Sono stato infettato da questo finto antispayware, che tra l'altro crea non pochi fastidi...
Dopo aver tentato la rimozione con svariati programmi (HijackThis, SpyHunter, SpywareBlaster, Spybot, Rouge remover, Xsoftspyse) ho cercato di rimuovere quel che restava manualmente.

Ora mi rimangono diciamo 3 problemini:

1) nelle risorse del computer non compare c: e non so' come farlo riapparire

2) se uso la ricerca di windows non compare c: e se provo a metterla manualmente mi compare la scritta "unità disco rigido c: non è una cartella valida"

3)sono stati cancellati tutti i riferimenti exe o link che passano per c: che avevo sul desktop (suppongo che quelli siano persi definitivamente)


Chi puo' darmi una mano?

ciao, prova a caricarci il log di hijackthis, se riesci anche quelli degli altri tool utilizzati

ciao, prova a caricarci il log di hijackthis, se riesci anche quelli degli altri tool utilizzati

Logfile of HijackThis v1.99.1
Scan saved at 19:07, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)


L'ho fatto analizzare e mi dice che è tutto ok

Gli altri programmi non so se danno file di log

HJT non è aggiornato, il log non è completo e non si incolla così (più sotto ci solo le modalità di pubblicazione dei log) ... e comunque non rivela nulla...

Prima di fare gli interventi delicati vogliamo essere certi che tu sia pulito....

Leggi le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Ciao

log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) :)

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

è una delle cose più facili da rimuovere ma pubblica tutti i log anche se fossero vuoti (e ne dubito) :)

i problemi al pc si verificano quando con quel Antivirus2008 esegui la pulizia dei fantomatici oggetti infetti, lì poi sono c@zzi amari.. ma fino a che non fai cio che lui vorrebbe farti fare non perdi nessun dato :)

io l'ho tolto seguendo la guida di rimozione a vundo (http://www.hwupgrade.it/forum/showthread.php?t=1603273)!!!

ero su win200 professional

Ragazzi sto seguendo alla lettera le indicazioni di wjmat, ci vuole un pò di tempo par fare tutte quelle cose, e quindi mi stò dando da fare:sperem:
Vi ringrazio comunque per l'interessamento e per i consigli:ave:
Scusate per i log, i prossimi li postero' nel modo corretto... ritono appena finisco le mille scansioni:Prrr:

arriva fino a dr.web e poi salta a prevxcsi e pubblica tutti questi log epoi ti diciamo come proseguire :)

Ho scaricato Dr.Web CureIT, lo mando in esecuzione, poi scelgo aggiorna e mi fà scaricare un'altro file con lo stesso nome, scarico anche questo, lo mando in esecuzione, faccio scansione e mi esce fuori questo errore:

http://www.fileqube.com/shared/efRfM53203

Pero' il programma stranamente non si chiude e mi visualizza quest'altra schermata :mbe:

Non è un po' strano?

Ho scaricato Dr.Web CureIT, lo mando in esecuzione, poi scelgo aggiorna e mi fà scaricare un'altro file con lo stesso nome, scarico anche questo, lo mando in esecuzione, faccio scansione e mi esce fuori questo errore:

http://www.fileqube.com/shared/efRfM53203

Pero' il programma stranamente non si chiude e mi visualizza quest'altra schermata :mbe:

Non è un po' strano?

Non cliccare su Aggiorna e manda in esecuzione il programma al termine della scansione veloce clicca su Completa scasione ed avvia cliccando sul triangolino verde

Non cliccare su Aggiorna e manda in esecuzione il programma al termine della scansione veloce clicca su Completa scasione ed avvia cliccando sul triangolino verde

Inutile, mi fa la stessa cosa anche se non aggiorno.

log di A-squared scansione deep aggiornato ad oggi:
a2scan_080704-113123.txt (http://wikisend.com/download/509842/a2scan_080704-113123.txt)

log di PrevxCSI:
http://www.fileqube.com/shared/RNptDEmdS53306
(La possibilità di salvare il log dalle opzioni non mi risulta)



log di F-Secure OnLine:
allegato

log di HiJackThis (stavolta è quello aggiornato) sono 2 log perchè mi segnalava una cosa da eliminare e l'ho eliminata:

secondo log

Fixa:

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


la voce O6 ti impediva di eseguire modifiche al sistema...


strano però che hai preso Antivirus2008 con il kav installato... ho dei dubbi quindi sul suo corretto funzionamento e opterei per passare ad avira antivir free

Fixa:

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


la voce O6 ti impediva di eseguire modifiche al sistema...


strano però che hai preso Antivirus2008 con il kav installato... ho dei dubbi quindi sul suo corretto funzionamento e opterei per passare ad avira antivir free

Andando con ordine:
1)Sto' effettuando la scansione con gmer, appena finito posto il log

2)Per quanto riguarda la voce O6 cosa significa che mi ipedisce di fare modifiche al sistema?

3)In realtà il kav non era attivo quando mi sono beccato l' Antivirus 2008 pro, infatti già mi sono informato e da piu' di un mese il kav riconosce questo finto antispyware...

log di Gmer:
gmer.txt (http://wikisend.com/download/549324/gmer.txt)

ti applicava delle restrizioni di gruppo perevitare che tu manualmente manomettessi Antivirus2008... :)

il kav però doveva pulirti da tutto e invece sei pieno come un uovo è per questo che viene meno lamia fiducia sul tuo kav..
almeno per fare la prova pulizia,poi lorimetti se proprio non ne puoi fare a meno :)

Come ulteriore tentativo ho seguito il consiglio di riccese, ed ho seguito la guida di rimozione a vundo, in particolare il ComboFix mi è sembrato quello che ha individuato i punti critici e li ha eliminati. Non posto il log originale perchè ho utilizzato il programma 2 volte, e la seconda non ha trovato nulla perchè aveva già pulito tutto con la prima scansione, ma purtroppo il programma salva automaticamente su se stesso il file di log, e quindi mi si è sovrascritto...
comunque posto questo log di quarantena, e in particolare le cose da eliminare sono le dll e i file ini.

Fatto stà che i tre problemi elencati nel primo post sono spariti :eek:
sono tornati perfino i collegamenti sul desktop:D


ti applicava delle restrizioni di gruppo perevitare che tu manualmente manomettessi Antivirus2008... :)

infatti nell'ultimo log non risulta piu' nessuna voce allo O6



il kav però doveva pulirti da tutto e invece sei pieno come un uovo è per questo che viene meno lamia fiducia sul tuo kav..

1) Perchè dici che sono pieno come un uovo?

2) Come potrei fare per testare se il kav funziona a dovere?

log di VirtumundoBeGone

log di quarantena di ComboFix

tutte le cose rimosse da a-squared, f-secure, combofix erano cose che doveva trovare con agilità il kav...
è evidente che non ti funziona correttamente :)

visto che comunque devi disinstallarlo prova a fare un 5 giorni con avira, e sopratutto 3 scansioni profonde e poi eventualmente ritorni al kav :)

tutte le cose rimosse da a-squared, f-secure, combofix erano cose che doveva trovare con agilità il kav...
è evidente che non ti funziona correttamente :)

visto che comunque devi disinstallarlo prova a fare un 5 giorni con avira, e sopratutto 3 scansioni profonde e poi eventualmente ritorni al kav :)

Provero'...
comunque voglio prima provare la scansione approfondita con il kav per vedere se trova qualcos'altro, e poi faro il cambio.

un mio amico aveva avg7.5 quando si è infettato con questo falso antivirus...
comunque vedi te cosa fare con il tuo kav :)

dimenticavo di dirti che hai software obsoleti nel tuo pc quindi dovresti andare al link http://secunia.com/software_inspector/ e scansionare online il tuo pc, a fine scansione ti evidenzierà i software da aggiornare immediatamente.
uno tra questi è la java quindi ricordati a fine aggiornamento di disinstallare quella che usavi fino ad oggi :)

un mio amico aveva avg7.5 quando si è infettato con questo falso antivirus...
comunque vedi te cosa fare con il tuo kav :)

dimenticavo di dirti che hai software obsoleti nel tuo pc quindi dovresti andare al link http://secunia.com/software_inspector/ e scansionare online il tuo pc, a fine scansione ti evidenzierà i software da aggiornare immediatamente.
uno tra questi è la java quindi ricordati a fine aggiornamento di disinstallare quella che usavi fino ad oggi :)

Provvedo subito!

Grazie mille per i consigli!!! :yeah:

di nulla :D

Ciao a tutti! Anche io mi sono infettato co sto coso maledetto, ma non ci capisco molto di quello che dite, su come toglierlo, ho tutto bloccato, nemmeno su interneta va...come posso fare, sono disperato...ma non si trova in gieo il serial? tanto questi pezzi di Me... volgiono solo soldi no? help me please....

Ciao a tutti! Anche io mi sono infettato co sto coso maledetto, ma non ci capisco molto di quello che dite, su come toglierlo, ho tutto bloccato, nemmeno su interneta va...come posso fare, sono disperato...ma non si trova in gieo il serial? tanto questi pezzi di Me... volgiono solo soldi no? help me please....

http://www.hwupgrade.it/forum/showthread.php?t=1789446

Grazie della dritta!!! ... il problema e' che non mi fa aprire il Task Manager, non mi fa vedere RISORSE DEL COMPUTER, non mi da la Funzione cerca...ecc ecc ... Come posso fare? ho scaricato il programmi m non so come farli partire, li ho scaricati da un altro pc e li ho messi su una chiave, sto rogue non mi fa andare manco su internet....Help Me!!!!!

cotinua di la, qui programmi basta che li scarichi sul tuo desktop e poi li lanci.. disinstalla il tuo attuale antivirus e valuta quale antivirus nuovo da adottare :)

questo thread lo chiudo pernon mantenere doppioni :)

andare qui -> http://www.hwupgrade.it/forum/showthread.php?t=1789446