Ciao a tutti! Ho un problema con uno spyware dal nome TODO.exe; in un'altra discussione si è detto che viene ricollegato con registrar.exe etc... io questo spyware lo posso tenere a bada col mio Zone Alarm, ma tuttavia è ben comprensibile come anch'io desideri sbarazzarmene al più presto.

Ho seguito le istruzioni rilasciate fedelmente, ma SDFix in provvisoria non ha rilevato nulla, e HJT non fixa smvss.exe.

Che fare?

Inoltre, mi vengono dei dubbi: per far lavorare SDFix in provvisoria, mi sono loggato come administrator, è giusto? O devo loggarmi diversamente? Inoltre, come si fa a fixare quel file? Se lo cerco con HJT, mi dice che non è un file LOG valido. Dunque? Ripeto, neanche SDFix ha trovato nulla in provvisoria, e il report segnala "No Trojan Files Found". Aiuto, per favore! Il log di gmer non riesco a caricarlo, mi dà errore, non essendo supportato, e ve lo invio come file .txt

ciao,segui queste istruzioni(ogni passo è importante):

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

NB:è importante utilizzare CCLEANER nelle modalità su indicate

3-segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737), esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

NB: Il ripristino configurazione sistema è fondamentale che sia disattivato,altrimenti la procedura è totalmente inutile

precisazioni sui programmi della guida: PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, chiudi la finestra di dialogo, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log (il rapporto di scansione)

come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

riguardo infine ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

CCleaner ce l'ho, i ripristini sono disattivati. Grazie per la vostra attenzione, domani eseguo le tappe e vi farò sapere in mattinata (non risiedo in Italia e da me è notte fonda). Grazie ancora.

Nella scasione di ADS appaiono però cose troppo personali, come indirizzi e-mail di familiari...devo proprio rendere pubblici certi dati?

Nella scasione di ADS appaiono però cose troppo personali, come indirizzi e-mail di familiari...devo proprio rendere pubblici certi dati?

no.... cancella e basta ;)

Ho fatto le scansioni, tranne quella online di bitdefender (ogni 2-3 ore qua ci sono dei piccoli black-out, che disabilitano la connessione ad internet per alcuni secondi, a sufficienza per bloccare le scansioni lunghe :cry: ) Ad ogni modo, ho 4 log da mostrarvi, spero siano sufficienti. Ho eliminato (o quarantenato, secondo le vostre istruzioni) alcuni problemi, ma credo che quel balordo di TODO ancora ci sia. :cry:

Ho eseguito le scansioni, tranne quella con bitdefender, pioché qua, a parte la connessione lenta che rallenta le cose, ho il problema dei mini black-out che invalidano la connessione per alcuni secondi, bloccando ogni operazione troppo lunga (per i download grandi, ho dovuto installare un tool di memorizzazione e ripresa dei download :cry: ) Ho quarantenato alcune infezioni che a-squared mi ha indicato, ma quel balordo di TODO ancora è presente. Ho 4 log da mostrare, spero siano sufficienti. Ciao!

http://www.fileup.itadib.com/download.php?id=yfypVGWBZhJZYVxFhg89

http://www.fileup.itadib.com/download.php?id=1ZfyBV3YmVeCQ69PQJw8

http://www.fileup.itadib.com/download.php?id=iBhn3LeflhJWorq6nnnn

http://www.fileup.itadib.com/download.php?id=BWlKT64rzJIWpauvvlKq

sei infetto dal vundu:
http://www.hwupgrade.it/forum/showthread.php?t=1603273

quindi segui la procedura descritta nel primo post di quel thread e vedrai che riotterrai il pc funzionante ;)

Allora, ho brutte notizie.

Il malware non è Vundo, perché nessuna delle scansioni in provvisoria ha trovato nulla (proprio nulla!!); l'unico che ha trovato qualcosa è CSI, ma come sapete non posso fare niente, perché mi invita ad acquistare la licenza per eliminare il file.

Presento i log, e faccio notare che alcuni programmi non ne hanno creati, in quanto la scansione ha dato esito negativo.

Quel maledetto TODO.exe chiede ancora i permessi per accedere al web, permessi che nego ogni volta, ma impostare la regola del firewall per bloccarlo sempre è impossibile, in quanto, come segnalato da altri utenti nella discussione a cui mi ero agganciato, l'eseguibile, che sta nella directory C:Documents and Settings\Roberto\Impostazioni locali\Temp, cambia di continuo il numero iniziale, così da ottenere nomi come 85exhmunml43.exe, o 17exhmunml43.exe, etc...

Come noterete dai log, ho 2 XP installati, uno su C: la parte infetta, e uno su E: esente da infezione (almeno da QUESTA infezione).

Il CSI.txt non è un log (non potevo farne) ma la directory del file che mi ha segnalato come infetto.

http://www.fileup.itadib.com/download.php?id=MXkcIuJXiElNhbuBlJYd

http://www.fileup.itadib.com/download.php?id=P4w6W4AOlpGmQy2hnO9G

http://www.fileup.itadib.com/download.php?id=mRQSIKoXK0ce40p1jYT8

http://www.fileup.itadib.com/download.php?id=L1m09HZ4ZF0X5fUrDWpm

http://www.fileup.itadib.com/download.php?id=MVp0MKYw56VBvcespBFm

http://www.fileup.itadib.com/download.php?id=cuymj272sM5nwudZTYCk

http://www.fileup.itadib.com/download.php?id=gEJzfiyMuwuyzdkqWgil

ciao,

EDIT: Aspetta che nn ho cpt il primo log

cosa è il primo log? il log di prevx csi xchè nn l'hai postato?

il tuo problema dovrebbe essere simile a questo:
http://www.hwupgrade.it/forum/showthread.php?t=1591573&page=2&highlight=TODO.exe

fixa queste voci in hijackthis:


O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

O20 - Winlogon Notify: yayywvs - yayywvs.dll (file missing)


scarica avenger: DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):


files to delete:
C:\WINDOWS\system\smvss.exe /w

Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

allega il log di avenger

utilizza ccleaner pulendo tutto il pc, anche il registro d windows

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

Provvedi a svuotare del suo contenuto la cartella Prefetch (senza cancellare la cartella)

proporrei anche una bella pulitura degli ads, con hijackthis:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected


posta un nuovo log di hijackthis

credo sia necessario l'utilizzo di un altro tool, attendi altre istruzioni

conosci questi programmi?


O4 - HKLM\..\Run: [Option Bib Logo Log] C:\Documents and Settings\All Users\Dati applicazioni\LICENSE ADMIN OPTION BIB\Idle Math.exe

O4 - HKCU\..\Run: [window wait] C:\DOCUME~1\Roberto\DATIAP~1\BURNSL~1\up meal.exe


io direi di segarli, nn mi convincono....

Una cosa: come si fa a "fixare" in hijachthis?

Una cosa: come si fa a "fixare" in hijachthis?

riavvia di nuovbo hijackthis, questa volta solo "do a system scan only", a fine scansione, nell'elenco selezioni le voci che ho indicato e poi clicca su fix


quei programmi che ho indicato li conosci? altrimenti fixa anche quelle voci

EDIT: nn capisco xchè nn hai postato il log di prevx csi, forse mi è sfuggito qualke passaggio, cmq quel file è un falso positivo se hai utilizzato systemscan

prevx non l'ho postato perché non ha creato log :cry:

Ho eseguito i passaggi, "attendo nuove istruzioni" :D

Gli ADS li ho eliminati, ma in C: non ce n'era neppure uno.

http://www.fileup.itadib.com/download.php?id=3mNvwkC75kWEEq5HeFTe

http://www.fileup.itadib.com/download.php?id=yGLHAFm4k5ULOWR6s6wa

PS: Ho fixato tutte e quattro le voci.

PS: Ho fixato tutte e quattro le voci.

roberto, come spesso mi capita, ho aggiunto una s in piu nello script di avenger :muro:

inserisci questo script correto in avenger , poi posta log di avenger e di hijackthis:


files to delete:
C:\WINDOWS\system\smvss.exe /w


quindi quei programmi nn li conoscevi?

Allego il file di Hijacthis...il nuovo log di avenger che mi hai dato lo rifiuta, dicendo che non è valido :(

http://www.fileup.itadib.com/download.php?id=jVDFoSejbCPUAlLY5MZE

PS: i programmini non li conoscevo...ancora però è presto per sapere se si è eliminato il TODO.exe

PS: i programmini non li conoscevo...ancora però è presto per sapere se si è eliminato il TODO.exe

beh...quel file xò ora nn c'è piu....

vedi se riesci a fare la scansione con bitdefender

Ok, spero non duri troppo... e per lo script di avenger non accettato?

Ok, spero non duri troppo... e per lo script di avenger non accettato?

fai questa scansione... e vedi se riesci ad ultimarla senza problemi: se c riesci credo sia già un buon risultato...

nn fare nulla mentre fa la scansione

Io ti chiedo delle info su questi tre file:
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programmi\Garritan Personal Orchestra\PersonalOrchestra.exe
che hanno queste associazioni:
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

fixa:
O4 - Global Startup: Thumbs.db
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)

il prima possibile, per non rendere vane le operazioni di pulitura dovresti collegarti a:
http://secunia.com/software_inspector/
e aggiorna tutti i software che ti segnala obsoleti perchè sono veicoli di infezioni e ricordati quando hai finito di aggiornare i software di disinstallare la versione vecchia di JAvaVirtualMachine (la trovin in pannello di controllo->installa applicazioni) :)

La scansione ha rimosso alcuni trojan, tra cui un certo "Trojan.Obfus.6.Gen", che si insidiava in Documents and Settings e aveva modificato molte voci di registro. Ora vediamo, devo solo attendere...vi farò sapere!

Vista Inspirat modifica la grafica di XP...è sicuro, ce l'ho da oltre 6 mesi. Personal Orchestra è un software musicale, anche lui è più che pulito.

La scansione ha rimosso alcuni trojan, tra cui un certo "Trojan.Obfus.6.Gen", che si insidiava in Documents and Settings e aveva modificato molte voci di registro. Ora vediamo, devo solo attendere...vi farò sapere!

ann'amo bene....

x il trojan obfuscated c'è una procedura particolare, che poi ti spiego, ma nn è lunga...

quando termini le scansioni, posta il log e vediamo cosa altro c'è da fare, sii fiducioso :D

Purtroppo non ho il log completo, ma ho alcuni dati. Ve li scrivo qua:
Dunque ancora il computer non è disinfettato del tutto?

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\jtqceaww.exe
Infected with: Trojan.Obfus.6.Gen

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\jtqceaww.exe
Disinfection failed

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\jtqceaww.exe
Deleted

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\LIVEBEEPJUGSHIDE.exe
Infected with: Trojan.Obfus.6.Gen

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\LIVEBEEPJUGSHIDE.exe
Disinfection failed

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\LIVEBEEPJUGSHIDE.exe
Deleted

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\rule info hold.exe
Infected with: Trojan.Obfus.6.Gen

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\rule info hold.exe
Disinfection failed

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\rule info hold.exe
Deleted

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\up meal.exe
Infected with: Trojan.Obfus.6.Gen

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\up meal.exe
Disinfection failed

C:\Documents and Settings\Roberto\Dati applicazioni\burnslowbase\up meal.exe
Deleted

C:\System Volume Information\_restore{341BADE6-9475-48BB-B884-21EC3972A9C7}\RP42\A0004335.exe
Detected with: Application.Gamecrack.D

C:\System Volume Information\_restore{341BADE6-9475-48BB-B884-21EC3972A9C7}\RP42\A0004335.exe
Deleted

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000144.exe
Infected with: Trojan.Obfus.6.Gen

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000144.exe
Disinfection failed

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000144.exe
Deleted

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000145.exe
Infected with: Trojan.Obfus.6.Gen

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000145.exe
Disinfection failed

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000145.exe
Deleted

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000146.exe
Infected with: Trojan.Obfus.6.Gen

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000146.exe
Disinfection failed

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000146.exe
Deleted

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000147.exe
Infected with: Trojan.Obfus.6.Gen

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000147.exe
Disinfection failed

C:\System Volume Information\_restore{B5D84D74-1FE7-4DBF-89BF-34A77346AF82}\RP1\A0000147.exe
Deleted

C:\WINDOWS\system\smvss.exe
Infected with: BehavesLike:Win32.ExplorerHijack

C:\WINDOWS\system\smvss.exe
Disinfection failed

C:\WINDOWS\system\smvss.exe
Deleted

allora:

1- i log nn vanno postati cosi

2-attendi che finisca la scansione, e poi posta il report in html che ti darà alla fine

3- il ripristino configurazione sistema è disattivato,vero? :rolleyes:

sii paziente...con calma e sangue freddo si risolverà tutto :D

1- scusatemi, non conosco tutte le regole :(

2- la scansione è finita, ma ho dimenticato di salvare il log...i dati li avevo salvati su blocco note appena finita la scansione su C:, tramite copia-incolla

3- il ripristino è disattivo da quando mi avete fatto seguire la procedura per infettati :)

4- sono paziente (vivo ai tropici e mi godo il mare :cool: )

fai cosi e vediamo se obfuscated ha agito nel tuo pc:
scarica questo tool: DOWNLOAD (http://www.alground.com/site/modules/mydownloads/visit.php?cid=3&lid=6)

una volta scaricato, avvialo, premi invio e lo lasci lavorare

al termine spunterà il report: postalo qui


vivo ai tropici e mi godo il mare :cool: :ncomment: :incazzed: :huh: :D

x i log:
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Ecco il log.

http://www.fileup.itadib.com/download.php?id=gJO52Bf6oUi48wIjLsuM

Se si risolve, vi invito in India...:D :D

PS:almeno potessi farlo!! ;)

Ecco il log.

http://www.fileup.itadib.com/download.php?id=gJO52Bf6oUi48wIjLsuM

Se si risolve, vi invito in India...:D :D

uhm....sembra nn c sia traccia di obfuscated

intanto pulisci gli ADS, quindi:
● lancia Hijackthis
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

hai ancora problemi?

HijackThis non ha segnalato nulla. Per sapere se è tutto ok, devo aspettare un po'...probabilmente domani mattina ne saprò molto di più. Grazie comunque per il vostro interessamento e per la chiarezza!!

Sembra che TODO.exe non ci sia più! Grazie ancora per il vostro interessamento!! Ciao!!

Se si risolve, vi invito in India...:D :D

io sono in lista d'accettazione :O :p

prova a rifare un log di prevxcsi ;)

Scusate ul ritardo, ma la connessione salta di frequente a causa di problemi legati al mio provider. Devo postare ancora? Ok farò la scansione.

Scusate ul ritardo, ma la connessione salta di frequente a causa di problemi legati al mio provider. Devo postare ancora? Ok farò la scansione.

si, facciamo un ultimo controllo x essere sicuri :)

Ciao a tutti, sono un utente nuovo del forum. Mi sono iscritto perchè ho lo stesso problema di Roberto Mura, ma purtroppo non sono bravo quanto lui a seguirvi. Diciamo che anch'io sono affetto da TODO.EXE (ma come diavolo fà ad entrare nei nostri pc??), ma sono semplicemente arrivato al primo punto, utilizzare ccleaner. :) mi potete guidare passo per passo per cortesia? Vi ricordo che è la prima volta che mi trovo in una situazione del genere, e non conosco la maggior parte (per non dire tutte) le procedure da voi indicate a Roberto Mura.
Se qualcuno ha pazienza...;)
Grazie mille

Devi seguire la Guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log secondo le seguenti modalità:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

perferibilmente tutti i log in un unico post, grazie.

grazie mille, ma provando e riprovando FORSE ho risolto!! Ora se faccio il controllo con prevxCSI non mi trova niente!! Mah!! Sarà bastato "fixare" con Hijackthis???

grazie mille, ma provando e riprovando FORSE ho risolto!! Ora se faccio il controllo con prevxCSI non mi trova niente!! Mah!! Sarà bastato "fixare" con Hijackthis???

Non ho la sfera di cristallo, ho vedo i log (tutti) se no non sò cosa risponderti