Da non credere.....vi ricordate un paio di giorni fà ho seguita la procedura descritta nella guida alla disinfezione dai virus vi ho poststo i log e sembrava tutto a posto.

Ricordate vi segnalai quel virus:

W32/dialer.BYHC

Bene.....lo stronzo mi si è ripresentato 5 min. fà, F-secure lo ha scovato, ma stvolta in una posizione diversa.Infatti prima sto virus si trovava nella cartella impostazioni locali/temp/1481779394, mentre adesso F-secure l'ha beccato nella cartella impostazioni locali/temp/1315891128........

Come mi devo comportare???Ripeto tutto il processo di disinfezione della guida del forum oppure sto tranquillo così visto che l'antivirus lo ha trovato e messo in quarantena???

Ragazzi help me please......:muro:

di nuovoo?? :confused:

forse è inutile chiedertelo: ma il ripristino configurazione sistema è rimasto disattivato fin dall'inizio?

posta un nuovo log di hijackthis e una nuova scansione con prevx csi e vediamo

ovviamente: il ripristino disattivalo finchè nn chiariamo la situazione

Incredibile allora c'era qualcosa di grave prevx ha trovato dei trojan come è possibile???Avevamo controllato insieme i file.....aiuto!!!

hijackthis:
http://www.fileup.itadib.com/download.php?id=Mv5b5OHksgGfmJNAc2BJ

prevx:
http://www.fileup.itadib.com/download.php?id=BeQqVW5rkUBxuT6J3SNf

Allega tutti i log anche quelli mancanti in un'unico post dopodichè procediamo

Incredibile allora c'era qualcosa di grave prevx ha trovato dei trojan come è possibile???Avevamo controllato insieme i file.....aiuto!!!

hijackthis:
http://www.fileup.itadib.com/download.php?id=Mv5b5OHksgGfmJNAc2BJ

prevx:
http://www.fileup.itadib.com/download.php?id=BeQqVW5rkUBxuT6J3SNf

quasi sicuramente sei infetto da obfuscated

scarica questo tool: DOWNLOAD (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)

una volta scaricato, avvialo, premi invio e lo lasci lavorare

al termine spunterà il report: postalo qui

Oltre a quanto ti è già stato detto è utile se fai fare una scansione su www.virustotal.com di: C:\MaDE.exe e C:\magma2.exe

posto il link del 3d che l'utente aveva già aperto 2 giorni fa x comodità a chi da assistenza:

http://www.hwupgrade.it/forum/showthread.php?t=1662032

Oltre a quanto ti è già stato detto è utile se fai fare una scansione su www.virustotal.com di: C:\MaDE.exe e C:\magma2.exe

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

Ecco il rapporto.....mi sa che questa volta dovrò formattare....

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

Sì è un gioco di carte....

Ecco il rapporto.....mi sa che questa volta dovrò formattare....

che te la tiri da solo, vedrai che si risolve, certo che tu hai una bella calamita :D

Nuz mi sono già passati per le mani si riferiscono ad un gioco di carte se non vado errato

Ok, a parte il nome avevo notato che Prevx CSI li da come sospetti.

Sì è un gioco di carte....

ora ti scrivo lo script

lo dico x gli altri: cosi nn siamo in 5 a fare la stessa cosa

ovviamente: poi date un occhiate pure voi :D

ora ti scrivo lo script

lo dico x gli altri: cosi nn siamo in 5 a fare la stessa cosa

scrivi scrivi io mi faccio due @@ con questi script :D

scarica avenger: DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip) (disattiva momentaneamente l'antivirus)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):


files to move:

F:\WINDOWS\bak\SiSUSBrg.exe | F:\WINDOWS\SiSUSBrg.exe

F:\WINDOWS\bak\vVX1000.exe | F:\WINDOWS\vVX1000.exe

F:\Programmi\Microsoft LifeCam\bak\LifeExp.exe | F:\Programmi\Microsoft LifeCam\LifeExp.exe

F:\Programmi\QuickTime\bak\QTTask.exe | F:\Programmi\QuickTime\QTTask.exe

F:\WINDOWS\system32\bak\ctfmon.exe | F:\WINDOWS\system32\ctfmon.exe

F:\WINDOWS\system32\bak\NeroCheck.exe | F:\WINDOWS\system32\NeroCheck.exe

F:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe | F:\Programmi\Analog Devices\SoundMAX\SMTray.exe

F:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | F:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

F:\Programmi\F-Secure Internet Security\Common\bak\FSM32.EXE | F:\Programmi\F-Secure Internet Security\Common\FSM32.EXE

F:\Programmi\F-Secure Internet Security\FSGUI\bak\TNBUtil.exe | F:\Programmi\F-Secure Internet Security\FSGUI\TNBUtil.exe

F:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb06.exe | F:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe



Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

rifai girare findawf e posta qui un nuovo log

poi devi assolutamente aggiornare internet explorer, ma questo c pensiamo dopo

Eccoli

Eccoli

fixa queste voci in hijackthis:


F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)


Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

è molto importante che fai pulizia,
riavvia il pc poi nuovo log di hijackthis e di prevx csi

F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non lo trovo questo....

F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non lo trovo questo....

Avenger

Files to delete:
F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

per fissare questi:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

li spunto e uso il tasto "fix checked"

ma questo: F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non ho ben capito dove lo trovo e come lo fisso

per fissare questi:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

li spunto e uso il tasto "fix checked"

ma questo: F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non ho ben capito dove lo trovo e come lo fisso


se compare nell'elenco lo fixi, altrimenti no....nn puoi fixare qualkosa che nn c'è :D

poi utilizza avenger come ti ha indicato chill

per fissare questi:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

li spunto e uso il tasto "fix checked"

ma questo: F:\DOCUME~1\Giggigno\IMPOST~1\Temp\1789393444.exe

non ho ben capito dove lo trovo e come lo fisso

http://www.hwupgrade.it/forum/showpost.php?p=20792009&postcount=19 :O

M che strano adesso prevx non ha trovato niente mentre prima 10 trojan.....ma che sta succedendo???

http://www.fileup.itadib.com/download.php?id=B4RbvWdCuaQrO0AmSknG

:sbonk:

:help: :wtf:

:help: :wtf:

quello che ti trovava prevx era dovuto ad un particolare trojan obfuscated che sostituisce i programmi con exe infetti...

ora leggo il log di hijackthis

Apri HJT e fixa questa voce:

O4 - HKLM\..\Run: [QuickTime Task] "F:\Programmi\QuickTime\QTTask.exe" -atboottime

Poi aggiorna Internet Explorer alla versione 7.

come faccio ad aggiornare explorer alla versione 7???

http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it

ok, mi sembra tutto pulito

devi assolutamente aggiornare internet explorer, anche se nn lo usi:
DOWNLOAD (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

puoi fixare queste voci inutili:


O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "F:\Programmi\QuickTime\QTTask.exe" -atboottime


notte

edit: preceduto da nuz...buona notte nuz, io vado a letto che già è tardi..ciao

edit: preceduto da nuz...buona notte nuz, io vado a letto che già è tardi..ciao

Sono d'accordo. Meglio andare a :ronf:

Notte ragazzi ci vediamo domani dopo il lavoro verso le 16:00

Ciao a tutti sto facendo una scappata dal lavoro per il fatto di scaricare iternet explorer 7 ho un problema......

La mia copia di windows non è genuina!!!

Come posso fare???

E poi secondo voi dopo gli interventi di ieri avrò risolto oppure l'obfuscated è ancora lì nascosto da qualche parte???

IE7 lo puoi scaricare anche se la tua copia e farlocca

:p

Ragazzi scusate sono passato a explorer 7 ma quando imposto come pagina di apertura predefinita google mi da sempre errore....sapete il perchè???Se dopo digi to google.it mi fa andare nella pagina ma quando la imposto come pagina iniziale non me la apre......:mc:

Ecco cosa apre al posto di google:

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://runonce.msn.com/runonce2.aspx

The following error was encountered:

Unable to forward this request at this time.
Footprint 4.1/FPMCP