Salve,
PrevxCSI ha rilevato questo trojan, durante la scansione che fa all'avvio del computer.
Ho effettuato una scansione completa con Avira, che è l'antivirus che tengo sempre attivo, ma non ha rilevato nulla.
Ora eseguo tutti i controlli seguendo la guida e vi posto i log.
C'è qualcuno che ha voglia di aiutarmi? :)

Salve,
PrevxCSI ha rilevato questo trojan, durante la scansione che fa all'avvio del computer.
Ho effettuato una scansione completa con Avira, che è l'antivirus che tengo sempre attivo, ma non ha rilevato nulla.
Ora eseguo tutti i controlli seguendo la guida e vi posto i log.
C'è qualcuno che ha voglia di aiutarmi? :)

Ciao segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione


MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

A-Squared Free v3.x (scansione DEEP) (http://www.fileup.itadib.com/download.php?id=fPeIaXbHWSBDmoNvCt1w) non ha trovato nulla

prevx CSI (http://www.fileup.itadib.com/download.php?id=WEOgKpU9aYuGRd59Wv4Q)

Panda ActiveScan (http://www.fileup.itadib.com/download.php?id=PMXRwDJkgH69Qfpf40eD)

TrendMicro Housecall -> non ha trovato nulla

kaspersky online scanner (http://www.fileup.itadib.com/download.php?id=7ufZRL8ryi6LTlaNPkRc)

hijackthis (http://www.fileup.itadib.com/download.php?id=sJSb86kmMgKHqit4YsXl)

gmer (http://www.fileup.itadib.com/download.php?id=Vtr64kvUkY49HzBkv6h5)

sembra irraggiungibile l'indirizzo "http://www.fileup.itadib.com/download.php"

visto che non è il primo inconveniente negli ultimi 30gg è da considerarlo inaffidabile come indirizzo...
poresti per cortesia usare uno degli altri siti per hostare i log?

mi spiace farti rifare il lavoro di pubblicazione :(

ok.. me ne indicheresti un altro per favore?

puoi optare per:
www.zshare.net o www.mediafire.com

prevcsi (http://www.zshare.net/download/10432968d8e611e2/) - prevcsi è l'unico che mi permette di vedere il problema. però ovviamente non mi fa disinfettare .P


a-squared (http://www.zshare.net/download/10433038a1457fb7/)

panda active scan (http://www.zshare.net/download/10433082a1345f06/)

kaspersky (http://www.zshare.net/download/1043312343fd160f/)

hijackthis (http://www.zshare.net/download/104331692d9b707a/)

gmer (http://www.zshare.net/download/10433204e3bf658d/)

ok fatto!

NB: il ripristino configurazione sistema deve essere disabilitato

Ciao procedi così:

1 - Fai pulizia con CCleaner come indicato qui: http://www.hwupgrade.it/forum/showthread.php?t=1589984 al punto 2

2 - Esegui HijackThis clicca su Do a Systen scan only - metti il segno di spunta nella casella bianca a sx della sottoindicata voce:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.add-hhh.info/

clicca su Fix checked

3 - Scarica Avenger da qui: http://www.fileup.itadib.com/download.php?id=qg3FqMxAzKZCKP1cBzFC copia ed incolla nel box bianco il sotto indicato Script e clicca su Execute

Files to delete:
C:\Documents and Settings\Bianca\Impostazioni locali\Temp\iyxvizdq.exe

al termine della procedura il PC si dovrebbe riavviare, se non si riavvia fallo tu manualmente ed allega il log che trovi in C:\Avenger.txt

Riepilogo log da allegare:
Avenger
Nuovo log di HijackThis
Nuovo log di Prevx CSI

avenger (http://www.zshare.net/download/10446464f950864f/)

hijackthis (http://www.zshare.net/download/104465042ba27861/)

prevx csi (http://www.zshare.net/download/104465430c1fd6a4/)

ecco i log. qualcosa mi dice che ancora non ci siamo :mc:

che devo fare ora?

Inserisci in Avenger questo Script

Files to delete:
C:\Documents and Settings\Bianca\Impostazioni locali\Temp\jar_cache20557.tmp
C:\Documents and Settings\Bianca\Impostazioni locali\Temp\jar_cache60857.tmp
C:\Documents and Settings\Bianca\Impostazioni locali\Temp\jar_cache63539.tmp
C:\Documents and Settings\Bianca\Impostazioni locali\Temp\iyxvizdq.exe

Allega log di Avenger e nuovo log di Prevx CSI

PS: terminata la rimozione di questo impiastro, mettiamo in sicurezza il PC ;)

avenger (http://www.zshare.net/download/10459071a08fd38a/)

C'è qualcosa in Prev csi che non capisco.

All'avvio fa lo scan in automatico e il risultato è questo (http://www.zshare.net/download/104589292879e599/)

poi rilancio e invece non trova nulla : http://www.zshare.net/download/104590385b64d266/

avenger (http://www.zshare.net/download/10459071a08fd38a/)

C'è qualcosa in Prev csi che non capisco.

All'avvio fa lo scan in automatico e il risultato è questo (http://www.zshare.net/download/104589292879e599/)

poi rilancio e invece non trova nulla : http://www.zshare.net/download/104590385b64d266/

Ciao Julie, disinstalla Prevx CSI, lo riscarichi dal sito ufficiale, rifai la scansione ed alleghi il log, ciao.

precsi e 3 (http://www.zshare.net/download/104862963a9af47d/)

sono a posto adesso vero ?

cosa devo fare per mettere in sicurezza il PC ?

precsi e 3 (http://www.zshare.net/download/104862963a9af47d/)

sono a posto adesso vero ?

cosa devo fare per mettere in sicurezza il PC ?

Ciao un secondo che controllo il log, poi ti faccio sapere ;)

grazie sei gentilissimo

grazie sei gentilissimo

Il log è pulito, sei OK adesso ti faccio un elenco delle cose da fare per mettere in sicurezza il Pc.

Ho visto che usi FireFox (perfetto), installa i seguenti componenti aggiuntivi per aumentare la sicurezza:

NoScript -> https://addons.mozilla.org/it/firefox/addon/722
Adblock Plus -> https://addons.mozilla.org/it/firefox/addon/1865
Finjan Securebrowsing -> https://addons.mozilla.org/it/firefox/addon/4892

Aggiorna IE all versione 7, è sempre meglio tenerlo aggiornato nell'eventualità dovessi fare una scansione online, la versione 7 è più performante
http://www.microsoft.com/windows/products/winfamily/ie/default.mspx

Installa un Firewall software ti consiglio Online Armor qui http://www.hwupgrade.it/forum/showthread.php?t=1597881 trovi la guida su come utilizzarlo/configurarlo

Infine collegati a questo sito http://secunia.com/software_inspector/ per controllare che i software complementari siano aggiornati, eventuali versioni obsolete sono vulnerabili, quindi veicolo di infezioni

Ciao

grazie chill.
ma il firewall serve anche se ho l'adsl? non dovrei essere già protetta?
scusa ma sono davvero ignorante in materia

grazie chill.
ma il firewall serve anche se ho l'adsl? non dovrei essere già protetta?
scusa ma sono davvero ignorante in materia

Indipendentemente dalla connessione ADSL o 56K per fare un'esempio il Firewall è indispensabile, forse ti riferisci al fatto che per collegarti utilizzi un Router anzichè un Modem?

Sei protetta in parte...
Scarica da [ qui ] (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-10435_4-10426782&ontId=10435&spi=f529411f5d76a64171f12acc61aa709c&lop=link&ltype=dl_dlnow&pid=10426782&mfgId=6274383&merId=6274383&destUrl=http%3A%2F%2Fwww.download.com%2F3001-10435_4-10823803.html%3Fspi%3Df529411f5d76a64171f12acc61aa709c%26part%3Ddl-OnlineArm) Online armour free, è il migliore, è free, ed è facilissimo da configurare.

Sei protetta in parte...
Scarica da [ qui ] (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-10435_4-10426782&ontId=10435&spi=f529411f5d76a64171f12acc61aa709c&lop=link&ltype=dl_dlnow&pid=10426782&mfgId=6274383&merId=6274383&destUrl=http%3A%2F%2Fwww.download.com%2F3001-10435_4-10823803.html%3Fspi%3Df529411f5d76a64171f12acc61aa709c%26part%3Ddl-OnlineArm) Online armour free, è il migliore, è free, ed è facilissimo da configurare.

*

Sei protetta in parte...
Scarica da [ qui ] (http://dw.com.com/redir?edId=3&siteId=4&oId=3000-10435_4-10426782&ontId=10435&spi=f529411f5d76a64171f12acc61aa709c&lop=link&ltype=dl_dlnow&pid=10426782&mfgId=6274383&merId=6274383&destUrl=http%3A%2F%2Fwww.download.com%2F3001-10435_4-10823803.html%3Fspi%3Df529411f5d76a64171f12acc61aa709c%26part%3Ddl-OnlineArm) Online armour free, è il migliore, è free, ed è facilissimo da configurare.

Qui trovi la Guida e relativa pagina per il download http://www.hwupgrade.it/forum/showthread.php?t=1597881
http://www.tallemu.com/downloads.html

prima di darmi colpe che non ho bada bene di dosare le parole e contano i fatti, il resto sono solo parole scritte sulla sabbia..
per me e per gli altri utenti sei allo stesso pari di zshare.net e mediafire, tu hai fatto manutenzione non programmata senza avvertire nessuno mentre gli altri due siti sono rimasti sempre attivi.
cosa dovresti polemizzare, il fatto che il tuo sito venga snobbato per i vostri innavvertiti problemi tecnici nonostante il servizio erogato ?
prima di accusare assicurati d'avere ragione perchè come al solito stai solo trando il tuo interesse. sei uscito da 30 gg di sospendione a questo punto 2 mesi per contestazione pubblica non li leva nessuno!

La pena viene modificata in ban a tempo indeterminato visti i recenti e continui spam via pvt agli utenti! :)

esatto mi collego attraverso un router

esatto mi collego attraverso un router

Il Router filtra ed in parte solo le connessioni in entrata, diciamo che funge da barriera protettiva poil il resto del lavoro lo fà il Firewall software che controlla sia le connessioni in entrata che in uscita.

perfetto grazie. cmq l'ho scaricato :) ora vedo un po' come manovrarlo

perfetto grazie. cmq l'ho scaricato :) ora vedo un po' come manovrarlo

http://www.hwupgrade.it/forum/showthread.php?t=1597881

Direi che è tra i più semplici, leggi la Guida e se hai problemi posta sul Thread, Leolas saprà consigliarti ;)

prima di darmi colpe che non ho bada bene di dosare le parole e contano i fatti, il resto sono solo parole scritte sulla sabbia..
per me e per gli altri utenti sei allo stesso pari di zshare.net e mediafire, tu hai fatto manutenzione non programmata senza avvertire nessuno mentre gli altri due siti sono rimasti sempre attivi.
cosa dovresti polemizzare, il fatto che il tuo sito venga snobbato per i vostri innavvertiti problemi tecnici nonostante il servizio erogato ?
prima di accusare assicurati d'avere ragione perchè come al solito stai solo trando il tuo interesse. sei uscito da 30 gg di sospendione a questo punto 2 mesi per contestazione pubblica non li leva nessuno!

OFF TOPIC:

a me nn risulta che il servizo www.zshare.net sia stato sempre attivo...al contrario

c sono stati giorni (e nn ore) in cui nn era attivo...

OFF TOPIC:

a me nn risulta che il servizo www.zshare.net sia stato sempre attivo...al contrario

c sono stati giorni (e nn ore) in cui nn era attivo...

quando noterò 5 disservizi in 35 gg anche loro saranno cancellati, ad ogni modo ora c'è la possibile scelta tra ben 4 server :)

Ciao ragazzi, purtroppo mi sono imbattuto anch'io in questo virus... :fagiano: :fagiano:
ho già fatto tutti gli scan come descritto nelle regole x postare le richieste di aiuto.

Gli alternate data stream li dovrei avere cancellati tutti con il programma eset ads revealer.

Di asquared free non ho capito come fare il log, se mi dite che è necessario trovo il modo di scovarlo.
Idem per PrevxCsi.

La scansione ho fatto la panda
Panda Active Scan (http://www.fileup.itadib.com/download.php?id=kI0CulHRm2XLf2zqSlen)

Questo è il log di hijackthis
Hijackthis (http://www.fileup.itadib.com/download.php?id=7BaqUMKKJrsC)

E questo è gmer
Gmer (http://www.fileup.itadib.com/download.php?id=Biov7vgPxjriPIn1Oi0g)

Grazie mille in anticipo x la disponibilità!

Buon Lavoro.

Andrea

Ciao ragazzi, purtroppo mi sono imbattuto anch'io in questo virus... :fagiano: :fagiano:
ho già fatto tutti gli scan come descritto nelle regole x postare le richieste di aiuto.

Gli alternate data stream li dovrei avere cancellati tutti con il programma eset ads revealer.

Di asquared free non ho capito come fare il log, se mi dite che è necessario trovo il modo di scovarlo.
Idem per PrevxCsi.

La scansione ho fatto la panda
Panda Active Scan (http://www.fileup.itadib.com/download.php?id=kI0CulHRm2XLf2zqSlen)

Questo è il log di hijackthis
Hijackthis (http://www.fileup.itadib.com/download.php?id=7BaqUMKKJrsC)

E questo è gmer
Gmer (http://www.fileup.itadib.com/download.php?id=Biov7vgPxjriPIn1Oi0g)

Grazie mille in anticipo x la disponibilità!

Buon Lavoro.

Andrea

per a-squared basta che lanci la scansione deep e attendi che finisca, al termine mostrerà gli oggetti che ha trovato malevoli li selezioni tutti e premi il tasto "sposta in quarantena", fatto questo affianco c'è il pulsante "salva log" e premendolo ti si apre notepad con il log generato..
lo salvi come file di testo (.txt) e lo uppi su uno dei server di hosting.

fileup ha avuto frequente manutenzione nell'ultimo mese per questo ce ne sono altri 4 su cui scegliere :)

Eccolo il logo di asquared anche se cmq non mi ha trovato niente dopo che ho fatto pulizia con tutti gli altri programmi.

asquared free (http://www.fileup.itadib.com/download.php?id=GDD05sxlDPDbIgYyTYpR)

Idem Prevxcsi che la prima scansione che ho fatto mi segnalava dei problemi ora non me li segnala più. (in prevxcsi non ho trovato il log)

Sarebbe moooolto bello che fosse già finito qui :D

il log di hijackthis non è scaricabile...

Questo è il log di hijackthis
Hijackthis (http://www.fileup.itadib.com/download.php?id=7BaqUMKKJrsC)


Andrea, il link è sbagliato....ricontrolla ;)

Hi Jack this (http://www.zshare.net/download/106771419be7204d/)

Spero che negli altri link non ci siano problemi.

fileup ha avuto frequente manutenzione nell'ultimo mese per questo ce ne sono altri 4 su cui scegliere :)


permetti che io che ho l'accesso al server posso parlare un pochino più di te?

In sei mesi: server down time: 5 hours

mi sembra che tutti i disservizi li hai visti solo tu :)

io fixerei questi
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A2311094-5810-4EAE-B91A-54D45000008C} - (no file)
O20 - Winlogon Notify: mljjh - C:\WINDOWS\system32\mljjh.dll (file missing)
O20 - Winlogon Notify: xxywvts - xxywvts.dll (file missing)
però aspetta la diagnosi di qualche esperto ;)

Intanto controlla [ qui ] (http://secunia.com/software_inspector/) di avere tutti i programmi a rischio aggiornati. Clicca su Start Now -> Spunta enable throught system inspection... -> Poi Start. Al termine fai annulla al messaggio che esce.
Adobe per esempio non mi sembra aggiornato...

Ciao

non fixare:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

è una voce normale ed è riferita a msn-messenger, le altre assolutamente sì sono da fixare..
ma ci sarebbe anche da usare LSPFix per eliminare completamente quei due oggetti..

http://www.cexx.org/LSPFix.exe

avvialo, sulla sinistra mostra gli oggetti in uso, seleziona quei due e premi il tasto ">>" poi premi "finish" :)

non fixare:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

è una voce normale ed è riferita a msn-messenger, le altre assolutamente sì sono da fixare..
ma ci sarebbe anche da usare LSPFix per eliminare completamente quei due oggetti..

http://www.cexx.org/LSPFix.exe

avvialo, sulla sinistra mostra gli oggetti in uso, seleziona quei due e premi il tasto ">>" poi premi "finish" :)

Allora...calma...:wtf: wjmat mi ha scritto quattro cose da fixare...mentre te mi hai detto di non fixare una cosa e fixare le altre due...ma 4-1 fa 3 non 2!!! :p

Cos'altro non devo o devo fixare? Non ho poi capito bene come funziona questo lsp fix... quei due oggetti da selezionare quali???

grazie ancora della disponibilità mi salvate!! ;)

x il discorso LSPfix mi riferisco esclusivamente alle voci O20, sono due file che devi eliminare dal LSPFIx, dopo appunto aver fixato le voci consigliate da wjmat (tranne una sola)

solo che non capisco quali siano quei due file.
ti elenco quelli che mi segnala in lsp fix

mswsock.dll Tcpip
winrnr.dll NTDS
wshbth.dll Spazio dei nomi Bluetooth
mdnsNSP.dll mdnsNSP
rsvpsp.dll (Protocol handler)

Fixa:

O2 - BHO: (no name) - {A2311094-5810-4EAE-B91A-54D45000008C} - (no file)
O20 - Winlogon Notify: mljjh - C:\WINDOWS\system32\mljjh.dll (file missing)
O20 - Winlogon Notify: xxywvts - xxywvts.dll (file missing)


con LSPFix devi rimuovere:
mljjh.dll
xxywvts.dll

Fixa:

O2 - BHO: (no name) - {A2311094-5810-4EAE-B91A-54D45000008C} - (no file)
O20 - Winlogon Notify: mljjh - C:\WINDOWS\system32\mljjh.dll (file missing)
O20 - Winlogon Notify: xxywvts - xxywvts.dll (file missing)


con LSPFix devi rimuovere:
mljjh.dll
xxywvts.dll

e se non ci fossero? :D

*

e se non ci fossero? :D
.

a parte quelle voci da fixare poi sei a posto?

e se non ci fossero? :D

fammi allora una stampa di quello che compare in LSPfix altrimenti attendi a lungo :D

Fixa:

O2 - BHO: (no name) - {A2311094-5810-4EAE-B91A-54D45000008C} - (no file)
O20 - Winlogon Notify: mljjh - C:\WINDOWS\system32\mljjh.dll (file missing)
O20 - Winlogon Notify: xxywvts - xxywvts.dll (file missing)


con LSPFix devi rimuovere:
mljjh.dll
xxywvts.dll

Ehm scusa... il log di HijackThis indica che quei due file sono "missing" ossia mancanti. Non serve a nulla usare quindi LSPFix per cancellare file inesistenti! :asd: Basta usare HijackThis e fixare quelle voci

Ehm scusa... il log di HijackThis indica che quei due file sono "missing" ossia mancanti. Non serve a nulla usare quindi LSPFix per cancellare file inesistenti! :asd: Basta usare HijackThis e fixare quelle voci

grazie, ma se permetti vorrei sincerarmi di cosa abbia in uso :) c'è qualcosa di strano in questo? :mbe:

Ehm scusa... il log di HijackThis indica che quei due file sono "missing" ossia mancanti. Non serve a nulla usare quindi LSPFix per cancellare file inesistenti! :asd: Basta usare HijackThis e fixare quelle voci

Quoto.....:D :)

solo che non capisco quali siano quei due file.
ti elenco quelli che mi segnala in lsp fix

mswsock.dll Tcpip
winrnr.dll NTDS
wshbth.dll Spazio dei nomi Bluetooth
mdnsNSP.dll mdnsNSP
rsvpsp.dll (Protocol handler)

Sono sempre questi. nn sono cambiati. Posso dirmi debellato? :stordita:

rifai il logdi hijackthis..

hai ancora problemi?

rifai il logdi hijackthis..

hai ancora problemi?

Hijacthis (http://www.fileup.itadib.com/download.php?id=cEcOn3VCWFcKgGIwb3UR)

Di problemi pare che non ce ne siano più

fixa:
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background


cmq wjmat ti aveva già detto di andare al sito http://secunia.com/software_inspector/ e aggiornare il pc, così finalmente aggiornavi Acrobat 6.0 e altri possibili software obsoleti... :p

fixa pure la voce a meno chè tu non voglia che msn ti parta all'avvio del pc :) oppure in alternativa puoi anche disabilitarlo da msn stesso in opzioni_>scheda "generale" e togli la spunta a "esegui automaticamente live messenger all'accesso a windows":read:

:cool:

ok grazie mille Ragazzi!!! Penso di essere a posto ora!

Ottimi consigli.

Continuate così.

Ciao Ciao Andrea

thread ripulito dai continui OT, i messaggi scorporati sono raggiungibili qui:
http://www.hwupgrade.it/forum/showthread.php?t=1731294

:)

ragazzi anche io ho un problema di questo virus e sto scaricando i vari prg per proteggermi....poi vi farò sapere....

Volevo fare solo una breve domanda x ora....ma il RIPRISTINO DELLA CONFIGURAZIONE DI SISTEMA dobbiamo attivarlo e è meglio lasciarlo disattivato?

Ciao tnk

devi lasciarlo disabilitato ovviamente :)

devi lasciarlo disabilitato ovviamente :)

intendo sempre dopo aver risolto tutti i problemi.......lasciamo disabilitato?

al dopo ci pensiamo dopo ;)