PDA

View Full Version : [win XP] Non riesco a rimuovere in nessun modo un Dialer


marcelproust
09-01-2008, 09:48
Salve ragazzi, ho un problema che non riesco proprio a risolvere.
Quando Navigo utilizzando internet explorer, mi si aprono delle finiestre con pagine hard o dedicate a pubblicità di vario tipo (es, il pc è infetto scarica questo software etc.)
Questo mi succede solo quando navigo con explorer, non con rirefox ad esempio).
Ho provato diversi antivirus, ma quasi tutti non mi hanno rilevato nulla!!!
Solo Kapersky mi ha indicato che c'è qualcosa, ma non c'è alcun modo per eliminare la minaccia; in un report di questo antivirus mi indicano che è presente
questo dialer: not a virus- Porn-Dialer.Win32.EgroupDial.af
Ho provato anche spybot, ma mi dice che è tutto ok.
Non so proprio come risolvere il problema.
Io utilizzo windows Vista home premium 64bit.
Qualcuno può darmi una mano? Grazie infinite

murack83pa
09-01-2008, 10:00
ciao,
fai le scansioni con i programmi della la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta qui i log richiesti con la funzione allegati (rinomina prima il log in formato .txt) oppure li carichi sul sito www.zshare.net e copi qui il link x il download
a presto
ciao

marcelproust
09-01-2008, 12:06
Ho fatto la scansione online e e altre procedure richieste.
Se non ho capito male, devo allegare qui i file txt dei report?
Per ora allego quello della scansione online.. poi posterò gli altri.
Fatemi sapere, grazie infinite a tutti!!!

marcelproust
09-01-2008, 12:08
ecco l'altra scanzione. ho dovuto zipparla perchè il txt era troppo grande.

murack83pa
09-01-2008, 12:09
x favore, nn la zippare: caricala sul sito www.zshare.net e copia qui il link x il download
grazie della collaborazione
un altra cosa: sarebbe meglio, che seguissi la guida nell'ordine indicato....grazie

marcelproust
09-01-2008, 12:12
questo è il report dello scan con Hijakthis

murack83pa
09-01-2008, 12:14
un attimo
stai facendo un po di confuzione: quest'ultimo nn è il log di hiajckthis....

marcelproust
09-01-2008, 12:14
x favore, nn la zippare: caricala sul sito www.zshare.net e copia qui il link x il download
grazie della collaborazione
un altra cosa: sarebbe meglio, che seguissi la guida nell'ordine indicato....grazie



ok.. questo è il link della scansione

http://www.zshare.net/download/63372298ffcdaa/

pedonami per l'ordine sbagliato.

Manca ancora qualcosa da fare?

marcelproust
09-01-2008, 12:16
un attimo
stai facendo un po di confuzione: quest'ultimo nn è il log di hiajckthis....

ho eseguito queste istruzioni:

chi possiede "win Vista" deve seguire questa procedura: aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan".
nel log di questo programma potrebbero apparire dati riferiti a siti visitati, a files scaricati e altri dati legati alla navigazione su internet pertanto è discrezione dell'utente se rendere pubblico il log o tenerlo riservato per sè stessi


E il log che mi viene fuori è questo. Salvo il txt cosi com'è.. dove sbaglio?

murack83pa
09-01-2008, 12:24
ok, giusto
ricapitoliamo il tutto:
1- il ripristino configurazione sistema è disattivato? deve esserlo fino a che nn rimuoviamo l'infezione
2-scansione ads....ok, l'hai fatta
3- scansione asquared in deep scan, ha rilevato 2 file, li hai messi in quarantena?
4- devi fare la scansione con prevx csi e allega il log (vai su options e save log) questo programma nn rimuove nulla, quindi nn scaricare la versione a pagamento x rimuovere i file infetti
5-scansione on line, l'hai fatta e ha trovato lo stesso di asquared
6- da fare scansione con hijackthis
7- da fare scansione con gmer

x favore fai le scansioni in questo ordine
ciao

marcelproust
09-01-2008, 12:51
ok, giusto
ricapitoliamo il tutto:
1- il ripristino configurazione sistema è disattivato? deve esserlo fino a che nn rimuoviamo l'infezione
2-scansione ads....ok, l'hai fatta
3- scansione asquared in deep scan, ha rilevato 2 file, li hai messi in quarantena?
4- devi fare la scansione con prevx csi e allega il log (vai su options e save log) questo programma nn rimuove nulla, quindi nn scaricare la versione a pagamento x rimuovere i file infetti
5-scansione on line, l'hai fatta e ha trovato lo stesso di asquared
6- da fare scansione con hijackthis
7- da fare scansione con gmer

x favore fai le scansioni in questo ordine
ciao


1- Fatto, ripristino disattivato
2-ok
3- Messi in quarantena file indicati
4-Fatto, ecco il link dove è uppato: http://www.zshare.net/download/633793213dde3e/


5_ok

6-Fatto, ecco link : http://www.zshare.net/download/633798223f92f4/


7-Non riesco a far partire correttamente gmer, mi da un messaggio di errore nei driver. Forse incomptibile con vista premium a 64bit che ho installato.
Poi mi si apre una finestra del programma con diversi processi, ma non trovo assollutamente il tasto SCAN come indicato nella guida

murack83pa
09-01-2008, 13:05
allora
fixa (= cancella) questa voce ( che probabilmente era il virus)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

credo siano da fixare anche queste

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)


strano che gmer nn giri, dovrebbe girare su vista,
e fai una nuova scansione con hijackthis

edit:sto cercando un programma antirootkit x vista,alternativo a gmer...ripeto è sospetta sta cosa...

marcelproust
09-01-2008, 13:13
allora
fixa (= cancella) questa voce ( che probabilmente era il virus)


credo siano da fixare anche queste


strano che gmer nn giri, dovrebbe girare su vista,
e fai una nuova scansione con hijackthis

edit:sto cercando un programma antirootkit x vista,alternativo a gmer...ripeto è sospetta sta cosa...


devo andare manualmente sul percorso indicato C: etc, e cancellare manualmente il file?

murack83pa
09-01-2008, 13:14
no: rifai la scansione con hijackthis, selezioni le voci che ti ho indicato e clicca sul pulsante fixa (in basso) e poi riposta un nuovo log di hijackthis
riprova con gmer a fare la scansioni...al limite dalla modalità provvissoria

EDIT: questa voce
C:\Users\Proprietario\AppData\Local\mdcaafwvms.exe
fai analizzare quel file su www.virustotal.com
un altra cosa: scarica ccleaner (qui) (http://download.piriform.com/ccsetup201.exe) seguendo queste brevi indicazioni:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

marcelproust
09-01-2008, 13:30
no: rifai la scansione con hijackthis, selezioni le voci che ti ho indicato e clicca sul pulsante fixa (in basso) e poi riposta un nuovo log di hijackthis
riprova con gmer a fare la scansioni...al limite dalla modalità provvissoria

EDIT: questa voce

fai analizzare quel file su www.virustotal.com
un altra cosa: scarica ccleaner (qui) (http://download.piriform.com/ccsetup201.exe) seguendo queste brevi indicazioni:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


Ok.. ho eliminato le voci indicate.
Fatta nuova scansione... ecco il link dove l'ho uppata

http://www.zshare.net/download/63389044ba57fa/

marcelproust
09-01-2008, 13:38
scusa..EDIT questa voce che significa?
con quale programma la devo editare?

marcelproust
09-01-2008, 13:49
Analizzando il file con VIRUS total ho ottenuto questo risultato


http://www.virustotal.com/it/analisis/b6b589a4d926843cf430880be7c61a44

marcelproust
09-01-2008, 14:00
Fatta anche pulizia con Ccleaner.. tutto esattamente come da te indicato.
Unica cosa, all'ultimo passaggio mi indica questo messaggio:

Impossibile localizzare il file in esecuzione automatica riferito a: C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe. Questi riferimenti vengono spesso lasciati da disinstallazioni di software.

Soluzione: Cancella il Valore di Registro.


Per il resto mi da tutto ok, problemi riparati

murack83pa
09-01-2008, 14:09
cancella tutte le voci nella pulizia di registro
fai una scansione con Vir.IT eXplorer Lite (http://www.tgsoft.it/italy/download.htm) (necessita di connessione per l'aggiornamento) ed aspettare il termine del controllo della memoria per aggiornarlo.
gli oggetti individuati devono essere messi in quarantena, e posta qui il log

marcelproust
09-01-2008, 14:12
Quando provo a lanciare Gmer mi indica questo messaggio:

Warning !!!

Loaded Gmer's driver version is inompatible with the currently running GMER application. You need stop the driver with the command "net stop gmer" or restart your computer .



Poi clicco ok e mi parte Gmer con una serie di processi indicati nella prima scheda. Sotto Rootkit non compare nulla, che è la prima scheda che mi mostra..Sotto processes ci sono i vari processi.
Poi ho le varie cartelle Modules, Services, Autostart, rootkit, CMD, setting e log.
Su autostart c'è un tasto SCAN (sotto un tasto copy)
Se lo clicco mi si blocca il prog, non fa nulla. e quando chiudo vista mi avvisa che il programma non è installato correttamente

marcelproust
09-01-2008, 14:54
Ho riavviato il pc per rendere effettivo l'aggiornamento dell'ultimo antivirus che mi hai consigliato, e da ora sono iniziate di nuovo le finestre del solito dialer... con l'antivirus che mi indica la presenza del porndialer.
Prima quando avevo cancellato quello che mi hai detto avevano smesso di riapparire tali finestre.
Cmq ho effettuato la scansione con l'ultimo antivirus, ecco il risultato

http://www.zshare.net/download/6340982efb3e8b/

marcelproust
09-01-2008, 15:07
Forse non avevo tolto correttamente il rirpistino del sistema?
Ora dopo il riavvio è tornato come prima..

murack83pa
09-01-2008, 15:10
allora, il ripristino doveva essere tolto x prima cosa....
rifai la scansione con virit e poi con hijackthis e posta qui i log

marcelproust
09-01-2008, 15:11
In effetti ho rifatto con Hjack

e questa voce che avevo fixato:

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

è di nuovo presente

marcelproust
09-01-2008, 15:13
il nuovo log fatto hora con Hjack

http://www.zshare.net/download/63415236d8cf31/

marcelproust
09-01-2008, 15:15
la scansione con Virit è quella indicata prima:
http://www.zshare.net/download/6340982efb3e8b/

l'avevo fatta già dopo aver riavviato. Ho dovuto riavviare proprio perchè mi era stato chiesto al termine dell'aggiornamento di questo virus.

Riverside
09-01-2008, 15:16
Fermi tutti: perchè state facendo (tutti) parecchia confusione.
E, per favore, non installare né VirIt e neppure Gmer: non servono.
Ora ricontrollo tutti i log e ti farò sapere.

marcelproust
09-01-2008, 15:27
ok.. grazie a tutti per l'aiuto che mi state dando, non so davvero come ringraziarvi

Riverside
09-01-2008, 15:30
@ marcelproust ricomiciamo, tutto daccapo.
Devi seguire questa procedura, esattamente come te la descrivo:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

Scarica CCLEANER (richiede l’installazione)
clicca qui per il download (http://download.piriform.com/ccsetup203.exe)

Una volta installato, lancialo:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

scarica TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un activex: segui la procedura guidata.
allega il log che verrà rilasciato

Fatto questo, riavvia il sistema, poi:

scarica ed installa SUPER ANTISPYWARE (richiede l’installazione)
clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)

una volta installato:
● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

Poi, visto che hai già scaricato HIJACKTHIS prosegui in questo modo:

pulisci, prima di tutto, gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

e dopo:

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
allega il log che verrà rilasciato

Tutti i log che ti ho richiesto li alleghi, singolarmente e senza zipparli hostandoli su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link di ogni singolo log che verrà rilasciato per il download

P.S.: la scansione con Kaspersky online non serve a nulla: rilascia, semplicemente un Report di quello che viene rilevato ma non provvede alla sua rimozione.
Gli unici due scanner online che provvedono alla rimozione delle infezioni che vengono rilevate, sono quello di Bitdefenfer e quello di F-Secure.

Riverside
09-01-2008, 15:36
la scansione con Virit ..........
:muro: :ncomment:
Lasciamo perdere: esegui la procedura che ti ho indicato.

marcelproust
09-01-2008, 15:43
ho eseguito i primi punti

ho scaricato ed eseguito TRENDMICRO ROOTKIT BOOSTER ,
ma appena lo lancio mi dice che non va bene per il mio sistema a 64bit.
Io ho installato Vista home premium64 bit

murack83pa
09-01-2008, 15:44
grazie dell'intervento, sommo river :)
una cosa ( a titolo informativo): xchè ritieni che virit e gmer nn servano? il fatto che gmer abbia dei problemi nn è indice che c'è qualke rootkit?
un altra info: oltre gmer e booster(che ero sul punto di suggerigli), quali sono gli altri anti-rootkit che possono girare su vista?
spero di nn aver combinato io qualke problema all'utente: ho cercato di fargli seguire la guida...
ciao

Riverside
09-01-2008, 15:51
ho eseguito i primi punti ho scaricato ed eseguito TRENDMICRO ROOTKIT BOOSTER , ma appena lo lancio mi dice che non va bene per il mio sistema a 64bit. Io ho installato Vista home premium64 bit
Saltalo, non avevo letto che hai Vista.
Se servirà, troviamo una soluzione alternativa.

Chill-Out
09-01-2008, 15:55
Vista home premium64 bit

andiamo bene

marcelproust
09-01-2008, 15:56
mi da problemi anche con lo scan di bitdefender...
Scan faile.. could not check the computer for viruses.
Ho disattivato anche il firewall e l'antivirus prima di fa partire lo scan

marcelproust
09-01-2008, 15:59
niente ho provato varie volte.. non c'è modo di fare lo scan online con bitdefender

Riverside
09-01-2008, 16:03
...... una cosa ( a titolo informativo): xchè ritieni che virit e gmer nn servano?
una domada: hai mai installato ViriT? hai una mezza idea di cosa sia e cosa comporti, per un utente poco esperto la sua disinstallazione (sai quanta roba va a scrivere nel Registro di Sistema, che si deve rimuovere manualmente, dopo la normale procedura di disinstallazione)?
spero di nn aver combinato io qualke problema all'utente: ho cercato di fargli seguire la guida...
Infatti, tu non hai nessuna responsabilità.
Ed, a proposito, voglio, farti un esempio sciocco:
se torno a casa non riesco ad entrarci perchè ho perduto le chiavi del portone, ho due alternative:
1) sfondo la porta;
2) chiamo un fabbro;
escludendo la prima ipotesi (ovvero quella di fare più danni di quelli che effettivamente sono) percorro la seconda.
Ma se il fabbro a cui mi sono rivolto, al posto di aprirmi il portone di casa e sostituire, poi, il nottolino, si presenta con una mazza ed il portone me lo sfonda ..... ci sono diverse possibilità che io possa inc*****mi (e lo faresti anche tu).
Spero tu abbia colto il senso dell'esempio :)

murack83pa
09-01-2008, 16:12
io ho utilizzato piu volte virit e nn sapevo di queste conseguenze negative relative alla sua disinstallazione...
dall'esempio che hai fatto, sembra che installando virit si siano creati piu problemi di quelli che c'erano...è cosi?
ma se ha tali conseguenze, xchè metterlo nella guida?
credevo che nella guida c fossero dei programmi collaudati, che nn hanno controindicazioni....almeno nn di tale livello....

Riverside
09-01-2008, 16:17
...... dall'esempio che hai fatto, sembra che installando virit si siano creati piu problemi di quelli che c'erano...è cosi? ma se ha tali conseguenze, xchè metterlo nella guida? ......
Questa è una domanda che non devi rivolgere a me.

Riverside
09-01-2008, 16:20
mi da problemi anche con lo scan di bitdefender... ho disattivato anche il firewall e l'antivirus prima di fa partire lo scan
Eh certo, con Vista home premium 64 bit, possiamo anche chiudere qui il discorso.
Quasi tutti i programmi e tool solo incompatibili quindi siamo fermi.
Facciamo un tentativo: allega un log di Hthis per favore.

marcelproust
09-01-2008, 16:26
Ho usato superantispyware, e questo ha funzionato miracolosamente:

ecco il log

http://www.zshare.net/download/6343468906ea39/

marcelproust
09-01-2008, 16:33
ed ecco il nuovo log con Hjak

http://www.zshare.net/download/63436401b7ba49/

Riverside
09-01-2008, 16:37
Vediamo i log.
Ho usato superantispyware, e questo ha funzionato miracolosamente: ecco il log
Trovato poco o nulla.
ed ecco il nuovo log con Hjak

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Rilancia Htihs è fixa tutte le voci che ti indico in rosso (una volta fixate, riavvia il sistema):

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [diagnostics] "C:\Program Files (x86)/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:it

O4 - HKCU\..\Run: [mdcaafwvms] c:\users\proprietario\appdata\local\mdcaafwvms.exe mdcaafwvms

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files (x86)\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {49783ED4-258D-4f9f-BE11-137C18D3E543} - (no file)

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

Poi, svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

vedi se ti lascia installare CCleaner:

Scarica CCLEANER (richiede l’installazione)
clicca qui per il download (http://download.piriform.com/ccsetup203.exe)

Una volta installato, lancialo:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Al termine, allega un nuovo log di Hthis.

marcelproust
09-01-2008, 17:26
ok.. fatto tutto come richiesto.
Cancellati i file in rosso e riavviato il pc.
Svuotata la cartella prefetch.. comunque non facevo in tempo a eliminare le voci che già se ne formavano delle altre!!!!!non so se sia normale.
Fatta anche la pulizia con Ccleaner.

Ecco il nuovo log di Hjack

http://www.zshare.net/download/6344664d37b79b/

marcelproust
09-01-2008, 17:28
ho notato che le voci che mi hai detto di cancellare ora ci sono ancora

marcelproust
09-01-2008, 19:38
comunque ora non mi si aprono più le finestre di prima.. ma non capisco se sono ancora infetto oppure no

murack83pa
10-01-2008, 11:09
ciao
alcune voci nn ci sono piu...il fatto che nn ti compaiono piu finestre e cose varie è un buon segno
guarda questa voce che c'era prima

O4 - HKCU\..\Run: [mdcaafwvms] c:\users\proprietario\appdata\local\mdcaafwvms.exe mdcaafwvms
ora nn c'è piu....

queste voci servono x avere un avvio piu leggero e veloce di windows

O4 - HKLM\..\Run: [diagnostics] "C:\Program Files (x86)/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:it

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files (x86)\WinZip\WZQKPICK.EXE

c sono ancora...puoi fare cosi: vai su esegui, msconfgi,poi su avvio e deselezioni i programmi che nn usi spesso,cosi l'avvio è piu veloce


le altre voci,relative ai servizi, compaiono ancora, ma c dicono che i file necessari sono mancanti....io ti suggerirei di fare cosi:
vai in pannello di controllo,strumenti di amministrazione,servizi e controlla nell'elenco i servizi a cui si riferiscono quelle voci mancanti
xò, prima di farlo,aspetta qualke altro parere

marcelproust
10-01-2008, 12:06
non so come ringraziarti Murack, mi sei stato infinitamente d'aiuto.
Grazie di cuore anche a Riverside!!!!

marcelproust
10-01-2008, 12:09
scusa.. su vista dove trovo esegui, msconfig?
Quanto rimpiango il buon vecchi Xp :-)

Riverside
10-01-2008, 12:14
scusa.. su vista dove trovo esegui, msconfig?

La casella Cerca visualizzata nel menu Start in questa versione di Windows offre le stesse funzionalità del comando Esegui. Il comando Esegui è tuttavia disponibile nel caso in cui si desideri utilizzarlo. Per semplificare l'accesso, è possibile aggiungerlo al menu Start.
Per aggiungere il comando Esegui al menu Start
1. Per aprire Proprietà della barra delle applicazioni e del menu Start, fare clic sul pulsante Start, scegliere Pannello di controllo, Aspetto e personalizzazione e quindi Barra delle applicazioni e menu Start.
2. Selezionare la scheda Menu Start e quindi fare clic su Personalizza.
3. Nell'elenco delle opzioni per il menu Start selezionare la casella di controllo Comando Esegui e quindi fare clic su OK.
Il comando Esegui verrà visualizzato sul lato destro del menu Start.

Bastava una semplice ricerca su Google :)

Grazie di cuore anche a Riverside
Nno è che ci volesse un genio per risolvere una sciocchezza del genere; il fatto è che, spesso, vi fate prendere dalla foga, non ragionate con la vostra testa e, cosa ancor peggiore, non avete voglia di leggere e fare una semplice ricerca (vedi questione Comando Esegui, per esempio).

marcelproust
10-01-2008, 12:20
Bastava una semplice ricerca su Google :)


hai ragione River :-) cmq grazie ancora

marcelproust
10-01-2008, 12:23
scusa se ti disturbo ancora.
Ho notato che sotto la scheda avvio sono segnate diverse voci, tra le quali per citarne alcune winxip, itunes, etc.
Questi programmi vengono caricati all'avvio?
è necessario che siano caricati all'avvio affinche possano funzionare, oppure posso disattivarli e farli partire solo quando serve?

murack83pa
10-01-2008, 12:45
dipende da che programmi sono e che utilizzo ne fai
itunes ad esempio, è un programma di gestione dei file musicali, io lo usavo quando avevo l'ipod e solo x quello, quindi l'ho disabilitato all'avvio e lo aprivo solo x caricare la musica nell'ipod....
acrobat parte in avvio, office pure, ma se nn ti servono cosi spesso, puoi disabilitarli
infine, un programma come l'antivirus o firewall, o un antispyware, è necessario che partono in avvio.....

generalmente è specificato se quel programma necessità di partire all'avvio,
se ,ad esempio, durante l'installazione il setup ti chiede se farlo o meno partire all'avvio, generelmente vuol dire che l'avvio automatico è un opzione, quindi nn è necessario, è una tua scelta....

marcelproust
12-01-2008, 11:33
Ora il pc è perfettamente a posto, il dialer non mi da più alcun tipo di problemi.
Ringrazio ancora tutti gli utenti che mi hanno aiutato.
Un ultima cosa volevo chiedervi, cosa mi consigliate per proteggere al meglio il mio computer?
Quali sono i migliori antivirus, gratuiti o a pagamento, da installare assolutamente?
Prima avevo solo Avast (gratuito) come antivirus.
Ora ho installato Kaspersky (versione prova per 30 giorni). Al termine dei 30 giorni mi conviene acquistare questo antivirus? Oppure il classico Norton?
Esistono antivirus gratuiti che lavorano bene come questi?
Grazie ancora

murack83pa
12-01-2008, 11:56
ti consiglio questi programmi:

1- come antivirus, puoi installare avira free, che è quasi allo stesso livello di kaspersky e nod 32.....cmq è il migliore antivirus free: http://www.free-av.com

2-devi avere dei programmi antispyware: ti consiglio Superantispyware (http://www.hwupgrade.it/forum/showthread.php?t=1567399) ( è linkato la guida e il sito x il download) da affiancare ad asquared 3.0 free (http://www.emsisoft.com/it/software/download/) ( questa è la guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958))

3- un buon firewall: Comodo, è free, ti consiglio la 2.4 ( questa è la guida (http://www.hwupgrade.it/forum/showthread.php?t=1181836))

4- cosa importantisssima: il cervello.....;)

ciao

marcelproust
12-01-2008, 15:48
Superantispyware e Asquared devo installarli e lasciarli attivi entrambi contemporaneamente? Oppure servono solo per scansionare il sistema in caso di infezione?
Per il firewall devo disattivare quello di windos prima di installare Comodo?

murack83pa
12-01-2008, 15:54
superantispyware e asquared sono 2 programmi con cui fare delle scansioni a comando, periodiche
quando installi comodo, il centro sicurezza pc dovrebbe rilevarlo e automaticamente disattivare quello di windows

stai attento ad installare avira: dopo aver disinstallato il nod, fai una pulizia completa di tutto (anche del registro) con ccleaner, e poi riavvia, ok?
dopo aver riavviato, puoi installare avira

ciao

marcelproust
13-01-2008, 10:40
Quindi superanti spyware e asquared non danno una protezione anti pyware in tempo reale, ma servono solo periodicamente a scansionare il sistema?
Li posso quindi installare solo quando devo fare scansioni?
Mi basta tenere Avira e il firewall attivato per scongiurare il più possibile le minacce?

grazie di tutto

murack83pa
13-01-2008, 12:31
allora ti conviene avere un antispyware con protezione realtime:
ti consiglio spyware terminator oppure ti compri la versione a pagamento di uno dei due programmi qui sopra (nb: 1 solo antivirus, 1 solo programma antispyware con realtime)

superantispyware e asquared nn li devi disinstallare, cosa intendi tu x periodiche? una volta a mese? io intendo una volta a settimana, e te lo consiglio
senza contare che con asquared puoi fare scansionare i singoli file che scarichi, il che è una cosa molto importante, nn ti puoi fermare all'antivirus (cmq credo che anche superantispyware lo faccia, anche se credo c sia un procedimento particolare x questa funzione che nn mi ricordo...)

un altra cosa: ti consiglio di utilizzare firefox oppure opera, i 2 migliori browser in circolazione che evitano tanti casini, io uso firefox utilizzando l'estensioni adblock e noscript, x maggiore info esiste in "guida all'uso dei programmi" un 3d dedicato a firefox e a opera

esiste il 3d "configurazione di sicurezza" x maggiori info, qui (http://www.hwupgrade.it/forum/showthread.php?t=1476319)

ciao ciao

marcelproust
17-05-2008, 13:24
Ciao ragazzi.. recupero questo tread che avevo aperto qualche mese fa perchè ho un altro problema simile. Da un po' di giorni mentre navigomi si aprono delle finestre di internet explorer che mi mostrano pubblicità varie, di casinò online, antivirus e vari software. A volte succede anche quando non sto navigando.. sono connesso e si aprono delle pagine di explorer. Ho provato a fare una scansione con l'avira ma nulla di fatto.
Ora proverò a fare questa procedure indicatami da riverside:



@ marcelproust ricomiciamo, tutto daccapo.
Devi seguire questa procedura, esattamente come te la descrivo:

Disabilita il Ripristino configurazione di sistema procedendo in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve rimanere disabilitato fino a quando non sarà risolto il problema esposto

Svuota il contenuto della cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows
● aprila ed, al suo interno, cerca la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno
mi raccomando, non eliminare la cartella

Scarica CCLEANER (richiede l’installazione)
clicca qui per il download

Una volta installato, lancialo:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

scarica TRENDMICRO ROOTKIT BOOSTER (non richiede l’installazione)
clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
allega il log salvato

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un activex: segui la procedura guidata.
allega il log che verrà rilasciato

Fatto questo, riavvia il sistema, poi:

scarica ed installa SUPER ANTISPYWARE (richiede l’installazione)
clicca qui per il download

una volta installato:
● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

Poi, visto che hai già scaricato HIJACKTHIS prosegui in questo modo:

pulisci, prima di tutto, gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

e dopo:

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
allega il log che verrà rilasciato

Tutti i log che ti ho richiesto li alleghi, singolarmente e senza zipparli hostandoli su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link di ogni singolo log che verrà rilasciato per il download





Poi vi incollerò i risultati... è un problema che si potrà risolvere tranquillamente?
Grazie

xcdegasp
17-05-2008, 14:36
riverside non potrà aiutarti quindi segui la semplice procedura descritta nella Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737), rispettando l'ordine nel'esecuzione e pubblicando tutti i log usando uno dei metodi censiti nelle Regole di Sezione. :)

marcelproust
17-05-2008, 15:09
ho letto solo ora che non c'è riverside.
Comunque ho eseguito per il momento le sue indicazioni.. vi allego i log.

ditemi se può bastare questo oppure devo eseguire altre operazioni.

Per prima cosa ho pulito con Cclenear e svuotato la carella prefetch.
Ho eseguito la scansione con Bit defender online. Non mi ha rilevato nulla. purtroppo non ho potuto salvare il log, perchè quando ho cercato di salvarlo il programma si è bloccato ed ho dovuto terminare l'operazione.

Ora incollo gli altri log

marcelproust
17-05-2008, 15:12
log RootKit:

http://www.zshare.net/download/121614829912dc10/

Log SuperAntiSpyware

http://www.zshare.net/download/121615083abd2dd5/


Log Hjjackthis

http://www.zshare.net/download/12161543616c38c6/

xcdegasp
17-05-2008, 15:45
susperantispyware:

Adware.Casino Games (Golden Palace Casino)
C:\POKER\TITAN POKER\CASINO.EXE
C:\DOCUMENTS AND SETTINGS\ALL USERS\DESKTOP\TITAN POKER.LNK
C:\DOCUMENTS AND SETTINGS\ALL USERS\MENU AVVIO\PROGRAMMI\TITAN POKER\TITAN POKER.LNK
C:\DOCUMENTS AND SETTINGS\ALL USERS\MENU AVVIO\TITAN POKER.LNK
C:\DOCUMENTS AND SETTINGS\RENATO\DATI APPLICAZIONI\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\TITAN POKER.LNK


fixa:
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-796845957-813497703-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-21-796845957-813497703-839522115-1004\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'postgres')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmi\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\PartyGaming\PartyPoker\RunApp.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programmi\PostgreSQL\8.3\bin\pg_ctl.exe

marcelproust
17-05-2008, 16:00
ok. ho fixato i file indicati

marcelproust
17-05-2008, 16:05
Ora ho riavviato, dopo aver fixato con Hjak i file che mi hai indicato.
Cosa devo fare con l'antispyware? Devo eliminare i file indicati?

xcdegasp
17-05-2008, 16:56
basta la quarantena..
per il resto non so che dire vista la scarsità di dati :)

marcelproust
17-05-2008, 17:12
Ora provo ad effettuare tutti i 10 passi della guida che mi hai indicato allegando i vari log...

marcelproust
17-05-2008, 18:01
Ho eseguito i passi che , ma non sono riuscito a portarli a termine tutti.

Log Di Asquared : (ho messo in quarantena i file che mi ha indicato)

http://www.zshare.net/download/12167202ae66bba7/


F SECURE online:

http://www.zshare.net/download/1216723456de5bd9/

DRweb cure : non sono riuscito in nessun modo a scaricarlo. Il link postato sulla guida mi rimanda ad una pagina non trovata


SYsInspector log:

http://www.zshare.net/download/12167409b4f967fd/

Hjack log: (ho crato un nuovo log dopo aver fixato i file che mi hai indicato prima)

http://www.zshare.net/download/121674685ca21389/


GMER log: in rosso sono state indicate le ultime due voci:

Library C:\Programmi\SUPERAntiSpyware\SASSEH.DLL (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [604] 0x10000000
Library C:\Programmi\SUPERAntiSpyware\SASWINLO.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [752] 0x10000000


http://www.zshare.net/download/1216754179b3555b/


PREVxCSI:

Non sono riuscito in nessun modo ad ottenere un log. faccio la scansione, mi trova un oggetto ma mi chiede di comprare la licenza per eliminarlo.


Comunque il problema al momento persiste.. ogni tanto mi si apre una pagine explorer con pubblicità varie, chat, casinò online, antivirus etc. Ogni volta che spengo il pc, mi viene fuori un messaggio che un'applicazione deve essere terminata.. forse questa centra con il mio problema. per quindere devo quindi cliccare su "termina subito", e mi termina questa ignota applicazione.

wjmat
17-05-2008, 18:42
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet -> Chiudi ogni altra finestra o programma
Lancialo-> Aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare-> Digita 1-> Attendi la scansione evitando di fare qualsiasi altra operazione -> Dai conferma nel caso ti chieda di rimuovere alcuni driver -> Al termine verrà mostrato il log che si trova in C:\ComboFix.txt.-> Caricalo secondo le modalità

x PrevxCSI
a fine scansione clickare sull'icona di prevxCSI nella traybar (affianco all'orologio di windows) con il tasto destro del mouse e selezionare la funzione "View the result of your last scan online" (= guarda il risultato dell'ultima scansione online), si aprirà il browser quindi copiare l'url della pagina visualizzata e pubblicarlo
oppure foto allo schermo con tasto stam incolli in pain e salvi l'immagini in jpg

xcdegasp
17-05-2008, 19:04
evitiamo il ComboFix, grazie :)

dr web è a questo indirizzo: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

marcelproust
17-05-2008, 19:14
non ho fatto in tempo di leggere l'ultimo mess, ed ho usato il combofix... ecco il log:

http://www.zshare.net/download/12170757392a516b/

Come mai è meglio evitarlo?
Cmq grazie ragazzi, mi state dando davvero una mano .. non so come ringraziarvi

xcdegasp
17-05-2008, 19:24
riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto.

Fixa:
O4 - HKCU\..\Run: [auhdwjd] c:\documents and settings\renato\impostazioni locali\dati applicazioni\auhdwjd.exe auhdwjd

rifammi il log hijackthis per cortesia dopo :)

xcdegasp
17-05-2008, 19:30
quel file è stato rimosso da ComboFix :)
se mi rifai un altro log hijackthis possiamo andare avanti

marcelproust
17-05-2008, 19:48
eccomi scusa... faccio subito il logo e te lo incollo.. due minuti e arriva

marcelproust
17-05-2008, 19:50
Eccolo:

http://www.zshare.net/download/121721170a449fd1/

marcelproust
17-05-2008, 19:56
nel frattempo ho scaricato Drweb e ho fatto partire la scansione. Non sono riuscito ad ottenere un log, però con la scansione non ha rilevato nulla.

xcdegasp
17-05-2008, 22:38
Fixa:

O4 - HKCU\..\Run: [swg]


non mi torna che HiJackThis non ti rilevi una doppia riga contenente:
127.0.0.1 mpa.one.microsoft.com

quindi vai in C:\WINDOWS\system32\drivers\etc e apri con il notepad il file "HOSTS" e rimuovi la riga che ti ho riportato sopra :)

marcelproust
17-05-2008, 23:07
ok, ho fixato quella riga...
Sono andato su windows/system32...... ho trovato il file hosts e l'ho aperto con il notepad, ma contiene solo una riga e non è quella indicata da te

marcelproust
17-05-2008, 23:17
Comunque, ora il problema dovrebbe essere risolto? Per il momento non mi si aprono più pagine strane di explorer...

xcdegasp
18-05-2008, 11:49
e allora sarà stato rimosso da qualche programma dopo che hai fatto girare SySInspector :)
aggiorna windows e poi vai al sito http://secunia.com/software_inspector/ scansiona online il tuo pc, al termine mostrerà i software che eventualmente sono obsoleti :)

marcelproust
18-05-2008, 12:31
ok grazie infinite, mi sei stato davvero d'aiuto.
Ora non mi si apre più nessuna pagina strana...
adesso aggiorno Xp, poi faccio il controllo che mi hai indicato

marcelproust
18-05-2008, 12:48
ho fatto come hai detto tu.. mi indica un paio di programmi che sono a rischio per la sicurezza.. tra i quali quick time (sto gia scaricando la versione nuova), firefox mozilla (io però uso sempre internet explorer) e winzip. Ho una versione 8.x di winzip, e mi consigliano di scaricare la 11. é un problema per la sicurezza se lascio la versione 8 di winzip?

marcelproust
18-05-2008, 12:58
ok.. ho installato i vari programmi che dovevano essere aggiornati, ed ora secunia inspector mi dice che è tutto ok.
Io uso l'avira antivir free e il firewall di windows.. sono troppo esposto a rischi con queste protezione? Cosa mi consigli di utilizzare? Devo per forza procurarmi un antivirus a pagamento tipo norton per evitare quello che mi è già successo, oppure posso essere sicuro anche con antivirus free?

wjmat
18-05-2008, 13:19
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

xcdegasp
18-05-2008, 13:52
sostituisci winZIP con uno dei programmi free come ZipGenius o 7Zip o PeaZip, che oltre a supportare archivi ZIP supportano altri innumerevoli formati tra cui Rar e Ace..
WinZip/WinRar è illegale usarlo oltre al periodo di prova anche se il programma stesso non ne impedisce l'uso ;)

abituati a usare Firefox, visto che già lo hai installato, con le estensioni NoScript e AdBlockPlus perchè è tramite il browser che eviti il maggior numero di danni :)

per visionare e avere disponibili ulteriori programmi free che non fanno rimpiangere i corrispettivi programmi a pagamento puoi far fede a questo thread:
Tutto Freeware/Opensource: Elenco Utility (http://www.hwupgrade.it/forum/showthread.php?t=668898)

per il resto trovi tutto sul thread che ha indicato wjmat :)

scimo
18-05-2008, 19:09
ciao raga ho due problemi:muro: 1 non riesco a creare un nuovo trhead (visto ke nn riesco a trovare uno ke fa al caso mio) 2(e qui inizia il bello) qualke giorno fà ho installato freenet:cry: (senza sapere cosa fosse:doh:) e visto ke mi si era impiantato nel browser (firefox) l'ho disinstallato, e qui nascono i miei problemi, inannzitutto quando apro firefox mi dice ke ce già un processo attivo e che devo o riavviare il pc o chiudere il processo, ho fatto entrambe le cose e nn si è aperto(anke perke il processo in taskmanager non c'era:mbe: ) e poi mi si è riempito di virus,vermi trojan e dialup.
Ho provato ad eseguire la guida ed ora posto i risultati
Vi prego datemi una mano senno le mie cugine mi uccidono :) :help: :help: :help:

scimo
18-05-2008, 19:25
ciao raga ho due problemi:muro: 1 non riesco a creare un nuovo trhead (visto ke nn riesco a trovare uno ke fa al caso mio) 2(e qui inizia il bello) qualke giorno fà ho installato freenet:cry: (senza sapere cosa fosse:doh:) e visto ke mi si era impiantato nel browser (firefox) l'ho disinstallato, e qui nascono i miei problemi, inannzitutto quando apro firefox mi dice ke ce già un processo attivo e che devo o riavviare il pc o chiudere il processo, ho fatto entrambe le cose e nn si è aperto(anke perke il processo in taskmanager non c'era:mbe: ) e poi mi si è riempito di virus,vermi trojan e dialup.
Ho provato ad eseguire la guida ed ora posto i risultati
Vi prego datemi una mano senno le mie cugine mi uccidono :) :help: :help: :help:
(link per sysinspector)
http://www.zshare.net/download/12216908540027ed/

scimo
18-05-2008, 19:42
questo ke allego è il log di antivir

wjmat
18-05-2008, 23:27
Dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI

xcdegasp
19-05-2008, 10:36
i log fatti alla rinfusa fanno solo perdere tempo a tutti quanti, compreso a te :)

scimo
23-05-2008, 16:58
allora questi sono tutti i log richiesti c'ho messo un po' per via di firefox che non mi si apre ma alla fine ci sono riuscito
spero ke possiate darmi una mano



log dr.web

RegUBP2b-Simone.reg;C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Cancellato.;
SysInspector-SIMONE-F41DCMAT-080517-2117.xml;C:\Documents and Settings\Simone\Desktop;Probabile BATCH.Virus;;

log sysinspector

[http://www.zshare.net/download/12216908540027ed/]

log gmer

gmerlog.txt - 0.01MB (http://www.zshare.net/download/124666067c98141a/)

log prevxcsi

http://csia0.prevx.com/individualcsiresultsplus.asp?ano=194477071&LICVERIFIER=1CAA2794-13AD-4B31-9628-63997EE1351D&Opt=S&AGENTPROFILE=CSIPLUS&CMD=LSR

spero di aver fatto tutto giusto :)

wjmat
23-05-2008, 17:08
Ciao un pò di schifezze sono state tolte, ora devi guardare qui (http://www.hwupgrade.it/forum/showthread.php?t=1603273) la guida per la rimozione di Vundo e posta in quella discussone tutti i log richiesti secondo le modalità, perchè è stata trovata questa infezione.

I log pesanti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
zshare mi sta un pò....

ccleaner l'avevi usato?

scimo
30-05-2008, 23:15
grazie wjmat per l'aiuto, dovrei( il condizionale è d'obbligo :D ) aver pulito tutto però mi è rimasto un problema, non riesco ad aprire firefox
ti spiego, quando provo ad aprirlo mi compare una finestra in cui mi dice che è già avviato ma non risponde e quindi dovrei prima chiudere il processo o riavviare il pc, ovviamente ho fatto entrambe le cose ma.......:muro: :muro: :muro:
che cosa può essere???
p.s. gmer mi ha rilevato questo
---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----

secondo te è un rootkit??

wjmat
31-05-2008, 00:10
ciao erano state trovate traccie di vundo e da sysinspector vedo ancora qualcosa, passa http://www.hwupgrade.it/forum/showthread.php?t=1603273
ed esegui le scansioni che non hai già fatto qui e posta di la i log