aiutatemi xchè non ho voglia di formattare!! sul mio pc ho installato avast home+spybot s&d+zona alarm, ma ieri avast mi ha trovato 3 file infetti riconoscendolo come win32 sinowal. tolto il ripristino e fatto scansione in mod provvisoria tutto ok. ieri sera mi collego su emule security per scaricare i filtri ip e di nuovo avast mi blocca win32 sinowal e win32 junkpoly. visto che mi apparivano spesso avvisi di nuova installazione hardware ho fatto una scansione on line con kaper e mi ha trovato win32sinowal, di nuovo scansione con avast in mod provvisoria ma non trova niente. riaccendo il cmp e rimane accesso senza che appaiano le icone ed il menù start, task manager e provo a terminare un svchost.exe, appaiono le icone e appena provo a colllegarmi e scatta il conto alla rovescia. c'è qualcosa che non quadra...aiutatemi allego il log di hijacthis e quello di kapers

uhmm....hai una brutta infezione: x ora nn navigare in internet, ne msn

segui queste istruzioni:

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2-Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3-segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737), esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

NB: il ripristino va tenuto disattivato, è fondamentale

questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui

stai attento a come posti i log, guarda qui:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

imposta anche i DNS di www.opendns.com così impedisci che si rigeneri l'infezione nel corso d'opera e possiamo azzardare le scansioni con connessione attiva :)

ecco i log dopo aver fatto tutto quanto riportato nella guida.
http://www.fileup.itadib.com/download.php?id=YVBSDrHD4w9vLwe7ak7m

uhmm....
rifai girare gmer disattivando il teatimer di spybot....

inoltre:
devi aggiornare internet explorer all'ultima versione, DOWNLOAD (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

manca la scansione online:mi raccomando ricordati di postare il report a fine scansione
fai quella di kaspersky
http://www.kaspersky.com/service?chapter=161739400

ps: il ripristino è disattivato, giusto?

fatto...aggiornato explorer, disattivato spybot e scansione con gmer e kaper on line, dimenticavo..il ripristino è disattivato

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1417001333-1979792683-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
ma queste voci sono leggitime?

i log sono puliti.....

sinceramente ti posso consigliare di cambiare antivirus e passare al migliore antivirus free in circolazione: avira antivir....

è veramente ottimo ed è consigliato qui nel forum....

grazie mille per l'aiuto che date a tutti gli utenti di questo magnifico sito

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1417001333-1979792683-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
ma queste voci sono leggitime?

x scrupolo, puoi controllare in c:\documents and settings che cartelle c sono

se c fosse dietro un rootkit dovrebbe rilevarlo gmer, xò nn è detto, quindi scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

anche questo è pulito però resta sempre il problema all'avvio, se non termino un processo svchost system il pc mi rimane impallato sullo sfondo senza che appaiano icone e senza rispondere ad alcun comando....mi sa tanto che mi tocca formattare!

anche questo è pulito però resta sempre il problema all'avvio, se non termino un processo svchost system il pc mi rimane impallato sullo sfondo senza che appaiano icone e senza rispondere ad alcun comando....mi sa tanto che mi tocca formattare!

O4 - HKUS\S-1-5-21-1417001333-1979792683-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?') fixa questa voce (ammesso che si faccia fixare)

Scarica questo toolCombofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
N.B. Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni. allega il log

ho fixato tutte e cinque le voci, ho riavviato e anche se un pò lentamente è ripartito il cmp, poi spybot mi ha chiesto il permesso per ctfmon.exe. allego l'ultimo file hijackthis e combofix

ho fixato tutte e cinque le voci, ho riavviato e anche se un pò lentamente è ripartito il cmp, poi spybot mi ha chiesto il permesso per ctfmon.exe. allego l'ultimo file hijackthis e combofix

non serviva..vabbè non è che succede nulla è solo una voce di gestione lingue su office
comunque dò un occhiata ai log
un altra cosa il combo andava eseguito dal desktop...

combofix ha eliminato un altra voce ..poi non vedo altro..il pc come và?
posta un altro log di hijackthis

niente da fare, domani farò il formattone perchè impiega circa 5 minuti a caricarsi all'avvio e ogni tanto parte l'installazione guidata nuovo hardware....xò non riesco a capire se il virus l'ho preso dal sito di emulesecurity o dal cd con i driver della webcam che non ne ha voluto sapere di installare i driver (il lettore si incantava a leggere il cd)...oppure l'avevo già ma era silenzioso!voi che ne dite? mi sarebbe utile per la prossima volta. grazie dell'aiuto che mi state fornendo

uhmm... ho dei dubbi che questo problema dipenda virus, considerando anche che abbiamo fatto un bel po di scansioni.....:boh:

l'installazione guidata che ti parte credo sia più un sputtanamento del registro o altro che di virus.....:mbe:

quindi mi si è cancellata qualche voce del registro? e come mai prima che prendessi il virus andava tutto bene? con la formattazione dovrebbe tornare alla normalità?

quindi mi si è cancellata qualche voce del registro? e come mai prima che prendessi il virus andava tutto bene? con la formattazione dovrebbe tornare alla normalità?

Prima di procedere alla formattazione puoi provare a riparare Windows.

http://www.windowsxpprofessional.windowsreinstall.com/installxpcdrepair/indexfullpage.htm

quindi mi si è cancellata qualche voce del registro? e come mai prima che prendessi il virus andava tutto bene? con la formattazione dovrebbe tornare alla normalità?

con la formattazione lo riporti esattamente a come era quando lo hai acquistato..naturalmente poi devi scaricare subito le varie patch e aggiornamenti compreso il SP2

mi son preso anch'io st'infame di virus...
ho eseguito le prime due cose consigliate da murack e ora sto iniziando l'iter della guida, intanto vi posto il log di HijackThis.
Potete dirmi già qualcosa?

uhmm....hai una brutta infezione: x ora nn navigare in internet, ne msn

segui queste istruzioni:

questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui



Ma se devo tenere il pc scollegato, come faccio ad aggiornare i programmi della guida?

x scrupolo, puoi controllare in c:\documents and settings che cartelle c sono

se c fosse dietro un rootkit dovrebbe rilevarlo gmer, xò nn è detto, quindi scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scasione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato



ecco il log di questo programma:

ti consiglio di seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ti consiglio di seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

la pagina delle regole di sezione non mi si apre, indica una estensione .hhttp che non riesce a gestire.:confused:

ho corretto :) grazie della segnalazione :p

ho corretto :) grazie della segnalazione :p

figurati...;)

:)