegBrowsers /ResetMUI>. Motivo: Accesso negato" in una finestra dal titolo "Advanced INF Install"

se le immagini le carichi come i log su fileqube le visualizziamo direttamente senza scaricarle ;)

se le immagini le carichi come i log su fileqube le visualizziamo direttamente senza scaricarle ;)

ok buona per la prossima.
e adesso - tenuto conto che ho trascritto il messaggio in questione integralmente - che debbo/posso fare?

start - esegui - digita msconfig (invio)
sotto le schede servizi e avvio togli la spunta a ogni riferimento a online armor
da modalità provvisoria

start - esegui - digita msconfig (invio)
sotto le schede servizi e avvio togli la spunta a ogni riferimento a online armor
da modalità provvisoria

quindi mi stai chiedendo - se funziona - di spostare progressivamente tutto sulla nuova utenza?

no di disattivare momentaneamente online armor

ho provato a fare l'operazione in modalità provvisoria, ma mi permette di accedere a due utenze (Administrator, che non so da dove salti fuori e che necessita una pw, e quella nuova che avevo creato su vostra indicazione, ma che ovviamente non ha installato OA), nessuna delle quali corrispondente all'utenza principale (Oem) su cui riscontro tutti i problemi che conoscete.
che faccio?
sì lo so, sono una pippa, non merito per questo di morire assieme al mio pc :cry:

significa che da msconfig non hai visto riferimenti a oa?
con l'utente administrator hai provato la password vuota?

ho provato a fare l'operazione in modalità provvisoria, ma mi permette di accedere a due utenze (Administrator, che non so da dove salti fuori e che necessita una pw, e quella nuova che avevo creato su vostra indicazione, ma che ovviamente non ha installato OA), nessuna delle quali corrispondente all'utenza principale (Oem) su cui riscontro tutti i problemi che conoscete.
che faccio?
sì lo so, sono una pippa, non merito per questo di morire assieme al mio pc :cry:

ok ho detto una minchiata :doh: , ho appena visto che anche l'altra utenza ha OA (che evidentemente funziona su tutto il sistema, a prescindere dall'utente in uso). spunto e mi riaffaccio

sia sotto servizi che avvio, mi pare siano un paio in entrambe le schede

sia sotto servizi che avvio, mi pare siano un paio in entrambe le schede

in realtà erano un paio in servizi e basta; su avvio c'erano solo 3 voci, nessuna delle quali correalte ad OA.
riavviando mi è apparso questo, ve lo allego:
http://www.fileqube.com/shared/TpjGHG130684

e ora?

metti la spunta su non visualizzare... esce dopo che utilizzi msconfig

ora vedi se hai ancora i problemi di prima

metti la spunta su non visualizzare... esce dopo che utilizzi msconfig

ora vedi se hai ancora i problemi di prima

ti riferisci alla cartella che vi ho allegato in .jpg? non capisco.
comunque, ora mi permette di digitare start-esegui-msconfig, prima no. speriamo sia un buon segnoe...
cosa provo in particolare per vedere se va meglio? per esempio a spuntare "disattiva ripristino configurazione di sistema"?

PS: nella cartella "avvio" ora le voci sono 4:
NvCpl, ctfmon, Acrobat Assistant, Adobe Gamma

...ora mi permette di spuntare il famigerato "disattiva ripristino conf. sistema".
le domande a questo punto sono le seguenti:
1- debbo installare un altro firewall? se sì, quale?
2- i vari System Restore Repair.exe, IZArc_Setup.exe e ripristina le associazioni ai files .exe.reg; nonché SysInspector.exe, PREVXCSIFREE_IT.exe e gmer.zip, possono essermi utili almeno in parte o butto tutto?
3- posso cancellare l'altra utenza con modalità amministratore che mi avete fatto creare?

ecco comunque i logo della scansione avar:
http://www.fileqube.com/shared/ccbEUOdY130728
e hijackthis:
http://www.fileqube.com/shared/IJGVSo130731

oa che versione era? l'avevi configurato correttamente?

1 aspetto le risposte
2 fai fuori tutto (izarc lo uso per gli archivi, non so cosa tu abbia d'altro free...)
3 si

oa che versione era? l'avevi configurato correttamente?

1 aspetto le risposte
2 fai fuori tutto (izarc lo uso per gli archivi, non so cosa tu abbia d'altro free...)
3 si

1. OA 3.0, credo d'averlo installato correttamente, comunque è ancora lì, forse l'ho disattivato ma non l'ho disinstallato. procedo?
2. cosa intendi con "lo uso per gli archivi?" a cosa serve esattamente izarc?

1 al momento è li disattivato, mi pare che i problemi siano spariti dopo la sua disattivazione o sbaglio?

2 per aprire .zip .rar in modo free ;)

1 al momento è li disattivato, mi pare che i problemi siano spariti dopo la sua disattivazione o sbaglio?

2 per aprire .zip .rar in modo free ;)

1. non sbagli. però forse ho bisogno comunque di un firewall, o no? disinstallo e reinstallo sempre OA, ne installo un altro o cosa?
2. perché esistono .zip o .rar che si pagano???!!?

1. non sbagli. però forse ho bisogno comunque di un firewall, o no? disinstallo e reinstallo sempre OA, ne installo un altro o cosa?
2. perché esistono .zip o .rar che si pagano???!!?
1 era la versione italiana?
2 winzip e winrar non sono gratuiti ;)

un'altra cosa ancora s'il te plais.
ma sulla "utilità configurazione di sistema" cosa debbo spuntare?
modalità d'avvio normale, diagnostica o - come è settata ora - selettiva?

1 era la versione italiana?
2 winzip e winrar non sono gratuiti ;)

1. sì era italiana
2. ok l'ho installato (anche perché mi permette di estrarre molte più estensioni). che faccio a questo punto, disinstallo winrar gestione archivi?

la versione italiana dava qualche problema anche a me.... ho giusto messo ora quella inglese 3.0.0.190
link (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-10435_4-10426782&ontId=10435_4&spi=8a5f2fb4b3f4aed901bb3c9dc16f690a&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=10893859&mfgId=6274383&merId=6274383&pguid=lIBDcQoPjAAAAEGfttIAAADg&destUrl=http%3A%2F%2Fwww.download.com%2F3001-10435_4-10893859.html%3Fspi%3D8a5f2fb4b3f4aed901bb3c9dc16f690a)

via winrar....

per il momento (incrociamo le dita) grazie infinite.
però avrei bisogno di capire questa cosa qui:
un'altra cosa ancora s'il te plais.
ma sulla "utilità configurazione di sistema" cosa debbo spuntare?
modalità d'avvio normale, diagnostica o - come è settata ora - selettiva?

ragazzi sono un nuovo iscritto al forum e quindi vi chiedo in anticipo scusa se sbaglio qualche procedura.

Il mio nod32 un paio di giorni fa mi ha segnalato la presenza di virtumonde e dopo la scansione mi ha segnalato che doveva eliminare dei file dll e io l'ho fatto.
Risultato:

1)quando accendo il pc mi da due messaggi di errore perchè non trova due file dll

2)mi apre ancora pagine pubblicitarie mentre navigo con internet explorer

Cosi cercando su google sono arrivato al vostro sito e adesso ho seguito minuziosamente tutta la procedura descritta in prima pagina ma di nuovo si è aperta una pagina pubblicitaria.

Vi posto il log di hijackthis sperando che possiate aiutarmi

ragazzi sono un nuovo iscritto al forum e quindi vi chiedo in anticipo scusa se sbaglio qualche procedura.

Il mio nod32 un paio di giorni fa mi ha segnalato la presenza di virtumonde e dopo la scansione mi ha segnalato che doveva eliminare dei file dll e io l'ho fatto.
Risultato:

1)quando accendo il pc mi da due messaggi di errore perchè non trova due file dll

normale

2)mi apre ancora pagine pubblicitarie mentre navigo con internet explorer

vuol dire che l'infezione è ancora presente

Cosi cercando su google sono arrivato al vostro sito e adesso ho seguito minuziosamente tutta la procedura descritta in prima pagina ma di nuovo si è aperta una pagina pubblicitaria.

Vi posto il log di hijackthis sperando che possiate aiutarmi

Ciao e benvenuto segui passo passo la Guida in prima pagina ed allega i log secondo le modalità indicate,thx.

Allora allego i log di virtubegone e hijackthis

Per quanto riguarda combofix non ho capito come si fa ad ottenere il log perchè quando completa tutti gli stage rimane quella finestra azzurra e dietro lo sfondo nero della modalità provvisoria e alla fine devo riavviare ma non ottengo nessun log.dove sbaglio??

Per quanto riguarda gli errori che mi compaiono all'accensione di windows sono precisamente:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

Grazie

Allora allego i log di virtubegone e hijackthis

Per quanto riguarda combofix non ho capito come si fa ad ottenere il log perchè quando completa tutti gli stage rimane quella finestra azzurra e dietro lo sfondo nero della modalità provvisoria e alla fine devo riavviare ma non ottengo nessun log.dove sbaglio??

Per quanto riguarda gli errori che mi compaiono all'accensione di windows sono precisamente:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

Grazie

per favore i log non zippati ma allegati come indicato in Guida, il log di Combo lo trovi in C:\Combofix.txt, mancano i log di F-Secure e SAS

ragazzi ho seguito alla lettera tutte le vs indicazioni per un trojan sdaaaaa.exe (adware.virtumonde.ncc) che nod 32 non riusciva a togliere..

vi allego i log di combo e virtumonde oltre che l'ultimo di HijackThis...

mi fate sapere se notate ancora qualcosa di strano?:doh:

ps noto che in emule adunanza mi è comparsa una cartella condivisa "s" con dei file .rar all'interno di non conosco l'esistenza...si trova nella cartella programmi di emule

log combo

e vbg...
grazie ancora a tutti

ragazzi ho seguito alla lettera tutte le vs indicazioni per un trojan sdaaaaa.exe (adware.virtumonde.ncc) che nod 32 non riusciva a togliere..

vi allego i log di combo e virtumonde oltre che l'ultimo di HijackThis...

mi fate sapere se notate ancora qualcosa di strano?:doh:

ps noto che in emule adunanza mi è comparsa una cartella condivisa "s" con dei file .rar all'interno di non conosco l'esistenza...si trova nella cartella programmi di emule

ciao

mi sembra che ti sia stato detto di seguire la guida generica
vai avanti dove hai iniziato e carica i log richiesti

in più scarica FindAWF da qui (http://noahdfear.geekstogo.com/FindAWF.exe)
Lancialo -> Premi 1 -> attendi la scansione -> Al termine verrà generato un log che dovrai caricare con la funzione gestisci allegati

ciao

mi sembra che ti sia stato detto di seguire la guida generica
vai avanti dove hai iniziato e carica i log richiesti

in più scarica FindAWF da qui (http://noahdfear.geekstogo.com/FindAWF.exe)
Lancialo -> Premi 1 -> attendi la scansione -> Al termine verrà generato un log che dovrai caricare con la funzione gestisci allegati

Infatti avresti dovuto seguire la Guida generica come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1840316 come hai fatto a finire di quà?

io ho seguito la guida generale... ho usato tutti i programmi segnalati dopodichè ho allegato i log nel post principale di virtualmode....

è possibile essere aiutati anche sui log o quanto meno invitati correttamente a dove segnalare i post (sono nuovo del forum...)

grazie

http://www.fileqube.com/shared/zyJVTn132206 (vbg)
http://www.fileqube.com/shared/AeFavqJi132208 (combo)
http://www.fileqube.com/shared/jFRkX132209 (hijackthis)

speriamo bene....:mc:

http://www.fileqube.com/shared/zyJVTn132206 (vbg)
http://www.fileqube.com/shared/AeFavqJi132208 (combo)
http://www.fileqube.com/shared/jFRkX132209 (hijackthis)

speriamo bene....:mc:

la guida che dovevi seguire è questa
http://www.hwupgrade.it/forum/showthread.php?t=1599737

è possibile essere aiutati anche sui log o quanto meno invitati correttamente a dove segnalare i post (sono nuovo del forum...)

noi aiutiamo tutti.... però voi dovete leggere quello che scriviamo ;)


quindi vai avanti qui
http://www.hwupgrade.it/forum/showthread.php?t=1840316
e carica i log richiesti dalla guida che ti ho linkato sopra please ;)

ho messo i link nel post

http://www.hwupgrade.it/forum/showthread.php?p=24540810#post24540810

va bene?

Ciao ragazzi, ho beccato il Virtumonde (in particolare il Win32 Adware Virtumonde application secondo l'ESET online scanner), e ho applicato quanto da voi scritto nella prima pagina.
Attualmente sono alla fine del punto 4, ho riavviato normalmente dopo aver eseguito VirtumondobeGone e ComboFix.
Vi allego i 2 log:

VirtumondoBeGone: http://www.mediafire.com/download.php?mz4yjiotdd2
ComboFix: http://www.mediafire.com/download.php?2gmjza2mywq

Ora faccio partire l'ESET online scanner, visto che l'F-Secure Online scanner non mi aveva trovato nulla neppure ieri...
Intanto mi potete dire come sono messo attualmente?
E' debellato?

Grazie mille! :)

Ciao ragazzi, ho beccato il Virtumonde (in particolare il Win32 Adware Virtumonde application secondo l'ESET online scanner), e ho applicato quanto da voi scritto nella guida in prima pagina.
Attualmente sono alla fine del punto 4, ho riavviato normalmente dopo aver eseguito VirtumondobeGone e ComboFix.
Vi allego i 2 log:

VirtumondoBeGone: http://www.mediafire.com/download.php?mz4yjiotdd2
ComboFix: http://www.mediafire.com/download.php?2gmjza2mywq

Ora faccio partire l'ESET online scanner, visto che l'F-Secure Online scanner non mi aveva trovato nulla neppure ieri...
Intanto mi potete dire come sono messo attualmente?
E' debellato?

Grazie mille! :)
ciao
se non trova nulla non è obbligatorio farne un'altra ;)
fai piuttosto quella successiva

Intendevo dire che oggi non ho fatto l'F-secure, e starei per far girare l'Eset. Ma considerato che l'Eset mi ci impiega 1 ora e mezza (ieri ha fatti così) se salto il punto 5 e faccio il 6 (ovvero faccio la scansione col SuperantiSpyware) va bene lo stesso?

Intendevo dire che oggi non ho fatto l'F-secure, e starei per far girare l'Eset. Ma considerato che l'Eset mi ci impiega 1 ora e mezza (ieri ha fatti così) se salto il punto 5 e faccio il 6 (ovvero faccio la scansione col SuperantiSpyware) va bene lo stesso?

Si nel frattempo ti preparo uno script da inserire in Combo

Terminata la scansione con SAS, Apri il Blocco Note copia e incolla questa righe:

RenV::
C:\Programmi\Analog Devices\Core\smax4pnp .exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ .exe
C:\Programmi\File comuni\Ahead\Lib\NeroCheck .exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger .exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray .exe

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ciao wjmat,
mi fai sapere per favore qualcosa sulla mia "utilità configurazione di sistema"? cosa debbo spuntare? modalità d'avvio normale, diagnostica o - come ce l'ho settata ora - selettiva?

ciao wjmat,
mi fai sapere per favore qualcosa sulla mia "utilità configurazione di sistema"? cosa debbo spuntare? modalità d'avvio normale, diagnostica o - come ce l'ho settata ora - selettiva?
avendo tolto delle spunte sui servizi e in avvio in automatico diventa selettiva

vai a vedere nella discussione di online armor
c'è un caso simile al tuo ;)
è utile appena lo sistemi stare un pò con attivo il "learning mode"

Terminata la scansione con SAS, Apri il Blocco Note copia e incolla questa righe:
---CUT---
Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt


Grazie! :)
Posso chiederti a cosa serve questo script?

Nel frattempo SuperAntiSpyware mi ha levato 278 cookies spioni (quello di hwupgrade l'ho però lasciato) e non ha rilevato nessun virus-malware.

Grazie ancora, siete straordinari!

Questa volta spero di non sbagliare:)
Intanto i messaggi pubblicitari non mi compaiono più mentre utilizzo internet explorer ma quando accendo il pc mi compaiono quei due errori:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

I log sono qui :
http://www.mediafire.com/?sharekey=f08aafe7a755f626d2db6fb9a8902bda

Ho fatto la scansione con superantispyware ma mi ha trovato solo tracking cookies.


Spero nel vostro aiuto per capire se il mio pc è pulito e come non far comparire più quegli errori.

Grazie

Questa volta spero di non sbagliare:)
Intanto i messaggi pubblicitari non mi compaiono più mentre utilizzo internet explorer ma quando accendo il pc mi compaiono quei due errori:

C:\windows\system32\xbpmwuut.dll

C:\windows\system32\hbpbtlei.dll

I log sono qui :
http://www.mediafire.com/?sharekey=f08aafe7a755f626d2db6fb9a8902bda

Ho fatto la scansione con superantispyware ma mi ha trovato solo tracking cookies.


Spero nel vostro aiuto per capire se il mio pc è pulito e come non far comparire più quegli errori.

Grazie


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - tutte le voci

Grazie! :)
Posso chiederti a cosa serve questo script?

Nel frattempo SuperAntiSpyware mi ha levato 278 cookies spioni (quello di hwupgrade l'ho però lasciato) e non ha rilevato nessun virus-malware.

Grazie ancora, siete straordinari!
serve per ripristinare i file elencati
l'infezione ha corrotto il file e li ha rinominati inserendo uno spazio prima alla fine del nome

Grazie mille del tuo aiuto innanzitutto:)

Scusa la mia ignoranza, in realtà non so nemmeno che significhi fixare con hijackthis ma siccome alcune voci mi sembrano non maligne perchè di programmi che conosco mi chiedevo se le dovevo fixare lo stesso(superantyspyware, sweetim, solidconverterpdf).

Come non detto ho letto le scritte in piccolo e ho capito:)

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6641098bf55cc446d2db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!

Grazie mille del tuo aiuto innanzitutto:)

Scusa la mia ignoranza, in realtà non so nemmeno che significhi fixare con hijackthis ma siccome alcune voci mi sembrano non maligne perchè di programmi che conosco mi chiedevo se le dovevo fixare lo stesso(superantyspyware, sweetim, solidconverterpdf).
fixare=mettere la spunta
hai letto che vuol dire fixare le voci O4? ;)

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6641098bf55cc446d2db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

per quella cartella basta cercare su google ;)

Un attimo prima che scrivessi il tuo post avevo appena editato il mio precedente scrivendo che avevo letto le note in piccolo e avevo capito:)

ho fatto quello che mi hai detto e gli errori sono scomparsi all'avvio ma la domanda da un milione di dollari è:

Il mio pc sarà davvero libero da quell'orribile mostro di virtumonde????:)

Questo è il log

http://www.mediafire.com/?sharekey=f08aafe7a755f626ab1eab3e9fa335cab0ade7fdd4d9c85d

Un attimo prima che scrivessi il tuo post avevo appena editato il mio precedente scrivendo che avevo letto le note in piccolo e avevo capito:)

ho fatto quello che mi hai detto e gli errori sono scomparsi all'avvio ma la domanda da un milione di dollari è:

Il mio pc sarà davvero libero da quell'orribile mostro di virtumonde????:)

Questo è il log

http://www.mediafire.com/?sharekey=f08aafe7a755f626ab1eab3e9fa335cab0ade7fdd4d9c85d
mancano tute queste
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://maracaibo237.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://maracaibo237.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Fatto (script su ComboFix)!
Qui c'è il log
http://www.mediafire.com/?sharekey=6641098bf55cc446d2db6fb9a8902bda

Ora è tutto ok?

Un'altra domanda poi non vi rompo più... in C:\ ho una cartella fsaua.data che ha due sottocartelle, header e subscriptions entrambe vuote.
é un rimasuglio di qualche antivirus online oppure cosa?
Non le avevo prima, e sono cartelle datate ieri...

ciao!

Il log di Combo è OK, avresti potuto alegare anche il log di SAS per quanto riguarda fsaua.data e relative cartelle fanno riferimento F-Secure

ciao a tutti.

rispolvero questo topic perchè mi sono accorto che all'avvio il mio pc (win XP) mi carica un winsock32 che non sono ancora riuscito ad identificare:muro:

ho eseguito Hijackthis e questo è il log:

come vedete c'è il malefico:

O4 - HKLM\..\Run: [winsock32] C:\WINDOWS\system32:winsock32.exe

ma anche fixando lo stesso non viene rimosso...

come posso fare?

grazie a chiunque possa darmi una mano.

Log rimosso leggere le Regole di sezione, grazie.

Ciao segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Terminata la Guida allega i log in una nuova discussione che andrai ad aprire qui: http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Ciao a tutti e grazie per avere fatto questa guida.
Ho seguito tutti i passi ed ora ho fatto il log con hijackthis.
questo è il link potete vedere se è tutto ok sul mio pc?
Grazie ancora Ciao
http://www.mediafire.com/?sharekey=aac45d709c977133d2db6fb9a8902bda

Ciao a tutti e grazie per avere fatto questa guida.
Ho seguito tutti i passi ed ora ho fatto il log con hijackthis.
questo è il link potete vedere se è tutto ok sul mio pc?
Grazie ancora Ciao
http://www.mediafire.com/?sharekey=aac45d709c977133d2db6fb9a8902bda

Sarebbe opportuno allegare anche i log di MBAM e F-Secure

Ciao in questo link ho postato i tre log che mi chiedevi quello di hijackthis quello di mbam e quello di F-secure mi poi controllare se il mio pc e libero da virus http://www.mediafire.com/?sharekey=aac45d709c977133d2db6fb9a8902bda

Inoltre nell'utilità di configurazione di sistema nella scheda di avvio ho disattivato questi due file che con conoscevo:
8agle
gpynptju
sia che cosa sono? Ciao e grazie

Ciao in questo link ho postato i tre log che mi chiedevi quello di hijackthis quello di mbam e quello di F-secure mi poi controllare se il mio pc e libero da virus http://www.mediafire.com/?sharekey=aac45d709c977133d2db6fb9a8902bda

Inoltre nell'utilità di configurazione di sistema nella scheda di avvio ho disattivato questi due file che con conoscevo:
8agle
gpynptju
sia che cosa sono? Ciao e grazie

Non c'è traccia del Vundo da dove ha dedotto di essere infetto dal Trojan Vundo?

In HJT puoi fixare le seguenti voci a Browser chiuso:

O20 - AppInit_DLLs: ydmaap.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll (file missing)
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)

Ciao avira mi rilevava un trojan vundo e mi si aprivano 15 16 finestre di allarme e mi rallentava moltissimo il pc andava a scatti. Oggi avira mi ha rilevato questo:

Virus or unwanted program 'TR/Trash.Gen [trojan]'
detected in file 'C:\System Volume Information\_restore{EE7451C9-51A6-4CBC-9A1B-74FDE554DD58}\RP9\A0009326.dll.

mentre l' 1/11/2008 mi ha aperto 17 finestre con questo errore :

Virus or unwanted program 'TR/Vundo.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\gpynptju.dll.

Per i due processi che ho bloccato che mi dici come li posso togliere? Ciao e grazie

Disabilita il ripristino conf.sistema e ripeti la scansione con Avira, metti in quarantena eventuali virus rilevati.

Ciao ragazzi! ho bisogno del vostro aiuto! ho il virus Virtumonde...e non riesco a liberarmene...ho fatto numerose scansioni con Superantispyware e con NOD32...ma niente,non se ne va...ho fatto la scansione con Hijackthis e ho usato il sito hijackthis.de per vedere quali file eliminare...e li ho eliminati...ma la cosa sembra non cambiare! vi posto il log della scansione di hijackthis!

LICK DEL LOG: http://www.mediafire.com/?sharekey=3a6e91a272d68270ab1eab3e9fa335caf2a0efa91bdf0d70

GRAZIE MILLE IN ANTICIPO!!!!!! :)

Ciao ragazzi! ho bisogno del vostro aiuto! ho il virus Virtumonde...e non riesco a liberarmene...ho fatto numerose scansioni con Superantispyware e con NOD32...ma niente,non se ne va...ho fatto la scansione con Hijackthis e ho usato il sito hijackthis.de per vedere quali file eliminare...e li ho eliminati...ma la cosa sembra non cambiare! vi posto il log della scansione di hijackthis!

LICK DEL LOG: http://www.mediafire.com/?sharekey=3a6e91a272d68270ab1eab3e9fa335caf2a0efa91bdf0d70

GRAZIE MILLE IN ANTICIPO!!!!!! :)
ciao

per ripulirti devi seguire tutta la guida del primo post e caricare tutti i log richiesti

Grazie! allora...ho fatto la scansione con malware ed ho il log...ho usato ATF cleanaer e disattivato il ripristino...ora sta facendo la scansione kaspersky tool remover...ma è lentissimo,ci metterà un casino,prima era arrivata al 50% e mi si è riavviato il pc...non ne posso più di questo virus! :( aiutatemi!!! In definitiva che log vi servono? quello di malwarebytes e di hijack this non bastano? grazie ancora!!!

Grazie! allora...ho fatto la scansione con malware ed ho il log...ho usato ATF cleanaer e disattivato il ripristino...ora sta facendo la scansione kaspersky tool remover...ma è lentissimo,ci metterà un casino,prima era arrivata al 50% e mi si è riavviato il pc...non ne posso più di questo virus! :( aiutatemi!!! In definitiva che log vi servono? quello di malwarebytes e di hijack this non bastano? grazie ancora!!!

Tutti i log dei tool indicati in Guida

Probabile Vundo

come detto da wjmat, posto il log di hijackthis! hijackthis.log (http://wikisend.com/download/479784/hijackthis.log)

e ora, il log di Malwarebytes: ULTIMOmbam-log-2008-11-13 (17-20-50).txt (http://wikisend.com/download/598020/ULTIMOmbam-log-2008-11-13 (17-20-50).txt).

E questo è il log di FSECURE FSECUREONLINESCAN.txt (http://wikisend.com/download/923720/FSECUREONLINESCAN.txt)
Si, antivir è stato configurato come da guida HWUpgrade.

come detto da wjmat, posto il log di hijackthis! hijackthis.log (http://wikisend.com/download/479784/hijackthis.log)

e ora, il log di Malwarebytes: ULTIMOmbam-log-2008-11-13 (17-20-50).txt (http://wikisend.com/download/598020/ULTIMOmbam-log-2008-11-13 (17-20-50).txt).

E questo è il log di FSECURE FSECUREONLINESCAN.txt (http://wikisend.com/download/923720/FSECUREONLINESCAN.txt)
Si, antivir è stato configurato come da guida HWUpgrade.
qui c'era la prima scansione di mbam
http://hwupgrade.pastebin.com/m704e72c0

con f-secure non hai eliminato nulla?


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTFMon] C:\WINDOWS\opera\ctfmon.eXe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [mount.exe] C:\Programmi\GiPo@Utilities\FileUtilities.3\mount.exe /z
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Peppe\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - Winlogon Notify: pmnLBQIa - pmnLBQIa.dll (file missing)
O24 - Desktop Component 0: (no name) - (no file)
O16 - tutte le voci se ce ne sono



se nel prossimo log ricompare questa voce
O24 - Desktop Component 0:

Click destro sul desktop -> proprietà -> vai nella scheda Desktop
clicca su Personalizza desktop... e vai nella scheda Web
Toglia la spunta a Pagina iniziale corrente se c'è ed elimina ogni voce sotto se ce ne sono
Togli la spunta a Blocca gli oggetti sul desktop se c'è
OK ->OK
Rilancia Hijackthis e rifixa la voce O24

hijackthis.log (http://wikisend.com/download/408410/hijackthis.log)

ecco qui. ho fixato la O24.

Fsecure aveva trovato il Vundo, si, e gliel'ho fatto eliminare.

hijackthis.log (http://wikisend.com/download/408410/hijackthis.log)

ecco qui. ho fixato la O24.

Fsecure aveva trovato il Vundo, si, e gliel'ho fatto eliminare.

segui la procedura per sistemare la voce O24

Tutto risolto grazie veramente tanto..... il pc sembra nuovo ora!!

Tutto risolto grazie veramente tanto..... il pc sembra nuovo ora!!

di nulla
ciao

Mi aiutate a vedere se virtumonde è stato rimosso?


Log rimosso leggere le Regole di sezione o quelle indicate in prima pagina di questa Guida, thx.

Hai fatto girare i tool indicati in prima pagina o solo HJT? Se si allega i log

ho fatto tutta la procedura in prima pagina.....scusa se non ho lnikato il log correttamente

ho fatto tutta la procedura in prima pagina.....scusa se non ho lnikato il log correttamente

Ok allega i log cosi li controlliamo ;)

ecco il log (http://www.mediafire.com/?sharekey=9ef2406c462b2e57d2db6fb9a8902bda)


grazie

ecco il log (http://www.mediafire.com/?sharekey=9ef2406c462b2e57d2db6fb9a8902bda)


grazie

Hai solo il log di HJT? Comunque è pulito da log non risulta nulla

ho fatto la scansione con Malwarebytes' Anti-Malware, poi con fsecure-online ed infine con spybot 1.6.2......ttutti mi hanno trovato virtumonde e me l'hanno elimanto.....almeno sembra......perchè alle successive scansioni non me lo davano più.

Per sicurezza ho voluto usure HijackThis e postare il log a voi esperti per capire com'è!

Il problema è che mi sono scomparse le icone (vicino l'orologio) del wifi e della periferica della scheda audio.......inoltre il mouse mi sembra un pò troppo sensibile.

Scusate la confusione sono nuova di qui. Allora Ho scannerizzato il mio pc con Vundo fix e non ha trovato nulla. Sto facendo la scansione con Malware e postero il m io log al più presto. Intanto metto il mio log di hijackthis magari mi fate capire se è pulito oppure cosa c'è che non va.

http://www.mediafire.com/?xmxnznlmy00

Inoltre ho fatto la scansione di spybot sia in modalità provvisoria che quella normale. Nel primo caso non mi segnala nulla, mentre nel secondo mi fa apparire Virtumonde.

Aggiungo il log di prevx

http://www.mediafire.com/?0nya4cheiym

Scusate la confusione sono nuova di qui. Allora Ho scannerizzato il mio pc con Vundo fix e non ha trovato nulla. Sto facendo la scansione con Malware e postero il m io log al più presto. Intanto metto il mio log di hijackthis magari mi fate capire se è pulito oppure cosa c'è che non va.

http://www.mediafire.com/?xmxnznlmy00

Inoltre ho fatto la scansione di spybot sia in modalità provvisoria che quella normale. Nel primo caso non mi segnala nulla, mentre nel secondo mi fa apparire Virtumonde.

Aggiungo il log di prevx

http://www.mediafire.com/?0nya4cheiym

Segui la Guida passo passo ed allega i log al Punto 3 e 4

Ho seguito passo passo la guida.
Questo è il log di Malware byte

http://www.mediafire.com/?obd4zfxzy14

Mentre questo è il log di hijack dpo la cura.
http://www.mediafire.com/?m7dmntmxcis
Spybot mi ha segnalato solo Hit box e non l'altro e sono riuscita a cancellarlo.
Sto facendo scan con Eset on line e ha trovato due file infetti ma non so cosa siano. Vi aggiorno.

Aggiornamento: i risultati da eset

http://img220.imageshack.us/img220/483/logesetco5.jpg

Purtroppo sono infetto ormai da gg da questo maledetto trojan Vundo.....sono un tecnico hardware esperto, ma non riesco a toglierlo.
Tutti i vari tool trovano e distruggono solamente i file che genera quando si riproduce aprendo le pagine internet....e non l'originale che sono riuscito ad individuare: c:\windows\system32\khfETnLC.dll che viene caricato all'avvio da iexplore e winlogon e non riesco a togliere visto che con hijack non riesco a fixarlo.
Mi servirebbe un aiuto su come disattivare l'esecuzione di tale dll così da eliminarla definitivamente.
Allego il log di hijack

Grazie

Ho seguito passo passo la guida.
Questo è il log di Malware byte

http://www.mediafire.com/?obd4zfxzy14

Mentre questo è il log di hijack dpo la cura.
http://www.mediafire.com/?m7dmntmxcis
Spybot mi ha segnalato solo Hit box e non l'altro e sono riuscita a cancellarlo.
Sto facendo scan con Eset on line e ha trovato due file infetti ma non so cosa siano. Vi aggiorno.

Aggiornamento: i risultati da eset

http://img220.imageshack.us/img220/483/logesetco5.jpg
Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

Purtroppo sono infetto ormai da gg da questo maledetto trojan Vundo.....sono un tecnico hardware esperto, ma non riesco a toglierlo.
Tutti i vari tool trovano e distruggono solamente i file che genera quando si riproduce aprendo le pagine internet....e non l'originale che sono riuscito ad individuare: c:\windows\system32\khfETnLC.dll che viene caricato all'avvio da iexplore e winlogon e non riesco a togliere visto che con hijack non riesco a fixarlo.
Mi servirebbe un aiuto su come disattivare l'esecuzione di tale dll così da eliminarla definitivamente.
Allego il log di hijack

Grazie

Segui la Guida passo passo ed allega i log al Punto 3 e 4

Devo dire grazie perchè sento di essere seguita passo passo. Allora ho fatto partire combofix e qui c'è il log

http://www.mediafire.com/?ogdozhe0tiy

ora nuovo log prevx

http://www.mediafire.com/?p1mddf3u24l

e hijack

http://www.mediafire.com/?4zxd9tdmjgd

mi dica dottore è tutto a posto o devo fare qualcos'altro? Grazie mille per l'aiuto. Senza questa guida penso che ci avrei messo anni per capire.
Però adesso il problema è un'altro: è sparita dalla barra l'icona della scansione residente di avast. Il perchè non l'ho capito.

Devo dire grazie perchè sento di essere seguita passo passo. Allora ho fatto partire combofix e qui c'è il log

http://www.mediafire.com/?ogdozhe0tiy

ora nuovo log prevx

http://www.mediafire.com/?p1mddf3u24l

e hijack

http://www.mediafire.com/?4zxd9tdmjgd

mi dica dottore è tutto a posto o devo fare qualcos'altro? Grazie mille per l'aiuto. Senza questa guida penso che ci avrei messo anni per capire.
Però adesso il problema è un'altro: è sparita dalla barra l'icona della scansione residente di avast. Il perchè non l'ho capito.

Esegui HJT e clicca Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sotto indicate voci:

O20 - AppInit_DLLs: tukrsr.dll cmvigd.dll dujnva.dll


clicca su Fix cheked

al termine alega nuovo log

Per quanto concerne Avast io lo vedo in Run quindi funzionante, entra nel pannello di controllo di Avast dovresti trovare un flag per vedere l'icona nell'area di notifica, sarebbe opportuno però sostituirlo con un'AV sempre FREE ma decisamente più performante, fammi sapere.

http://www.mediafire.com/?m7dmntmxcis

E' il nuovo log di hijackthis dopo il tuo suggerimento. Stavo pensando di passare ad avg così mi sentirei più sicura. Però non vorrei riprendermi il virus nel percorso... che mi suggerisci? Grazie per la risposta.

http://www.mediafire.com/?m7dmntmxcis

E' il nuovo log di hijackthis dopo il tuo suggerimento. Stavo pensando di passare ad avg così mi sentirei più sicura. Però non vorrei riprendermi il virus nel percorso... che mi suggerisci? Grazie per la risposta.

Ciao Kri mi carichi il log su un'altro Server in quanto mediafire è per me irraggiungibile, iin merito a questa parte non ho capito:

Stavo pensando di passare ad avg così mi sentirei più sicura. Però non vorrei riprendermi il virus nel percorso... che mi suggerisci? Grazie per la risposta

NB: mi devi allegare un log nuovo non i vecchi

Lo messo con wikisend spero tu possa accedere:

http://wikisend.com/download/940206/hijackthis.log


Allora pensavo di disinstallare Avast e mettere avg al suo posto come antivirus. Farei il percorso a connessione spenta però poi dovrei mettere la connessione per gli aggiornamenti. Ecco il mio dubbio è questo: non è che mi ribecco vrtumonde quando aggiorno avg visto che sicuramente sarà non aggiornato al momento dell'installazione? Questo il mio dubbio.

Lo messo con wikisend spero tu possa accedere:

http://wikisend.com/download/940206/hijackthis.log


Allora pensavo di disinstallare Avast e mettere avg al suo posto come antivirus. Farei il percorso a connessione spenta però poi dovrei mettere la connessione per gli aggiornamenti. Ecco il mio dubbio è questo: non è che mi ribecco vrtumonde quando aggiorno avg visto che sicuramente sarà non aggiornato al momento dell'installazione? Questo il mio dubbio.

Kri leggi sopra mi devi allegare un log nuovo di HJT (lo devi rifare) mi stai allegando log vecchi

Kri leggi sopra mi devi allegare un log nuovo di HJT (lo devi rifare) mi stai allegando log vecchi


Scusami pensavo di mettere quelli nuovi e invece beccavo quelli vecchi. Questo che metto è nuovo l'ho fatto due minuti fa.

http://wikisend.com/download/712724/0.21hijackthis.txt

Scusami pensavo di mettere quelli nuovi e invece beccavo quelli vecchi. Questo che metto è nuovo l'ho fatto due minuti fa.

http://wikisend.com/download/712724/0.21hijackthis.txt

Siamo a posto, a questo punto ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383, al punto 4 della stessa troverai l'antivirus consigliato qui in sezione, lascia stare AVG decisamente poco performante tra l'altro in questi a fatto macelli inerrabili :)

Ciao ;)

Eccovi i LOG aggiornati delle 3 scansioni....adesso x tutti i software provati il pc è pulito.....ma appena ripartirà la finestrina dello spam sarà di nuovo tutto impestato...cmq eccoli:

f-secure (scusate ma non me li fà caricare tutti in un messaggio)

ed Hijackthis

Eccovi i LOG aggiornati delle 3 scansioni....adesso x tutti i software provati il pc è pulito.....ma appena ripartirà la finestrina dello spam sarà di nuovo tutto impestato...cmq eccoli:

Con MBAM hai fatto scansione rapida devi fare scansione completa, inoltre mi spieghi questo discorso non l'ho capito

ma appena ripartirà la finestrina dello spam sarà di nuovo tutto impestato...cmq eccoli

Per allegare i log usa i Server remoti indicati in Guida :)

Infine il file del mio Codestuff con il maledetto trojan ancora attivo (c:\windows\system32\khfETnLC.dll)....è relativo al processo explorer.exe, ma è caricato anche nel winlogon....in pratica se disattivassi la connessione ad internet lui farebbe apparire ogni tanto una semplice finestrina x la connessione e niente +....ma appena mi connetto parte e mi esplode 5-6 finestre di link.:muro:

Ecco il log di malwarebytes dopo la scansione completa come richiestomi.....NESSUN ELEMENTO TROVATO :confused:

bisogna sganciare quella maledetta dll silente dai processi iniziali....soprattutto dal winlogon che carica le proprie dll quasi subito all'accensione del pc....non sono riuscito nemmeno con KILLBOX....è proprio radicato :cry:


:help: :help: :help: :help: :help:

@ Chill-out:

come faccio a ripristinare gli aggiornamenti di windows......disattivati in seguito all'infezione di virtumonde?

Ecco il log di malwarebytes dopo la scansione completa come richiestomi.....NESSUN ELEMENTO TROVATO :confused:

bisogna sganciare quella maledetta dll silente dai processi iniziali....soprattutto dal winlogon che carica le proprie dll quasi subito all'accensione del pc....non sono riuscito nemmeno con KILLBOX....è proprio radicato :cry:


:help: :help: :help: :help: :help:

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

Edit: ho risolto.


Posso suggerire a chi abbia avuto (o ha) questo problema di seguire questi pochi passi (http://taninorulez.wordpress.com/2007/12/05/impossibile-installare-aggiornamenti-xp-risolviamo-il-problema/) per ripristinare gli aggiornamenti windows.

Grazie

Edit: ho risolto.


Posso suggerire a chi abbia avuto (o ha) questo problema di seguire questi pochi passi (http://taninorulez.wordpress.com/2007/12/05/impossibile-installare-aggiornamenti-xp-risolviamo-il-problema/) per ripristinare gli aggiornamenti windows.

Grazie

Perfetto ;)

Salve raga, mi sono infettato pure io con questo trojan, ho seguto la guida in prima pagina di questo topic e altri consigli che ho trovato sempre qui, però volevo, se possibile, un consiglio sui log dei vari programmi, se ora è tutto apposto oppure devo fare altri interventi .
VirtumundoBegone log
VBGlog.TXT (http://wikisend.com/download/923970/VBGlog.TXT)

Combofix log
combofixlog.txt (http://wikisend.com/download/100934/combofixlog.txt)

Hijackthis log
hijackthis.log (http://wikisend.com/download/850716/hijackthis.log)

prevx log
prevx.log (http://wikisend.com/download/619090/prevx.log)

kaspersky log
kasperslog.txt (http://wikisend.com/download/563316/kasperslog.txt)

Grazie del prezioso aiuto e degli eventuali suggerimenti :)

mbam log
mbam-log-2008-11-17 (00-04-46).txt (http://wikisend.com/download/140878/mbam-log-2008-11-17 (00-04-46).txt)

il log sembra ad una vista inesperta come la mia pulito, però la quarantena è piena, da stamane penso abbia fatto 3 scansioni con mbam, piu tante altre con altri programmi

Salve raga, mi sono infettato pure io con questo trojan, ho seguto la guida in prima pagina di questo topic e altri consigli che ho trovato sempre qui, però volevo, se possibile, un consiglio sui log dei vari programmi, se ora è tutto apposto oppure devo fare altri interventi .
VirtumundoBegone log
VBGlog.TXT (http://wikisend.com/download/923970/VBGlog.TXT)

Combofix log
combofixlog.txt (http://wikisend.com/download/100934/combofixlog.txt)

Hijackthis log
hijackthis.log (http://wikisend.com/download/850716/hijackthis.log)

prevx log
prevx.log (http://wikisend.com/download/619090/prevx.log)

kaspersky log
kasperslog.txt (http://wikisend.com/download/563316/kasperslog.txt)

Grazie del prezioso aiuto e degli eventuali suggerimenti :)

Ciao fai una scansione con MBAM come indicato al Punto 3 della Guida :)

Lo rifaccio e posto il log,il log me l'ero perso per strada :doh:
Appena rifatto e aggiunto, sorry per la mancanza e ancora grazie per l'aiuto :)

Edit: ho risolto.


Posso suggerire a chi abbia avuto (o ha) questo problema di seguire questi pochi passi (http://taninorulez.wordpress.com/2007/12/05/impossibile-installare-aggiornamenti-xp-risolviamo-il-problema/) per ripristinare gli aggiornamenti windows.

Grazie
mi pare sia identica a questa ;)
http://www.hwupgrade.it/forum/showthread.php?t=1542152

Capsita....è vero....non sapevo ci fosse nel forum........meglio così

Strumenti

Oggi, 11:34 #1
simo10piu
Junior Member


Iscritto dal: Nov 2008
Messaggi: 4 Infetto da Virtumonde? / Lavori in Corso

--------------------------------------------------------------------------------

Ciao a tutti sono l'autore dei post elencati nell'oggetto.
Ho effettuato le scansioni con i vari software da voi consigliati, ma rilanciando spybot nei file che scansiona cè sempre in gran quantità file virtumonde
Vi allego i vari log file
-Il link per il log di Kaspery è:
http://www.fileqube.com/file/ROxCbbuv149942
-Il Link del file log Combofix è
http://www.fileqube.com/file/kPlrxv149939
-Il logfile di malwarebytes è:
http://www.fileqube.com/file/FKlQVEQ149943
Negli allegati ho messo il logfile hijack

Grazie per l'aiuto a tutti.Ciao.Simone.
Allegati

Strumenti

Oggi, 11:34 #1
simo10piu
Junior Member


Iscritto dal: Nov 2008
Messaggi: 4 Infetto da Virtumonde? / Lavori in Corso

--------------------------------------------------------------------------------

Ciao a tutti sono l'autore dei post elencati nell'oggetto.
Ho effettuato le scansioni con i vari software da voi consigliati, ma rilanciando spybot nei file che scansiona cè sempre in gran quantità file virtumonde
Vi allego i vari log file
-Il link per il log di Kaspery è:
http://www.mediafire.com/?sharekey=b...679f0c9de3b9ab
-Il Link del file log Combofix è
http://www.mediafire.com/?sharekey=b...7d9ab9d4d4d9b7
-Il logfile di malwarebytes è:
http://www.mediafire.com/?sharekey=b...97a5b105b4165f
Negli allegati ho messo il logfile hijack

Grazie per l'aiuto a tutti.Ciao.Simone.
Allegati
sembra ci siano dei problemi con mediafire, ce li ricaricheresti gentilmente su www.fileqube.com editando il post precedente
grazie

Ok ho caricato nuovi link.
Grazie mille:D

sembra ci siano dei problemi con mediafire, ce li ricaricheresti gentilmente su www.fileqube.com editando il post precedente
grazie

ok caricati nuovi link.
grazie mille :D

ok caricati nuovi link.
grazie mille :D

La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log

Ciao simo un'altro 3D fuori posto dopo che ti è stato detto "enne" volte qual'è il 3D da utilizzare, non sarà tollerato, confido nel tuo buon senso.

La tua versione di Hijackthis non è aggiornata....scarica da qui (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip) l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log

Ho scaricato ultima versione hikack ecco il nuovo filelog.
http://www.fileqube.com/file/fEWKdfGIM149973
grazie ciao

Ciao simo un'altro 3D fuori posto dopo che ti è stato detto "enne" volte qual'è il 3D da utilizzare, non sarà tollerato, confido nel tuo buon senso.


A me seguendo i vari link mi porta qui per pubblicare thread o 3d.
Non lo so. Sennò fa niente. Lasciate stare.

A me seguendo i vari link mi porta qui per pubblicare thread o 3d.
Non lo so. Sennò fa niente. Lasciate stare.

infatti qui và bene, sono questi che non vanno bene

http://www.hwupgrade.it/forum/showthread.php?t=1865543
http://www.hwupgrade.it/forum/showthread.php?t=1865431

avevi correttamente allegato i log qui http://www.hwupgrade.it/forum/showpost.php?p=25048213&postcount=1401 non vedo il motivo per cui sei andato ad aprire 2 discussioni nuove

infatti qui và bene, sono questi che non vanno bene

http://www.hwupgrade.it/forum/showthread.php?t=1865543
http://www.hwupgrade.it/forum/showthread.php?t=1865431

avevi correttamente allegato i log qui http://www.hwupgrade.it/forum/showpost.php?p=25048213&postcount=1401 non vedo il motivo per cui sei andato ad aprire 2 discussioni nuove

Ok scusa ho fatto confusione,pensavo dover darvi un riferimento dove cera la mia prima discussione...figurati che non sapevo neanche che quando mi scrivevi 3d voleva dire thread.

Ciao.

Ok scusa ho fatto confusione,pensavo dover darvi un riferimento dove cera la mia prima discussione...figurati che non sapevo neanche che quando mi scrivevi 3d voleva dire thread.

Ciao.

Bene l'importante è capirsi, il tuo log di HJT è pulito, riscontri ulteriori problemi?

PS: non vedo Antivirus

Bene l'importante è capirsi, il tuo log di HJT è pulito, riscontri ulteriori problemi?

PS: non vedo Antivirus

E' un computer del '99 ma lsono sempre riuscito a tenerlo pulito e veloce.
Ora è molto lento e quando lancio spybot s&d mi analizza per parecchi minuti questi file virtumonde. Avevo messo avast ma è troppo pesante e rallenta di brutto. Ho windows 2000.
Forse l'unica è formattare,vero??? Mi è sempre piaciuto metterci mano difatti non l'ho mai formattato ma a questo punto....
Conosci un antivirus leggero ma "buono".
Grazie per l'aiuto.

E' un computer del '99 ma lsono sempre riuscito a tenerlo pulito e veloce.
Ora è molto lento e quando lancio spybot s&d mi analizza per parecchi minuti questi file virtumonde. Avevo messo avast ma è troppo pesante e rallenta di brutto. Ho windows 2000.
Forse l'unica è formattare,vero??? Mi è sempre piaciuto metterci mano difatti non l'ho mai formattato ma a questo punto....
Conosci un antivirus leggero ma "buono".
Grazie per l'aiuto.

Ho controllato adesso i tuoi log, c'è traccia di tutto tranne che del Vundo, se ripeti la scansione con SpyBot adesso cosa rileva?

Sinceramente di AV più leggero di Avast non saprei cosa consigliarti.

Lo rifaccio e posto il log,il log me l'ero perso per strada :doh:
Appena rifatto e aggiunto, sorry per la mancanza e ancora grazie per l'aiuto :)

Pulito non dovresti riscontrare altri problemi :)

Ho controllato adesso i tuoi log, c'è traccia di tutto tranne che del Vundo, se ripeti la scansione con SpyBot adesso cosa rileva?

Sinceramente di AV più leggero di Avast non saprei cosa consigliarti.

Ho lanciato spybot. Come problemi,da quando ho salvato una foto, mi ha cancellato tutti i preferiti e il giorno dopo le emoction di messanger.
Spybot a fkìine scansione non trova niente ma analizza per parecchi minuti questi file virtumonde.
Ora quando finisce ti do conferma.
grazie ciao.

ciao a tutti...vi volevo chiedere,dal momento che ho Windows Vista, come devo fare la scansione on-line...perchè utilizzando Eset Online Scanner mi dice che lo devo eseguire come amministratore...posso chiedervi x favore come fare?grazie mille

Ho controllato adesso i tuoi log, c'è traccia di tutto tranne che del Vundo, se ripeti la scansione con SpyBot adesso cosa rileva?

Sinceramente di AV più leggero di Avast non saprei cosa consigliarti.

Ok spybot s&d non ha trovato niente. L'unico mio dubbio è che in basso cè scritto scansione in corso e da 137.000 a 300.000 analizza virtumonde.dll .sci e .sdn. Vuol dire che li ho dentro io sti file?
E poi la scomparsa dei miei preferiti internet e delle icone aggiuntive di messanger :confused:
Ti ringrazio davvero. ciao.

ciao a tutti...vi volevo chiedere,dal momento che ho Windows Vista, come devo fare la scansione on-line...perchè utilizzando Eset Online Scanner mi dice che lo devo eseguire come amministratore...posso chiedervi x favore come fare?grazie mille

quella di f-secure o kaspersky non puoi farle?

Ok spybot s&d non ha trovato niente. L'unico mio dubbio è che in basso cè scritto scansione in corso e da 137.000 a 300.000 analizza virtumonde.dll .sci e .sdn. Vuol dire che li ho dentro io sti file?
E poi la scomparsa dei miei preferiti internet e delle icone aggiuntive di messanger :confused:
Ti ringrazio davvero. ciao.
quelle che scorrono sono le firme installate non le infezioni che hai
infatti forse non avevi virtumonde ma un rogue, stando ai log...

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

quella di f-secure o kaspersky non puoi farle?

ora ci provo...ma pensavo non si potessero utilizzare perchè tra parentesi c'è scritto "no Vista"...cmq sto seguendo la procedura descritta alla prima pagina...

quelle che scorrono sono le firme installate non le infezioni che hai
infatti forse non avevi virtumonde ma un rogue, stando ai log...

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

:D Ok perfetto. grazie. complimenti per l'organizzazione ed il sito in generale. Spettacolo. Ciao,alla prossima.:D

ora ci provo...ma pensavo non si potessero utilizzare perchè tra parentesi c'è scritto "no Vista"...cmq sto seguendo la procedura descritta alla prima pagina...
c'è scritto no vista 64bit

:D Ok perfetto. grazie. complimenti per l'organizzazione ed il sito in generale. Spettacolo. Ciao,alla prossima.:D

Prego, se dovesse esserci una prossima volta (spero di no per ovvi motivi) non farmi imapzzire a correrti dietro per chiudere 3D :p

Allego i risultati degli scan:

66923

ma come si fa a caricare il log di Kaspersky? è di 34 mb

Log rimosso leggere le Regole di sezione, le modalità per allegare i log somo indicate in Guida prima pagina, grazie.

ma come si fa a caricare il log di Kaspersky? è di 34 mb

modalità in firma ;)

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo

altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log


il tuo pc no è infetto da vundo ma da un rogue quindi segui qui (http://www.hwupgrade.it/forum/showthread.php?t=1789446) la guida per la rimozione di Falsi Antispyware/Antivirus e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)
nel 3d che ti ho indicato carica quindi:

log di kasp filtrato come da modalità
log di mbam vedi note sopra
lor richiesti dalla guida per i rogue

Weeeeeeeee

MITICI......finalmente sono riuscito a risolvere lo sganciamento del trojan DLL dall'esecuzione dei processi iexplorer e winlogon........è stato il MITICO COMBOFIX che alla 1° scansione è riuscito nell'operazione ed al riavvio mi sono ritrovato il maledetto file in quarantena rinominato, con le relative chiavi di registro infettate.

GRAZIE DI ESISTERE !!!!

:sofico: :sofico: :sofico:

Weeeeeeeee

MITICI......finalmente sono riuscito a risolvere lo sganciamento del trojan DLL dall'esecuzione dei processi iexplorer e winlogon........è stato il MITICO COMBOFIX che alla 1° scansione è riuscito nell'operazione ed al riavvio mi sono ritrovato il maledetto file in quarantena rinominato, con le relative chiavi di registro infettate.

GRAZIE DI ESISTERE !!!!

:sofico: :sofico: :sofico:

se ci carichi il log diamo un occhio anche al altre cose ;)

66936

http://www.fileqube.com/file/jeAzWLapU150123

http://www.fileqube.com/file/xrHHMgwi150126


non sono riuscito ad eliminare niente...oltre al Vundo ho anche il Rogue...che faccio? grazie a tutti e perdonate la mia ignoranza

66936

http://www.fileqube.com/file/jeAzWLapU150123

http://www.fileqube.com/file/xrHHMgwi150126


non sono riuscito ad eliminare niente...oltre al Vundo ho anche il Rogue...che faccio? grazie a tutti e perdonate la mia ignoranza

il log di kasp filtralo come indicato nelle modalità in firma al punto 4, grazie

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

ma al punto 4 dove? io mi sono attenuto alla procedura della prima pagina???devo seguire quella oppure quale??

ma perchè solo con me siete così evasivi??

ma al punto 4 dove? io mi sono attenuto alla procedura della prima pagina???devo seguire quella oppure quale??

ma perchè solo con me siete così evasivi??
punto 4 di questa
http://www.hwupgrade.it/forum/showthread.php?t=1779308
per evitare di caricare decine di MB di log ;)

66938


http://www.fileqube.com/file/mmxjaKa150150

66938


http://www.fileqube.com/file/mmxjaKa150150

il link del log di kasp filtrato mi fa scaricare altro... potrestri cortesemente verificarlo



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\efcCrPgE.dll,c
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\ddcDuVpq.dll,#1
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O16 - tutte le voci se ce ne sono

Successivamente a quanto detto sopra, fai una Deep Scan con A-Squared come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 3

Ricorda di allegare il log, ciao.

66945

http://www.fileqube.com/file/LqSuJNr150184

66945

http://www.fileqube.com/file/LqSuJNr150184

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

è tutto ok?? a me sembra di si...ma ad ogni riavvio mi si apre sempre la finestra di SpyBot con il MSServer - valore modificato...non è stato eliminato. ma cos'è?

è tutto ok?? a me sembra di si...ma ad ogni riavvio mi si apre sempre la finestra di SpyBot con il MSServer - valore modificato...non è stato eliminato. ma cos'è?

Fixa con HJT le seguenti voci:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\awtuuRHx.dll,c
O4 - HKCU\..\Run: [96d0adb2] rundll32.exe "C:\Users\Biagio\AppData\Local\Temp\xvuqjnnk.dll",b


allega nuovo log, così dovremmo risolvere anche il problema di SpyBot

ho fixato:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1

le altre due voci non le ho trovate,però queste due voci "cmds" e "96d0adb2" mi vengono segnalate sempre da Spybot...ma non è meglio cancellarlo Spybot?

http://www.fileqube.com/file/lzxVva150237

ho fixato:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Biagio\AppData\Local\Temp\wvUmnNHx.dll,#1

le altre due voci non le ho trovate,però queste due voci "cmds" e "96d0adb2" mi vengono segnalate sempre da Spybot...ma non è meglio cancellarlo Spybot?

http://www.fileqube.com/file/lzxVva150237

Eliminale con SpyBot

volevo ringraziare tutti quelli che con grande pazienza mi hanno aiutato a risolvere il problema...grazie e buon lavoro!

di nulla, ciao

vi posso chiedere quale procedura devo seguire x l'installazione dell'antivirus Avira AntiVir Personal - FREE?
la versione Avira AntiVir Premium è a pagamento??

grazie

trattamento in firma ci sono tutte le info, hai già visto?
la premium si è a pagamento

Salve ragazzi :)

secondo voi sono riuscito a debellare il maledettissimo virus?! :(

Vi allego il log di hijackthis:

hijackthis.log (http://wikisend.com/download/891502/hijackthis.log)
fileqube: hijackthis (http://www.fileqube.com/file/dgLkSRYeh154719)

Grazie per l'aiuto!

mi aggiungo anche io ai bisognosi.. :)

Malwarebytes log:
http://www.mediafire.com/file/d00l4zyftq2/mbam-log-2008-11-28

hijackthis log:
http://www.mediafire.com/file/z4y1rgngyom/hijackthis.log

grazie in anticipo!

Salve ragazzi :)

secondo voi sono riuscito a debellare il maledettissimo virus?! :(

Vi allego il log di hijackthis:

hijackthis.log (http://wikisend.com/download/891502/hijackthis.log)
fileqube: hijackthis (http://www.fileqube.com/file/dgLkSRYeh154719)

Grazie per l'aiuto!

Ciao allega i log al Punto 3 e 4 della presente Guida :)

mi aggiungo anche io ai bisognosi.. :)

Malwarebytes log:
http://www.mediafire.com/file/d00l4zyftq2/mbam-log-2008-11-28

hijackthis log:
http://www.mediafire.com/file/z4y1rgngyom/hijackthis.log

grazie in anticipo!

Ciao allega il log indicato al Punto 4 della presente Guida :)

salve ragazzi...
credo di essere infettato da "VUNDO"...
ho seguito tutte le istruzioni postate su questo forum, ma non riesco in nessun modo ad eliminarlo...
potete aiutarmi?



le operazioni da me compiute sono :
- installato ed ho effettuato una scansione con "malwarebytes-anti malware"
- varie scansioni cn S&D (risultato :smitfraud, e vari vundo)
-ATF Cleaner


allego il file log sperando in un vostro aiuto...(il file log è stato creato tramite malwarebytes).

grazie:help:
grazie

salve ragazzi...
credo di essere infettato da "VUNDO"...
ho seguito tutte le istruzioni postate su questo forum, ma non riesco in nessun modo ad eliminarlo...
potete aiutarmi?



le operazioni da me compiute sono :
- installato ed ho effettuato una scansione con "malwarebytes-anti malware"
- varie scansioni cn S&D (risultato :smitfraud, e vari vundo)
-ATF Cleaner


allego il file log sperando in un vostro aiuto...(il file log è stato creato tramite malwarebytes).

grazie:help:
grazie

Ciao devi semplicemente seguire passo passo la Guida in prima pagina ed allegare i log delle scansioni al Punto 3 e 4

Per quanto concerne il Punto 3 ovvero MBAM, dal log si evince che non hai intrapreso nessuna azione

Moduli della memoria infetti:
C:\WINDOWS\System32\khfDuVml.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\System32\khfDuVml.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\System32\qoMccCtR.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\System32\rqRHwWnN.dll (Trojan.Vundo) -> No action taken.


No action taken -> significa che non hai eliminato nulla, ripeti la scansione completa ed elimina tutti i valori idenficati come infetti

ok sorry!:)
grazie per la risposta!
adesso faccio quello che hai scritto e poi posto tutto!:D

volevo dirti anche che scansionando con diversi programmi trova sempre come infetto" fmecjba.exe"che mette anke come programma all avvio e cancellandolo ad ogni riavvio è sempre li!sapete dirmi qualcosa in piu??
grazie :help:

"c:\users\jo\appdata\local\fmecjba.exe" fmecjba HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

volevo dirti anche che scansionando con diversi programmi trova sempre come infetto" fmecjba.exe"che mette anke come programma all avvio e cancellandolo ad ogni riavvio è sempre li!sapete dirmi qualcosa in piu??
grazie :help:

"c:\users\jo\appdata\local\fmecjba.exe" fmecjba HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Porta a termine la Guida e poi affrontiamo anche questo problema, nel frattempo potresti dirci quale software rileva come infetto questo file fmecjba.exe e quale nome attribusice all'infezione :)

Ciao allega i log al Punto 3 e 4 della presente Guida :)

Eccoli :)

- Hijackthis:
hijack.log (http://wikisend.com/download/891502/hijackthis.log)

- Malwarebytes:
malware.log (http://www.fileqube.com/file/vDTlhU154903)

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk.. :eek:

Eccoli :)

- Hijackthis:
hijack.log (http://wikisend.com/download/891502/hijackthis.log)

- Malwarebytes:
malware.log (http://www.fileqube.com/file/vDTlhU154903)

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk.. :eek:

Allega solo la parte inerente alla rilevazione/rimozione esempio:

Scan
----
Scanned: 1536980
Detected: 3
Untreated: 0
Start time: 29/11/2008 13.43.23
Duration: 1 days 02.07.36
Finish time: 30/11/2008 15.50.59


Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.TDSS.blh File: C:\SDFix\SDFix\backups\catchme.zip/TDSSkfkl.dll
deleted: Trojan program Backdoor.Win32.TDSS.asz File: C:\SDFix\SDFix\backups\catchme.zip/TDSSurkv.dll
deleted: Trojan program Backdoor.Win32.TDSS.atb File: C:\SDFix\SDFix\backups\catchme.zip/TDSSottp.dll

il "fmecjba" l ha trovato il programma "combo fix"!e poi compare sempre nei file d avvio e nel registro (trovato con ccleaner o register mechanic)

il "fmecjba" l ha trovato il programma "combo fix"!e poi compare sempre nei file d avvio e nel registro (trovato con ccleaner o register mechanic)

Allora insiemi agli altri log alleghi anche quello di Combofix

il log di malwarebytes che ho postato prima era sbagliato, ecco quello corretto:

http://www.mediafire.com/file/q01nayw2xiz/mbam-log-2008-11-28 (23-22-41).txt

quello di Hijackthis:

http://www.mediafire.com/file/z4y1rgngyom/hijackthis.log

ed ecco quello del punto 4:

http://www.mediafire.com/file/5cmmzaozuj1/log secure scan.txt

Allega solo la parte inerente alla rilevazione/rimozione esempio:

D'accordo capo, e grazie :) :)

Inserisco direttamente tra i tag code senza fare l'upload vista la breve lunghezza del messaggio.

Scan
----
Scanned: 2535595
Detected: 1
Untreated: 0
Start time: 30/11/2008 18.29.58
Duration: 04.13.49
Finish time: 30/11/2008 22.43.47


Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Spy.HTML.Fraud.gen (modification) Email message body: Identità principale\Varie\Posta eliminata\[From:"eBay Register" <noreply@secureaccount.com>][Subject:Message has a suspicious part : Complete your eBay registration][Time:2008/06/10 06:06:34]/text/html


:)

il log di malwarebytes che ho postato prima era sbagliato, ecco quello corretto:

http://www.mediafire.com/file/q01nayw2xiz/mbam-log-2008-11-28 (23-22-41).txt

quello di Hijackthis:

http://www.mediafire.com/file/z4y1rgngyom/hijackthis.log

ed ecco quello del punto 4:

http://www.mediafire.com/file/5cmmzaozuj1/log secure scan.txt




Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTuner] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "D:\Programmi\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\Ad-Watch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Renaulto\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - AppInit_DLLs: kedegv.dll
O16 - tutte le voci

riscontri altri problemi?

Eccoli :)

- Hijackthis:
hijack.log (http://wikisend.com/download/891502/hijackthis.log)

- Malwarebytes:
malware.log (http://www.fileqube.com/file/vDTlhU154903)

- Kaspersky V.R.T. : pesa 452MB il txt ?! Forse non dovevo fargli scansionare i 3 hard disk.. :eek:



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [L08IXLRD_9086828] "D:\Programmi\Microsoft Student\Microsoft Encarta 2008 - Premium + Student DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O16 - tutte le voci se ce ne sono


riscontri altri problemi?

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RivaTuner] "D:\Programmi\RivaTuner v2.09\RivaTuner.exe" /T
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "D:\Programmi\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISTray] "C:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Ad-Watch] C:\Programmi\Lavasoft\Ad-Aware\Ad-Watch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Renaulto\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O20 - AppInit_DLLs: kedegv.dll
O16 - tutte le voci

riscontri altri problemi?


ecco il nuovo log in allegato


purtroppo però eseguendo una scansione con spyware doctor il malware viene di nuovo rilevato..

ecco il nuovo log in allegato


purtroppo però eseguendo una scansione con spyware doctor il malware viene di nuovo rilevato..

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info) che dovrebbe rimuoverlo del tutto
spyware doctor è un mattone ed è buono solo con la versione a pagamento, quindi io propenderei per rimuoverlo in favore di quelli indicati nel trattamento in firma, che ti consiglio di leggere a fine disinfezione

[LIST]

riscontri altri problemi?

I problemi tipici del Vundo sono tutti spariti, ed il sistema corre veloce (e felice!) :D

Credo di potermi fidare della provenienza di quei programmi.. non so se fixarli effettivamente.

E' già qualche volta che, appena accendo il pc, faccio una scansione con Spybot e nn c'è traccia del Vundo... idem con Avast e MalwareBytes.

Credo di poter stare abbastanza tranquillo oramai :)

Mi ero spaventato perchè ho letto che esistono una miriadi di varianti del Vundo, e molte si attaccano a processi esistenti. Ed infatti io mi accorgevo di avere il Vundo in esecuzione anche se entravo in modalità provvisoria!! :(

Credo mi abbia aiutato anche l'utilizzo di Avira che effettua una scansione dal "live cd" e quindi non avvia il sistema operativo.

Grazie dell'impagabile aiuto, ragazzi!!! :winner:

I problemi tipici del Vundo sono tutti spariti, ed il sistema corre veloce (e felice!) :D

Credo di potermi fidare della provenienza di quei programmi.. non so se fixarli effettivamente.

E' già qualche volta che, appena accendo il pc, faccio una scansione con Spybot e nn c'è traccia del Vundo... idem con Avast e MalwareBytes.

Credo di poter stare abbastanza tranquillo oramai :)

Mi ero spaventato perchè ho letto che esistono una miriadi di varianti del Vundo, e molte si attaccano a processi esistenti. Ed infatti io mi accorgevo di avere il Vundo in esecuzione anche se entravo in modalità provvisoria!! :(

Credo mi abbia aiutato anche l'utilizzo di Avira che effettua una scansione dal "live cd" e quindi non avvia il sistema operativo.

Grazie dell'impagabile aiuto, ragazzi!!! :winner:
i fix che ti ho consigliato sono solo per velocizzare l'avvio del pc ;)
avast e spybot io li lascerei perdere... leggi il trattanmento che ho in firma dove trovi i software che consigliamo e altre info utili
importante aggiornare win a sp3 e IE alla 7

ecco il log di combofix

dovrebbe essere tutto risolto, giusto? grazie mille dell'aiuto! spero di non dover tornare :D

ecco il log di combofix

dovrebbe essere tutto risolto, giusto? grazie mille dell'aiuto! spero di non dover tornare :D

si ha eliminato altra robaccia, ora dovresti essere ok

i fix che ti ho consigliato sono solo per velocizzare l'avvio del pc ;)
avast e spybot io li lascerei perdere... leggi il trattanmento che ho in firma dove trovi i software che consigliamo e altre info utili
importante aggiornare win a sp3 e IE alla 7

Alla fine ho fixato :D

CHI HA PROBLEMI CON IL TROJAN VUNDO SEGUA TUTTA LA GUIDA E POSTI I LOG DELLE SCANSIONI IN QUESTO THREAD.
Eccomi qui, ho preso questo (e purtroppo credo anche altri) trojan... Ho cambiato l'hard disk del portatile venerdì scorso e ho formattato, probabilmente mi sono infettata cercando dei software :( dato che ho appena formattato ho ancora Internet Explorer 6 e Win XP SP2, uso Firefox 3. Ho fatto varie scansioni con spybot, avast, ewido, ccleaner.. trovavano, pulivano, ma al riavvio del pc la situazione era uguale. Poi ho trovato questo thread e ho seguito bene le istruzioni ma non sono ancora riuscita a risolvere. :muro:

-Ho disattivato il ripristino configurazione di sistema
-Ho usato ATF Cleaner e pulito tutto
-Ho fatto una scansione con Malwarebytes anti malware (log (http://wikisend.com/download/534424/mbam-log-2008-12-01 (20-22-05).txt))
-Ho provato a fare una scansione online con Eset ma si è bloccato e dopo un po' ho stoppato
-Ho fatto una scansione con Kaspersky Virus Removal Tool (kaspersky.txt (http://wikisend.com/download/525168/kaspersky.txt))

Ed ecco infine il log della scansione di Hijackthis: hijackthis.log (http://wikisend.com/download/600350/hijackthis.log)

:(

edit: forse invece è tutto pulito!! ora aggiorno explorer etc, se ho altri problemi lo scrivo, intanto se mi date un'occhiata al log di hijackthis e mi confermate che è tutto pulito mi farebbe piacere, grazie mille in ogni caso del tutorial :)
:ronf:

Eccomi qui, ho preso questo (e purtroppo credo anche altri) trojan... Ho cambiato l'hard disk del portatile venerdì scorso e ho formattato, probabilmente mi sono infettata cercando dei software :( dato che ho appena formattato ho ancora Internet Explorer 6 e Win XP SP2, uso Firefox 3. Ho fatto varie scansioni con spybot, avast, ewido, ccleaner.. trovavano, pulivano, ma al riavvio del pc la situazione era uguale. Poi ho trovato questo thread e ho seguito bene le istruzioni ma non sono ancora riuscita a risolvere. :muro:

-Ho disattivato il ripristino configurazione di sistema
-Ho usato ATF Cleaner e pulito tutto
-Ho fatto una scansione con Malwarebytes anti malware (log (http://wikisend.com/download/534424/mbam-log-2008-12-01 (20-22-05).txt))
-Ho provato a fare una scansione online con Eset ma si è bloccato e dopo un po' ho stoppato
-Ho fatto una scansione con Kaspersky Virus Removal Tool (kaspersky.txt (http://wikisend.com/download/525168/kaspersky.txt))

Ed ecco infine il log della scansione di Hijackthis: hijackthis.log (http://wikisend.com/download/600350/hijackthis.log)

:(

edit: forse invece è tutto pulito!! ora aggiorno explorer etc, se ho altri problemi lo scrivo, intanto se mi date un'occhiata al log di hijackthis e mi confermate che è tutto pulito mi farebbe piacere, grazie mille in ogni caso del tutorial :)
:ronf:
ciao

per sicurezza carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)




Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {05EBE611-C43D-4E4C-AAD5-25D8C9E2F78E} - (no file)
O2 - BHO: (no name) - {2AF4CCCE-BC69-4366-8F03-5D32F94FA4B7} - (no file)
O2 - BHO: (no name) - {494FED01-E71B-416B-9F2E-05212A212A4E} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O20 - Winlogon Notify: ddcBQifc - C:\WINDOWS\
O16 - tutte le voci

Salve a tutti,
Spero che qualcuno possa aiutarmi a capire se ho risolto tutti i problemi, credo di aver beccato vundo a quanto ho letto da malwarebytes, ora allego i log ottenuti tramite HIJACK ed eset sysinspector.

hijackthis.log (http://wikisend.com/download/812086/hijackthis.log)


SysInspector-CDMCS-1-081202-1944.zip (http://wikisend.com/download/156468/SysInspector-CDMCS-1-081202-1944.zip)

Ed allego anche il log ottenuto da malwarebytes fatto prima della cancellazione.

mbam-log-2008-12-02 (15-52-59).txt (http://wikisend.com/download/562482/mbam-log-2008-12-02 (15-52-59).txt)



Grazie a tutti in anticipo.

Salve a tutti,
Spero che qualcuno possa aiutarmi a capire se ho risolto tutti i problemi, credo di aver beccato vundo a quanto ho letto da malwarebytes, ora allego i log ottenuti tramite HIJACK ed eset sysinspector.

hijackthis.log (http://wikisend.com/download/812086/hijackthis.log)


SysInspector-CDMCS-1-081202-1944.zip (http://wikisend.com/download/156468/SysInspector-CDMCS-1-081202-1944.zip)

Ed allego anche il log ottenuto da malwarebytes fatto prima della cancellazione.

mbam-log-2008-12-02 (15-52-59).txt (http://wikisend.com/download/562482/mbam-log-2008-12-02 (15-52-59).txt)



Grazie a tutti in anticipo.
aspettiamo anche il log della scansione completa con un antivirus di quelli indicati

L'ultima scansione effettuata con kaspersky removal tool non ha trovato nulla.

f-secure non riuscivo a farlo partire.

Provo anche Cureit di nuovo?

L'ultima scansione effettuata con kaspersky removal tool non ha trovato nulla.

f-secure non riuscivo a farlo partire.

Provo anche Cureit di nuovo?
se riscontri altri problemi carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Ok grazie ora sto rifancendo la scansione con cureit; speriamo bene!

raga :( stesso problema...ho scritto qualke giorno fa...sn infetto da vundo!ho eseguito tutte le operazioni da voi elencate!questi file log sono il risultato


grazie ragazzi!:help:

a voi l interpretazione....:eek:

questo l altro...:mbe:

opss...scusate mancava questo!!

raga :( stesso problema...ho scritto qualke giorno fa...sn infetto da vundo!ho eseguito tutte le operazioni da voi elencate!questi file log sono il risultato


grazie ragazzi!:help:

a voi l interpretazione....:eek:

questo l altro...:mbe:

opss...scusate mancava questo!!

Manca il log della scansione al Punto 4 :rolleyes:

eccoli...ti allego l'ultimo log che mancava...

opss...scusate mancava questo!!
dovresti avere in giro anche un altro log di combofix, dato che l'hai lanciato 2 volte

no ascolta non l ho trovato...credo sia l unico!ma quindi dai log riportati...sono infetto??:help:

no ascolta non l ho trovato...credo sia l unico!ma quindi dai log riportati...sono infetto??:help:



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)


O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} - http://www.coolstreaming.us/consolle/plug-in/SOPCORE.CAB
O23 - Service: VHYDN - Unknown owner - C:\Users\Jo\AppData\Local\Temp\VHYDN.exe (file missing)


Fai controllare su www.virustotal.com e su http://virscan.org/
c:\users\jo\appdata\local\fmecjba.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
Alla fine della verifica rimetti le impostazioni originali

ok grazie ci aggiorniamo..;)

ho fatto come tutto come mi hai indicato...
il file non si trova piu nel computer quindi non ho potuto inviarlo...
però tutti gli altri prog come ad esempio S&D e register mechanic trovano sempre la voce
"HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba2"
non so cosa sia ma diavolo torna sempre!:doh:
cosa faccio??sto impazzendo:help:

ho fatto come tutto come mi hai indicato...
il file non si trova piu nel computer quindi non ho potuto inviarlo...
però tutti gli altri prog come ad esempio S&D e register mechanic trovano sempre la voce
"HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba2"
non so cosa sia ma diavolo torna sempre!:doh:
cosa faccio??sto impazzendo:help:

Hai provveduto a fixare le voci indicate qui http://www.hwupgrade.it/forum/showpost.php?p=25282955&postcount=1485 se si allega nuovo log di HJT

ho fatto come tutto come mi hai indicato...
il file non si trova piu nel computer quindi non ho potuto inviarlo...
però tutti gli altri prog come ad esempio S&D e register mechanic trovano sempre la voce
"HKCU\..\Run: [fmecjba] "c:\users\jo\appdata\local\fmecjba.exe" fmecjba2"
non so cosa sia ma diavolo torna sempre!:doh:
cosa faccio??sto impazzendo:help:

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
c:\users\jo\appdata\local\fmecjba.exe


aspettiamo log di:
avenger
nuovo di prevx

:D ...

ascolta scrivendo quella stringa avenger non va!mi dice "invalid script ..."l ho scritto correttamente ma niente...

hai incollato TUTTA la stringa del riquadro codice?
se si, prova a rinominare l'eseguibile di avenger con un nome quansiasi e riprova

ah fatto!nn avevo scritto TUTTO il codice...:D
:help:

Disinstalla SpyBot pressochè inutile specie il TeaTimer, riavvia in modalità provvisoria e procedi con il fix

ok grazie!ci aggiorniamo!
(cmq dici di disinstallarlo il S&D??)

mi sto confondendo sorry!ma con hijack o con l avenger??

ok grazie!ci aggiorniamo!
(cmq dici di disinstallarlo il S&D??)

Si assolutamente poco performante :)

procedura eseguita

e con hijack ho seguito di nuovo le operazioni ke avevi indicato precedentemente,questo è il risultato.non si trova piu quella voce ".....fmecjba.exe":help:

per curiosità io ho il nod32 v.3.0 tu cosa mi consiglieresti?

e con hijack ho seguito di nuovo le operazioni ke avevi indicato precedentemente,questo è il risultato.non si trova piu quella voce ".....fmecjba.exe":help:

per curiosità io ho il nod32 v.3.0 tu cosa mi consiglieresti?

Il log in modalità normale, thx.

ecco scusa il rit

per curiosità io ho il nod32 v.3.0 tu cosa mi consiglieresti?
se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

http://www.mediafire.com/?sharekey=3f5bad23186c17f5d2db6fb9a8902bda
ecco il logfile
aiutatemi!:help:

http://www.mediafire.com/?sharekey=3f5bad23186c17f5d2db6fb9a8902bda
ecco il logfile
aiutatemi!:help:

Scusami hai aperto una discussione qui http://www.hwupgrade.it/forum/showthread.php?t=1876034 per la quale hai già ricevuto assistenza, perchè alleghi il log di HJT nel 3d dedicato alla rimozione del Vundo?

:help: :help: :help:
Ragazzi chiedo scusa anticipatamente per il tempo che vi farò perdere:ave: Putroppo non sono ferratissimo con malware e adware (o spyware che siano) vari. Cercherò di essere più preciso e rapido possibile, onde evitare di farvi perdere troppo tempo... (ed ekko che tutti ormai sono già crollati in un sonno profondo... sono PROLISSO eheh)

Scherzi a parte causa formattazione e reinstallazione tardiva (troppo tardiva :muro: ) di avats e spybot mi sono trovato il pc pieno di Ca**a (leggasi termine infantile con cui si identificano le feci :mad: ).

Ho provato a leggere la guida e ho fatto da solo i primi passi, ma ora ho bisogno di aiuto perchè vorrei non fare più danni che altro :confused: :

1. Per prima cosa ho disattivato il ripristino configurazione di sistema;
2. Ho scaricato ccleaner e fatto pulizia
3. Scaricato e fatto scansione con Prevx CSI (allego LOG)
4. Scaricato e fatto scansione con Hijackthis (allego LOG)

Mettiamola così non ci capisco molto, ma temo di avere un gran casino nel pc... Se riuscirete a rimettere ordine in questo macello offro un bicchiere di vino a tutti! eheh Grazie mille davvero :D

3. Prevx_log.log (http://wikisend.com/download/563348/Prevx_log.log)
4.hijackthis.log (http://wikisend.com/download/584646/hijackthis.log)

Scusami hai aperto una discussione qui http://www.hwupgrade.it/forum/showthread.php?t=1876034 per la quale hai già ricevuto assistenza, perchè alleghi il log di HJT nel 3d dedicato alla rimozione del Vundo?

chiedo scusa per il post precedente.. non pensavo di avere Vundo e quindi ho scritto lì, poi pulizia facendo con:
ATF Cleaner,
Malwarebytes,
F-Secure OnLine Scanner,
ho capito che ho Vundo ma non riesco a toglierlo definitivamente..
allora ho utilizzato HJT.

qualcuno puo' aiutarmi?
sono disperato.. :muro: Vundo non vuole andarsene!!

questo è il logfile di HJT:
http://www.mediafire.com/?sharekey=3f5bad23186c17f5d2db6fb9a8902bda
non ho cancellato niente perchè ho paura di cancellare cose che servono..

chiedo scusa per il post precedente.. non pensavo di avere Vundo e quindi ho scritto lì, poi pulizia facendo con:
ATF Cleaner,
Malwarebytes,
F-Secure OnLine Scanner,
ho capito che ho Vundo ma non riesco a toglierlo definitivamente..
allora ho utilizzato HJT.

qualcuno puo' aiutarmi?
sono disperato.. :muro: Vundo non vuole andarsene!!

questo è il logfile di HJT:
http://www.mediafire.com/?sharekey=3f5bad23186c17f5d2db6fb9a8902bda
non ho cancellato niente perchè ho paura di cancellare cose che servono..

Per poterti aiutare ho bisogno di vedere anche gli altri log come indicato in Guida :)

Scusate ho commesso qualche cosa di sbagliato? ho violato qualche regola del forum?