Scusate ho commesso qualche cosa di sbagliato? ho violato qualche regola del forum?

No tutto ok, saresti gentile da allegare anche i log fondamentali relativi al Punto 3 e 4 della presente Guida, thx.

Per poterti aiutare ho bisogno di vedere anche gli altri log come indicato in Guida :)

Eccomi dopo aver litigato con mediaFire..

HJT
http://www.fileqube.com/file/pLFfbErxA157303


virus report di F-SECURE.htm
http://www.fileqube.com/file/kgCDMT157304

primo scan effettuato con Malwarebytes' Anti-Malware:
mbam-log-2008-12-05 (15-42-06).txt
http://www.fileqube.com/file/ogxIKy157305

dopo alcuni scan effettuati con Malwarebytes' Anti-Malware:
mbam-log-2008-12-07 (12-46-58).txt
http://www.fileqube.com/file/ZXRCGDPGb157306

grazie di cuore!
ps scusami ma non avevo capite di postare tutti i log

Grazie Chill, scusa avevo seguito erroneamente altre istruzioni. Adesso faccio tutte le scansioni e posto i LOG.

PS: scusa ma non sono un assiduo frequtatore dei forum.

Grazie Chill, scusa avevo seguito erroneamente altre istruzioni. Adesso faccio tutte le scansioni e posto i LOG.

PS: scusa ma non sono un assiduo frequtatore dei forum.

Ok attendiamo i log :)

Eccomi dopo aver litigato con mediaFire..

HJT
http://www.fileqube.com/file/pLFfbErxA157303


virus report di F-SECURE.htm
http://www.fileqube.com/file/kgCDMT157304

primo scan effettuato con Malwarebytes' Anti-Malware:
mbam-log-2008-12-05 (15-42-06).txt
http://www.fileqube.com/file/ogxIKy157305

dopo alcuni scan effettuati con Malwarebytes' Anti-Malware:
mbam-log-2008-12-07 (12-46-58).txt
http://www.fileqube.com/file/ZXRCGDPGb157306

grazie di cuore!
ps scusami ma non avevo capite di postare tutti i log

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Nuovo log HJT

Ciao

Scusa il ritardo mostruoso ma tra lavoro e tempi di scnasione più o meno epocali, ho finto ora di salvare i LOG che prontamente (si fa per dire) posto.

PS: posso confessare una cosa? non ci capisco niente... sopratutto di quello di hijackthis...

Grazie mille di tutto!!!

Malwarebytes:
mbam-log-2008-12-08 (11-27-06).txt (http://wikisend.com/download/937614/mbam-log-2008-12-08 (11-27-06).txt)

Kaspersky removal tool:
non so come caricarlo... pesa 125 mB!!!

Hijackthis
hijackthis.log (http://wikisend.com/download/559828/hijackthis.log)

Scusa il ritardo mostruoso ma tra lavoro e tempi di scnasione più o meno epocali, ho finto ora di salvare i LOG che prontamente (si fa per dire) posto.

PS: posso confessare una cosa? non ci capisco niente... sopratutto di quello di hijackthis...

Grazie mille di tutto!!!

Malwarebytes:
mbam-log-2008-12-08 (11-27-06).txt (http://wikisend.com/download/937614/mbam-log-2008-12-08 (11-27-06).txt)

Kaspersky removal tool:
non so come caricarlo... pesa 125 mB!!!

Hijackthis
hijackthis.log (http://wikisend.com/download/559828/hijackthis.log)

Dal log del Kaspersky recuperi la parte inerente rilevazione/rimozione crei un file di testo e lo alleghi :)

Ekko l'estratto del file log di Kaspersky:

Estratto KSYlog.txt (http://wikisend.com/download/889394/Estratto KSYlog.txt)

Ekko l'estratto del file log di Kaspersky:

Estratto KSYlog.txt (http://wikisend.com/download/889394/Estratto KSYlog.txt)

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Nuovo log HJT

Ekko, Chill, i log che mi hai chiesto.

Combofix:
log.txt (http://wikisend.com/download/218400/log.txt)

PrevX CSI:
Prevx_log.log (http://wikisend.com/download/905618/Prevx_log.log)


TNX

scusa... ekko l'ultimo:

hijackthis.log (http://wikisend.com/download/924568/hijackthis.log)

Ekko, Chill, i log che mi hai chiesto.

Combofix:
log.txt (http://wikisend.com/download/218400/log.txt)

PrevX CSI:
Prevx_log.log (http://wikisend.com/download/905618/Prevx_log.log)


TNX

Dovremmo essere ok, ultimo log di HJT, grazie.

scusa... ekko l'ultimo:

hijackthis.log (http://wikisend.com/download/924568/hijackthis.log)

Eccolo

Eccolo

Serve un nuovo log quello che hai allegato è antecedente a Combo, thx.

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Nuovo log HJT

Ciao

grazie!!!
ora questo maledetto virus è andato via!
grazie di cuore per il tuo importante aiuto!

grazie!!!
ora questo maledetto virus è andato via!
grazie di cuore per il tuo importante aiuto!

Se alleghi i log meglio, comunque prego :)

scusa ma non so cosa sia successo,
ero convinto id aver postato il LOG giusto. beh questo lo è sicuramente.

hijackthis1.log (http://wikisend.com/download/618510/hijackthis1.log)

Grazie comuqnue di tutto Chill

scusa ma non so cosa sia successo,
ero convinto id aver postato il LOG giusto. beh questo lo è sicuramente.

hijackthis1.log (http://wikisend.com/download/618510/hijackthis1.log)

Grazie comuqnue di tutto Chill



Con il Browser chiuso esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci:

O2 - BHO: (no name) - {1284D18C-EE24-4414-8774-CCFA15E2AEC8} - (no file)
O2 - BHO: (no name) - {3CAAF298-14C3-47F2-B25A-D0FFFCCD89BB} - (no file)
O2 - BHO: (no name) - {490DE5EF-EC18-454E-8704-B971B6316542} - (no file)
O2 - BHO: (no name) - {49BC4914-53B3-4BB8-9595-BD6BA1C4750C} - (no file)
O2 - BHO: (no name) - {67560D51-7519-4D40-A8B6-1582EB3BD8FC} - (no file)
O2 - BHO: (no name) - {6ED38A3D-D793-45A9-B68A-B13EA87C8BEC} - (no file)
O2 - BHO: (no name) - {79809E6A-BF92-49AB-AF98-A040332C8246} - (no file)
O2 - BHO: (no name) - {917520A3-DC62-4BAC-9EA0-C9828AF5741C} - (no file)
O2 - BHO: (no name) - {9CF83BCE-8D14-446A-AB8A-E8A7BEF7732C} - (no file)
O2 - BHO: (no name) - {A6CD6416-29B3-4A89-97B4-63306F4CD8F7} - (no file)

clicca su Fix cheked ed allega nuovo log, ciao.

ciao a tutti. il pc del lavoro è affetto da questo trojan.. il problema è che avendo disabilitato il ripristino sono scomparsi i punti precedenti e credo che Malwarebytes anti malware o cclenaer mi abbia eliminato delle dll fondamentali tanto che ad ogni avvio del pc compaiono un sacco di errori..

ora non posso ripristinare e sono bloccato, che faccio?

p.s. sono sicuro di avere virtumonde perchè me lo trovava spybot, e kaspersky.

ho scansionato con tutto il possibile, ma il casino delle dll è venuto prima di trovare sta guida, altrimenti la seguivo passo passo.....

ciao a tutti. il pc del lavoro è affetto da questo trojan.. il problema è che avendo disabilitato il ripristino sono scomparsi i punti precedenti e credo che Malwarebytes anti malware o cclenaer mi abbia eliminato delle dll fondamentali tanto che ad ogni avvio del pc compaiono un sacco di errori..

ora non posso ripristinare e sono bloccato, che faccio?

p.s. sono sicuro di avere virtumonde perchè me lo trovava spybot, e kaspersky.

ho scansionato con tutto il possibile, ma il casino delle dll è venuto prima di trovare sta guida, altrimenti la seguivo passo passo.....

ciao

carica tutti i log richiesti dalla guida secondo le modalità
vundo ti piazza delle dll che se vengono poi cancellate possono segnalare errore in quanto non vengono più trovate allo startup da win

ciao a tutti. il pc del lavoro è affetto da questo trojan.. il problema è che avendo disabilitato il ripristino sono scomparsi i punti precedenti e credo che Malwarebytes anti malware o cclenaer mi abbia eliminato delle dll fondamentali tanto che ad ogni avvio del pc compaiono un sacco di errori..

ora non posso ripristinare e sono bloccato, che faccio?

p.s. sono sicuro di avere virtumonde perchè me lo trovava spybot, e kaspersky.

ho scansionato con tutto il possibile, ma il casino delle dll è venuto prima di trovare sta guida, altrimenti la seguivo passo passo.....

Segui passo passo la Guida in prima pagina ed allega i log richiesti, per quanto concerne gli errori è normale.

i primi 3 passi li ho seguiti tutti, il 4 no perchè ho scollegato internet (se collega la rete ho paura di infettare anche gli altri pc)

come risolvo ora gli errori dll?

Malwarebytes ha trovato 20 errori tutti inerenti al virtumonde e li ho risolti..
ora?

appena torno in ufficio, posto il log.

p.s. non è che facebdo la scansione del registo con ccleaner ha fatto solo dal casino!?

grazie

i primi 3 passi li ho seguiti tutti, il 4 no perchè ho scollegato internet (se collega la rete ho paura di infettare anche gli altri pc)

come risolvo ora gli errori dll?

Malwarebytes ha trovato 20 errori tutti inerenti al virtumonde e li ho risolti..
ora?

appena torno in ufficio, posto il log.

p.s. non è che facebdo la scansione del registo con ccleaner ha fatto solo dal casino!?

grazie

Per poterti aiutare abbiamo bisogno di vedere i log ;)

i primi 3 passi li ho seguiti tutti, il 4 no perchè ho scollegato internet (se collega la rete ho paura di infettare anche gli altri pc)

come risolvo ora gli errori dll?

Malwarebytes ha trovato 20 errori tutti inerenti al virtumonde e li ho risolti..
ora?

appena torno in ufficio, posto il log.

p.s. non è che facebdo la scansione del registo con ccleaner ha fatto solo dal casino!?

grazie

aspettiamo i log, poi vediamo

grazie ragazzi, alle 15.15 avrete il log!

ragazziiii ecco il LOG

http://www.mediafire.com/?11mdad2ehmq

altri 2:
http://www.mediafire.com/?iyzemhlncmg

http://www.mediafire.com/?xem1d0a2zik

ragazziiii ecco il LOG

http://www.mediafire.com/?11mdad2ehmq

li abbiamo bisogno tutti
edita il tuo post precedente e caricali tutti li seguendo il punto 2 delle modalità in firma

ragazziiii ecco il LOG

http://www.mediafire.com/?11mdad2ehmq

Servono anche i log dei tool indicati al Punto 3 e 4 della Guida

arrivo.. forse ho risolto con combo fixxxxxxxxxxxxx.. possibile?
non mi da più errori.. huhuhuhu

combofix nn è menzionato nella guida xkè?

arrivo.. forse ho risolto con combo fixxxxxxxxxxxxx.. possibile?
non mi da più errori.. huhuhuhu

combofix nn è menzionato nella guida xkè?
combo lo teniamo di scorta perchè va usato con cautela ;)

ahia.. spero di nn aver fatto danni allora.. a breve i log...

manca quello di Malwarebytes e poi?

ahia.. spero di nn aver fatto danni allora.. a breve i log...

manca quello di Malwarebytes e poi?

http://www.hwupgrade.it/forum/showpost.php?p=25408279&postcount=1536 :)

perfetto!
dunque eset sta finendo mentre f-secure si blocca in preparing to scan ( è così da 30minuti!) ho avviato sia con FF sia con IE

perfetto!
dunque eset sta finendo mentre f-secure si blocca in preparing to scan ( è così da 30minuti!) ho avviato sia con FF sia con IE
opta per l'opzione successiva

Ciao Chill,

Scusa se ci ho meso tanto a rispondere ma non ho avuto un attimo in sti giorni.

Fatto pulizia come da tue istruzioni con Hijackthis ed ecco l'ultimo LOG

hijackthis2.log (http://wikisend.com/download/503806/hijackthis2.log)

Che dici, sono pulito ora?

Ciao Chill,

Scusa se ci ho meso tanto a rispondere ma non ho avuto un attimo in sti giorni.

Fatto pulizia come da tue istruzioni con Hijackthis ed ecco l'ultimo LOG

hijackthis2.log (http://wikisend.com/download/503806/hijackthis2.log)

Che dici, sono pulito ora?

Si dovremmo essere ok, ti suggerisco di leggere questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 :)

Davvero Chill,
Sei stato un santo. Grazie di tutto.

A presto.

Davvero Chill,
Sei stato un santo. Grazie di tutto.

A presto.

Prego, buon proseguimento su HWU ;)

Nn riesco a risolvere iol problema eco il mio log hijackthis scan.txt (http://wikisend.com/download/543420/hijackthis scan.txt)

se volete maggiori informazioni sul mio problema http://www.hwupgrade.it/forum/showthread.php?p=25477621&posted=1#post25477621

Nn riesco a risolvere iol problema eco il mio log hijackthis scan.txt (http://wikisend.com/download/543420/hijackthis scan.txt)

se volete maggiori informazioni sul mio problema http://www.hwupgrade.it/forum/showthread.php?p=25477621&posted=1#post25477621

vorremmo vedere tutti i log richiesti dalla guida

Nn riesco a risolvere iol problema eco il mio log hijackthis scan.txt (http://wikisend.com/download/543420/hijackthis scan.txt)

se volete maggiori informazioni sul mio problema http://www.hwupgrade.it/forum/showthread.php?p=25477621&posted=1#post25477621

Secondo me non si tratta del Vundo, ci ritrasferiamo nella discussione precedentemente aperta ;)

Salve a tutti
Virtumonde ha preso la residenza nel mio pc
Ho seguito la [GUIDA] Rimuovere trojan vundo/Virutumonde
ma sia spybot sia F-secure Online rilevano ancora il virus
Ho fatto l'upload di hijackthis qui

http://www.mediafire.com/?sharekey=00db82b598fdb6ddd2db6fb9a8902bda

Potreste aiutarmi?

Salve a tutti
Virtumonde ha preso la residenza nel mio pc
Ho seguito la [GUIDA] Rimuovere trojan vundo/Virutumonde
ma sia spybot sia F-secure Online rilevano ancora il virus
Ho fatto l'upload di hijackthis qui

http://www.mediafire.com/?sharekey=00db82b598fdb6ddd2db6fb9a8902bda

Potreste aiutarmi?

ciao

se hai seguito la guida dovresti caricare il log di mbam + quello di fsecure
+ un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

ciao

se hai seguito la guida dovresti caricare il log di mbam + quello di fsecure
+ un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

ah, ok
grazie WJMAT

adesso purtroppo non ho il pc infetto a disposizione, quindi non posso.
nei prossimi giorni metto tutto appena possibile

Il pc di un amico è infestato da Vundo, ho seguito la guida passo passo ma il problema sembra permanere.

Ecco i log:

MBAM: http://www.fileqube.com/file/YDoaqsh160571
F-Secure: http://www.fileqube.com/file/wuZpjAw160572

Ho ripetute le scansioni varie volte ma nulla...

Il pc di un amico è infestato da Vundo, ho seguito la guida passo passo ma il problema sembra permanere.

Ecco i log:

MBAM: http://www.fileqube.com/file/YDoaqsh160571
F-Secure: http://www.fileqube.com/file/wuZpjAw160572

Ho ripetute le scansioni varie volte ma nulla...

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Log HJT

Ciao

Prevx: http://www.fileqube.com/file/WFanbd160578
ComboFix: http://www.fileqube.com/file/RunDYVdD160579
HijackThis: http://www.fileqube.com/file/BmAlYb160580

Prevx: http://www.fileqube.com/file/WFanbd160578
ComboFix: http://www.fileqube.com/file/RunDYVdD160579
HijackThis: http://www.fileqube.com/file/BmAlYb160580



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [HiYo] E:\Programmi\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [d8cb7152] rundll32.exe "E:\WINDOWS\system32\dukeyiwa.dll",b
O4 - HKLM\..\Run: [CPMc3f29610] Rundll32.exe "e:\windows\system32\lorizuzu.dll",a
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://powersoccer.giocaregratis.it/applet/PowerLoader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1226415201667
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs: e:\windows\system32\lorizuzu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - e:\windows\system32\lorizuzu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - e:\windows\system32\lorizuzu.dll


Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Files to delete:
E:\WINDOWS\system32\dukeyiwa.dll
e:\windows\system32\lorizuzu.dll

Esegui quanto detto sopra, lasciando stare Avenger, dopodichè procedi così:

Apri il Blocco Note copia e incolla questa righe:

File::
E:\WINDOWS\system32\dukeyiwa.dll
e:\windows\system32\lorizuzu.dll

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c49c200-c524-11dd-bcb6-00080dced1d6}]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Mi affido nuovamente al vostro aiuto per il pc che usa mia sorella che si è ribeccata di nuovo questo malware.

Questi sono i log:

http://www.fileqube.com/file/kGBAdHn160802

http://www.fileqube.com/file/ddKWRR160803

http://www.fileqube.com/file/pijCrlAx160804

Sono pulito?


Grazie

Mi affido nuovamente al vostro aiuto per il pc che usa mia sorella che si è ribeccata di nuovo questo malware.

Questi sono i log:

http://www.fileqube.com/file/kGBAdHn160802

http://www.fileqube.com/file/ddKWRR160803

http://www.fileqube.com/file/pijCrlAx160804

Sono pulito?


Grazie

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Log HJT

Ciao

ciao

se hai seguito la guida dovresti caricare il log di mbam + quello di fsecure
+ un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

ho rifatto tutti i controlli della guida, in quanto nel frattempo il pc è stato usato e magari la situazione era cambiata. Ecco i log

http://www.mediafire.com/?sharekey=00db82b598fdb6ddd2db6fb9a8902bda

Ho inserito sia quelli di adesso, sia quelli di qualche giorno fa

ho rifatto tutti i controlli della guida, in quanto nel frattempo il pc è stato usato e magari la situazione era cambiata. Ecco i log

http://www.mediafire.com/?sharekey=00db82b598fdb6ddd2db6fb9a8902bda

Ho inserito sia quelli di adesso, sia quelli di qualche giorno fa



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1204111911910
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Problema.. inizio a seguire la guida... ma durante la scansione del sistema con Malewarebytes il pc mi si riavvia automaticamente....


Stessa cosa se faccio lo scan con l'antivirus o con windows malaware tool

Problema.. inizio a seguire la guida... ma durante la scansione del sistema con Malewarebytes il pc mi si riavvia automaticamente....


Stessa cosa se faccio lo scan con l'antivirus o con windows malaware tool

ciao

prova in modalità provvisoria
se non dovesse andare a buon fine carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1204111911910
O16 - DPF: {7F8B1F27-AE54-479D-AACF-0A7B2334E7EE} (HTTPUplListX Control) - http://stampafoto.mediaworld.it/HTTPUplList.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


fatto, spero che sia tutto giusto
ecco il log di hijackthis
http://www.mediafire.com/?tzrzkv2itvl

fatto, spero che sia tutto giusto
ecco il log di hijackthis
http://www.mediafire.com/?tzrzkv2itvl

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


importante aggiornare
Windows al service pack 3 -> link download (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it)

1 Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

2 Scarica Prevx CSI da qui http://www.prevx.com/freescan.asp, terminata la scansione per salvare il log clicca su Impostazioni - Salva file di log

Riepilogo log da allegare:
Combofix
Prevx
Log HJT

Ciao


Questo è combo:

http://www.fileqube.com/file/KOqezFa161077

Questo è prev:

http://www.fileqube.com/file/cmTjGPHC161078

Hijackthis:

http://www.fileqube.com/file/KxvKdyfp161079


Grazie

Edit

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide


importante aggiornare
Windows al service pack 3 -> link download (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it)


ho fatto un controllo con spybot e continua a trovare virtumonde

Virtumonde: [SBI $1E12D746] Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-484763869-492894223-725345543-1003\Software\Microsoft\fias4013

Right Media: Cookie tracciante (Internet Explorer: Admin) (Cookie, fixed)

mi dovrò rassegnare a formattare?? :mc:

ho fatto un controllo con spybot e continua a trovare virtumonde

Virtumonde: [SBI $1E12D746] Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-484763869-492894223-725345543-1003\Software\Microsoft\fias4013

Right Media: Cookie tracciante (Internet Explorer: Admin) (Cookie, fixed)

mi dovrò rassegnare a formattare?? :mc:
spybot disinstallalo pure....
se hai passato gli scan di mbam fsecure kasp e combo sei pulito ;)

al massimo fai un altra scansione com MBAM

I miei log li avete guardati?
No perchè siccome li ho postati in mezzo ad una discussione per qualcun altro non vorrei che non li aveste visti:)

I miei log li avete guardati?
No perchè siccome li ho postati in mezzo ad una discussione per qualcun altro non vorrei che non li aveste visti:)

Dovremmo essere ok, in HJT fixa questa voce:

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

fammi sapere

Dovremmo essere ok, in HJT fixa questa voce:

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

fammi sapere

Scusa Chill-Out, non ho fatto in tempo a vedere la tua risposta prima di postare
Comunque non ho trovato questa voce in hjt, forse perchè ho rimosso il cookie trovato con spybot (o non c'entra?)
Questi gli 09 trovati:

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
Ora provo a fare di nuovo un controllo con mbam e vi dico

Grazie Chill non avevo capito che quella risposta fosse per me.
Se il problema si ripresenta ritorno a chiedervi aiuto grazie;)

Grazie Chill non avevo capito che quella risposta fosse per me.
Se il problema si ripresenta ritorno a chiedervi aiuto grazie;)

Per forza non avevi capito, avevo sbagliato a quotare :stordita:

Segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 tanto per fare un'esempio devi aggiornare Java la versione in suo è obsoleta quindi vulnerabile e può veicolare Virus.

Scusa Chill-Out, non ho fatto in tempo a vedere la tua risposta prima di postare
Comunque non ho trovato questa voce in hjt, forse perchè ho rimosso il cookie trovato con spybot (o non c'entra?)
Questi gli 09 trovati:

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
Ora provo a fare di nuovo un controllo con mbam e vi dico

Lascia stare la mia risposta non era per te ho sbagliato a quotare, mannaggia :stordita:

Ok, allega nuovo log di MBAM e nuovo log di HJT ;)

Buon Natale a tutti ragazzi!
Io questo me lo ricorderò per questo inaspettato regalino che vaga nel mio pc.
E' iniziato tutto ieri, ho fatto una scansione con Spybot e l'ha rilevato ma non riusciva ad eliminarlo; ho provato vari tool (VundoFix, Symantec) sono poi passato a Malwarebytes che ha rilevato VirtuMonde con varie estensioni e l'ha eliminato.

Stamattina ho rifatto un controllo con Malwarebytes e non ha rilevato nulla; invece con Spybot ho notato che lo visualizza nella stringa di controllo (VirtuMonde.dll) ma non me lo rileva.

Ho effettuato la guida per la rimozione :
- Disattivato il Ripristino Conf. di Sistema
- Scaricato ATF, aggiornato, dopo il controllo risulta "Clean"
- Aggiornato e avviato Malwarebytes che non mi rileva nulla

Vi posto qui di seguito il log di HJT.
Vi ringrazio per l'attenzione, spero che possiate aiutarmi

Buon Natale a tutti ragazzi!
Io questo me lo ricorderò per questo inaspettato regalino che vaga nel mio pc.
E' iniziato tutto ieri, ho fatto una scansione con Spybot e l'ha rilevato ma non riusciva ad eliminarlo; ho provato vari tool (VundoFix, Symantec) sono poi passato a Malwarebytes che ha rilevato VirtuMonde con varie estensioni e l'ha eliminato.

Stamattina ho rifatto un controllo con Malwarebytes e non ha rilevato nulla; invece con Spybot ho notato che lo visualizza nella stringa di controllo (VirtuMonde.dll) ma non me lo rileva.

Ho effettuato la guida per la rimozione :
- Disattivato il Ripristino Conf. di Sistema
- Scaricato ATF, aggiornato, dopo il controllo risulta "Clean"
- Aggiornato e avviato Malwarebytes che non mi rileva nulla

Vi posto qui di seguito il log di HJT.
Vi ringrazio per l'attenzione, spero che possiate aiutarmi

Ciao per poterti aiutare abbiamo bisogno di vedere i logs della scansioni indicate al punto 3 e 4 di questa guida, anche in considerazione del fatto che dal log di HJT non emerge nulla di particolare.

Ciao per poterti aiutare abbiamo bisogno di vedere i logs della scansioni indicate al punto 3 e 4 di questa guida, anche in considerazione del fatto che dal log di HJT non emerge nulla di particolare.

Rifaccio le scansioni per sicurezza.
Chiedo scusa se non le ho allegate subito, ci devo prendere un pò la mano :)

Ecco in allegato i logs delle scansioni effettuate :

Malwarebytes Log (http://www.mediafire.com/?ohyyywdnztm)
F-Secure Log (http://www.mediafire.com/?cg4inmwj3mq)

Ciao a tutti

Proprio oggi mi sono accorto di aver beccato questo trojan.. chiamato virtumonde...

domani mattina provvederò a seguire la guida in questo thread.. volevo sapere però se questa guida era ancora valida e se alla fine il problema lo risolvo...
Volevo sapere un vostro parere cosi poi mi metto a "lavoro"

Grazie in anticipo

Ciao a tutti

Proprio oggi mi sono accorto di aver beccato questo trojan.. chiamato virtumonde...

domani mattina provvederò a seguire la guida in questo thread.. volevo sapere però se questa guida era ancora valida e se alla fine il problema lo risolvo...
Volevo sapere un vostro parere cosi poi mi metto a "lavoro"

Grazie in anticipo
ciao

certo che è ancora valida ;)

Ecco in allegato i logs delle scansioni effettuate :

Malwarebytes Log (http://www.mediafire.com/?ohyyywdnztm)
F-Secure Log (http://www.mediafire.com/?cg4inmwj3mq)

I log sono entrambi puliti, se non riscontri anomalie ti suggerisco la lettura di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dovre troverai consigli utili su come mettere in sicurezza il Pc.

Importante aggiornare al SP3

Buongiorno a tutti

Come avevo annunciato ieri stamattina ho seguito la guida..

Sembra sia andato tutto ok.. vi allego il file log dopo la scansione con Malwarebytes' Anti-Malware...

Fatemi sapere se è andato tutto ok e se devo provvedere ad altre scansioni...

Grazie

http://www.mediafire.com/?qnekkywmmoz

I log sono entrambi puliti, se non riscontri anomalie ti suggerisco la lettura di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383 dovre troverai consigli utili su come mettere in sicurezza il Pc.

Importante aggiornare al SP3

Grazie Chill, seguirò i consigli della guida.
Grazie anche per la celerità :)

Buongiorno a tutti

Come avevo annunciato ieri stamattina ho seguito la guida..

Sembra sia andato tutto ok.. vi allego il file log dopo la scansione con Malwarebytes' Anti-Malware...

Fatemi sapere se è andato tutto ok e se devo provvedere ad altre scansioni...

Grazie

http://www.mediafire.com/?qnekkywmmoz
aspettiamo ancora i log mancanti
ciao

aspettiamo ancora i log mancanti
ciao

Ho fatto quello di Hijackthis e lo allego adesso
devo farne altri con altri prog?


http://www.fileqube.com/file/ABvvcVzVn162453

Ho fatto quello di Hijackthis e lo allego adesso
devo farne altri con altri prog?

della scansione antivirus e di hjt

della scansione antivirus e di hjt

ho allegato quella di hjt

adesso rifaccio la scansione completa con Malwarebytes e vi posto poi il log

ecco il file log di Malwarebytes

http://www.fileqube.com/file/kllHqXBRF162496

Grazie Chill, seguirò i consigli della guida.
Grazie anche per la celerità :)

Di nulla, ciao ;)

ecco il file log di Malwarebytes

http://www.fileqube.com/file/kllHqXBRF162496

abbandonato?

abbandonato?

ciao
per scansione antivirus intendevo quella di fsecure o di kasp di cui non avevi ancora allegato il log ;)

scusate ma dopo scansioni con i piu svariati programmi; malwarebytes trova i virus che elimino, ma alla scansione successiva tornano!!! ho provato altri programmi vundofix; ho fatto pulizia con ccclenaer... adesso ho creato il log con hijackthis

http://wikisend.com/download/816040/hijackthis.log

http://wikisend.com/download/204862/mbam-log-2009-01-02 (11-17-45).txt


spero possiate aiutarmi!!!! grzie a tutti

ciao a tutti,

come ho spiegato in un altro thread, questo è il mio problema:
http://www.hwupgrade.it/forum/showthread.php?p=25662350#post25662350
(un'altra cosa che ho notato è che spesso delle parole qualsiasi in una pagina web appaiono come falsi link).

Ho seguito tutta la procedura indicata in apertura di questo thread. Vi riporto i log, i rapporti e le schermate ricevuti:

Malwarebytes:
http://www.mediafire.com/?r30dtgdmm2m

F-Secure Online Scanner:
http://www.mediafire.com/?zaxbm9kn2lt

Kaspersky:
http://www.mediafire.com/?jz2omfeswyy (26 MB)

Eset Online Scanner:
http://www.mediafire.com/imageview.php?quickkey=4dz3ynz9odv&thumb=6

Hijackthis:
http://www.mediafire.com/?wmwohfmzvge

Infine, provando ancora con Prevx CSI, mi viene rilevato ancora un virus, ma non so se per eliminarlo basta semplicemente cancellare il file o devo fare in altro modo:
http://www.mediafire.com/imageview.php?quickkey=z2oyyyzoxij&thumb=5

ciao grazie!

scusate ma dopo scansioni con i piu svariati programmi; malwarebytes trova i virus che elimino, ma alla scansione successiva tornano!!! ho provato altri programmi vundofix; ho fatto pulizia con ccclenaer... adesso ho creato il log con hijackthis

http://wikisend.com/download/816040/hijackthis.log

http://wikisend.com/download/204862/mbam-log-2009-01-02 (11-17-45).txt


spero possiate aiutarmi!!!! grzie a tutti

Devi seguire la Guida passo passo, attendo i log dei tool indicati al Punto 3 e 4

NB: con MBAM devi scansione completa e non rapida, al termine elimina gli elementi infetti.

Mi dispiace disturbarvi ancora ma è già la seconda volta che mia sorella becca questo malware e oramai ho imparato la procedura a memoria:)

http://www.fileqube.com/file/RGSyUHmEM163684 Malwarebytes

http://www.fileqube.com/file/DwJtDlE163685 Kaspersky

http://www.fileqube.com/file/HRUAGkBOt163686 Hijackthis

http://www.fileqube.com/file/MIBozBhRJ163687 Prevx Csi


Sono pulito?

Mi dispiace disturbarvi ancora ma è già la seconda volta che mia sorella becca questo malware e oramai ho imparato la procedura a memoria:)

http://www.fileqube.com/file/RGSyUHmEM163684 Malwarebytes

http://www.fileqube.com/file/DwJtDlE163685 Kaspersky

http://www.fileqube.com/file/HRUAGkBOt163686 Hijackthis

http://www.fileqube.com/file/MIBozBhRJ163687 Prevx Csi


Sono pulito?

Stento a crederci :rolleyes:

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare
Combofix
Nuovo log di HJT

iscritto, sto per formattare per colpa di questo trojan, come faccio ad essere sicuro di non prenderlo piu?

Stento a crederci :rolleyes:

Fai girare questo tool

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare
Combofix
Nuovo log di HJT

Cosa stenti a credere?Che quella fessa si sia beccata nuovamente questo malware???;)
Dici che magari non ero riuscito ad eliminarlo bene prima??

Cosa stenti a credere?Che quella fessa si sia beccata nuovamente questo malware???;)
Dici che magari non ero riuscito ad eliminarlo bene prima??

Stento a credere che tu abbia preso il Vundo per l'ennesima volta

Stento a credere che tu abbia preso il Vundo per l'ennesima volta

Io ho una mezza idea in che sito l'ho preso ed e' un sito che mi serve quindi devo tornarci...

Guarda io nn so se mia sorella è stupida e non ha capito da dove lo ha preso e lo riprende però apparentemente sembrerebbe che si tratti sempre di Vundo.

I log

http://www.fileqube.com/file/coCDgX164257

http://www.fileqube.com/file/ohROYqQ164259

Spero che magari questa volta riesca ad eliminarlo del tutto e che precedentemente non sia capitato di essere convinto di averlo eliminato e invece era li latente!!!

Sto finendo il format e mi e' venuto un dubbio... non e' che il virus possa essere nel hd portatile?non vorrei collegarlo e beccarmi subito il virus!!

Guarda io nn so se mia sorella è stupida e non ha capito da dove lo ha preso e lo riprende però apparentemente sembrerebbe che si tratti sempre di Vundo.

I log

http://www.fileqube.com/file/coCDgX164257

http://www.fileqube.com/file/ohROYqQ164259

Spero che magari questa volta riesca ad eliminarlo del tutto e che precedentemente non sia capitato di essere convinto di averlo eliminato e invece era li latente!!!

Fixa

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

Non si tratta di essere stupidi, bisogna prestare attenzione a dove si naviga e proteggere il Pc adeguatamente http://www.hwupgrade.it/forum/showthread.php?t=1726383

Spero che magari questa volta riesca ad eliminarlo del tutto e che precedentemente non sia capitato di essere convinto di averlo eliminato e invece era li latente!!!

Il virus era stato eliminato del tutto anche precedentemente :O vi siete semplicemente reinfettati :)

Grazie ancora spero di non dover più ricorrere a voi e questa volta farò una bella ramanzina a mia sorella!!!

Grazie ancora spero di non dover più ricorrere a voi e questa volta farò una bella ramanzina a mia sorella!!!

Prego, ciao ;)

Ciao ragazzi..
non so come abbia fatto, ma mio fratello ha appena preso un brutto malanno sul fisso.. temo che sia il virtumonde.. se nn altro perche nod32 mi segnala all'avvio questo tipo di problema..

Ho fatto mille scansioni, coi vari software consigliati.. il terminator non riesce a cancellare due "Backdoor" TDss e qualcosa..

Ecco il
HIJACKTHIS log (http://www.zshare.net/download/539059965f4d7a7d/) da analizzare...

Datemi na mano! Tnx :muro: :muro:

Ciao ragazzi..
non so come abbia fatto, ma mio fratello ha appena preso un brutto malanno sul fisso.. temo che sia il virtumonde.. se nn altro perche nod32 mi segnala all'avvio questo tipo di problema..

Ho fatto mille scansioni, coi vari software consigliati.. il terminator non riesce a cancellare due "Backdoor" TDss e qualcosa..

Ecco il
HIJACKTHIS log (http://www.zshare.net/download/539059965f4d7a7d/) da analizzare...

Datemi na mano! Tnx :muro: :muro:
ciao

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info) + tutti quelli richiesti dalla guida nel primo post

Ciao ragazzi..
non so come abbia fatto, ma mio fratello ha appena preso un brutto malanno sul fisso.. temo che sia il virtumonde.. se nn altro perche nod32 mi segnala all'avvio questo tipo di problema..

Ho fatto mille scansioni, coi vari software consigliati.. il terminator non riesce a cancellare due "Backdoor" TDss e qualcosa..

Ecco il
HIJACKTHIS log (http://www.zshare.net/download/539059965f4d7a7d/) da analizzare...

Datemi na mano! Tnx :muro: :muro:

ciao



carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info) + tutti quelli richiesti dalla guida nel primo post

In sequenza allega prima il log indicati al Punto 3 e 4 della presente Guida dopodichè allega il log di Combofix

Salve a tutti, ho fatto tutti i passi ma ancora non vanno via...sono sicuro di essere infetto..e parecchio anche se per ora nessun antivirus mi dice nulla...
vi lascio il Log Aiutatemi:help: :help:
http://www.mediafire.com/?sharekey=23daa2b93e74e54b91b20cc0d07ba4d2ffd43e8abbf2444f

Salve a tutti, ho fatto tutti i passi ma ancora non vanno via...sono sicuro di essere infetto..e parecchio anche se per ora nessun antivirus mi dice nulla...
vi lascio il Log Aiutatemi:help: :help:
http://www.mediafire.com/?sharekey=23daa2b93e74e54b91b20cc0d07ba4d2ffd43e8abbf2444f

ciao

se pensi di avere vundo segui la guida del primo post e carica tutti i log richiesti

ciao

se pensi di avere vundo segui la guida del primo post e carica tutti i log richiesti

Vai liscio, ho già fatto..i log se li vuoi con altri programmi dimmelo o se li devo fare con gli antivirus scritti nel primo post controllami solo hijack, che con questo vundo l'è un mese ci combatto, qualcosa sono riuscito a togliere però si sta riformando sempre piu...
Grazie.

da ieri son infetto,mi si aprono delle pagine internet quando ne apro altre...a caso,e facendo la scansione con adware2008 mi ha segnalo virusmondo,che credo sia vundo.
ora ho seguito per quanto ho potuto la guida:
disabilitato punto di ripristino,pulito con atf cleaner,e anche con ccleaner,la scansione con antimalware l'ho fatta mi ha trovato 225 oggetti,ma me ne fa eliminare solo 20 e poi dice compra il programma.
a questo punto ho provato eset online ma nn va perchè dice che nn è amministratore,ho vista 64bit con sp1.
ho fatto scansione sia con antivir che con adware che l'ha visto ho rimosso ma c'è ancora..
alle go anche lg osì date un occhiata mi sta facendo impazzir da stamattina.

http://www.fileqube.com/file/YDKcpFYaQ165059

attendo il vostro aiuto grazie...

Vai liscio, ho già fatto..i log se li vuoi con altri programmi dimmelo o se li devo fare con gli antivirus scritti nel primo post controllami solo hijack, che con questo vundo l'è un mese ci combatto, qualcosa sono riuscito a togliere però si sta riformando sempre piu...
Grazie.

vogliamo i log dei programmi indicati nel primo post
se hai altri problemi carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

da ieri son infetto,mi si aprono delle pagine internet quando ne apro altre...a caso,e facendo la scansione con adware2008 mi ha segnalo virusmondo,che credo sia vundo.
ora ho seguito per quanto ho potuto la guida:
disabilitato punto di ripristino,pulito con atf cleaner,e anche con ccleaner,la scansione con antimalware l'ho fatta mi ha trovato 225 oggetti,ma me ne fa eliminare solo 20 e poi dice compra il programma.
a questo punto ho provato eset online ma nn va perchè dice che nn è amministratore,ho vista 64bit con sp1.
ho fatto scansione sia con antivir che con adware che l'ha visto ho rimosso ma c'è ancora..
alle go anche lg osì date un occhiata mi sta facendo impazzir da stamattina.

http://www.fileqube.com/file/YDKcpFYaQ165059

attendo il vostro aiuto grazie...
ciao

vogliamo tutti i log richiesti dalla guida del 1° post

Ciao Ragazzi ho finito la procedura per rimuovere Virtumonde ora polsto i log:

1) Malware Bytes: http://www.fileqube.com/file/ilPxVT165229

2) Kaspersky: http://www.fileqube.com/file/gyqGgzPD165230

3) HijackThis: http://www.fileqube.com/file/rsIaOn165231

4) ComboFix: http://www.fileqube.com/file/AkWCYj165233

Spero di aver fatto tutto giusto Grazie e Ciao.

Ciao Ragazzi ho finito la procedura per rimuovere Virtumonde ora polsto i log:

1) Malware Bytes: http://www.fileqube.com/file/ilPxVT165229

2) Kaspersky: http://www.fileqube.com/file/gyqGgzPD165230

3) HijackThis: http://www.fileqube.com/file/rsIaOn165231

4) ComboFix: http://www.fileqube.com/file/AkWCYj165233

Spero di aver fatto tutto giusto Grazie e Ciao.
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O20 - AppInit_DLLs: c:\windows\system32\zehigipu.dll

Fatto ho fixato la voce che mi hai detto, è finita la procedura?? Mi posso ritenere finalmente pulito??:D Se si ti ringrazio e ringrazio tutti i moderatori per avermi aiutato. Un'ultima cosa con Combofix mi ha chiesto di installare una console di ripristino di Windows, io l'ho installata ho fatto bene??

Grazie ancora e ciao :D

ora reinstalla l'antivirus, aggiornalo e poi fai una scansione completa, poi una scansione completa con malwarebytes aggiornato e una con prevxCSI mentre sei connesso a internet :)
prevxCSI -> http://www.prevx.com/freescan.asp
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")

Con PrevCsi sono riusciato a fare una scansione ecco lo Screen:

- PrevCsi : http://www.fileqube.com/file/TATTpv165245

Da dove li prendo i log non riesco a trovarli:(
Ora stò facendo partire Malware Bytes.
Un ultima cosa ComboFix mi ha creato una partizione di ripristino che all'avvio del pc mi si presenta insieme a Windows Xp. Mel'ha installata appena l'ho fatto partire cosa devo fare la lascio??

Grazie Mille di tutto :)

falle in ordine come le ho menzionate!
per prevxCSI ti ho detto come fare a salvare il log

Hijackthis --> LOG (http://www.zshare.net/download/53984717d0c1abfd/)

A-Squared --> LOG (http://www.zshare.net/download/5398474257f23522/)

Kaspersky --> LOG (http://www.zshare.net/download/53984828f01fbbec/) -- l'ho tagliato io poichè il parser non si riesce a prendere..

Per il resto non sono riuscito a far nulla. Il Malwarebytes non sono riuscito a scaricarlo, nè ad installarlo (non si apre il sito ufficiale, ho trovato il programma ma non si installa), non sono riuscito a entrare nel sito PrevxCSI ne a scaricare il parser.. il pc si è completamente impallato..

Datemi na mano.. :muro:

Hijackthis --> LOG (http://www.zshare.net/download/53984717d0c1abfd/)

A-Squared --> LOG (http://www.zshare.net/download/5398474257f23522/)

Kaspersky --> LOG (http://www.zshare.net/download/53984828f01fbbec/) -- l'ho tagliato io poichè il parser non si riesce a prendere..

Per il resto non sono riuscito a far nulla. Il Malwarebytes non sono riuscito a scaricarlo, nè ad installarlo (non si apre il sito ufficiale, ho trovato il programma ma non si installa), non sono riuscito a entrare nel sito PrevxCSI ne a scaricare il parser.. il pc si è completamente impallato..

Datemi na mano.. :muro:
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O1 - Hosts: HP001F29770FF6 HP001F29770FF6
O2 - BHO: (no name) - {11bcd878-58c6-4e3f-9e2c-3df38c027a6d} - C:\WINDOWS\system32\tuwejipe.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: {c37dddf5-44e0-8778-c6b4-0c2cdc67f137} - {731f76cd-c2c0-4b6c-8778-0e445fddd73c} - C:\WINDOWS\system32\ylybck.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {B29DEBB4-2336-4778-9E30-762A491FAE6D} - C:\WINDOWS\system32\ddcYoPij.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ruyajujibu] Rundll32.exe "C:\WINDOWS\system32\bujokatu.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: HDDlife.lnk = C:\Programmi\BinarySense\HDDlife 3\HDDlifePro.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - Winlogon Notify: ssqRHBrq - ssqRHBrq.dll (file missing)


poi scarica la versione aggiornata di HijackThis dal sito: http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
e pubblica un nuovo log.

nel mentre ti creo i mirror per scaricare quei programmi che non sei riuscito a prelevare..

edit:
ecco i due link che saranno disponibili per 30gg:
malwarebytes mbam-setup.exe (http://wikisend.com/download/892466/mbam-setup.exe)

prevxcsi 152B21F921604F4B904B.EXE (http://wikisend.com/download/507736/152B21F921604F4B904B.EXE)

ciao,
seguito la guida, allego di conseguenza sia il log di malwarebytes e di hijackthis..
continuo ad avere tutte i file visti come link e cliccabili con un singolo click, e non riesco a leggere le penne usb!

hijackthis.log (http://wikisend.com/download/602286/hijackthis.log)
mbam-log-2009-01-11 (15-40-50).txt (http://wikisend.com/download/563348/mbam-log-2009-01-11 (15-40-50).txt)

grazie
ciao

riesegui ..[/URL]

Grazie mille..

Non riesco a scaricare na mazza... provo a riavviare... sperando di non creare casini

ciao,
seguito la guida, allego di conseguenza sia il log di malwarebytes e di hijackthis..
continuo ad avere tutte i file visti come link e cliccabili con un singolo click, e non riesco a leggere le penne usb!

hijackthis.log (http://wikisend.com/download/602286/hijackthis.log)
mbam-log-2009-01-11 (15-40-50).txt (http://wikisend.com/download/563348/mbam-log-2009-01-11 (15-40-50).txt)

grazie
ciao

fixa:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0E0D03C2-E6E8-466E-BB56-8D5EB2BBEB45} - C:\WINDOWS\system32\urqOIbYo.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O15 - Trusted Zone: www.brut4l3.com
O15 - Trusted Zone: http://www.happyfile.net
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182960502359
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

reinstalla l'antivirus che non è più in esecuzione quindi poi fai una scansione completa con quest'ultimo e con i seguenti:
_ A-Squared Free (esegui l'aggiornamento riavvia il programma e poi esegui la
scansione DEEP) -> download (http://download5.emsisoft.com/a2FreeSetup.exe) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)

_ PrevxCSI -> download (http://www.prevx.com/freescan.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1680806) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")

_ nuovo log con hijackthis e malwarebytes
hijackthis

fixa:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0E0D03C2-E6E8-466E-BB56-8D5EB2BBEB45} - C:\WINDOWS\system32\urqOIbYo.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl8] C:\Programmi\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Programmi\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [BDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O15 - Trusted Zone: www.brut4l3.com
O15 - Trusted Zone: http://www.happyfile.net
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182960502359
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)

reinstalla l'antivirus che non è più in esecuzione quindi poi fai una scansione completa con quest'ultimo e con i seguenti:
_ A-Squared Free (esegui l'aggiornamento riavvia il programma e poi esegui la
scansione DEEP) -> download (http://download5.emsisoft.com/a2FreeSetup.exe) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)

_ PrevxCSI -> download (http://www.prevx.com/freescan.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1680806) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx e salvare il log ("options" -> "save a log file")

_ nuovo log con hijackthis e malwarebytes
hijackthis
scusa, devo togliere il norton e usare a-squared free?
ah no scusa.. ho riletto meglio.. devo rimettere norton.. ma non c'è altro modo per riattivarlo quello attuale?
Oppure avete da consigliare un buon antivirus free?!
grazie mille!

scusa, devo togliere il norton e usare a-squared free?
ah no scusa.. ho riletto meglio.. devo rimettere norton.. ma non c'è altro modo per riattivarlo quello attuale?
Oppure avete da consigliare un buon antivirus free?!
grazie mille!

purtroppo dopo l'infezione non c'è altro modo che reinstallare i programmi che erano in esecuzione, ovviamente se il norton lo vuoi disinstallare completamente nessuno te lo vieta edanzi ti consiglio di usare l'utility apposita:
http://www.hwupgrade.it/forum/showthread.php?p=20168344

fatto questo installa Avira antivir:
http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html

altrimenti puoi prendere la versione a pagamento (Avira Antivir PremiumEdition) di avira sfruttando la promozione 6 mesi gratis forniti da pc-welt ai suoi lettori:
https://license.avira.com/de/promotion-a8ydzq3fgnsu051rwq81

la guida per come impostarlo correttamente la trovi qui:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

Ciao xcdegasp

Ho rifatto una scansione con avast e non mi ha dato nessun virus

Ecco i log di Malware Bytes: http://www.fileqube.com/file/xksSqj165289

Ecco quelli di Prevx CSI: http://www.fileqube.com/file/sDuQPWC165290

Spero che vadano bene e grazie ancora.

Ecco fatto, vi posto tutti i log:
HiJackthis: http://www.fileqube.com/file/WgjgGsdl165294
Avira Antivir Personal - Free Antivirus: http://www.fileqube.com/file/AvchnoRtg165295
A-Squared Free: http://www.fileqube.com/file/ywUZAAyHc165296
Malwarebytes' Anti-Malware: http://www.fileqube.com/file/UuasjPAN165297

Adesso mi dovete dare una manoo:help: :help: :help:
Grazie.

Quasi risolto...

in pratica avevo un virus che mi riconosceva il nome del file di malwarebytes e non me lo faceva partire. ho dovuto installare il file dopo averlo rinominato, l'ho installato in una cartella con nome fittizio, ho rinominato l'eseguibile.

Vi riposto il log col nuovo HjT.. mi sa che il vundo c'è ancora,,.,

http://www.zshare.net/download/53996158a16e3721/

Ciao xcdegasp

Ho rifatto una scansione con avast e non mi ha dato nessun virus

Ecco i log di Malware Bytes: http://www.fileqube.com/file/xksSqj165289

Ecco quelli di Prevx CSI: http://www.fileqube.com/file/sDuQPWC165290

Spero che vadano bene e grazie ancora.

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Ecco fatto, vi posto tutti i log:
HiJackthis: http://www.fileqube.com/file/WgjgGsdl165294
Avira Antivir Personal - Free Antivirus: http://www.fileqube.com/file/AvchnoRtg165295
A-Squared Free: http://www.fileqube.com/file/ywUZAAyHc165296
Malwarebytes' Anti-Malware: http://www.fileqube.com/file/UuasjPAN165297

Adesso mi dovete dare una manoo:help: :help: :help:
Grazie.



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log DI HJT AGGIORNATO ALL'ULTIMA VERSIONE

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O2 - BHO: (no name) - {22BD02B8-EB1A-49D5-91F7-DAF66437B56F} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun


riscontri altri problemi?

Quasi risolto...

in pratica avevo un virus che mi riconosceva il nome del file di malwarebytes e non me lo faceva partire. ho dovuto installare il file dopo averlo rinominato, l'ho installato in una cartella con nome fittizio, ho rinominato l'eseguibile.

Vi riposto il log col nuovo HjT.. mi sa che il vundo c'è ancora,,.,

http://www.zshare.net/download/53996158a16e3721/

ciao

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

i log caricali sui server indicati please ;)

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Grazie Mille wjmat per ora non riscontro problemi ma ho un ultima cosa da chiedere. Combofix mi ha installato una Windows Recovery Console che mi si visualizza quando faccio il boot di sistema, cosa faccio la tengo o la elimino e se devo eliminarla come?? Grazie mille per il vostro aiuto siete mitici :D

Grazie Mille wjmat per ora non riscontro problemi ma ho un ultima cosa da chiedere. Combofix mi ha installato una Windows Recovery Console che mi si visualizza quando faccio il boot di sistema, cosa faccio la tengo o la elimino e se devo eliminarla come?? Grazie mille per il vostro aiuto siete mitici :D

Click destro sull’icona Risorse del Computer sul desktop (oppure Fare clic su Start → Pannello di controllo → Sistema) → Avanzate → Sotto avvio e ripristino clicca impostazioni → Clicca su modifica → Si aprirà il file boot.ini → seleziona tutto il testo e riportacelo → Esci dal file senza salvare nulla.

edit

ho aggiunto le info qui
http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19

Quasi risolto...

in pratica avevo un virus che mi riconosceva il nome del file di malwarebytes e non me lo faceva partire. ho dovuto installare il file dopo averlo rinominato, l'ho installato in una cartella con nome fittizio, ho rinominato l'eseguibile.

Vi riposto il log col nuovo HjT.. mi sa che il vundo c'è ancora,,.,

http://www.zshare.net/download/53996158a16e3721/
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O2 - BHO: (no name) - {E7E0D6D5-7947-47C9-867A-A0898C77EBB1} - C:\WINDOWS\system32\ddcYoPij.dll (file missing)
O4 - HKUS\S-1-5-19\..\Run: [ruyajujibu] Rundll32.exe "C:\WINDOWS\system32\bujokatu.dll",s (User 'SERVIZIO LOCALE')
tutte le O16
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll (file missing)
O20 - AppInit_DLLs: delejome.dll
24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/user/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

poi riavvia e rifai una scansione con combofix, kaspersky tool, malwarebytes, prevxcsi ed infine con hijackthis :)

Ecco fatto, vi posto tutti i log:
HiJackthis: http://www.fileqube.com/file/WgjgGsdl165294
Avira Antivir Personal - Free Antivirus: http://www.fileqube.com/file/AvchnoRtg165295
A-Squared Free: http://www.fileqube.com/file/ywUZAAyHc165296
Malwarebytes' Anti-Malware: http://www.fileqube.com/file/UuasjPAN165297

Adesso mi dovete dare una manoo:help: :help: :help:
Grazie.

la versione usata di hijackthis è obsoleta quindi scaricalo nuovamente da qui:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
e fai una nuova scansione

Ciao,richiedo il vostro cortese aiuto,crocerossini informatici
Grazie ad un sito russo (...) ho buscato un bel po di virus,tra i quali vari vundo e cheburghen..

Sottolineo che non sono un esperto,anzi...
Ho passato la domenica a scaricare antivirus e cose varie e a cercare di capire cosa significa fixare ecc,ecc..

Ora,ho fatto girare alcuni di quelli da voi consigliati...vi riporto i log.

Ho fatto girare sia super antispyware che virit
Virit mi ha rilevato vari virus,alcuni non li ha rimossi


Questo è quello di combofix ,che ha girato per ultimo:

http://www.fileqube.com/file/JpIHiZfi165419

E questo è il log aggiornato di HiJ :

http://www.fileqube.com/file/qpXNix165420

Aggiungo upload di Malwarebytes
http://www.fileqube.com/file/jMfHVEi165426

Ora sta girando Kaspersky..tra un po aggiorno i log


Ditemi cosa devo fare... Grazie in anticipo

@henry99:
sei pregato di leggere le regole di sezione e correggere il tuo messaggio in tal senso :)

la versione usata di hijackthis è obsoleta quindi scaricalo nuovamente da qui:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
e fai una nuova scansione

Ok, ecco il nuovo log:
http://www.fileqube.com/file/XuxAslleA165425

Attendo rispostee :Help:

Ok, ecco il nuovo log:
http://www.fileqube.com/file/XuxAslleA165425

Attendo rispostee :Help:

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Windows al service pack 3 -> link download (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it)
Explorer alla versione 7

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Windows al service pack 3 -> link download (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it)
Explorer alla versione 7

Perchè?? non devo fixare niente?!
Comunque explorer non lo uso, anzi lo anche disinstallato, ho firefox come browser predefinito...
ok intanto metto il SP3.
grazie,.

Perchè?? non devo fixare niente?!
Comunque explorer non lo uso, anzi lo anche disinstallato, ho firefox come browser predefinito...
ok intanto metto il SP3.
grazie,.

il fix era qui
http://www.hwupgrade.it/forum/showpost.php?p=25803763&postcount=1633

ie7 è ok pardon ;)

Grosso problema, non riesco ad installare il SP3, inizia a lavorare il programma d'installazione ma dopo poco mi dice errore, il service pack 3 non è stato installato, tipo!!!
Premetto che ho una copia di Xp originale ma il cd-key l'ho perso e quindi tempo fa riuscì , non ricordo come, a farmelo accettare e quindi a farlo riconoscere come originale...
Faccio un ravvio e riprovo??
E poi il log con hijackthis dopo aver fixato lo vuoi?!?
GRazie ancora una volta.

Grosso problema, non riesco ad installare il SP3, inizia a lavorare il programma d'installazione ma dopo poco mi dice errore, il service pack 3 non è stato installato, tipo!!!
Premetto che ho una copia di Xp originale ma il cd-key l'ho perso e quindi tempo fa riuscì , non ricordo come, a farmelo accettare e quindi a farlo riconoscere come originale...
Faccio un ravvio e riprovo??
E poi il log con hijackthis dopo aver fixato lo vuoi?!?
GRazie ancora una volta.
che errore ti da di preciso?
prova a guardare qui
http://news.wintricks.it/web/patch-prodotti-microsoft/25438/installare-xp-sp3-a-regola-darte/

che errore ti da di preciso?
prova a guardare qui
http://news.wintricks.it/web/patch-prodotti-microsoft/25438/installare-xp-sp3-a-regola-darte/

Mi dice: Si è verificato un errore internom mi sembra proprio quando esegue il controllo sulle chiavi..:cry: :cry: mi sa proprio che per lui non è valida la cd-key!!...vabbè comunque tornando a sti vundo, faccio il log con hijackthis ora che avevo fixato quello che mi avevi detto?!?

Ok, ecco il nuovo log:
http://www.fileqube.com/file/XuxAslleA165425

Attendo rispostee :Help:

ci sono ancora 2 antivirus pertanto non hai seguito i miei suggerimenti,che vuoi fare?

ci sono ancora 2 antivirus pertanto non hai seguito i miei suggerimenti,che vuoi fare?

Non mi trovano niente!!

Non mi trovano niente!!

nerssuno ti chiedeva delle scansioni con loro

nerssuno ti chiedeva delle scansioni con loro

Ok lo so , ho sbagliato, credevo andassero bene lo stesso visto che Avira lo consigliavate anche su questo forum:doh: . Adesso allora come procedo?!

Ok lo so , ho sbagliato, credevo andassero bene lo stesso visto che Avira lo consigliavate anche su questo forum:doh: . Adesso allora come procedo?!

l'avere due antivirus attivi equivalea non averne nemmeno uno di fatto perchè i due antivirus tendono ad annullarsi a vicenda, infatti se noti in nessun lido informatico si consiglia questa strada.
se ti sei infettato ed avevi 2 antivirus questo rafforza la mia tesi e richiesta ovviamente nessuno ti obbliga ma poi non ti lamentare se non ricevi assistenza :)

l'avere due antivirus attivi equivalea non averne nemmeno uno di fatto perchè i due antivirus tendono ad annullarsi a vicenda, infatti se noti in nessun lido informatico si consiglia questa strada.
se ti sei infettato ed avevi 2 antivirus questo rafforza la mia tesi e richiesta ovviamente nessuno ti obbliga ma poi non ti lamentare se non ricevi assistenza :)

Ho NOD32 ed Avira Antivir... toglierò il nod, ma puoi aiutarmi a capire se questo vundo è ancora presente nella mia macchina?!!?:help: :help:

dopo che hai disinstallato nod32, reinstalla avira e impostalo come defnito dalla guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

poi fai un log anche lui :)

Click destro sull’icona Risorse del Computer sul desktop (oppure Fare clic su Start → Pannello di controllo → Sistema) → Avanzate → Sotto avvio e ripristino clicca impostazioni → Clicca su modifica → Si aprirà il file boot.ini → seleziona tutto il testo e riportacelo → Esci dal file senza salvare nulla.

edit

ho aggiunto le info qui
http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19


Scusami se l'ho installato. Ti posto il testo come mi hai detto. Sai ho un pò paura quando metto la mano sul boot. Grazie ancora per la disponibilità

Scusami se l'ho installato. Ti posto il testo come mi hai detto. Sai ho un pò paura quando metto la mano sul boot. Grazie ancora per la disponibilità

elimina questa riga
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

e cancella la cartella nascosta C:\CMDCONS

elimina questa riga
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

e cancella la cartella nascosta C:\CMDCONS

Ho rinominato il file ma non ho trovato la cartella forse perche ho disinstallato Combofix?? Scusa la mia ignoranza è imbarazzante. :mad:

dopo che hai disinstallato nod32, reinstalla avira e impostalo come defnito dalla guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

poi fai un log anche lui :)

Ok, nel frattempo che scansiona tutto di nuovo, posto il log di ieri: http://www.fileqube.com/file/ENLoRob165444

Ho rinominato il file ma non ho trovato la cartella forse perche ho disinstallato Combofix?? Scusa la mia ignoranza è imbarazzante. :mad:

è nascosta e forse anche di sistema

è nascosta e forse anche di sistema

L'ho trovata ma non me la fà cancellare dice che è negato l'accesso mi sà che è di sistema.

Ciao,richiedo il vostro cortese aiuto,crocerossini informatici

Spero di aver fatto le cose giuste...perdonate ma sono un pò anziano.. :))
Grazie ad un sito russo (...) ho buscato un bel po di virus,tra i quali vari vundo e cheburghen..

Sottolineo che non sono un esperto,anzi...
Ho passato la domenica a scaricare antivirus e cose varie e a cercare di capire cosa significa fixare ecc,ecc..

Ora,ho fatto girare alcuni di quelli da voi consigliati...vi riporto i log.

Ho fatto la pulizia con ccleaner

Ho fatto girare sia super antispyware che virit
Virit mi ha rilevato vari virus,alcuni non li ha rimossi
Poi,combofix,malwarebytes,kaspersky


Questo è quello di combofix

http://www.fileqube.com/file/JpIHiZfi165419

Questo è quello di Malwarebytes
http://www.fileqube.com/file/jMfHVEi165426

questo è quello di kaspersky removal tool, che ha girato per ultimo :
http://wikisend.com/download/559828/log_kaspersky.txt

E questo è il log aggiornato di HiJ :
http://wikisend.com/download/226716/log_hijackthis.txt

Ciao e grazie

dopo che hai disinstallato nod32, reinstalla avira e impostalo come defnito dalla guida:
http://www.hwupgrade.it/forum/showthread.php?t=1514684

poi fai un log anche lui :)

Ecco fatto, ho disinstallato il NOD, impostato come scritto nella guida l'avira antivir
e fatto il benedetto log:

http://www.fileqube.com/file/bjYGDoW165447

mi ha rilevato 6 errori!!:help: :help: :help:
Grazie.

Ciao,richiedo il vostro cortese aiuto,crocerossini informatici

Spero di aver fatto le cose giuste...perdonate ma sono un pò anziano.. :))
Grazie ad un sito russo (...) ho buscato un bel po di virus,tra i quali vari vundo e cheburghen..

Sottolineo che non sono un esperto,anzi...
Ho passato la domenica a scaricare antivirus e cose varie e a cercare di capire cosa significa fixare ecc,ecc..

Ora,ho fatto girare alcuni di quelli da voi consigliati...vi riporto i log.

Ho fatto la pulizia con ccleaner

Ho fatto girare sia super antispyware che virit
Virit mi ha rilevato vari virus,alcuni non li ha rimossi
Poi,combofix,malwarebytes,kaspersky


Questo è quello di combofix

http://www.fileqube.com/file/JpIHiZfi165419

Questo è quello di Malwarebytes
http://www.fileqube.com/file/jMfHVEi165426

questo è quello di kaspersky removal tool, che ha girato per ultimo :
http://wikisend.com/download/559828/log_kaspersky.txt

E questo è il log aggiornato di HiJ :
http://wikisend.com/download/226716/log_hijackthis.txt

Ciao e grazie



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O15 - Trusted Zone: http://livevideo.www-1.betfair.com
O15 - Trusted Zone: www.betfair.com
O15 - Trusted Zone: http://www-2.betfair.com
O15 - Trusted Zone: http://www222.betfair.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_10) -
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O20 - AppInit_DLLs: ghhnxd.dll dbvtor.dll


virit rimuovilo pure

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O15 - Trusted Zone: http://livevideo.www-1.betfair.com
O15 - Trusted Zone: www.betfair.com
O15 - Trusted Zone: http://www-2.betfair.com
O15 - Trusted Zone: http://www222.betfair.com
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_10) -
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O20 - AppInit_DLLs: ghhnxd.dll dbvtor.dll


virit rimuovilo pure

mi potresti dare una controllata all'ultimo log di avira antivir free:
http://www.fileqube.com/file/bjYGDoW165447

Graziee:help: :help: :help:

mi potresti dare una controllata all'ultimo log di avira antivir free:
http://www.fileqube.com/file/bjYGDoW165447

Graziee:help: :help: :help:

Il log di Avira è OK

Ecco fatto, ho disinstallato il NOD, impostato come scritto nella guida l'avira antivir
e fatto il benedetto log:

http://www.fileqube.com/file/bjYGDoW165447

mi ha rilevato 6 errori!!:help: :help: :help:
Grazie.

cambia la seconda azione da "delete" a "quarantena" altrimenti se succedesseche dopo un azione di avira il pc avesse problemi non saresti in grado di ripristinare la situazione :)

mi potresti dare una controllata all'ultimo log di avira antivir free:
http://www.fileqube.com/file/bjYGDoW165447

Graziee:help: :help: :help:
oltre a quanto scritto da deg se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Windows al service pack 3 -> link download (http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it)

è nascosta e forse anche di sistema

Ciao Wjmat scusami per il disturbo. Ieri non sono riuscito a cancellare la cartella relativa C:\CMDCONS perchè viene utilizzata dal processo explorer.exe e mi diceva che non potevo cancellarla perchè era in utilizzo dal sistema. Volevo sapere se c'è un altro modo per rimuoverla. Grazie Mille per la vostra disponibilità

Ciao Wjmat scusami per il disturbo. Ieri non sono riuscito a cancellare la cartella relativa C:\CMDCONS perchè viene utilizzata dal processo explorer.exe e mi diceva che non potevo cancellarla perchè era in utilizzo dal sistema. Volevo sapere se c'è un altro modo per rimuoverla. Grazie Mille per la vostra disponibilità

stando a qui non dovrebbero essereci problemi...
http://support.microsoft.com/kb/555032/it


prova con unlocker (http://ccollomb.free.fr/unlocker/)
lo installi deselezionando l'assistente ed eventuali toolbar o cose inutili
in caso di file o cartella bloccata -> tasto destro -> unlocker -> e scegli l'azione (cancella/sposta/rinomina)

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log


Fatto.Ecco il log HiJ aggiornato
http://www.fileqube.com/file/qAksTOjH165518

Faccio notare che stamane all'accensione del pc, virit ( che tra poco disinstallo )mi diceva che alcuni programmi probabilmente malevoli ( ghhnxd.dll e dbvtor.dll )si erano installati automaticamente in esecuzione automatica e in piu mi compariva la richiesta di installazione connessione o qualcosa di simile.
Dopo aver fixato quello che tu mi hai detto,al riavvio, non è più successo nulla.
Come posso ora essere sicuro di esser pulito?

O.T. ( se mi è concesso)
Oltre ad istruirmi su quali antivirus ed antispyware che in futuro dovrò lasciare ( di default il tizio che mi ha fatto l'ultima riparazione mi ha messo nod e search and destroy ) mi consigliereste anche una coppia di antivirus e antispyware per il netbook (samsung) che ho appena acquistato?

Grazie per l' infinita gentilezza.
Ciao

Fatto.Ecco il log HiJ aggiornato
http://www.fileqube.com/file/qAksTOjH165518

Faccio notare che stamane all'accensione del pc, virit ( che tra poco disinstallo )mi diceva che alcuni programmi probabilmente malevoli ( ghhnxd.dll e dbvtor.dll )si erano installati automaticamente in esecuzione automatica e in piu mi compariva la richiesta di installazione connessione o qualcosa di simile.
Dopo aver fixato quello che tu mi hai detto,al riavvio, non è più successo nulla.
Come posso ora essere sicuro di esser pulito?

O.T. ( se mi è concesso)
Oltre ad istruirmi su quali antivirus ed antispyware che in futuro dovrò lasciare ( di default il tizio che mi ha fatto l'ultima riparazione mi ha messo nod e search and destroy ) mi consigliereste anche una coppia di antivirus e antispyware per il netbook (samsung) che ho appena acquistato?

Grazie per l' infinita gentilezza.
Ciao
mi verifichi il link che non riesco a scaricarlo, grazie

mi verifichi il link che non riesco a scaricarlo, grazie
Si in effetti non funzionava..sorry..
Log Hij
http://wikisend.com/download/512450/Log_hijackthis_13_09.txt

é qualche giorno che mi chiede di installare sp3 ..procedo?

Si in effetti non funzionava..sorry..
Log Hij
http://wikisend.com/download/512450/Log_hijackthis_13_09.txt

é qualche giorno che mi chiede di installare sp3 ..procedo?

queste le puoi fixare (superanti se è la versione free)
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe


se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

e installa pure il sp3

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

e installa pure il sp3

Che dire,Wjmat...ti ringrazio infinitamente..
Tutto pare tranquillo..in più ho provato a fare una scansione ( con malwarebytes) e,dicendolo piano,file infetti 0.

Oltretutto ho dedicato la mattinata a leggere i tuoi post che hai come firma e devo ringraziarti ulteriormente...un lavoro davvero ben fatto e utilizzabile da tutti!
Già poco fa mi sono "gasato" spiegando ad un amico cosa fare :)

O.T. :Ti sarei ancor più grato se mi indichi la sezione adatta per un altro problema (leggero) che mi affligge da qualche mese ( immagino ovviamente non sia colpa di un virus )
Uso sempre mozilla...e dopo qualche ora si rallenta l'apertura delle pagine internet...
Non uso programmi in particolare...ma ho notato che la cosa succede se apro magari un file in pdf ( adobe)..poi se faccio zapping tra le varie pagine o schede vengo rallentato..
Se apro una pagina che usa flash (un esempio ricorrente :https://www.bwin.com/it/sportsbook.aspx -la sezione "live" di questo sito ) ecco in questo caso comincio ad avere problemi...mi si rallenta sempre più finchè non si blocca definitivamente mozilla e devo chiudere tutte le finestre con il task manager.
Qual'è la sezione adatta per questo tipo di problemi?
Ciao .:)

Che dire,Wjmat...ti ringrazio infinitamente..
Tutto pare tranquillo..in più ho provato a fare una scansione ( con malwarebytes) e,dicendolo piano,file infetti 0.

Oltretutto ho dedicato la mattinata a leggere i tuoi post che hai come firma e devo ringraziarti ulteriormente...un lavoro davvero ben fatto e utilizzabile da tutti!
Già poco fa mi sono "gasato" spiegando ad un amico cosa fare :)

O.T. :Ti sarei ancor più grato se mi indichi la sezione adatta per un altro problema (leggero) che mi affligge da qualche mese ( immagino ovviamente non sia colpa di un virus )
Uso sempre mozilla...e dopo qualche ora si rallenta l'apertura delle pagine internet...
Non uso programmi in particolare...ma ho notato che la cosa succede se apro magari un file in pdf ( adobe)..poi se faccio zapping tra le varie pagine o schede vengo rallentato..
Se apro una pagina che usa flash (un esempio ricorrente :https://www.bwin.com/it/sportsbook.aspx -la sezione "live" di questo sito ) ecco in questo caso comincio ad avere problemi...mi si rallenta sempre più finchè non si blocca definitivamente mozilla e devo chiudere tutte le finestre con il task manager.
Qual'è la sezione adatta per questo tipo di problemi?
Ciao .:)
di nulla ;)

installa i componenti aggiuntivi consigliati per firefox
prova foxitreader anzichè adobe

poi in caso chiedi qui
http://www.hwupgrade.it/forum/forumdisplay.php?s=&daysprune=&f=33

stando a qui non dovrebbero essereci problemi...
http://support.microsoft.com/kb/555032/it


prova con unlocker (http://ccollomb.free.fr/unlocker/)
lo installi deselezionando l'assistente ed eventuali toolbar o cose inutili
in caso di file o cartella bloccata -> tasto destro -> unlocker -> e scegli l'azione (cancella/sposta/rinomina)

Ciao wjmat, purtroppo ho provato anche con unlocker e sbloccando explorer.exe non sono riuscito a rimuovere la cartella "/cmdcons". Sebbene abbia seguito la guida microsoft e cancellato anche il file "cmldr". Sembra che quella cartella sia in Read Only, anche andando sulle proprietà della cartella e defleggando la sola lettura quest'ultima si ripresenta ancora in fleggata in read only ed è impossibile eliminarla come i vari file di sottocartella. A me non crea nessun problema averla era solo per tenere il C: un pò più pulito. Grazie per la disponibilità e mi scuso per il disturbo.

Ciao wjmat, purtroppo ho provato anche con unlocker e sbloccando explorer.exe non sono riuscito a rimuovere la cartella "/cmdcons". Sebbene abbia seguito la guida microsoft e cancellato anche il file "cmldr". Sembra che quella cartella sia in Read Only, anche andando sulle proprietà della cartella e defleggando la sola lettura quest'ultima si ripresenta ancora in fleggata in read only ed è impossibile eliminarla come i vari file di sottocartella. A me non crea nessun problema averla era solo per tenere il C: un pò più pulito. Grazie per la disponibilità e mi scuso per il disturbo.
già...
sono riuscito con unlocker da modalità provvisoria

già...
sono riuscito con unlocker da modalità provvisoria

Quindi basta eliminarla dalla modalità provvisoria?? Strano chissà come mai non la fà eliminare dalla modalità normale. Allora provo anche io dalla modalità provvisoria con unlocker?? Speriamo che almeno li la cartella non sia in Read Only. Un ultima cosa poi ti lascio, con HijackTHis quando mi avete fatto fixare una voce mi ha creato un Backup con la cartellina affianco a quella del Programma HijackThis. Cosa faccio elimino?? Grazie Ancora

Quindi basta eliminarla dalla modalità provvisoria?? Strano chissà come mai non la fà eliminare dalla modalità normale. Allora provo anche io dalla modalità provvisoria con unlocker?? Speriamo che almeno li la cartella non sia in Read Only. Un ultima cosa poi ti lascio, con HijackTHis quando mi avete fatto fixare una voce mi ha creato un Backup con la cartellina affianco a quella del Programma HijackThis. Cosa faccio elimino?? Grazie Ancora

prova unlocker da provvisoria

se sei ok puoi eliminare pure la cartella di hjt oppure tienila da parte

Mi sa che il vundo è l'ultimo dei miei problemi :(

Ho rifatto tutto l'iter. Ecco i log:

http://www.zshare.net/download/541326678c53acb6/

http://www.zshare.net/download/54132694be829e62/

http://www.zshare.net/download/54132714be0b484c/

http://www.zshare.net/download/541327364a1e74cb/

Non ce la faccio più... credo che formatterò al più presto! :cry: :cry: :cry:

Grazie cmq per tutto l'aiuto che mi avete dato

Mi sa che il vundo è l'ultimo dei miei problemi :(

Ho rifatto tutto l'iter. Ecco i log:

http://www.zshare.net/download/541326678c53acb6/

http://www.zshare.net/download/54132694be829e62/

http://www.zshare.net/download/54132714be0b484c/

http://www.zshare.net/download/541327364a1e74cb/

Non ce la faccio più... credo che formatterò al più presto! :cry: :cry: :cry:

Grazie cmq per tutto l'aiuto che mi avete dato

zshare oltre ad essere zeppo di pubblicità non è previsto dalle modalità, ricaricali cortesemente su uno dei server indicati
grazie ;)

volevo segnalare che su vista64 nn riesco a fare Eset Online Scanner (sì Vista-64)
va sul sito ma nn si avvia perchè dice nn ha i diritti di amministratore e ho problemi anche con atf.
Ho provato anche a rimuoverlo con spybot lo vede durante la scansione virtumonde.dll e virtumonde.sdn ma alla fine dice nessuna minaccia trovata come devo fare ad eiminarlo?
ora dopo spybot si aprono le pagine internet,ma nn i siti,rimane la pagina bianca,cioè si apre bene la pagina che voglio aprire io,ma ogni tanto si avvia una pagina così da sola e rimane bianca.è virtumonde?

volevo segnalare che su vista64 nn riesco a fare Eset Online Scanner (sì Vista-64)
va sul sito ma nn si avvia perchè dice nn ha i diritti di amministratore e ho problemi anche con atf.
Ho provato anche a rimuoverlo con spybot lo vede durante la scansione virtumonde.dll e virtumonde.sdn ma alla fine dice nessuna minaccia trovata come devo fare ad eiminarlo?
ora dopo spybot si aprono le pagine internet,ma nn i siti,rimane la pagina bianca,cioè si apre bene la pagina che voglio aprire io,ma ogni tanto si avvia una pagina così da sola e rimane bianca.è virtumonde?

tasto dx su ie ed esegui come administratore

tasto dx su ie ed esegui come administratore

ok ora va ma prima di far partire la scansione devo mettere entrambe le spunte?

ok ora va ma prima di far partire la scansione devo mettere entrambe le spunte?

certo

zshare oltre ad essere zeppo di pubblicità non è previsto dalle modalità, ricaricali cortesemente su uno dei server indicati
grazie ;)

Scusami..

http://wikisend.com/download/891286/a2scan_090113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/mbam-log-2009-01-13 (13-37-00).txt

http://wikisend.com/download/561640/SysInspector-EPIFANIA-090114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

Scusami..

http://wikisend.com/download/891286/a2scan_090113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/mbam-log-2009-01-13 (13-37-00).txt

http://wikisend.com/download/561640/SysInspector-EPIFANIA-090114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

con a-squared non si vede se hai intrapreso un azione "quarantena" perchè hai salvato il report prima di tale azione, sempre se questa è mai stata compiuta..

con a-squared non si vede se hai intrapreso un azione "quarantena" perchè hai salvato il report prima di tale azione, sempre se questa è mai stata compiuta..

Vabbè.. sbaglio a postare gli screen... ma non sono così ciucco!!

Le voci che ha trovato le ho eliminate tutte!

Vabbè.. sbaglio a postare gli screen... ma non sono così ciucco!!

Le voci che ha trovato le ho eliminate tutte!

ottimo :)

Buona Sera a tutti!!

Ultimamente sono stato vittima del virus Vundo e grazie alla vostra guida sono stato capace "speriamo" di rimuoverlo. Non trovo anomali l'unica cosa che mi suscita sospetto è che JackThis mi trova questo quando mi connetto a internet mentre quando sono offline non me lo trova

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9D5D3B-B7B0-4D42-AD41-427E96AE0580}: NameServer = 85.37.17.15 85.38.28.74

Cosa dite è una voce che dovrei rimuovere??
Grazie Mille per la vostra disponibilità

Buona Sera a tutti!!

Ultimamente sono stato vittima del virus Vundo e grazie alla vostra guida sono stato capace "speriamo" di rimuoverlo. Non trovo anomali l'unica cosa che mi suscita sospetto è che JackThis mi trova questo quando mi connetto a internet mentre quando sono offline non me lo trova

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A9D5D3B-B7B0-4D42-AD41-427E96AE0580}: NameServer = 85.37.17.15 85.38.28.74

Cosa dite è una voce che dovrei rimuovere??
Grazie Mille per la vostra disponibilità

ciao

caricaci tutti i log per completezza

ciao

caricaci tutti i log per completezza

Ecco il link con i log:

http://www.fileqube.com/file/HBljoB166438

Ciao e grazie :).

Ecco il link con i log:

http://www.fileqube.com/file/HBljoB166438

Ciao e grazie :).

tutti i log ;)


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

tutti i log ;)


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab


Appena vado a casa faccio come mi dici ;) .
Quella voce 17 non mi convince perchè mi esce fuori quando mi connetto a internet, e mi sarebbe piaciuto sapere se gli ip "NameServer = 85.37.17.15 85.38.28.74" sono del mio provider oppure è una voce malevola.

Grazie Ancora che mi dedicate il vostro tempo.

Appena vado a casa faccio come mi dici ;) .
Quella voce 17 non mi convince perchè mi esce fuori quando mi connetto a internet, e mi sarebbe piaciuto sapere se gli ip "NameServer = 85.37.17.15 85.38.28.74" sono del mio provider oppure è una voce malevola.

Grazie Ancora che mi dedicate il vostro tempo.

Sono i DNS di Telecom Italia :)

tutti i log ;)


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab



Ecco il file di HijackThis che mi avevi chiesto secondo le modalità.:)

Grazie ancora per il vostro aiuto.

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide



importante aggiornare
Explorer alla versione 7

certo

ho fatto la scansione con eset ha trovato 7 minacce e le ha rimosse tra queste la toolbar di ask che avevo già disinsallato..ma il problema persiste..

ho fatto la scansione con eset ha trovato 7 minacce e le ha rimosse tra queste la toolbar di ask che avevo già disinsallato..ma il problema persiste..

carica i log di Eset Sysinspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12) + HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)+ Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)

prova unlocker da provvisoria

se sei ok puoi eliminare pure la cartella di hjt oppure tienila da parte

Ciao wjmat sono riuscito a eliminare la cartella C:\cmdcons dalla modalità provvisoria come mi hai detto tu :). Un ultima cosa c'è qualche programmino che verifica cosa realmente fanno le applicazioni Svchost.exe perchè io quando accendo il pc ne ho 6 nel Task Manager e anche se non mi occupano memoria volevo capire a cosa servissero.

Grazie infinitamente. :)

Ciao wjmat sono riuscito a eliminare la cartella C:\cmdcons dalla modalità provvisoria come mi hai detto tu :). Un ultima cosa c'è qualche programmino che verifica cosa realmente fanno le applicazioni Svchost.exe perchè io quando accendo il pc ne ho 6 nel Task Manager e anche se non mi occupano memoria volevo capire a cosa servissero.

Grazie infinitamente. :)
se il file sta nella cartella system32 dovrebbe essere lecito salvo venga corrotto

qui un programma per analizzare i suoi processi
http://www.downloadblog.it/post/7606/informazioni-su-svchost-con-svchost-viewer

Scusami..

http://wikisend.com/download/891286/a2scan_090113-133835.txt

http://wikisend.com/download/497280/f-sec.txt

http://wikisend.com/download/916308/mbam-log-2009-01-13 (13-37-00).txt

http://wikisend.com/download/561640/SysInspector-EPIFANIA-090114-1928.zip

http://wikisend.com/download/597256/hijackthis.log

spero di non aver toppato di nuovo..

up..

up..



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab



riscontri altri problemi?

Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)



Ecco a te..

problemi evidenti non ce ne sono...

Ecco a te..

problemi evidenti non ce ne sono...

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

http://www.hwupgrade.it/forum/showthread.php?t=1908937

Chill-Out io la procedura l'ho seguita passo passo, e l'ho anche scritto.
Se ho aperto una nuova discussione è perchè a questo punto non sono sicuro che questo trojan sia un Vundo, o perlomeno deve essere una nuova "versione" , in quanto i normali tool di rimozione non funzionano.

ciao

riprova mbam e il kasp removal tool da modalità provvisoria ed elimina tutto

se dovessi riscontrare ancora problemi carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare
Explorer alla versione 7

Per Explorer chiaramente intendi Internet Explorer..

Grazie mille a tutti! :D
Credevo di essere spacciato. "Sit i megghj!"

http://www.hwupgrade.it/forum/showthread.php?t=1908937

Chill-Out io la procedura l'ho seguita passo passo, e l'ho anche scritto.
Se ho aperto una nuova discussione è perchè a questo punto non sono sicuro che questo trojan sia un Vundo, o perlomeno deve essere una nuova "versione" , in quanto i normali tool di rimozione non funzionano.

Estratto dal log di MBAM

Moduli della memoria infetti:
C:\WINDOWS\system32\tuhipulo.dll (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\fitozeba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\qfnwdq.dll (Trojan.Vundo.H) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\Browser Helper Objects\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\Browser Helper Objects\{5a38e1d4-1f46-437e-9e9a-dfa62b11072e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5a38e1d4-1f46-437e-9e9a-dfa62b11072e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{f0f2004c-2ac0-4f7a-999b-f22ec3112934} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\co ntim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ds lcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rd fa (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\50f3e500 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\gukijewete (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Run\cpm53c0d69c (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\SharedTask Scheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\ShellServiceObjectD elayLoad\ssodl (Trojan.Vundo.H) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\fitozeba.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\fitozeba.dll -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\qfnwdq.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tuhipulo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\olupihut.ini (Trojan.Vundo.H) -> No action taken.
c:\WINDOWS\system32\fitozeba.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vubuvuha.dll (Trojan.Vundo.H) -> No action taken.

No action taken -->> significa che non hai eliminato nulla, segui passo passo la Guida (http://www.hwupgrade.it/forum/showthread.php?t=1603273) in prima pagina, attendo in sequenza i seguenti log:

MBAM
F-Secure scansione Online

Estratto dal log di MBAM

No action taken -->> significa che non hai eliminato nulla, segui passo passo la Guida (http://www.hwupgrade.it/forum/showthread.php?t=1603273)

Chill-Out io capisco che avrai tante discussioni da leggere... ma se ti soffermavi un attimino di più su quello che avevo scritto, prima di chiudere la discussione, potevi vedere che avevo già eliminato:

lascio in allegato il log prima della rimozione

e poi ho copiato anche il log dopo aver eliminato

cmq adesso grazie al consiglio di wjmat sembre che abbia risolto
quindi un grazie a wjmat :)
e un abbasso ai mod dal grilletto facile :(

saluto e torno nei miei meandri :D

Chill-Out io capisco che avrai tante discussioni da leggere... ma se ti soffermavi un attimino di più su quello che avevo scritto, prima di chiudere la discussione, potevi vedere che avevo già eliminato:



e poi ho copiato anche il log dopo aver eliminato

cmq adesso grazie al consiglio di wjmat sembre che abbia risolto
quindi un grazie a wjmat :)
e un abbasso ai mod dal grilletto facile :(

saluto e torno nei miei meandri :D

Esatto io ho tante discussioni da leggere, tu dovevi allegare solo un log, inoltre questo è il 3D dedicato alla rimozione del Vundo ovvero il tuo problema, detto questo fanno 5gg di sospensione per contestazione pubblica.

Saluti

ok, scansioni fatte.
hijackthis-21-01-09.txt (http://wikisend.com/download/862474/hijackthis-21-01-09.txt)

questo è il nuovo log id hijackthis..
Avevo il click singolo per l'apertura dei files, pare che sia stata la mia ragazza a configurarlo volutamente, mi sembrava anche a me un'opzione, ma utilizzando poco win, non ricordavo più, ma ora ho ritrovato.
Avevo un problema con le penne usb, forse ho risolto, ma non va l'autoplay, anche quello era un'altro virus e ho postato nel thread rispettivo.
Ora ho antivira attivo e prevx... dite che è il caso di mantenerli entrambi?

grazie
ciao

ok, scansioni fatte.
hijackthis-21-01-09.txt (http://wikisend.com/download/862474/hijackthis-21-01-09.txt)

questo è il nuovo log id hijackthis..
Avevo il click singolo per l'apertura dei files, pare che sia stata la mia ragazza a configurarlo volutamente, mi sembrava anche a me un'opzione, ma utilizzando poco win, non ricordavo più, ma ora ho ritrovato.
Avevo un problema con le penne usb, forse ho risolto, ma non va l'autoplay, anche quello era un'altro virus e ho postato nel thread rispettivo.
Ora ho antivira attivo e prevx... dite che è il caso di mantenerli entrambi?

grazie
ciao

Esegui HJT clicca su Do a system scan only e metti il segnoo di spunta nella casella bianca a sx della sottoindicate voci:

O15 - Trusted Zone: hxxp://www.happyfile.net
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - (no file)


Da Start - Esegui digita cmd

nella finestra DOS digita:

sc stop aspnet_state
sc delete aspnet_state

exit per uscire

Riallega nuovo log + i log indicati al Punto 3 e 4 della presente Guida :)

Ho eseguito i primi passi della guida.
Disabilitato ripristino
lanciato ATF
lanciato MBAM con rules aggiornate
cancellato quello che ha trovato.
Non ho trovato il log di mbam, è vuoto!!!
Ho intallato virit ma è solo in scansione, prob l'utente lo aveva già usato.
Spybot continua adarmi segnalazioni che un processo tenta di modificare chiavi di avvio.
Ecco il log di virit, se può servire:
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
22/01/2009 - 10:03:07

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\butazaji.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\com9.san Infetto da Trojan.Win32.RootKit.I
C:\WINDOWS\system32\dutudari.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\marokeru.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\niwaluyu.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\tasurizo.dll.tmp Infetto da Trojan.Win32.Vundo.FE
C:\WINDOWS\system32\visujowo.dll.tmp Infetto da Trojan.Win32.Vundo.FE

Chiavi Registro infette: 0.
Files Infetti: 7.
Files Sospetti: 0.
Files Analizzati: 45626.
Files Totali: 45626.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

Ho eseguito i primi passi della guida.
Disabilitato ripristino
lanciato ATF
lanciato MBAM con rules aggiornate
cancellato quello che ha trovato.
Non ho trovato il log di mbam, è vuoto!!!
Ho intallato virit ma è solo in scansione, prob l'utente lo aveva già usato.
Spybot continua adarmi segnalazioni che un processo tenta di modificare chiavi di avvio.


ciao segui la guida del primo post ed allega i log secondo le modalità quindi non incollati

Ok wjmat rifaccio mbab (ha già ritrovato 24 file infetti) e provo a postare il log come da istruzioni...

Grazie infinite.. ora sembra tutto ok, ho passato un paio di volte mbam ed è riuscito a togliere tutto, tranne la appinit_dlls, tolta a mano. Ora mbam e hijack non danno più segnalazioni...
Un'ultima dritta... per blindare sto portatile che consigliate?

Grazie infinite.. ora sembra tutto ok, ho passato un paio di volte mbam ed è riuscito a togliere tutto, tranne la appinit_dlls, tolta a mano. Ora mbam e hijack non danno più segnalazioni...
Un'ultima dritta... per blindare sto portatile che consigliate?

se carichi i log diamo un occhio, altrimenti che ne sappiamo di come sei messo :)

allora.. ho provato a fixare le due voci, ma happyfile.net mi pare rimanga.

cmq ecco di nuovo i vari log

hijackthis-22-01-09.txt (http://wikisend.com/download/610540/hijackthis-22-01-09.txt)

mbam-log-2009-01-22 (19-42-27).txt (http://wikisend.com/download/619090/mbam-log-2009-01-22 (19-42-27).txt)

F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht (http://wikisend.com/download/912838/F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht)

e ora? ancora dite che non s'è sfangata?

grazie mille!

se carichi i log diamo un occhio, altrimenti che ne sappiamo di come sei messo :)

Molto più che vero... spero di aver fatto tutto nel modo corretto stavolta...

http://www.mediafire.com/file/hnx5yjthnzu/mbam-log-2009-01-22 (21-24-56).txt

http://www.mediafire.com/file/qwjzbqtclre/hijackthis.log

allora.. ho provato a fixare le due voci, ma happyfile.net mi pare rimanga.

cmq ecco di nuovo i vari log

hijackthis-22-01-09.txt (http://wikisend.com/download/610540/hijackthis-22-01-09.txt)

mbam-log-2009-01-22 (19-42-27).txt (http://wikisend.com/download/619090/mbam-log-2009-01-22 (19-42-27).txt)

F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht (http://wikisend.com/download/912838/F-Secure Online Scanner 3_3_1 - Scanning Report - Thursday, January 22, 2009 204639.mht)

e ora? ancora dite che non s'è sfangata?

grazie mille!

Scarica DelDomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
salvalo sul DeskTop

clicca col tasto dx del mouse e scegli installa, dopidichè apri HJT e fixa tutti gli 015 ovvero O15 - Trusted Zone: hxxp://www.happyfile.net al termine nuovo log di HJT.

una volta installato il file, lanciato hjt la 015 era sparito, niente da fixare.
hijackthis-22-01-09_2.txt (http://wikisend.com/download/548932/hijackthis-22-01-09_2.txt)

questo cmq il nuovo log!


grazie mille

una volta installato il file, lanciato hjt la 015 era sparito, niente da fixare.
hijackthis-22-01-09_2.txt (http://wikisend.com/download/548932/hijackthis-22-01-09_2.txt)

questo cmq il nuovo log!


grazie mille

A posto, ciao ;)

Molto più che vero... spero di aver fatto tutto nel modo corretto stavolta...

http://www.mediafire.com/file/hnx5yjthnzu/mbam-log-2009-01-22 (21-24-56).txt

http://www.mediafire.com/file/qwjzbqtclre/hijackthis.log

Qualcuno mi può aiutare?

Qualcuno mi può aiutare?
manca la scansione antivirus
poi rifai hjt da modalità normale

manca la scansione antivirus
poi rifai hjt da modalità normale

Dimmi se ho capito:

scansione antivirus (da modalità normale o provv? Va bene anche avira?)
rifaccio Hjt da normale...

Dimmi se ho capito:

scansione antivirus (da modalità normale o provv? Va bene anche avira?)
rifaccio Hjt da normale...

Manca la scansione con F-Secure indicata al Punto 4 della presente Guida

Manca la scansione con F-Secure indicata al Punto 4 della presente Guida

Non ho la possibilità di collegarlo a una internet decentemente veloce in questa sede... scansione con avira non è significativa?

Non ho la possibilità di collegarlo a una internet decentemente veloce in questa sede... scansione con avira non è significativa?

alternativa Kaspersky removal tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

antivir era configurato come da guida?

A posto, ciao ;)

ovvia.. finalmente :D grazie mille!

ovvia.. finalmente :D grazie mille!

;)

alternativa Kaspersky removal tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

antivir era configurato come da guida?

Scusa ma non ho trovato indicazioni a proposito di avira antivir e della sua configurazione...

"Ultima modifica di Bugs Bunny : 14-10-2008 alle 21:12. Motivo: Rimossi virtumondobegone e sas. Aggiunto mbam in mod provvisoria."


La scansione con Anti-Malware la dovevo fare in modalità provvisoria?

Grazie comunque per il vostro grande aiuto!!

"Ultima modifica di Bugs Bunny : 14-10-2008 alle 21:12. Motivo: Rimossi virtumondobegone e sas. Aggiunto mbam in mod provvisoria."


La scansione con Anti-Malware la dovevo fare in modalità provvisoria?

Grazie comunque per il vostro grande aiuto!!

Ciao e benvenuto sul Forum devi semplicemente seguire la Guida in prima pagina (http://www.hwupgrade.it/forum/showthread.php?t=1603273), per quanto concerne la scansione con:

3) Fare una scansione con Malwarebytes anti malware:

la modalità provvisoria non è richiesta

la modalità provvisoria non è richiesta


Grazie Chill.

Ho preso questo maledettissimo trojan venerdì e sono dietro da allora nel tentativo di rimuoverlo, ho seguito la guida iniziale in ogni parte, ho fatto la scansione sia con F-Secure, con Kaspersky Virus Removal Tool e con ESET Online, ma alla fine se rifaccio una scansione con SUPERAntiSpyware mi trova sempre questo maledetto trojan, che naturalemente SUPERAntiSpyware non riesce ad eliminare.

Questo è il link del log fatto con HiJackThis:

http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Ho preso questo maledettissimo trojan venerdì e sono dietro da allora nel tentativo di rimuoverlo, ho seguito la guida iniziale in ogni parte, ho fatto la scansione sia con F-Secure, con Kaspersky Virus Removal Tool e con ESET Online, ma alla fine se rifaccio una scansione con SUPERAntiSpyware mi trova sempre questo maledetto trojan, che naturalemente SUPERAntiSpyware non riesce ad eliminare.

Questo è il link del log fatto con HiJackThis:

http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Ciao la Guida in prima pagina prevede oltre al Punto 1 e 2 il Punto 3 e 4 ovvero scansione con MBAM e F-Secure scansione online per poterti aiutare avremmo bisogno di vedere i log :)

Ciao la Guida in prima pagina prevede oltre al Punto 1 e 2 il Punto 3 e 4 ovvero scansione con MBAM e F-Secure scansione online per poterti aiutare avremmo bisogno di vedere i log :)

Grazie per la risposta, la procedura che ho adottato è la seguente:

Punto 1 - non c'era bisogno, ho sempre il registro di ripristino disattivato;
Punto 2 - Utilizzare ATF Cleaner fatto;
Punto 3 - Eseguita scansione con MBAM;
Punto 4 - Eseguita scansione con F-Secure, con Kaspersky Virus Removal Tool e con ESET Online.

Alla fine rifatta scansione con SUPERAntiSpyware e mi ritrova il trojan, a questo punto la guida dice che in caso non si sia riusciti a rimuoverlo allegare il log fatto con HiJackThis, non ho salvato nessun log effettuato con gli altri programmi, serve ?

Grazie per la risposta, la procedura che ho adottato è la seguente:

Punto 1 - non c'era bisogno, ho sempre il registro di ripristino disattivato;
Punto 2 - Utilizzare ATF Cleaner fatto;
Punto 3 - Eseguita scansione con MBAM;
Punto 4 - Eseguita scansione con F-Secure, con Kaspersky Virus Removal Tool e con ESET Online.

Alla fine rifatta scansione con SUPERAntiSpyware e mi ritrova il trojan, a questo punto la guida dice che in caso non si sia riusciti a rimuoverlo allegare il log fatto con HiJackThis, non ho salvato nessun log effettuato con gli altri programmi, serve ?

carica i log delle scansioni effettuate + un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Si servono, in quanto i log sono lo strumento per la risoluzione del problema, allega come indicato in Guida il log di SAS

Si servono, in quanto i log sono lo strumento per la risoluzione del problema, allega come indicato in Guida il log di SAS

Log di mbam:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di F-Secure:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di hijackthis:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di Combofix:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Come indicato sopra allega anche il log di SAS più un log del tool indicato al Punto 9 di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Come indicato sopra allega anche il log di SAS più un log del tool indicato al Punto 9 di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Scusa ma per SAS intendi F-Secure Online ?

Scusa ma per SAS intendi F-Secure Online ?

SUPERAntiSpyware

Log di mbam:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di F-Secure:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di hijackthis:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di Combofix:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)


O4 - HKLM\..\Run: [OS2_Monitor] "C:\Programmi\OLYMPUS\OLYMPUS Studio 2\FirstStart.exe" /OS
O4 - HKCU\..\Run: [OS2_Monitor] "C:\Programmi\OLYMPUS\OLYMPUS Studio 2\SMonitor.exe" -NoStart
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)


Fai start →Esegui → digita in sequenza

sc stop yksvc (invio)
sc delete yksvc (invio)

Questo e' il file log da controllare
grazie Chillout
http://www.mediafire.com/?mn1rqqzz2mg

Questo e' il file log da controllare
grazie Chillout
http://www.mediafire.com/?mn1rqqzz2mg

Perdona gli spostamenti ma si prosegue qui http://www.hwupgrade.it/forum/showthread.php?t=1915428 ho già provveduto a fornirti le istruzioni ;)

Lancia HiJackThis -> Clicca Do .....

Primo log:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Secondo log:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di MBAM:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di SAS:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di HiJackThis:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Log di Prevxcsi:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871

Solo che ho fatto una scoperta, cercando il log di SAS dentro la sua cartella ho scoperto questi file:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d9e04e75f6e8ebb871


Ho disinstallato SAS, cancellato la cartella e riscaricato e installato, adesso sta effettuando la scansione da qualche minuto e non ha trovato niente.

Puo essere che il worm aveva modificato l'exe di SAS.

Ho disinstallato SAS, cancellato la cartella e riscaricato e installato, adesso sta effettuando la scansione da qualche minuto e non ha trovato niente.

Puo essere che il worm aveva modificato l'exe di SAS.

Niente da fare, ha finito la scansione e non ha trovato niente, riavviato fatta una nuova scansione e ha trovato ancora il trojan.

Niente da fare, ha finito la scansione e non ha trovato niente, riavviato fatta una nuova scansione e ha trovato ancora il trojan.

Dal log che hai allegato si evince che non hai messo in quarantena le minacce rilevate, al termine della nuova scansione allega il log + nuovo log di HJT su Wikisend (http://wikisend.com/), grazie.

Dal log che hai allegato si evince che non hai messo in quarantena le minacce rilevate, al termine della nuova scansione allega il log + nuovo log di HJT su Wikisend (http://wikisend.com/), grazie.

Con tutti quelli che ho fatto, ho messo in rete l'unico in cui non ho messo in pratica le quarantene.

Log di stamattina:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d99d917e73f2bdd5b1c95965eaa7bc68bc


Log di oggi pomeriggio:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d99d917e73f2bdd5b1c95965eaa7bc68bc



Ma se faccio una nuovo installazione di windows su un altro disco, da quella installazione riesco a togliere questo maledettissimo trojan.

Ciao

Con tutti quelli che ho fatto, ho messo in rete l'unico in cui non ho messo in pratica le quarantene.

Log di stamattina:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d99d917e73f2bdd5b1c95965eaa7bc68bc


Log di oggi pomeriggio:
http://www.mediafire.com/?sharekey=29cd78c37a9f1526a0f2f20c509059d99d917e73f2bdd5b1c95965eaa7bc68bc



Ma se faccio una nuovo installazione di windows su un altro disco, da quella installazione riesco a togliere questo maledettissimo trojan.

Ciao

Io parlavo di SAS e tu hai allegato il log MBAM

Ciao a tutti e scusatemi il disturbo.

Un pò di tempo fà ho preso il virus Virtumonde. Ora sembra che vada tutto bene ma quando uso CCleaner a volte dopo un pò di tempo mi mostra questi log e quando gli elimino spariscono ma dopo un pò tornano:

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
C:\WINDOWS\system32\wbem\Logs\wmiprov.log

Purtroppo ho cercato in rete e non ho trovato nulla a riguardo non è che sapreste aiutarmi??

Scusatemi ancora per il disturbo e per la vostra disponibilità.

Ciao a tutti e scusatemi il disturbo.

Un pò di tempo fà ho preso il virus Virtumonde. Ora sembra che vada tutto bene ma quando uso CCleaner a volte dopo un pò di tempo mi mostra questi log e quando gli elimino spariscono ma dopo un pò tornano:

C:\WINDOWS\system32\wbem\Logs\wbemcore.log
C:\WINDOWS\system32\wbem\Logs\wmiprov.log

Purtroppo ho cercato in rete e non ho trovato nulla a riguardo non è che sapreste aiutarmi??

Scusatemi ancora per il disturbo e per la vostra disponibilità.

normali log di windows ;)

normali log di windows ;)

Scusami Wijimat stasera ho aggiornato Malware Byte è ho trovato una sorpresina. Mi potresti aiutare perfavore ti allego i log

Scusami Wijimat stasera ho aggiornato Malware Byte è ho trovato una sorpresina. Mi potresti aiutare perfavore ti allego i log

accodati qui e segui quanto già richiesto

http://www.hwupgrade.it/forum/showthread.php?t=1892308

Io parlavo di SAS e tu hai allegato il log MBAM

Ma il log di MBAM l'ho allegato a qualche post precedente, comunque ho risolto con un bel formattone.

Grazie a tutti a quelli che mi hanno dato aiuto.