Ciao.
E' da 2 giorni ke il mio firewall (COMODO) mi avvisa ke ci sono dei file che rikiedono di "passare".
Questi file si trovano nella cartella C:/documents&settings/"user"/impostazioni locali/temp e hanno nome exgmrgml.exe preceduto da 2 numeri, e exhmrgas2.exe anke questo con numeri davanti.
Questi file hanno una icona con 3 cubi con lettere M F C e "si moltiplicano" col passare del tempo.
Aiutatemiiii!!!!:(


per il riassunto della procedura che ha portato alla disinfezione:
http://www.hwupgrade.it/forum/showpost.php?p=21140488&postcount=43

dai una passata con ccleaner settato come illustrato nelle regole di sezione.

quindi segui la guida alla disinfezione sempre in rilievo

potrei preannunciarti che possa trattarsi del trojan obfuscated, posta i log delle scansioni e vediam di che si tratta

fai una passata in provvisoria (F8 al boot) con CCleaner( QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/)) (evita di installare la toolbar di yahoo) disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"
vediamose è solo un problema di temporanei in caso contrario passiamo alla guida :sperem:

dai una passata con ccleaner settato come illustrato nelle regole di sezione.

quindi segui la guida alla disinfezione sempre in rilievo

potrei preannunciarti che possa trattarsi del trojan obfuscated......

Scusa mi spieghi su quali basi affermi ciò????

Grazie per le risposte,proverò con ccleaner stanotte.
Cmq ho il problema ke premendo F8 all'avvio mi esce la skermata di selezione dell'unità di boot e non quella x entrare in modalità provvisoria....ke fò?

intanto posto il log di hijackthis

-----------------
Modificato per allegare il log

gentilmente modifica il post: i log nn vanno incollati

grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

gentilmente modifica il post: i log nn vanno incollati

grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Si hai ragione scusa,errore dettato da fretta e disperazione :doh:

hai tracce del registrar o trojan todo....

per la mod provvisoria start-> esegui digita msconfig si apre Utilità configurazione di sistema metti il pallino a SAFEBOOT clic su OK poi ai clic su Riavvia
per ritornare alla mod normale rifai i passaggi, deselezioni SAFEBOOT e riavvii...;)
allega i log nel modo giusto....;)

bene....fixa questa voce:
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

Scarica Avenger da qua http://swandog46.geekstogo.com/avenger.zip
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
Files to delete:
C:\WINDOWS\system\smvss.exe /w
C:\WINDOWS\system\smvss.exe
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui.

bene....fixa questa voce:


Scarica Avenger da qua http://swandog46.geekstogo.com/avenger.zip
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui.

Ecco qua,ho seguito solo qst procedura,non quella di ccleaner....speriamo bene :rolleyes:

Oltre alla voce indicata da Lancetta, fixa anche queste:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" –atboottime

Disinstalla la toolbar di Google e, se non ne fai uso, Real Player e QuickTime.

Inoltre:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

pulisci, prima di tutto, gli eventuali ADS, quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

scarica ed installa SUPER ANTISPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

scarica ed installa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

Al termine riavvia ed allega, oltre ai log già richiesti, anche un nuovo log di Hthis.



Off topic: un saluto al mio socio Lancetta, visto che è connesso :)

Ecco qua,ho seguito solo qst procedura,non quella di ccleaner....speriamo bene :rolleyes:

a cancellare l'abbiamo cancellata...ma comunque i temp devono essere puliti
prova da normale (però da provvisoria è meglio) ed allega un nuovo log di hijackthis;)

riavviato in modalità provvisoria come mi ha detto LANCETTA, usato CCLEANER con "cancella solo file più vecchi di 48 ore" disattivato.

Allego un doc con i file della cartella impostazioni locali/temp che ha cancellato e log di hijackthis.

Ora procedo con le direttive di RIVERSIDE.

riavviato in modalità provvisoria come mi ha detto LANCETTA, usato CCLEANER con "cancella solo file più vecchi di 48 ore" disattivato.

Allego un doc con i file della cartella impostazioni locali/temp che ha cancellato e log di hijackthis.

Ora procedo con le direttive di RIVERSIDE.

Azz!!! :eek: eri pieno...eran tutte lì ;)
il log di hijack è pulito svuota anche la cache di java (anzi dovresti aggiornarla c'è la versione 04)

comodo dà ancora avvisi?
completa il tutto con la procedura di Riverside..così sei a posto.....;) :)

:cool:

Azz!!! :eek: eri pieno...eran tutte lì ;)
il log di hijack è pulito svuota anche la cache di java (anzi dovresti aggiornarla c'è la versione 04)

comodo dà ancora avvisi?
completa il tutto con la procedura di Riverside..così sei a posto.....;) :)

:cool:

Sto facendo lo scan con SAS, per ora COMODO non ha più dato avvisi.
Al termine allego tutti i log ke mancano.

Sapete dirmi come mi sono preso sti cosi?
Una regola di COMODO x evitare in futuro?

Sto facendo lo scan con SAS, per ora COMODO non ha più dato avvisi.
Al termine allego tutti i log ke mancano.

Sapete dirmi come mi sono preso sti cosi?
Una regola di COMODO x evitare in futuro?

navigando e non svuotando i temporanei, cache browser e java..anche se erano richiamati da quella voce riconducibile ad un trojan...anche banner infetti oppure qualcosa scaricato dal p2p...S.O non perfettamente aggiornato...cliccato dove non dovevi....le cause possono essere molteplici...scansiona con l'antispyware e l'antivirus ogni tanto e sopratutto pulita temp e cache cosa che può fare ccleaner una volta a settimana....
comodo in questo caso è stata la spia d'allarme....:D ;)

navigando e non svuotando i temporanei, cache browser e java..anche se erano richiamati da quella voce riconducibile ad un trojan...anche banner infetti oppure qualcosa scaricato dal p2p...S.O non perfettamente aggiornato...cliccato dove non dovevi....le cause possono essere molteplici...scansiona con l'antispyware e l'antivirus ogni tanto e sopratutto pulita temp e cache cosa che può fare ccleaner una volta a settimana....
comodo in questo caso è stata la spia d'allarme....:D ;)

Io CCLEANER lo uso una o due volte a settimana :confused:, antivirus ho NOD32 e non ha rilevato nulla :confused: .

Allego ora il log di HIJACKTHIS fatto seguendo qui
pulisci, prima di tutto, gli eventuali ADS, quindi:
● rilancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected
e il log di SAS.

Ho fixato le altre 3 voci ke mi ha detto Riverside e disinstallato Google Toolbar.

Ora sto facendo lo scan con K, ma ci mette un bel pò xkè ho selezionato anke la partizione del sistema operativo, quindi il log domani mattina :D .

Inizio a ringraziarvi LANCETTA e RIVERSIDE,siete stati molto gentili ed efficienti,azz rispondete subito :D :p

Come ti è già stato suggerito dal mio socio Lancetta:

svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

e, vediamo il log di Kaspersky

Poi, per sicurezza fai girare questi:

TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva ed allega il log che verrà rilasciato

DUSTBUSTER: clicca qui per il download (http://www.majorgeeks.com/download.php?det=1182)
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

Al termine riavvia ed allega un nuovo log di Hthis.

Ecco qui i file cancellati da K e il successivo log di hijackthis al riavvio.

Ora uso gli ultimi 2 tool ke mi avete detto

Finito :D
Dovrei aver rimosso tutto,mi manca solo la formattazione altrimenti :p

Grazie ancora,spero ke i log siano puliti.

Segnalo altri due thread dove avevano lo stesso problema:

http://www.hwupgrade.it/forum/showthread.php?t=1591573

http://www.hwupgrade.it/forum/showthread.php?t=1677479

Segnalo altri due thread dove avevano lo stesso problema:

http://www.hwupgrade.it/forum/showthread.php?t=1591573

http://www.hwupgrade.it/forum/showthread.php?t=1677479

OK,però io ho fatto la ricerca prima di aprire un nuovo thread ma nn ha trovato nulla, purtroppo i primi 2 numeri del nome del file variano, non posso provarli tutti.
Inoltre ho cercato anke omettendo i numeri ma nulla ugualmente.

kaspersky ha individuato traccia di vundo....

propongo le seguenti scansioni:

Combofix: DOWNLOAD (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)

doppio click. Si aprirà una finestra blu ...attendi....dovrebbe apparirti un avviso che declina l'autore da ogni responsabilità.
seleziona 1 e premi ENTER per lanciare lo scan.
finito lo scan visualizzerà il log con i dettagli.
posta qui il log in formato .txt

N.B. Disattivare il proprio antivirus...Durante l'operazione di scansione è importante non usare il PC,disconnessi dalla rete e attendere pazientemente la fine delle operazioni.

VundoFix:DOWNLOAD (http://www.atribune.org/public-beta/VundoFix.exe)

doppio click sull'icona
clicca su scan for vundo
rimuovi eventuali file infetti trovati
il desktop potrà scomparire
ti chiederà di riavviare il pc, premi si
al riavvio posta qui il log

anche in questo caso, valgono le stesse raccomandazion di combofix

oltre il log di combo e di vundofix, anche un successivo nuovo log di hijackthis

Azz!!!:eek: (e son 2 :asd:)
altro che temp e navigazione.....ringrazia il Nod :D hai la quarantena piena di virus che lui ha intercettato :read: (svuotala) compreso vundo,virut,un dialer,dropper ecc... che cacchio ci fai co sto pc?:mbe:

comunque giusto per completare segui il suggerimento di Murack...(disabilita il Nod durante le scansioni) allega i log completi di uno di hijackthis...;)

:cool:

Dopo aver pubblicato i log richiesti da Murack e Lancetta (ed aver ricevuto una risposta), nuova scansione con Kaspersky (da allegare il nuovo log).
Una volta risolto il problema, puoi passare alla fase mi paro il culo dai virus con Nod32, ottimizzandolo a massimo: vedi Guida di Wilders (http://www.wilderssecurity.com/showthread.php?t=37509)

si lo so era pieno di mink**** anke xkè forse la quarantena del nod non l'ho mai svuotata;purtroppo non lo uso solo io sto pc,magari.....:rolleyes:

Allego il log di COMBOFIX, mentre VUNDOFIX non ha trovato nulla.
Appena posso rifaccio la scansione con K.


EDIT: non ho ancora letto la procedura di configurazione del nod, non è ke mi dà problemi con giochi online?

EDIT: non ho ancora letto la procedura di configurazione del nod, non è ke mi dà problemi con giochi online?
Nessuna .... perché dovrebbe darne? :mbe:

Nessuna .... perché dovrebbe darne? :mbe:

non so,ma meglio kiedere prima di farlo visto ke tra poco iniziano tornei e non voglio problemi :D

in hijackthis fixa questa
O4 - HKLM\..\Run: [devenv] C:\windows\system\smvss.exe /w

non so,ma meglio kiedere prima di farlo visto ke tra poco iniziano tornei e non voglio problemi :D
Guarda, se esci indenne da questo torneo, forse potrai partecipare agli altri ..... quindi vedi un pò tu ;)
@ Lancetta: forse è meglio se quella roba gliela fai falciare con uno script da Avenger.

Guarda, se esci indenne da questo torneo, forse potrai partecipare agli altri ..... quindi vedi un pò tu ;)
@ Lancetta: forse è meglio se quella roba gliela fai falciare con uno script da Avenger.

fatto nelle pagine precedenti socio....;)

in hijackthis fixa questa

ma non c'è nell'ultimo log quella voce :confused:

ma non c'è nell'ultimo log quella voce :confused:
Infatti, non c'è.
Direi che sei a posto; una ultima scansione, giusto per premura:

BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva ed allega sia il log che il Report html che verranno rilasciati

Infatti, non c'è.
Direi che sei a posto; una ultima scansione, giusto per premura:

BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online (http://www.bitdefender.com/scan8/ie.html)
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva ed allega sia il log che il Report html che verranno rilasciati

OK, ho appena lanciato la scansione con KASPERSKY ke mi hai detto di fare prima (Ieri 16:03) e poi faccio questa online.

Grazie ancora;)

ultimo log con Karspesky, ora lancio la scansione online....ho già effettuato la fase mi paro il culo dai virus con Nod32 :asd:

Allego rapporto di bitdefender

ultimo log con Karspesky, ora lancio la scansione online....ho già effettuato la fase :asd:

Allego rapporto di bitdefender

penso che ormai ci sei...scusa per la voce nel log di hijackthis di ieri (avevo una decina di tab aperti :asd:) era di qualcun altro :D

OK no problem figurati :D

Grazie a tutti, il pc ora è disinfettato x bene

penso che ormai ci sei...
No socio, forse non ci siamo ancora: controlla un pò anche tu il log di Bitdefender.

nuova passata con ccleaner e imposta lo svuotamento della cache del browser di firefox...cancella tutte le cartelle di backup dei vari tool (vundofix,combo e ho visto anche elistart o sbaglio?

i cpf socio sono di comodo ;)

una cosa ot:D riverside usi nod32 come antivirus? se si come ti trovi?

OK no problem figurati :D

Grazie a tutti, il pc ora è disinfettato x bene

puoi fare un piccolo riassunto con sintomi, analisi problema e soluzione?



@ GOLDRAKES:
mi spieghi il senso del tuo intervento? (tradotto: esistono i pvt se vuoi fare una domanda ad un utente o i thread ufficiali se cerchi info) :p

nuova passata con ccleaner e imposta lo svuotamento della cache del browser di firefox...cancella tutte le cartelle di backup dei vari tool (vundofix,combo e ho visto anche elistart o sbaglio?

i cpf socio sono di comodo ;)

Nuova passata con CCleaner, scansione completa con Nod32, SuperAntiSpyware e BitDefender.
Solo BitDefender ha trovato qualcosa,ma sono 4 file della cartella temp di cpf; tutto il resto non ha trovato nulla.

Allego log di HiJackThis

puoi fare un piccolo riassunto con sintomi, analisi problema e soluzione?


:D
I sintomi del problema sono stati gli avvisi del mio firewall di file ke tentavano di accedere alla rete dal mio pc,provenienti dalla directory C:/documents&settings/"user"/impostazioni locali/temp con nome exgmrgml.exe e exhmrgas2.exe preceduti da alcuni numeri.
Il problema era il trojan todo.
Di seguito i passi seguiti per la risoluzione del problema:

-CCleaner in mod.provvisoria disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"
-Hijackthis con fix in particolare della voce
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
e scansione con AVENGER con script inserito manualmente qui (http://www.hwupgrade.it/forum/showpost.php?p=21073585&postcount=9)

A questo punto il firewall non dava più gli avvisi descritti prima.
Continuo con procedure di disinfezione suggeritemi:

-scansioni con SuperAntiSpyware e Karspersky come indicato qui (http://www.hwupgrade.it/forum/showpost.php?p=21075091&postcount=11) dopo aver disattivato il ripristino config di sistema;
-scansioni con TRENDMICRO ROOTKIT BOOSTER e DUSTBUSTER

Karspersky ha individuato tracce di Vundo,quindi passo all'utilizzo di Combofix e VundoFix.

-scansione con BITDEFENDER ONLINE SCANNER.

Da notare che all'incirca tutte le scansioni fatte con i vari programmi hanno evidenziato la presenza di file infetti e che al termine di tutte le scansioni ho effettuato una verifica con tutti i programmi che mi sono stati suggeriti senza trovare più alcun file infetto.


Aiuto spero ke come riassunto vada bene :D

ottimo riassunto

fixa solo queste voci in hijackthis:



O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


scaricati l'ultima versione di hijackthis:
scaricalo da qui (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe)

ottimo riassunto

fixa solo queste voci in hijackthis:



scaricati l'ultima versione di hijackthis:
scaricalo da qui (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe)

Ok ;)
Solo una cosa, ho fixato le voci ke mi hai detto tranne
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

cos'è?

Ok ;)
Solo una cosa, ho fixato le voci ke mi hai detto tranne
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

cos'è?

ti piace messenger che parte in avvio di windows?

se si, nn fixare quella voce, altrmenti la puoi fixare tranquillamente

x la cronoca: quelle voci nn sono indice di infezione, ma sono indicate solo x ottimizzare il sistema....solo quello :)

ti piace messenger che parte in avvio di windows?

se si, nn fixare quella voce, altrmenti la puoi fixare tranquillamente

x la cronoca: quelle voci nn sono indice di infezione, ma sono indicate solo x ottimizzare il sistema....solo quello :)

il mio msn non è impostato per partire all'avvio :confused:

il mio msn non è impostato per partire all'avvio :confused:

detto piu tecnicamente: cosi come è impostato, msn viene caricato all'avvio di windows, e lo noti guardando nella systemtray.....in basso a destra

quindi nn significa che si connette automaticamente all'avvio di windows, viene solo caricato in automatico in background

fixando quella voce, rendi l'avvio di win un po piu veloce.....:)

detto piu tecnicamente: cosi come è impostato, msn viene caricato all'avvio di windows, e lo noti guardando nella systemtray.....in basso a destra

quindi nn significa che si connette automaticamente all'avvio di windows, viene solo caricato in automatico in background

fixando quella voce, rendi l'avvio di win un po piu veloce.....:)

sisi avevo capito, però a me msn non si apre neanke nella systemtray :eek:
cmq ora fixo quella voce così elimino il problema :D

detto piu tecnicamente: cosi come è impostato, msn viene caricato all'avvio di windows, e lo noti guardando nella systemtray.....in basso a destra

no veramente per essere precisissimi non compare nella systray, ma come processo in esecuzione in background dal Task Manager :D

no veramente per essere precisissimi non compare nella systray, ma come processo in esecuzione in background dal Task Manager :D

ah allora si,in effetti nel task manager l'avevo notato ma non sapevo come rimediare.
Grandi ;)

Ciao a tutti, anch'io sono infetto da questi file, esattamente da: exhmrgas, exgmrgml, ed exhmunml, sempre seguiti e preceduti da numeri che cambiano ogni volta. Ho letto la discussione ma non ho capito qual è la soluzione finale rapida da prendere; grazie a tutti :p

no veramente per essere precisissimi non compare nella systray, ma come processo in esecuzione in background dal Task Manager :D

ragione, mi ero dimenticato della dicitura background :D

Ciao a tutti, anch'io sono infetto da questi file, esattamente da: exhmrgas, exgmrgml, ed exhmunml, sempre seguiti e preceduti da numeri che cambiano ogni volta. Ho letto la discussione ma non ho capito qual è la soluzione finale rapida da prendere; grazie a tutti :p


potresti incominciare a postare un log di hijackthis: lo conosci?
scaricalo da qui (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe)
scompattalo in una cartella, lo apri e digli do a system scan and save a logfile, quando finisce la scansione ti apre un file notepad, salvalo in formato txt e lo alleghi


Prima fai una pulizia generale del pc con CCLEANER:
DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Salve a tutti, sono incappato anch'io nel medesimo problema.... ho fatto una passata con hijackthis (che allego), l'ho fatta da modalità normale, giusto?
ora faccioa anche un pulita con ccleaner magari..
mi potete confermare le voci da fixare (per ora non ho toccato niente, aspettando i vostri commenti)

grazie!

Salve a tutti, sono incappato anch'io nel medesimo problema.... ho fatto una passata con hijackthis (che allego), l'ho fatta da modalità normale, giusto?
ora faccioa anche un pulita con ccleaner magari..
mi potete confermare le voci da fixare (per ora non ho toccato niente, aspettando i vostri commenti)

grazie!

fixa queste
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://192.168.1.1

fai scansione in provvisoria con ccleaner
poi segui le scansioni che ha già fatto l'utente camus ed alleghi qui i log..;)

grazie lancetta, faccio subito!
volevo solo aggiungere un particolare:
il sitema è un Windows Server 2003 Enterprise, ed è presente il Kaspersky Antivirus 6.0.3.830

è possibile essersi infettati in questo modo nonostante il kaspersky? :(

fixa queste

fai scansione in provvisoria con ccleaner
poi segui le scansioni che ha già fatto l'utente camus ed alleghi qui i log..;)

per fixare con hijackthis lo devo fare in mod. provvisoria vero?

fixa queste
Fatto e allego il nuovo file di hijackthis


fai scansione in provvisoria con ccleaner
Fatto tutto pulito


poi segui le scansioni che ha già fatto l'utente camus ed alleghi qui i log..;)
non posso usare avenger, sono su Windows Server 2003

Fatto e allego il nuovo file di hijackthis


Fatto tutto pulito


non posso usare avenger, sono su Windows Server 2003

no ccleaner lo dovevi far girare sia in provvisoria che in normale
il log di hijackthis mi serve da normale...per avenger non ti proccupare forse non serve...poi che tu abbia il kasper (che poi è la vers 6)non vuol dire nulla il pc più sicuro al mondo è il pc....spento!;)
fai anche pulizia degli ads (non serve il log) da modalità normale
apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan"

riscontri ancora problemi al pc?

no ccleaner lo dovevi far girare sia in provvisoria che in normale
il log di hijackthis mi serve da normale...per avenger non ti proccupare forse non serve...poi che tu abbia il kasper (che poi è la vers 6)non vuol dire nulla il pc più sicuro al mondo è il pc....spento!;)
fai anche pulizia degli ads (non serve il log) da modalità normale
apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan"

riscontri ancora problemi al pc?

Il problema sembra risolto :D
ccleaner l'ho fatto girare in entrambe le modalità e ho pulito.
Grazie mille lancetta, sei stato rapidissimo e preciso nelle spiegazioni ;)

scansione eseguita con ccleaner in normale e in provvisoria, allego il log di hijackthis

Il problema sembra risolto :D
ccleaner l'ho fatto girare in entrambe le modalità e ho pulito.
Grazie mille lancetta, sei stato rapidissimo e preciso nelle spiegazioni ;)
è stato un piacere....:D
scansione eseguita con ccleaner in normale e in provvisoria, allego il log di hijackthis
in hijackthis fixa:

O2 - BHO: (no name) - {FF64059D-4D2A-4D6B-AA0F-2EE4A2FE3856} - (no file)
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O20 - Winlogon Notify: vturomm - vturomm.dll (file missing)


fai il resto delle scansioni consigliate....;)

Ho lo stesso problema...Posto il log di HiJackThis

Ho lo stesso problema...Posto il log di HiJackThis

sei combinato veramente male

ma certi programmi da dove li scarichi?

una volta finito la disinfezione, ti suggerisco di fare un giro in questa sezione, e vedere quali sono i veri programmi antispyware, nn le schifezze che ti sei installato

a parte alcuni adware, hai fasttrack, un dialer, a questo ci aggiungi pure che hai la stessa infezione di questo utente

fai cosi:
apri una nuova discussione e segui l'intera la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta tutti i log richiesti

probabilmente sarà necessario l'utilizzo di qualke tool specifico, ma rimane cmq la necessità di seguire quella guida, xchè il tuo pc è infetto da molteplici infezioni

no ccleaner lo dovevi far girare sia in provvisoria che in normale
il log di hijackthis mi serve da normale...per avenger non ti proccupare forse non serve...poi che tu abbia il kasper (che poi è la vers 6)non vuol dire nulla il pc più sicuro al mondo è il pc....spento!;)
fai anche pulizia degli ads (non serve il log) da modalità normale
apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan"
Fatto, nessun ads trovato


riscontri ancora problemi al pc?
adesso è perfetto, tutto funziona alla grande :D

Rinnovo i ringraziamenti!

Ho lo stesso problema...Posto il log di HiJackThis

sei combinato veramente male

ma certi programmi da dove li scarichi?

una volta finito la disinfezione, ti suggerisco di fare un giro in questa sezione, e vedere quali sono i veri programmi antispyware, nn le schifezze che ti sei installato

a parte alcuni adware, hai fasttrack, un dialer, a questo ci aggiungi pure che hai la stessa infezione di questo utente

fai cosi:
apri una nuova discussione e segui l'intera la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta tutti i log richiesti

probabilmente sarà necessario l'utilizzo di qualke tool specifico, ma rimane cmq la necessità di seguire quella guida, xchè il tuo pc è infetto da molteplici infezioni
Quoto il socio hai più di un problema segui le direttive che ti suggeriva...;)
Fatto, nessun ads trovato


adesso è perfetto, tutto funziona alla grande :D

Rinnovo i ringraziamenti!

felice per te..:D

Salve!

Anch'io mi son beccato il trojan todo dato. Me ne sono accorto perchè la finestra di un qualsiasi programma attivo continuava ad essere messa in background, e con task manager sono risalito alla causa, dei file exgmrgml con numeri vari.

Ho letto il thread dall'inizio per seguire le varie fasi di pulizia, ma prima di procedere vorrei dei chiarimenti:
- ho due pc, è possibile che mi diate aiuto per entrambi, prima uno poi l'altro?
- possedendo due hard disc esterni devo controllare anch'essi? Ho salvato dati su di essi presi da un pc infetto, come faccio a capire se sono stati infettati anche gli hd esterni?
- ho disinserito la procedura di ripristino e poi ho seguito le regole di sezione per ccleaner e al momento di avviare la pulizia mi da il messaggio: questo processo cancellerà i file dal sistema, devo procedere?

Grazie.

ciao

1- si, possiamo ripulire entrambi i pc, ma i due devono essere rigorosamente scollegati fra di loro, nnn vi deve essere alcun scambio di dati, nn solo via rete, ma anche trasferimneto di file dal un pc all'altro, visto che sono entrambi infetti

2- gli HD rimuovibili devono essere esaminati pure loro, quindi li dovresti collegare al pc

3- riguardo ccleaner, segui queste istruzioni

una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


4- inizia a postare il log di hijackthis
scaricalo da qui (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe)
scompattalo in una cartella, lo apri e digli do a system scan and save a logfile, quando finisce la scansione ti apre un file notepad, salvalo in formato txt e lo alleghi


stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp (http://www.fileup.itadib.com/index.php), copiando qui i link x il download
è preferibile l'ultima opzione

ciao

ciao

3- riguardo ccleaner, segui queste istruzioni

una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


ciao

Molte grazie!

Ccleaner va eseguito da modalità provvisoria come segnalato in uno dei primi post da lancetta?

ciao

Molte grazie!

Ccleaner va eseguito da modalità provvisoria come segnalato in uno dei primi post da lancetta?

ciao

si

Ho eseguito ccleaner nelle due modalità, provvisoria e normale.

Il link al log di hijackthis caricato con file up è:
http://www.fileup.itadib.com/download.php?id=hoAcKxscvrCR6mC9Zlmq

ciao.

..

ok,

riavvia hijackthis, fai "do a system scan only", a fine scansione seleziona le seguenti voci:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)


scarica avenger (alcuni antivirus possono rilevarlo come minaccia, disattiva momentaneamente l'antivirus): DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):


files to delete:

C:\WINDOWS\system\smvss.exe


Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

al riavvio del pc,nuova passata con ccleaner (in mod normale) e nuovo log di hijackthis

ok,

riavvia hijackthis, fai "do a system scan only", a fine scansione seleziona le seguenti voci:





Selezionate le voci, gli chiedo "fix checked"?


Aggiungo anche queste che ho trovato e che sono postate da Riverside sopra?
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" –atboottime


E questi due? non promettono nulla di buono...
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe

Selezionate le voci, gli chiedo "fix checked"?


Aggiungo anche queste che ho trovato e che sono postate da Riverside sopra?
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" –atboottime


E questi due? non promettono nulla di buono...
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe



un attimo, fammi rivedere il log e nn vedere quello che aveva segnalato riverside xchè i log di hijackthis cambiano da pc a pc

confermo quanto scritto prima

devi selezionare le voci che ti avevo indicato qui e cliccara su fix checked:
http://www.hwupgrade.it/forum/showpost.php?p=21231681&postcount=73

queste voci che hai indicato tu ora:
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe

sono leggittimi: si riferiscono al modem o ruoter

Ho fatto quanto consigliato:
- fix delle voci indicate;
- inserito script in avernger e il sistema è ripartito;
- nuova passata con ccleaner;
- log 2 di hijackthis caricato al link:

http://www.fileup.itadib.com/download.php?id=QPf1O1aRTjjz96HNRGoL

Prossima mossa?

grazie per la pazienza!

....

ok,

ora x sicurezza segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta i log richiesti,

una cosa: hai disattivato il ripristino, vero?

segui quella guida e vediamo cosa trova

ok,

ora x sicurezza segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e posta i log richiesti,

una cosa: hai disattivato il ripristino, vero?

segui quella guida e vediamo cosa trova

Il ripristino è disattivato!

ora procedo con il resto...

...

segui quella guida e vediamo cosa trova

Ho seguito la guida e Eset ADS ha finito la scansione.
Ha trovato una marea di ADS,
1. procedo con clean?
2. Non riesco a capire come Eset ADS Revealer crei il file log

Ho seguito la guida e Eset ADS ha finito la scansione.
Ha trovato una marea di ADS,
1. procedo con clean?
2. Non riesco a capire come Eset ADS Revealer crei il file log

digli clean

nn c'è bisogno di fare il log

è sufficiente che pulisci gli ads e nn ti curare di eventuali errori

prosegui con quella guida

Ho eseguito Eset ADS Revealer ed eliminato tutto quanto rilevato.

Ho eseguito una scansione con A-Squared Free v3.x.
1. Mi chiede ora di mettere i file in quarantena o di eliminarli. Che fare? Metto in quarantena come da regole di sezione?

2. Ho salvato il rapporto di scansione. devo postarlo?

3. un chiarimento per hijackthis: il do a system scan va fatto in modalità provvisoria o normale?

Ho eseguito Eset ADS Revealer ed eliminato tutto quanto rilevato.

Ho eseguito una scansione con A-Squared Free v3.x.
1. Mi chiede ora di mettere i file in quarantena o di eliminarli. Che fare? Metto in quarantena come da regole di sezione?

2. Ho salvato il rapporto di scansione. devo postarlo?

si, metti in quarantena e posta il log

continua con gli altri programmi della guida e posta tutti insieme i relativi log

hijackthis modalità normale

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Intanto il link al log di a-squared:

http://www.fileup.itadib.com/download.php?id=vuKbLaS3KJrTXnzaPATh

Ho fatto una scansione online con
1. nanoscan: nulla
2. panda: ha trovato qualcosa che allego in log:

http://www.fileup.itadib.com/download.php?id=Lvg1AupFtS03hKWUZHJx

mi chiede se voglio disinfestare quanto trovato, che faccio procedo?

3. devo fare altre scansioni on line o bastano queste due? potrei provare anche con Super Antispyware e Kapersky virus removal tool che mi sono scaricato e poi con una altra scansione on line con bitdefender?


ciao.

...

riguardo quello che ha trovato panda, nn eliminare nulla

elimina solo manualmente il backup di avenger:
C:\avenger\backup.zip

fai la scansione con prevx csi e con gmer e posta i log

riguardo il tool della kaspersky, visto che già lo conosci e forsa l'hai già utilizzato in passato, riscaricati l'ultima versione, fai la scansione, ciò che trova mettilo in quarantena e posta il report che controlliamo:

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

procedo come indicatomi.

1. eliminato manualmente il file di backup di avenger

2. scansione con prevx e log al link
http://www.fileup.itadib.com/download.php?id=WJKy751BDywUGRt8HnOm

3. scansione con gmer e log al link
http://www.fileup.itadib.com/download.php?id=GFTLgdVmHx8hNG8Zb8Wj

4. ora sta andando kapersky ma è molto lento dato che ha tre hd da controllare.

Al termine metterò link al report di kapersky.
Da ultimo dovrò ripassare con hijackthis e postare il log?

procedo come indicatomi.

1. eliminato manualmente il file di backup di avenger

2. scansione con prevx e log al link
http://www.fileup.itadib.com/download.php?id=WJKy751BDywUGRt8HnOm

3. scansione con gmer e log al link
http://www.fileup.itadib.com/download.php?id=GFTLgdVmHx8hNG8Zb8Wj

4. ora sta andando kapersky ma è molto lento dato che ha tre hd da controllare.

Al termine metterò link al report di kapersky.
Da ultimo dovrò ripassare con hijackthis e postare il log?

certo che si!...dò un occhiata ai log ;)

certo che si!...dò un occhiata ai log ;)

Molte grazie!!! :D

Siete fantastici! :cool:

Molte grazie!!! :D

Siete fantastici! :cool:

ok aspettiamo il kasper ..vedo delle cose nei temp (usi la yahoo toolbar per caso?)ma che poi controllleremo alla fine tranquillo...

ok aspettiamo il kasper ..vedo delle cose nei temp (usi la yahoo toolbar per caso?)ma che poi controllleremo alla fine tranquillo...

Purtoppo installando ccleaner m'è scappata l'installazione della toolbar di yahoo. quando me ne sono accorto l'ho tolta con disinstalla software, ma come al solito qualcosa rimane...:muro:

Mi sa che per oggi devo interrompere qui... fermo kapersky perchè in 30 minuti è appena al 15% e non vorrei aspettare le tre di notte... :cry: :cry:


Domani mattina vado con kapersky, il cui log sarà poi qui in link, e da ultimo di nuovo hijackthis.
Se kapersky segnala qualcosa, al solito sposto in quarantena ma non procedo con "neutralize", giusto?


Vediamo se ne vengo fuori almeno con il primo pc e i due hd esterni...


Per ora vi ringrazio.

Ho fatto girare:

1 gmer, ecco il log:



2. prevx, ecco il log:

http://www.fileup.itadib.com/download.php?id=cEGOlcmz2MTcJCI0LPxE


3. kasperky virus removal tool, ecco il log, è enorme e per questo l'ho zippato:
http://www.fileup.itadib.com/download.php?id=UKQ6gNuoK3QMNcNpIkmz

ha trovato 7 virus trojan e li ha eliminati, non sono stato attento e invece di metterli in quarantena li ha terminati


4. poi ancora hijackthis:

http://www.fileup.itadib.com/download.php?id=02CbrdiEUQiOCvmbwufC


Bene, spero che ora sia finita... almeno per il primo pc e i due hd esterni!

Ho fatto girare ....... spero che ora sia finita... almeno per il primo pc e i due hd esterni!
Rilancia Htihs è fixa queste:

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" –osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" –atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

Se conosci l'indirizzo bene, altrimenti fixa anche questa:

O16 - DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} (/Quercia TLQJ 2001-Raiffeisen) - https://ib.rolbank.com/ib2000/TlqJ2kR.cab

Al termine, allega un nuovo log di Hthis

Inoltre, svuota la quarantena di Nod32: il tool di Kapsersky ha trovato roba anche li.

Poi perdi una mezzora di tempo e, configura Nod32 sulla base della Guida di Wilders: clicca qui per la Guida (http://www.wilderssecurity.com/showthread.php?t=37509)

Se conosci l'indirizzo bene, altrimenti fixa anche questa:

O16 - DPF: {D7417188-1FBD-40B1-A6C0-0DDC8B98E666} (/Quercia TLQJ 2001-Raiffeisen) - https://ib.rolbank.com/ib2000/TlqJ2kR.cab


Ho visto che ne compaiono molti altri simili posso eliminare anche quelli? (hanno tutti un url con rolbank...)


Inoltre, svuota la quarantena di Nod32: il tool di Kapsersky ha trovato roba anche li.

Poi perdi una mezzora di tempo e, configura Nod32 sulla base della Guida di Wilders: clicca qui per la Guida (http://www.wilderssecurity.com/showthread.php?t=37509)

Ho svuotato la quarantena, almeno penso di averlo fatto in maniera corretta, cliccando sopra ai files e dicendoli cancella, non c'è un comando dove dice pulisci quarantena purtroppo.



Allego file di hijackthis dopo fix:

http://www.fileup.itadib.com/download.php?id=lWryiTcGI7cH0IfKNorZ

Possiedo anche due chiavette usb che ho usato con i pc infettati, formattandole completamente sono a posto o devo procedere con una sequenza particolare anche per queste?

Come mi ha segnalato Riverside, :cool: ;) , sono andato a controllare le impostazioni di ESET e ho trovato questo.

nel SETUP di IMON alla scheda HTTP, alla voce SETUP, segnala di settare verso la massima efficienza e non verso la massima compatibilità i browser, ma, e qui viene la cosa strana, da me è pieno di file del tipo:

- (numero)exhmunml(numero).exe
- (numero)exhmrgml(numero).exe
- (numero)ex.exe
- (numero)exhmrgas(numero).exe

- da alcuni dopo il secondo blocco di numeri ci sono le lettere: dl
Gli stessi file, prima non catalogati come browser, lo sono ripetuti uguali per il browser Mozilla e per molti altri programmi.

Si è infettato anche ESET, o, peggio, lascia passare tutti questi che mi sembrano proprio dei trojan?

Come mi ha segnalato Riverside, :cool: ;) , sono andato a controllare le impostazioni di ESET e ho trovato questo.

nel SETUP di IMON alla scheda HTTP, alla voce SETUP, segnala di settare verso la massima efficienza e non verso la massima compatibilità i browser, ma, e qui viene la cosa strana, da me è pieno di file del tipo:

- (numero)exhmunml(numero).exe
- (numero)exhmrgml(numero).exe
- (numero)ex.exe
- (numero)exhmrgas(numero).exe

- da alcuni dopo il secondo blocco di numeri ci sono le lettere: dl
Gli stessi file, prima non catalogati come browser, lo sono ripetuti uguali per il browser Mozilla.

Si è infettato anche ESET, o, peggio, lascia passare tutti questi che mi sembrano proprio dei trojan?

Non mi permette neanche di modificare il settaggio da massima compatibilità a massima efficienza. Dopo che ho cambiato l'impostazione e dato l'ok, se ritorno dentro, è tutto come prima impostato alla massima compatibilità, cioè lascia passare tutto!!! AIUTO!!!

Ho visto che ne compaiono molti altri simili posso eliminare anche quelli? (hanno tutti un url con rolbank...)
Se non conosci il sito di provenienza si.
Ti avevo detto prima, di accertarti se è roba che conosci.

Non mi permette neanche di modificare il settaggio da massima compatibilità a massima efficienza. Dopo che ho cambiato l'impostazione e dato l'ok, se ritorno dentro, è tutto come prima impostato alla massima compatibilità, cioè lascia passare tutto!
La configurazione di Nod32, la può fare anche dopo: non devi avere fretta di fare le cose.
Vediamo, prima, di capire se il problema è risolto.

Allora ho fatto un nuovo giro con hijackthis dopo aver tolto anche gli altri https://ib.rolbank.com/ib2000/TlqJ2kR.cab

e metto il link al log:
http://www.fileup.itadib.com/download.php?id=j4cxUYk759Kekr94PvJH

Per ora pare tutto normale, potrebbe essere risolto o è necessaria un'altra passata con antivirus?
Il log di hijackthis è qui:
http://www.fileup.itadib.com/download.php?id=R5J6oxDuyr2vIKYmdGFv

Lancetta segnalava alcune cosette da controllare e vedere dopo il log di kasper anche quello sopra...


Che mi dite per le chiavette USB? Sarebbe sufficiente formattarle? Non ho idea se sono infettate anche quelle, ma formattandole non sparisce tutto?

Nessuno mi può dire se ora è a posto? :confused:

Grazie:D :D

Nessuno mi può dire se ora è a posto?
Il log ora è a posto: sei tu che devi dirci se il problema permane o è risolto.
Per la chiavetta, se ritieni sia infetta, segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

Il log ora è a posto: sei tu che devi dirci se il problema permane o è risolto.
Per la chiavetta, se ritieni sia infetta, segui questa procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

Ok, molte grazie! :)
Per ora non ho riscontrato più il problema.:D

Rimane il fatto che l'antivirus ESET non sia settato in maniera corretta (nella scheda IMON, il settaggio HTTP non è verso la massima efficienza ma ora è verso la massima compatibilità permettendo il passaggio dei virus che ho preso in precedenza dato che sono tutti elencati e liberi di passare quindi; inoltre non si lascia cambiare le impostazioni!) e questo non è rassicurante.

Ho scritto anche all'assistenza ESET senza risposte, per ora.
Mi sa che dovrò cambiarlo!

Avrei anche i log di un secondo pc, da controllare e per ora sto seguendo le regole di sezione, posso postare qui i log o in altro thread?

Rimane il fatto che l'antivirus ESET non sia settato in maniera corretta (nella scheda IMON, il settaggio HTTP non è verso la massima efficienza ma ora è verso la massima compatibilità permettendo il passaggio dei virus che ho preso in precedenza dato che sono tutti elencati e liberi di passare quindi; inoltre non si lascia cambiare le impostazioni!) e questo non è rassicurante.
Ho scritto anche all'assistenza ESET senza risposte, per ora.
Mi sa che dovrò cambiarlo!
Thread ufficiale di Nod32: chiedi qui (http://www.hwupgrade.it/forum/showthread.php?t=1401728)

Thread ufficiale di Nod32: chiedi qui (http://www.hwupgrade.it/forum/showthread.php?t=1401728)


Perfetto grazie mille per il link al thread ESET!!!!

Ho aggiornato ESET con la versione 3.0 inglese e il problema del virus dovrebbe essere risolto definitivamente.

Ho fatto varie scansioni con ESET, Kaspersky, con ESET ADS Reav. e con A-Squared e non è risultato nulla.

Nei prossimi giorno controllo il funzionamento del pc.

Vi allego un ultimo log con hijackthis e potreste dirmi se è a posto?

http://www.fileup.itadib.com/download.php?id=nGiQQwV1aTki4T6lQLdr


Potreste indicarmi un link per antispyware efficaci da affiancare a NOD 32?


MOLTE GRAZIE.

fixa queste voci in hijackthis:


R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)


riguardo i programmi antispyware, vedo che hai superantispyware, ed è un ottimo antispy...

leggi questo post:

http://www.hwupgrade.it/forum/showpost.php?p=21277139&postcount=1959

fixa queste voci in hijackthis:



riguardo i programmi antispyware, vedo che hai superantispyware, ed è un ottimo antispy...

leggi questo post:

http://www.hwupgrade.it/forum/showpost.php?p=21277139&postcount=1959

Molte grazie per i fix con hijackthis.

E anche per il link alla configurazione di superantispyware!

eccomi quà.....allora...ccleaner già ce l'ho sul pc....come lo metto in modalità provvisoria???
cos'è il log di hijackthis????

ho letto il riassunto che mi hai linkato e ho capito già qlcs in più ;) ...però se lo facciamo insieme è meglio....:D :D

ok,
x entrare in modalità provvissoria, riavviare il pc e premere ripetutamente f8 prima che si carichi windows.....dalla schermata che ti appare, scegliere la modalità provvissoria

entrato in mod provv, utilizza ccleaner cosi:
nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

a che c sei, fai pure questo:
Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

riavvia il pc, queta volta in modalità normale, senza premere nulla,

HIJACKTHIS
scaricalo da qui (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip)
scompattalo in una sua specifica cartella,
lancia HThis e pulisci eventuali ADS, ovvero:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

fatto ciò, lo riavvii e digli do a system scan and save a logfile, quando finisce la scansione ti apre un file notepad, salvalo in formato txt e lo alleghi qui

attendi istruzioni

ciao murac83pa, ne aprofitto anchio ho gli stessi problemi di questo troian, ho seguito quello che hai sopra spiegato, ti allego il file di hijack...( un nome piu semplice era meglio). mi puoi dare un occhio grazie.
come antivirus ho nod 32 che mi bloccava un tentativo di collegamento.ora sembra andare bene, pero se mi confermi il log sono + sicuro . grazie
p.s. non me lo fa caricar, mi da errore.
provero stasera
ciao grazie

ciao murac83pa, ne aprofitto anchio ho gli stessi problemi di questo troian, ho seguito quello che hai sopra spiegato, ti allego il file di hijack...( un nome piu semplice era meglio). mi puoi dare un occhio grazie.
come antivirus ho nod 32 che mi bloccava un tentativo di collegamento.ora sembra andare bene, pero se mi confermi il log sono + sicuro . grazie
p.s. non me lo fa caricar, mi da errore.
provero stasera
ciao grazie

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

scusa avevo lasciato il .log

scusa avevo lasciato il .log

scarica avenger(forse devi disattivare momentaneamente l'antivirus)
DOWNLOAD (http://swandog46.geekstogo.com/avenger.zip)
lo scompatti in una sua cartella dedicata,
avvia avenger,
seleziona input script manually,
clicca sulla lente d'ingrandimento,
inserisci il seguente script (tutto quello che è compreso nel quote):


files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system\smvss.exe


Cliccare su done, Cliccare sul semaforo, Rispondere sì 2 volte;il pc dovrebbe riavviarsi, casomai lo riavvii manualmente

posta un nuovo log di hijackthis

allora....quando clicco su Open ADS Spy mi apre una finestra che dice: Atlernate Data Streams (ADS) are only possible on NTFS systems. Since there are no NTFS volumes on this system ADS SPy will not function

allora....quando clicco su Open ADS Spy mi apre una finestra che dice: Atlernate Data Streams (ADS) are only possible on NTFS systems. Since there are no NTFS volumes on this system ADS SPy will not function

ok, posta il log di hijackthis

non mi fa cliccare neanche su "scan"....:mbe:

non mi fa cliccare neanche su "scan"....:mbe:

nn è normale..sicuro?

controlla le istruzioni

eccolo...

che casino....allora
questo è il link per scaricare il file : http://www.fileup.itadib.com/download.php?id=K3NTCb49EKwjiW1vxi9T

che casino....allora
questo è il link per scaricare il file : http://www.fileup.itadib.com/download.php?id=K3NTCb49EKwjiW1vxi9T

riavvia il pc in modalità provvissoria,fai una pulizia completa con ccleaner, poi avvia hijackthis e clicca su "do a system scan only", a fine scansione, seleziona queste voci:


F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)


dopo averle selezionate, clicca su fix checked, poi riavvia il pc in modalità normale, nuova scansione e log di hijackthis

ok...fatto
http://www.fileup.itadib.com/download.php?id=JKIMADKjG0uhflRTDh3u

ciao, siamo a buon punto

poichè è emerso qualkosa che nn mi aspettavo, segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

in particolare, devi solo scaricarti ed installarti un ottimo antispyware, ASQUARED FREE, e gli fai fare la scansione in deep scan, posta qui il report e metti in quarantena ciò che trova

dopo aver fatto questo, fai la scansione con prevx csi e vediamo cosa trova, quindi posta il log

fai una scansione online x un controllo generale, falla con bitdefender:
http://www.bitdefender.com/scan8/ie.html

e posta il report in html

infine scansione con gmer e posta il log

ciao murack83pa, ho faatto quello che mi hai detto ed ora ti posto il file di hij... (questo nome lo odio):doh:
grazie

ciao murack83pa, ho faatto quello che mi hai detto ed ora ti posto il file di hij... (questo nome lo odio):doh:
grazie

fixa queste voci in hijackthis:


C:\WINDOWS\ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
23 - Service: setup_7.0.0.180_27.02.2008_11-14 - Unknown owner - C:\Documents and Settings\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_27.02.2008_11-14.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)


dopo aver fixato queste voci, riutilizza avenger....prima l'avevi usato?hai avuto problemi?

reinserisci lo stesso script di prima:

files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system\smvss.exe

al riavvio, posta il log di avenger e fai una nuova scansione con hijackthis e posta il log

si ho usato avenger, avevo spyboot acceso ed ho accetttato la modifica di registro, poi si è riavviato ed mi ha dato una piccola finestra in dos e poi mi ha dato un errore cli.exe, riavviato manualmente e tutto ok .
ora fisso e riprovo.
grazie

disattiva spybot

ok, disattivato spyboot, eseguito tutto. ok riavvio senza errore ti allego i due file di testo

ok, disattivato spyboot, eseguito tutto. ok riavvio senza errore ti allego i due file di testo

riavvia in modalità provvissoria, premi f8 ripetutamente prima che si carichi windows, e fixa queste voci:


O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w



sempre in provvissoria, fai una pulizia del sistema e del registro con ccleaner e inoltre Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

riavvia in modalità normale e rifai girare di nuovo hijackthis e posta qui il nuovo log

ok fatto tutto.

Un mio amico mi ha chiesto aiuto riguardo al processo smvss.exe: questo programma prova spesso di connettersi ad internet, con comodo lo blocca ma non riesce ad eliminarlo in quanto avg non lo trova.

Lui ha Win Vista 32bit... esiste un programma che lo rimuova con due clic?
Se no potreste dirmi una procedura semplice per rimuoverlo?
Non conosco bene Vista e la procedura elencata da camus11 è troppo complessa per il mio amico (non posso fargliela io in quanto ha il PC a Bologna e io vivo a quasi 200Km).

Grazie

allora... un pò di casini
gmer non mi parte....
bitdefender anche....
prevx csi è andato bene:
http://www.fileup.itadib.com/download.php?id=7dl0wSa3NThV6jQjbFfG

ASQUARED mi si blocca.....mmmmhhhh che bello tre su quattro.....:cry: :cry:

ok fatto tutto.

ok, tutto pulito

ho visto che hai ancora traccia di norton...

puoi seguire questa guida x la rimozione di norton:
http://www.hwupgrade.it/forum/showthread.php?p=20168344

stai molto attento a reg seeker...puo combinare danni, quindi prima fai un backup del registro di sistema...;)

x il resto, tutto ok...

...

ma dove si trova questo smvss.exe?

smsvv.exe è anche un file di sistema di windows...

fagli postare un log di hijackthis e vediamo cosa c'è..

e io??
no scherzo...;) aspetto aspetto:)

e io??
no scherzo...;) aspetto aspetto:)


ok,andiamoci in un altro modo rispetto alla guida standard:

1- il ripristino di sistema controlla che sia disattivato

2- scarica questo programma: DOWNLOAD (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)

Installa KASPERSKY VIRUS REMOVAL TOOL
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato e postalo qui

3- scarica TRENDMICRO ROOTKIT BOOSTER: DOWNLOAD (http://www.trendmicro.com/ftp/products/rootkitbuster/rootkitbusterv1.6.1060.zip)
● scompattalo in una cartella dedicata (è un tool standalone)
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati Rootkit provvedi alla loro eliminazione
● il log verrà salvato in una cartella denominata TRMBLog che trovi all'interno della cartella dedicata che hai precedentemente creato
● allega il log salvato

vediamo come si comportano questi programmi

scusa la mia ignoranza....ma dove lo vedo il ripristino di sistema?

scusa la mia ignoranza....ma dove lo vedo il ripristino di sistema?

il ripristino di sistema lo disattivi cosi:

clicca col pulsante destro del mouse sull'icone di risorse del computer, vai su proprietà, vai su ripristino configurazione sistema e seleziona disattiva ripristino configurazione sistema, digli ok

prosegui

ok....questi hanno girato bene ti do i link:
http://www.fileup.itadib.com/download.php?id=igzoViQ89sGfRficK0qQ
l'altro log me l'ha salvato però non riesco a caricarlo in nessuno dei due modi....posso postarlo direttamente quà??
posso ripristinare il sistema??

ok....questi hanno girato bene ti do i link:
http://www.fileup.itadib.com/download.php?id=igzoViQ89sGfRficK0qQ
l'altro log me l'ha salvato però non riesco a caricarlo in nessuno dei due modi....posso postarlo direttamente quà??
posso ripristinare il sistema??

il log di kaspersky lo salvi in formato .txt e poi lo carichi su fileup....prova,

ho seguito le procedure ma il caricamento è lungo e alla fine si blocca.....ho provato pià volte però niente :mbe: che faccio??

ho seguito le procedure ma il caricamento è lungo e alla fine si blocca.....ho provato pià volte però niente :mbe: che faccio??

è troppo grade? spezzetta il log e riporti solo la parte relativa a cosa ha trovato e cosa ha fatto

eccolo....l'ho zippato....
http://www.fileup.itadib.com/download.php?id=Bi0HIm0vuRlMcg5CcTqs

se nn è stato eliminato da kaspersky, elimina il backup di avenger

il ripristino configurazione sistema l'hai disattivato?

1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)


2-svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3-pulizia completa con Ccleaner

ora riprova a seguire la guida (asquared, hijackthis, bitdefender, gmer)

grazie a murack83pa per l' aiuto che mi hai dato, domani provo a rimuovere il norton che non se ne vuole andare.Poi se posso domani ti posto il file dell' altro mio pc se ci puoi dare un occhio se è tutto a posto.
grazie ancora.

ok, a domani :)

ok...domani faccio tutto e poi ti faccio sapere
grazie per l'aiuto
buona notte ;)

ok...domani faccio tutto e poi ti faccio sapere
grazie per l'aiuto
buona notte ;)

notte, a domani :)

eccomi quà....buongiorno :)
allora asquared mi si blocca sui files temp di emule....
per il resto è andato tutto bene:
http://www.fileup.itadib.com/download.php?id=xLKnywoyR7F0Fzd03hru
http://www.fileup.itadib.com/download.php?id=EVJxeIaNzzKslryXuUAW
http://www.fileup.itadib.com/download.php?id=5Yua6qTZOV82d7rttjDB

fai cosi,in alternativa ad asquared

scarica ed installa SUPER ANTISPYWARE: DOWNLOAD (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

manca HIJACKTHIS, posta il suo log

bitdefender il log nn va.....

prevx è pulito

quello di HIJACKTHIS eccolo.....tra un pò ti do anche gli altri
http://www.fileup.itadib.com/download.php?id=SxJSSFTL3tvyNg6eSnbQ

ecco l'altro:
http://www.fileup.itadib.com/download.php?id=83cpbq6u0C8ErSpgYRaq

ecco anche il log di bitdefender:
http://www.fileup.itadib.com/download.php?id=7FrD45x0RtXVe3y4HBL6

@ sick_rdm:
non potevi usare un messaggio unico, magari andando in edit su quello creato precedentemente?

non pensavo fosse un problema...:doh: la prossima volta ne farò uno solo...

il log di bitdefender è illeggibile, l'unico problema riguarda asquared,giusto?

mi sembra di capire che si blocca sempre su temp di emule....nn usare emule,mentre fai la scansione...anzi, in generale quando si fanno scansione è sempre meglio nn fare altro e chiudere applicazioni come msn o emule....

prova a reinstallarlo e vedere se ultima la scansione...

cmq a parte questo, abbiamo finito, nn è emerso nulla di significativo, mi sembri pulito

nn hai problemi giusto?

nn ricordo se ti ho fatto installare il tool della kaspersky....

si l'unico problema e co asquared... emule non è attaccato quando faccio la scansione ed ho chiuso anche msn.....già lo avevo installato di nuovo però nulla.....boh....cmq il pc non mi da più problemi quindi penso che ci possiamo fermare quà.....ti volevo chiedere delle ultime cose e poi ti lascio....
allora: riattivo il ripristino della conf. di sistema che avevo disattivato?
io ho come antivirus Avast Home Edition...che ne dici? mi consigli di cambiarlo (visto che tutto quello che mi disturbava il pc non l'ha bloccato!!!)

magari la prossima settimana se per te non è un problema vorrei mettere apposto anche l'altro pc....quello mi da altri problemi...però ora non ho tempo per starci appresso.....magari la prossima settimana mi riaffaccio ok?

il ripristino lo puoi riattivare

sinceramente ti consiglio di cambiarlo...visto che me lo chiedi...e anche di corsa....:D

disinstalla avast, fai una pulizia del pc e del registro con CCLEANER, riavvia il pc ed installati avira antivir classic, lo scarichi da www.free-av.com

è uno dei migliori antivirus in circolazione, sicuramente il migliore tra i prodotti free....è in inglese e ti consiglio di configurarlo come scritto da queste ottimo guida, dovoe puoi traovare tante informazioni ai problemi piu comuni:

http://www.hwupgrade.it/forum/showthread.php?t=1514684

fatto la configurazione, fai una scansione completa ;)

riguardo il problema dell'altro pc, se è diverso da quello presente qui, apri un nuovo topic e incomincia a seguire la guida, oramai sai come muovberti, e posta tutti i log richiesti e vediamo

ciao

ok....ti ringrazio sei stato gentilissimo....ci sentiamo :yeah:

si l'unico problema e co asquared... emule non è attaccato quando faccio la scansione ed ho chiuso anche msn.....già lo avevo installato di nuovo però nulla.....boh....cmq il pc non mi da più problemi quindi penso che ci possiamo fermare quà.....ti volevo chiedere delle ultime cose e poi ti lascio....
allora: riattivo il ripristino della conf. di sistema che avevo disattivato?
io ho come antivirus Avast Home Edition...che ne dici? mi consigli di cambiarlo (visto che tutto quello che mi disturbava il pc non l'ha bloccato!!!)

magari la prossima settimana se per te non è un problema vorrei mettere apposto anche l'altro pc....quello mi da altri problemi...però ora non ho tempo per starci appresso.....magari la prossima settimana mi riaffaccio ok?

l'unica sarebbe farla tramite schermata dos (CMD) in quel modo si può dire ad asquared di escudere una determinata directory o una lista di directory :)

per una sola directory da escludere si può usare l'opzione e inserire il path nelle parentesi quadre
/xe=[]

altrimenti per una lista di directory basta creare un file txt ed elencare i path poi usando l'opzione
/extexclude=[list]

ultima cosa giuro.....ho il pc che mi si mette continuamente in standby e ogni volta mi tocca ricliccà su utente per avviase la sessione....mi sa che ho spinto qlcs che non dovevo...come posso riparare?

ultima cosa giuro.....ho il pc che mi si mette continuamente in standby e ogni volta mi tocca ricliccà su utente per avviase la sessione....mi sa che ho spinto qlcs che non dovevo...come posso riparare?

devi andare in proprietà schermo, vale a dire premi il pulsante destro del mouse su un qualsiasi spazio vuoto del desktop, proprietà, vai su screen saver, alimentazione, e la dovrebero eesserci le configurazioni sullo standby e altro

ma dove si trova questo smvss.exe?

smsvv.exe è anche un file di sistema di windows...

fagli postare un log di hijackthis e vediamo cosa c'è..

Il log è QUESTO (http://www.fileup.itadib.com/download.php?id=76yPRSZQmvTmrCHUXwd5)

Hai consigliato:
- KASPERSKY VIRUS REMOVAL TOOL
- TRENDMICRO ROOTKIT BOOSTER
- SUPER ANTISPYWARE

E' necessario che se li scarichi tutti e 3? Ha il 56K :( .

Per disattivare il ripristino configurazione sistema è uguale ad Xp?

..


nn guardare quello che ho consigliato agli altri,

devi riavviare il pc in modalità provvissoria, fai girare hijackthis e fixa queste voci:


C:\Users\Fabio\AppData\Roaming\smvss.exe
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKCU\..\Run: [devenv] C:\Users\Fabio\AppData\Roaming\smvss.exe /w
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)



poi devi cancellare manualmente questo file in questo percorso:

C:\Users\Fabio\AppData\Roaming\smvss.exe

dopo, riavvia il pc e posta un nuovo log di hijackthis

x disattivare il ripristino in vista, vai in pannello di controllo, sistema, protezione sistema e Togliere il flag alle unità disco

x maggiori info:
http://www.megalab.it/articoli.php?id=510

disattiva prima il ripristino, poi fai quanto ti ho detto sopra

ciao murack83pa, sono riuscito a pulire tutto anche il norton grazie al link dato,non ho usato RegSeeker perchè troppo pericoloso ma ho risolto iltutto lo stesso.
grazie.
ma tu come fai a riconoscere le cose buone da quelle no dai file hijackthis?
se dovessi far controllare qualche altro log dove potrei postarlo?
devo aprire una nuova discussione?

...

esiste il sito ufficiale (in realtà vecchio, ma nn ti sto qui a spiegare in che senso e perchè) dove si possono incollare i log e ti da un analisi automatica del log:
http://www.hijackthis.de/

xò nn ti puoi fidare sempre dell'analizzatore automatico, c sono spesso voci che nn vengono classificate, quindi x un analisi piu corretta conviene postare qui sul forum, nel 3d ufficiale di analisi di hijackthis:
http://www.hwupgrade.it/forum/showthread.php?t=937676

in questo caso, c sono regole specifiche su come postare i log, descritte in prima pagina ;)

Salve ragazzi,
stesso virus anch'io..

Ricapitolando:

- Pulizia con CCleaner in modalità provvisoria (fatto)
- Scansione con Hijack (fatto e allego il log)

Poi un'altra curiosità - non so se dipenda dallo stesso virus o meno - ma mi succede una cosa inquietante : una voce che d'un tratto mi dice " You've got a mail" ! Mi è succeso tipo 3 volte, e ovviamente non avevo nè messaggi di posta nè il programma (Thunderbird) aperto...

Sono nelle vostre clementi mani..attendo e ringrazio in anticipo:)

ragazzi sono due settimane che non escono più avvisi in comodo, sembra che sia stato eliminato definitivamente, ringrazio tutti per la disponibilità e l'aiuto offerto, ciao a tutti!

Salve ragazzi,
stesso virus anch'io..

Ricapitolando:

- Pulizia con CCleaner in modalità provvisoria (fatto)
- Scansione con Hijack (fatto e allego il log)

Poi un'altra curiosità - non so se dipenda dallo stesso virus o meno - ma mi succede una cosa inquietante : una voce che d'un tratto mi dice " You've got a mail" ! Mi è succeso tipo 3 volte, e ovviamente non avevo nè messaggi di posta nè il programma (Thunderbird) aperto...

Sono nelle vostre clementi mani..attendo e ringrazio in anticipo:)

Fixa questa:

O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w

Poi scarica Avenger e inserisci questo:

Files to delete:
C:\WINDOWS\system\smvss.exe

Poi inserisci il log avenger.txt e un nuovo log di HJT.

Fatto..


:read:

Vai qui e fai un controllo:

http://secunia.com/software_inspector/

Poi non ho capito perchè hai usato solo ccleaner e hijackthis, cioè altri controlli antivirus, antispyware, ecc. li hai fatti?

non mi fa installare Java (non dispongo di autorizzazione :doh: ) e di consegnuenza non riesco a far partire Secunia...:muro:

Comunque si, ho usato ad-Aware e rimosso le infezioni, poi AVG free e messo in quarantena un certo "Trojan horse Downloader.Generic6.ALAN" .che è andato a fare compagnia ai già presenti (e numerosi) exgmrgml.exe..

a proposito..posso svuotarla la quarantena?


sto per cedere alla formattazione...:help:

non mi fa installare Java (non dispongo di autorizzazione :doh: ) e di consegnuenza non riesco a far partire Secunia...:muro:

Comunque si, ho usato ad-Aware e rimosso le infezioni, poi AVG free e messo in quarantena un certo "Trojan horse Downloader.Generic6.ALAN" .che è andato a fare compagnia ai già presenti (e numerosi) exgmrgml.exe..

a proposito..posso svuotarla la quarantena?


sto per cedere alla formattazione...:help:

Ma hai ancora il problema con gli exgmrgml? Comunque dovresti procedere con la guida e postare tutti i log, solo così sarà possibile capire se ci sono altre infezioni:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

per il momento no, nessun problema con gli exgmrgml..speriamo bene

allora ok, seguo la guida. grazie mille per l'aiuto ;)

Ciao Ragazzi!

Volevo ringraziare tutti quelli che mi hanno assistito e aiutato nella pulizia del pc.
Dopo un paio di settimane di attento monitoraggio non ho più riscontrato alcun problema. Attraverso le vostre segnalazioni ho aiutato anche altri a provvedere ad un controllo dei loro pc e all'installazione di programmi di protezione che mi avete segnalato
Siete forti!

Posto un ultimo log di hijackthis per semplice scrupolo di controllo.

http://www.fileup.itadib.com/download.php?id=fd30DaL8gPioZxT1eGSt

Ciao!

:mano: :cincin: :ubriachi:

I log di HJT vanno postati qui:

http://www.hwupgrade.it/forum/showthread.php?t=937676

Disinstalla java e installa l'ultima versione, poi effettua un controllo qui:

http://secunia.com/software_inspector/

Ciao Ragazzi!

Volevo ringraziare tutti quelli che mi hanno assistito e aiutato nella pulizia del pc.
Dopo un paio di settimane di attento monitoraggio non ho più riscontrato alcun problema. Attraverso le vostre segnalazioni ho aiutato anche altri a provvedere ad un controllo dei loro pc e all'installazione di programmi di protezione che mi avete segnalato
Siete forti!

Posto un ultimo log di hijackthis per semplice scrupolo di controllo.

http://www.fileup.itadib.com/download.php?id=fd30DaL8gPioZxT1eGSt

Ciao!

:mano: :cincin: :ubriachi:

sei pulito ma in futuro usa il thread specifico delle analisi dei log di HiJackThis :)

I log di HJT vanno postati qui:

http://www.hwupgrade.it/forum/showthread.php?t=937676

Disinstalla java e installa l'ultima versione, poi effettua un controllo qui:

http://secunia.com/software_inspector/

sei pulito ma in futuro usa il thread specifico delle analisi dei log di HiJackThis :)

Scusate se ho postato qui il log. L'ho fatto, sbagliando, perchè il mio problema era stato esposto su questo thread.
Ringrazio ancora per le segnalazioni. Ulteriori richieste o chiarimente saranno fatte su thread opportuni.