la scansione con combofix non è riuscita.
i problemi che avevo prima persistono ancora e ora ve li spiego!

Salve a tutti..sono disperato da circa 10 giorni ho scaricato il finto antimalware( quello che ti installa 2o + virus sul pc e poi vuole che ti compri il suo programma antivirus) e da li' è successo il finimondo.
Ho provato a scaricare qualche programma antimalware e spyware ma con nessun risultato netto!! come antivirus ho NOD 32 (uno dei migliori..secondo me) ma non riesce a trovarmi nulla.
successivamente ho installato a squared free e non mi ha trovato nulla di importante, solo il file antimalware (che non riesce a mettere in quarantena).
Iniziamo con spiegarvi i miei problemi, appena accendo il p.c. mi si apre una finestra di google installer(inviare-non inviare) e un altra con la scritta iexplore.exe ( l'applicazione ...è inesistente).
appena mi connetto a internet si aprono 2 pagine di pubblicità e ogni tanto si sentono musiche strane (1 volta ogni 15minuti).
molte pagine come yahoo answer e altre non me le fà aprire dicendomi problema 404 o dns...mi sta uccidendo questo virus.

Ho provato a scaricare spybot sd, me lo fa installare ma non me lo fa partire;
ho provato a installare malwarebytes ma non me lo fa partire.
stessa cosa con diversi programmi.



per il momento ho scaricato spayware doctor e sembra l'unico programma che mi inibisce queste infezioni (mi fa andare in tutti i siti, non mi apre più pagine inutili,ecc) ma ogni qualvolta che le blocca mi si aprono 4 cartelle (ogni 5 o meno minuti escono 4 cartelle):
"iexplore.exe immagine danneggiata"
l'applicazione o DLL globalroot\systemroot\system32\H8SRTjxsubsdehf.dll non è un immagine valida di windodows. verificare dischetto d'nstallazione.

dwwin.exe- immagine danneggiata

..saprete che siccome è la versione demo, non funziona molto bene.

Se tolgo spydoctor, avrò gli stessi problemi di sempre.

spydoctor trova questi file infetti:
rootkit.tdss 171 file infetti
rougue antispyware.antimalware2009 1file infetto
adware.advertising 8file
spyware.rogue_anti_spyware_products 1 file

Vi ALLEGO I FILE DI HJACKTHIS e asquared




http://wikisend.com/download/459158/hijackthi.txt

http://wikisend.com/download/458884/a2scan_100120-203009.txt

ciao
scarica tdsskiller da questo link (http://support.kaspersky.com/downloads/utils/tdsskiller.zip)
estrai e lancia l'eseguibile che trovi al suo interno
attendi che finisca il suo lavoro e carica il log se viene rilasciato in caso di infezione rilevata
dopodichè ricomincia a seguire la guida del 1° post

Se tolgo spydoctor, avrò gli stessi problemi di sempre.

spydoctor trova questi file infetti:
rootkit.tdss 171 file infetti
rougue antispyware.antimalware2009 1file infetto
adware.advertising 8file
spyware.rogue_anti_spyware_products 1 file

Vi ALLEGO I FILE DI HJACKTHIS e asquared


ciao
scarica tdsskiller da questo link (http://support.kaspersky.com/downloads/utils/tdsskiller.zip)
estrai e lancia l'eseguibile che trovi al suo interno
attendi che finisca il suo lavoro e carica il log se viene rilasciato in caso di infezione rilevata
dopodichè ricomincia a seguire la guida del 1° post

Prima di far girare TDSSKiller segui le istruzione date al Post # 3 http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

ciao,
sono stato infettato da "internet security 2010" e ovviamente, da profano, mi sono fatto abbindolare... senza arrivare fortunatamente ad acquistare il programma consigliato.
ho seguito la vostra guida di disinfezione.
il computer è utilizzabile esclusivamente in modalità provvisoria, dove tutto funziona perfettamente. mentre all'accensione normale, segue il blocco totale del computer. si continua a poter muovere la freccia, ma tutto il resto è inattivo.

grazie mille

http://wikisend.com/download/595080/avgrep.txt

http://wikisend.com/download/462722/hijackthis.txt

http://wikisend.com/download/504184/log.a-squared.txt

http://wikisend.com/download/713846/mbam-log-2010-01-19 (23-34-50).txt

http://wikisend.com/download/441952/SysInspector-ACER-777D8E9F1E-100121-0004.txt

ciao,
sono stato infettato da "internet security 2010" e ovviamente, da profano, mi sono fatto abbindolare... senza arrivare fortunatamente ad acquistare il programma consigliato.
ho seguito la vostra guida di disinfezione.
il computer è utilizzabile esclusivamente in modalità provvisoria, dove tutto funziona perfettamente. mentre all'accensione normale, segue il blocco totale del computer. si continua a poter muovere la freccia, ma tutto il resto è inattivo.

grazie mille

http://wikisend.com/download/595080/avgrep.txt

http://wikisend.com/download/462722/hijackthis.txt

http://wikisend.com/download/504184/log.a-squared.txt

http://wikisend.com/download/713846/mbam-log-2010-01-19 (23-34-50).txt

http://wikisend.com/download/441952/SysInspector-ACER-777D8E9F1E-100121-0004.txt

Ciao, il log di a-squared non è quello inerente la scansione, manca inoltre il log di CureIt.

http://wikisend.com/download/549324/log.a-squared.txt

dovrebbe essere questo, scusami ma non sono per niente esperto in materia.

appunto. non riesco a trovare il log di cureit. dove potrebbe essere?

http://wikisend.com/download/549324/log.a-squared.txt

dovrebbe essere questo, scusami ma non sono per niente esperto in materia.

appunto. non riesco a trovare il log di cureit. dove potrebbe essere?

Il log di CureIt lo trovi qui:

Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb

mentre il log di a-squared è quello inerente l'aggiornamento delle firme virali, devi allegare quello inerente la scansione completa del sistema. Se non ti sei premurato di salvarlo è necessario ripetere la scansione :)

trovato cureit

http://wikisend.com/download/529728/CureIt.log

spero di trovare a-squared, dovrei averlo. questo?

http://wikisend.com/download/486084/a2scan_100120-004036.txt

ho anche avg

http://wikisend.com/download/439742/avgrep.txt

ancora grazie

trovato cureit

http://wikisend.com/download/529728/CureIt.log

spero di trovare a-squared, dovrei averlo. questo?

http://wikisend.com/download/486084/a2scan_100120-004036.txt

ho anche avg

http://wikisend.com/download/439742/avgrep.txt

ancora grazie

Ok, aggiorna MBAM, ripeti scansione completa ed allega il log, successivamente spiega in dettaglio l'impossibilità ad accedere alla modalità normale.

http://wikisend.com/download/875470/mbam-log-2010-01-21 (11-50-36).txt

allora. se faccio partire windows normalmente il computer inizialmente si aziona regolarmente. dopo pochi secondi (più o meno anche dipendenetemente anche dal mio azionare o meno qualcosa) tutto si blocca completamente. rimane attiva solo la freccia. non riesco neanche ad aprire task manager o a spegnere il computer usando la tastiera.

http://wikisend.com/download/875470/mbam-log-2010-01-21 (11-50-36).txt

allora. se faccio partire windows normalmente il computer inizialmente si aziona regolarmente. dopo pochi secondi (più o meno anche dipendenetemente anche dal mio azionare o meno qualcosa) tutto si blocca completamente. rimane attiva solo la freccia. non riesco neanche ad aprire task manager o a spegnere il computer usando la tastiera.

Il problema l'hai riscontrato solo dopo aver contratto l'infezione?

Vedi se riesci a produrre un log di HJT in Normal Mode

in effetti non mi sono spiegato bene.
inizialmente ho trovato il desktop cambiato, con varie scritte di pericolo, e vari popup che mi suggerivano di seguire windows che mi avrebbe portato al miglio antivirus... e fin qui, ci siamo.
al che io ho premuto sicuramente su questi popup. fin li il computer funzionava in modo normale, solamente alcune azione mi erano impedite. con la scusa che non dovevo usare il computer prima di aver eliminato il problema. al che tramite un altro computer ho cercato di capire quale fosse il virus. però ho seguito in questo il nome che probabilmente era il virus stesso a darmi. avevo notato inizialmente una nuova icona sul desktop denominata sec int 2010, ma non pensavo fosse il nome del virus.
a quel punto ho trovato la guida e ho iniziato a seguirla. le cose sembravano migliorare, il desktop era tornato normale, finchè, credo al punto 4, il computer si è bloccato completamente.

provo a fare una scansione hj in modalità normale. anche se non so se sarà possibile

ultima cosa
è un problema se chiudo la pagina di hj in cui mi da la possibilità di spuntare le varie cose??

niente da fare si blocca appena provo ad azionare qualcosa.
in questo caso rimane con la clessidra al fianco della freccia finchè sono nello schermo e tutta clessidra invece se metto il cursore nella banda bassa.

che mi dici?

scusate, io sono in australia, sono le 3 passate, entro poco dormirò. mi ci date un occhio prima o poi per favore, è importante, non ce li ho i soldi per andare dal tecnico...
grazie
ciao

Uffi non riesco a scaricare gli aggiornamenti di Antivir oggi!
Si blocca e sta lì anche 20 minuti senza che la barra si carichi :muro:

scusate, io sono in australia

Beato te ;)

scusate, io sono in australia, sono le 3 passate, entro poco dormirò. mi ci date un occhio prima o poi per favore, è importante, non ce li ho i soldi per andare dal tecnico...
grazie
ciao

lordalp questo è un Forum, comprenderai perfettamente che non possiamo essere sempre presenti, facciamo una prova che consiste nel disinstallare AVG da modalità provvisoria, attendo tuo riscontro.

Uffi non riesco a scaricare gli aggiornamenti di Antivir oggi!
Si blocca e sta lì anche 20 minuti senza che la barra si carichi :muro:


L'infezione è stata debellato, per quanto concerne Antivir esiste un 3D dedicato dove viene dettagliatamente spiegata la procedura per aggiornare Antivir manualmente.

Ecco i file di TDSSkiller, sono nello zip perchè il log era troppo grande per essere uppato sul forum.
Il primo è fatto al primo lancio di TDSSkiller, mentre il secondo di qualche minuto più tardi è fatto al riavvio del sistema voluto dal TDSSkiller stesso.

Dopo questo ho fatto anche un passaggio con una scansione di Mbam che ha eliminato altri 6 files e oggi SuperAntispyware ne ha eliminati altri 3 dopo una scansione completa del sistema.

Come vado avanti adesso???

ps. adesso i software si installano e il pc va in ibernazione senza problemi, cosa che nn faceva più dal riscontro dell'infezione.

Ecco i file di TDSSkiller, sono nello zip perchè il log era troppo grande per essere uppato sul forum.
Il primo è fatto al primo lancio di TDSSkiller, mentre il secondo di qualche minuto più tardi è fatto al riavvio del sistema voluto dal TDSSkiller stesso.

Dopo questo ho fatto anche un passaggio con una scansione di Mbam che ha eliminato altri 6 files e oggi SuperAntispyware ne ha eliminati altri 3 dopo una scansione completa del sistema.

Come vado avanti adesso???

ps. adesso i software si installano e il pc va in ibernazione senza problemi, cosa che nn faceva più dal riscontro dell'infezione.

ci sono i server remori do hostare i log più grossi, quindi ricaricali correttamente insieme a quelli richiesta dalla guida del 1° posta, grazie

Il pc non ne vuole sapere di stabilizzarsi, allego il log di hijack, qualcuno mi sa dire se è rimasto qualcosa?

hijackthis.txt (http://wikisend.com/download/486596/hijackthis.txt)

Il pc non ne vuole sapere di stabilizzarsi, allego il log di hijack, qualcuno mi sa dire se è rimasto qualcosa?

hijackthis.txt (http://wikisend.com/download/486596/hijackthis.txt)

stando agli ultimi tuoi post non mi sembra tu abbia seguito interamente la guida e postato i relativi log, presumo quindi che il pc non fosse completamente pulito o essendo in rete con altri pc infetti, c'è la possibilità che si sia reinfettato

Antivir >>> http://www.mediafire.com/?1ewzgrmyzq5
HJT >>> http://www.mediafire.com/?diiyumnmtmy

Antivir >>> http://www.mediafire.com/?1ewzgrmyzq5
HJT >>> http://www.mediafire.com/?diiyumnmtmy

Come detto in precedenza siamo a posto, con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll (file missing)

successivamente segui il trattamento post infezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

NB: devi necessariamente aggiornare IE alla versione 8

Buon proseguimento

hai ragione, scusami, era per spiegarti la situazione.
fate un lavoro eccezionale oltretutto, non avrei saputo come fare senza questo sito.

arrivando al sodo. mi avevi detto di disinstallare avg da mod. prov.
nel mentre ho riprovato ad accendere in modalità normale tenendo spenta fin dall'accensione la rete wireless col tasto esterno e ha funzionato!!!!!!!!!
al che ho rieseguito le scansioni

http://wikisend.com/download/551806/mbam-log-2010-01-22 (01-57-01)-modnorm.txt

http://wikisend.com/download/448546/hijackthis3.txt

ho disinstallato avg, perchè aveva fallito e installato avira

http://wikisend.com/download/447806/AVSCAN-20100122-041610-294FE745.LOG

sembra tutto sano... posso stare tranquillo?
grazie ancora

hai ragione, scusami, era per spiegarti la situazione.
fate un lavoro eccezionale oltretutto, non avrei saputo come fare senza questo sito.

arrivando al sodo. mi avevi detto di disinstallare avg da mod. prov.
nel mentre ho riprovato ad accendere in modalità normale tenendo spenta fin dall'accensione la rete wireless col tasto esterno e ha funzionato!!!!!!!!!
al che ho rieseguito le scansioni

http://wikisend.com/download/551806/mbam-log-2010-01-22 (01-57-01)-modnorm.txt

http://wikisend.com/download/448546/hijackthis3.txt

ho disinstallato avg, perchè aveva fallito e installato avira

http://wikisend.com/download/447806/AVSCAN-20100122-041610-294FE745.LOG

sembra tutto sano... posso stare tranquillo?
grazie ancora

Io vedo AVG :confused:

la prima cosa che ho fatto è stata il log di hjt come avevi detto in precedenza, poi mab. poi ho levato avg

questo è il log di hjt della situazione attuale

http://wikisend.com/download/463186/hijackthis4.txt

stando agli ultimi tuoi post non mi sembra tu abbia seguito interamente la guida e postato i relativi log, presumo quindi che il pc non fosse completamente pulito o essendo in rete con altri pc infetti, c'è la possibilità che si sia reinfettato

gli ho passato guida e tutti i programmi della guida, ha fatto andare quel che funzionava, di più non ti so dire, non me ne voglio occupare perchè non ho intenzione di andare a casa con il nervoso per colpa sua.
Grazie della risp comunque gli dico di arrangiarsi

gli ho passato guida e tutti i programmi della guida, ha fatto andare quel che funzionava, di più non ti so dire, non me ne voglio occupare perchè non ho intenzione di andare a casa con il nervoso per colpa sua.
Grazie della risp comunque gli dico di arrangiarsi

io la riseguirei e in caso di problemi vedere il post #3

la prima cosa che ho fatto è stata il log di hjt come avevi detto in precedenza, poi mab. poi ho levato avg

questo è il log di hjt della situazione attuale

http://wikisend.com/download/463186/hijackthis4.txt

Adesso ci siamo, con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: (no name) - {C8F48FC8-3CA1-42B9-8609-F75D7C8B4493} - (no file)
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)


successivamente configura Avira Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 al termine segui il trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383

NB: devi necessariamente aggiornare IE alla versione 8

Buon proseguimento

grazie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

grazie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Prego :)

Molte grazie per il tuo aiuto ed enorme disponibilità (e pazienzaa!!) :D

Ho cominciato a leggere bene la discussione sul trattamento post-infezione ed opererò di conseguenza!

Il lato positivo è che ho imparato nuove cose sul mio computer!!

Molte grazie per il tuo aiuto ed enorme disponibilità (e pazienzaa!!) :D

Ho cominciato a leggere bene la discussione sul trattamento post-infezione ed opererò di conseguenza!

Il lato positivo è che ho imparato nuove cose sul mio computer!!

Ottimo :)

Ri-posto la mia situazione e la mia domanda allegando i file su siti esterni come da voi richiesto: ;)

Ecco i file di TDSSkiller, sono nello zip perchè il log era troppo grande per essere uppato sul forum.
Il primo è fatto al primo lancio di TDSSkiller, mentre il secondo di qualche minuto più tardi è fatto al riavvio del sistema voluto dal TDSSkiller stesso.

Dopo questo ho fatto anche un passaggio con una scansione di Mbam che ha eliminato altri 6 files e oggi SuperAntispyware ne ha eliminati altri 3 dopo una scansione completa del sistema.

Come vado avanti adesso???

ps. adesso i software si installano e il pc va in ibernazione senza problemi, cosa che nn faceva più dal riscontro dell'infezione.

http://www.mediafire.com/?egti2dicgwr

http://www.mediafire.com/?tt5vwmjouzm

Ri-posto la mia situazione e la mia domanda allegando i file su siti esterni come da voi richiesto: ;)

Ecco i file di TDSSkiller, sono nello zip perchè il log era troppo grande per essere uppato sul forum.
Il primo è fatto al primo lancio di TDSSkiller, mentre il secondo di qualche minuto più tardi è fatto al riavvio del sistema voluto dal TDSSkiller stesso.

Dopo questo ho fatto anche un passaggio con una scansione di Mbam che ha eliminato altri 6 files e oggi SuperAntispyware ne ha eliminati altri 3 dopo una scansione completa del sistema.

Come vado avanti adesso???

ps. adesso i software si installano e il pc va in ibernazione senza problemi, cosa che nn faceva più dal riscontro dell'infezione.

http://www.mediafire.com/?egti2dicgwr

http://www.mediafire.com/?tt5vwmjouzm
procedi con tutte le scansioni previste dalla guida

procedi con tutte le scansioni previste dalla guida
Allora, svolta scansione con MBAM e non ha trovato nulla, fatta scansione con ASquared e ha trovato una traccia nel registro con pericolosità media e 2 cookies con pericolosità bassa, tutte e tre eliminate. Fatta anche l'ultima scansione con Cureit e non viene rilevato nulla.

Come procedo???

Allora, svolta scansione con MBAM e non ha trovato nulla, fatta scansione con ASquared e ha trovato una traccia nel registro con pericolosità media e 2 cookies con pericolosità bassa, tutte e tre eliminate. Fatta anche l'ultima scansione con Cureit e non viene rilevato nulla.

Come procedo???

Esattamente come indicato in Guida

Grazie alla guida di Chill-out sono riuscito ad eliminare i problemi che avevo ("xp antispyware 2010"):mad:

Adesso però succede che con molti programmi,all'apertura col doppio click,mi compare la finestra di Windows dove viene richiesto: "scegliere ilprogramma da utilizzare per aprire il file"....e non si aprono:rolleyes:

Possibile che il virus abbia fatto danni ai collegamenti dei programmi?

Grazie alla guida di Chill-out sono riuscito ad eliminare i problemi che avevo ("xp antispyware 2010"):mad:

Adesso però succede che con molti programmi,all'apertura col doppio click,mi compare la finestra di Windows dove viene richiesto: "scegliere ilprogramma da utilizzare per aprire il file"....e non si aprono:rolleyes:

Possibile che il virus abbia fatto danni ai collegamenti dei programmi?

In funzione del SO

http://www.hwupgrade.it/forum/showthread.php?p=28208868

http://www.hwupgrade.it/forum/showthread.php?t=2016110

Buongiorno a tutti,
da ieri viene visualizzato questo rogue, che mi ha anche fatto sparire avast:(
Ho cercato di rimuoverlo seguendo la vostra guida:
-disattivato ripristino configurazione sistema
-malwarebytes viene bloccato
-scansione in modalità provvisoria con a-square, ha rilevato una trentina di virus assortiti: backdoor, trojan e worm.
Li ho rimossi, ma le varie finestre di avvisi "antivirus xp 2010" continuano ad apparire, pertanto ho tentato di rimuoverle usando sdfix,il quale ha cancellato un rootkit; al termine ho installato anche xp virus alert, ma queste maledette finestre sono sempre li. Volevo rimuoverle manualmente ma appena cerco di impostare la lingua in inglese il pc si blocca.

Allego il log di hijackthis sperando possiate aiutarmi, grazie anticipatamente.

Buongiorno a tutti,
da ieri viene visualizzato questo rogue, che mi ha anche fatto sparire avast:(
Ho cercato di rimuoverlo seguendo la vostra guida:
-disattivato ripristino configurazione sistema
-malwarebytes viene bloccato
-scansione in modalità provvisoria con a-square, ha rilevato una trentina di virus assortiti: backdoor, trojan e worm.
Li ho rimossi, ma le varie finestre di avvisi "antivirus xp 2010" continuano ad apparire, pertanto ho tentato di rimuoverle usando sdfix,il quale ha cancellato un rootkit; al termine ho installato anche xp virus alert, ma queste maledette finestre sono sempre li. Volevo rimuoverle manualmente ma appena cerco di impostare la lingua in inglese il pc si blocca.

Allego il log di hijackthis sperando possiate aiutarmi, grazie anticipatamente.

ciao

passa al post#3
http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

In funzione del SO

http://www.hwupgrade.it/forum/showthread.php?p=28208868

http://www.hwupgrade.it/forum/showthread.php?t=2016110

:eek: :eek: vedo che non racconto nulla di nuovo :)

Grazie ancora Chill !!!!

:eek: :eek: vedo che non racconto nulla di nuovo :)

Grazie ancora Chill !!!!

Prego

ciao

passa al post#3
http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

Buonasera,
ho terminato la disinfestazione e finalmente le finestrelle maledette sono scomparse :D
rkill da solo non è bastato, quindi ho utilizzato anche combofix che mi ha permesso l'avvio di malware.
Allego i vari log, così potete dirmi se è tutto risolto o se devo fare qualche altra disinfestazione.
Grazie per l'attenzione:)
http://www.filedropper.com/1rkill
http://www.filedropper.com/2combofix
http://www.filedropper.com/3mbam-log-2010-02-0216-55-46
http://www.filedropper.com/4mbam-log-2010-02-0216-56-04


Spero di non aver commesso errori questa volta.

Buonasera,
ho terminato la disinfestazione e finalmente le finestrelle maledette sono scomparse :D
rkill da solo non è bastato, quindi ho utilizzato anche combofix che mi ha permesso l'avvio di malware.
Allego i vari log, così potete dirmi se è tutto risolto o se devo fare qualche altra disinfestazione.
Grazie per l'attenzione:)

I log allegati come indicato in prima pagina, thx.

Si avvia col titolo:
"XP Antispyware 2010" e con la grafica del centro sicurezza pc di win xp

Anche in modalità provvisoria si avvia appena cerco di far partire antimalawere o prevx o firefox o ccleaner o aft cleaner

Da task manager posso fermare la struttura processi ma appena mi muovo riparte.

Siccome avevo prevx attivo al momento dell'infezione questo è il link alla pagina di prevx

lo da segnalato il 3 febbraio 2010

http://info.prevx.com/aboutprogramtext.asp?Opt=C&AGENTPROFILE=CSIPLUS&MID=487b595c8baa28f3a36aec0ac2e990cbdf8281ab6f567c1d5add027f9d424973&CMD=appinfo&PX5=A8AE72DB00BE8ECDD65F02A0494B3D002A6F79BA&LIC=F09762B6-6342-4F2C-949E-26D6B91262B3&SFT=EDGE&HN=p4&sessionID=3C13CC6C-4221-4433-B2E1-F9A572966520

qualcuno sa dirmi come procedere?

Intanto provo questa guida:

http://tentativi.blogspot.com/2010/02/xp-antispyware-2010-xp-antivirus-pro.html

La guida sembra funzionare, a patto di capire come si può fare partire i programmi in quelle condizioni:

Io ho fatto così:

Intanto dovevo cancellare il file av.exe ma anche quando accedevo a esplora risorse il virus si attiva

Quindi con task manager aperto avviavo esplora risorse e appena partiva av.exe fermavo il processo (non la struttura processi altrimenti non partiva l'applicazione)

Trovato e cancellato av.exe se provi a far partire un programma, ad esempio regedit ti chiede l'applicazione con cui aprirlo... non funziona

Allora localizza sempre con esplora risorse l'eseguibile che vuoi eseguire, nel caso regedit.exe e clikka col tasto destro e seleziona "start"

In questo modo sono riuscito a cancellare le chiavi e far partire antimalawere

Si avvia col titolo:
"XP Antispyware 2010" e con la grafica del centro sicurezza pc di win xp

Anche in modalità provvisoria si avvia appena cerco di far partire antimalawere o prevx o firefox o ccleaner o aft cleaner

Da task manager posso fermare la struttura processi ma appena mi muovo riparte.

Siccome avevo prevx attivo al momento dell'infezione questo è il link alla pagina di prevx

lo da segnalato il 3 febbraio 2010

http://info.prevx.com/aboutprogramtext.asp?Opt=C&AGENTPROFILE=CSIPLUS&MID=487b595c8baa28f3a36aec0ac2e990cbdf8281ab6f567c1d5add027f9d424973&CMD=appinfo&PX5=A8AE72DB00BE8ECDD65F02A0494B3D002A6F79BA&LIC=F09762B6-6342-4F2C-949E-26D6B91262B3&SFT=EDGE&HN=p4&sessionID=3C13CC6C-4221-4433-B2E1-F9A572966520

qualcuno sa dirmi come procedere?

Il rescue disk di avira?

Oppure, posso accedere al disco da un'altra partizione e fare da lì la pulizia?

Intanto provo questa guida:

http://tentativi.blogspot.com/2010/02/xp-antispyware-2010-xp-antivirus-pro.html

ciao

perchè non seguire il 1° post? :)

Esattamente come indicato in Guida
Dopo qualche giorno ho potuto eseguire anche il log di Hjthis come richiesto dal punto successivo della guida.
Allego il log.

ciao

perchè non seguire il 1° post? :)

Perché anche AFT Cleaner e antimalawere e tutto il resto come tutte le applicazioni non partiva ma attivava il Rogue grazie alla chiave:
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*

ciao :(

Perché anche AFT Cleaner e antimalawere e tutto il resto come tutte le applicazioni non partiva ma attivava il Rogue grazie alla chiave:
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*

ciao :(

Segui le istruzioni date al Post # 3

salve, sono stato infetto dall' "Antivirus XP 2010".
Ho seguito le procedure, tutto ok sembrerebbe ma alcune cose non sono tornate alla normalità:
il ripristino del sistema non mi è possibile disattivarlo/attivarlo perchè ogni eseguibile che tento di far partire, ad esempio anche da pannello di controllo, mi da errore "c:\windows\system32\rundll32.exe impossibile trovare il file", e appunto per questo molti eseguibili non si avviano, ho perso molti eseguili in avvio automatico, tra cui firewall e antivirus (anche se Antivir l'ho ripristinato, lo vedo nel taskmanager senza però l'icona nel tray) e quando clicco su un eseguibile che non sia di sistema mi apre sempre la schermata "apri con".

Ho provato ad utilizzare "WinRecover.exe" per ripristinare i collegamenti, eseguibili,pannello di controllo ecc ma non ha funzionato.

come posso procedere al ripristino di tale funzioni vitali?

ps credo che la mia infezione sia dovuta ad una falla di firefox 3.5.7, ho visto l'infezione in "realtime", praticamente firefox ha saturato la memoria, ma prima di crashare ha salvato il cattivone "av.exe" nel mio pc.

pps aiutatemi a riprisitnare queste funzioni senza formattare!!


edit:
ho trovato i fix per le associazioni dei file (http://www.hwupgrade.it/forum/showthread.php?p=28208868).
grazie mille :)

salve, sono stato infetto dall' "Antivirus XP 2010".
Ho seguito le procedure, tutto ok sembrerebbe ma alcune cose non sono tornate alla normalità:
il ripristino del sistema non mi è possibile disattivarlo/attivarlo perchè ogni eseguibile che tento di far partire, ad esempio anche da pannello di controllo, mi da errore "c:\windows\system32\rundll32.exe impossibile trovare il file", e appunto per questo molti eseguibili non si avviano, ho perso molti eseguili in avvio automatico, tra cui firewall e antivirus (anche se Antivir l'ho ripristinato, lo vedo nel taskmanager senza però l'icona nel tray) e quando clicco su un eseguibile che non sia di sistema mi apre sempre la schermata "apri con".

Ho provato ad utilizzare "WinRecover.exe" per ripristinare i collegamenti, eseguibili,pannello di controllo ecc ma non ha funzionato.

come posso procedere al ripristino di tale funzioni vitali?

ps credo che la mia infezione sia dovuta ad una falla di firefox 3.5.7, ho visto l'infezione in "realtime", praticamente firefox ha saturato la memoria, ma prima di crashare ha salvato il cattivone "av.exe" nel mio pc.

pps aiutatemi a riprisitnare queste funzioni senza formattare!!


edit:
ho trovato i fix per le associazioni dei file (http://www.hwupgrade.it/forum/showthread.php?p=28208868).
grazie mille :)
ciao

comincia a caricare i log delle scansioni

www.hwupgrade.it/forum/showthread.php?p=30774209#post30774209 è il link del primo post con varie info. Ho seguito la guida, ma Malwarebytes' Anti-Malware Free non lo installa, A-Squared Free a metà aggiornamento il pc si blocca.Con Dr.Web CureIt! ho fatto come descritto, e uguale con HijackThis. allego i log in uno zip, dato che sul sito http://www.fileqube.com/, durante l'upload mi porta alla pagina livedepot.net e quindi non riesce a finire. Aspetto qualche risposta, grazie in anticipo :)

www.hwupgrade.it/forum/showthread.php?p=30774209#post30774209 è il link del primo post con varie info. Ho seguito la guida, ma Malwarebytes' Anti-Malware Free non lo installa, A-Squared Free a metà aggiornamento il pc si blocca.Con Dr.Web CureIt! ho fatto come descritto, e uguale con HijackThis. allego i log in uno zip, dato che sul sito http://www.fileqube.com/, durante l'upload mi porta alla pagina livedepot.net e quindi non riesce a finire. Aspetto qualche risposta, grazie in anticipo :)

No log compressi, segui i suggerimenti dati al Post # 3

PS: nelle Regole di sezione in firma trovi l'elenco dei Server Remoti dedicati ai log

salve ho fatto una scan con Hijack..solo che non sono molto esperto
c'è qualcuno che me la sa analizzare?
grazie ;)

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20.31.41, on 07/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRAMMI\A-SQUARED FREE\A2FREE.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\Programmi\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265330478953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1265371910687
O17 - HKLM\System\CCS\Services\Tcpip\..\{15E3328C-0090-4D7D-946D-5A5704FF8424}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 5390 bytes





Ho dubbi sul ctfom.exe

Dopo qualche giorno ho potuto eseguire anche il log di Hjthis come richiesto dal punto successivo della guida.
Allego il log.
Qualcuno mi sa aiutare a continuare?

salve ho fatto una scan con Hijack..solo che non sono molto esperto
c'è qualcuno che me la sa analizzare?
grazie ;)


ciao

i log vanno caricati secondo le regole di sezione
per hjt c'è un 3d dedicato
che sintomi hai? se quelli del primo post, segui tutta la procedura e carica i log richiesti

Qualcuno mi sa aiutare a continuare?

il log è pulito

il log è pulito
Procedo con il post infezione?

Procedo con il post infezione?

se non riscontri altri problemi si

se non riscontri altri problemi si
ok thx :)

No log compressi, segui i suggerimenti dati al Post # 3

PS: nelle Regole di sezione in firma trovi l'elenco dei Server Remoti dedicati ai log

http://wikisend.com/download/631904/hijackthis.log quello di hijackthis, http://wikisend.com/download/614588/cureit filtrato.txt cureit. Fatemi sapere!grazie

http://wikisend.com/download/631904/hijackthis.log quello di hijackthis, http://wikisend.com/download/614588/cureit filtrato.txt cureit. Fatemi sapere!grazie

Allega anche il log di MBAM e a-squared

a-squared mi funziona perfettamente.

Individua 2-3 trojan, li elimino ma poi ad ogni avvio ci sono sempre.
Ho provato a disattivare il ripristino del sistema ma non cambia niente.
Spybot non si apre più.

a-squared mi funziona perfettamente.

Individua 2-3 trojan, li elimino ma poi ad ogni avvio ci sono sempre.
Ho provato a disattivare il ripristino del sistema ma non cambia niente.
Spybot non si apre più.

Segui passo passo la guida in prima pagina ed allega i log per il controllo.

Da avanti ieri sera il mio computer è infestato da virus.
I primi sono stati questi 2: sshnas21.dll e szizhbfw58.dll, che mi facevano uscire 2 errori appena accendevo il pc e appena aprivo internet explorer e msn si chiudevano subito automaticamente. Questi 2 sono riuscito a toglierli manualmente risolvendo il problema di internet explorer, ma nin di msn.
Poi sono usciti 2 altri virus msa.exe e thh.exe che mi facevano aprire pagine internet, e anche questi forse sono riuscito a toglierli (perchè ho provato con l'antivirus SuperAntispyware, li ha trovati ma non li ha tolti, poi successivamente sono spariti), nel frattempo ogni tanto avg mi rilevava "minaccia rogue scanner (type 1027)", ma anche questo virus sembra sparito. Dopo sempre avg mi rilevava ogni secondo tantissimi virus chiamati sheur 2 che all'inizio non riusciva a togliere ma in seguito ha tolto.
Cmq il problema che ancora rimane è che appena apro msn si chiude subito utomaticamente. E in + si aprono tanti pou pop. A cosa è dovuto? a qualche virus che è ancora presente? E come posso fare? Devo seguire la procedura della prima pagina?

E come posso fare? Devo seguire la procedura della prima pagina?

Si :)

Allora ho fatto:
-disattivato il ripristino di sistema
-pulizia dei file temporanei
-scansione con A-Squared Free (l'ho dovuta fare 2 volte, la prima volte mentre stavo mettendo i file in quarantena si è bloccato a metà e purtroppo non ho potuto salvare il rapporto, dopo alla seconda volta ha messo l'altra metà dei file in quarantena e ho salvato il log)

Ho messo solo i file ad alto rischio in quarantena, ho fatto bene o dovevo mettere anche quelli a medio e basso rischio?

Ora sembra risolto il problema di msn e forse anche dei pou pup, ma appena accendo il pc mi escono 2 errori uguali:

"errore durante il caricamento di c:\progra-3\jokogoni\jokogoni.dll.
Impossibile trovare il modulo specificato."

Cosa devo fare ora??????
Posso riattivare il ripristino di sistema???

Cmq non rieco ad allegare il log della scansione, perchè è troppo grande, come faccio adesso?????

Ho diviso il log il 3 parti.
Ecco la prima

Log di A-squared-free 1 prima parte

log 1 seconda parte

I file li devi emttere qui: http://www.fileqube.com/ (c'era scritto nella guida).

I file li devi emttere qui: http://www.fileqube.com/ (c'era scritto nella guida).
Come si fa?? quando carico il file se ne va su questo link:
http://fqu03.livedepot.net/cgi/upload.cgi?up_id=3b9903438cf513961975549dacc3e6c1

I file li devi emttere qui: http://www.fileqube.com/ (c'era scritto nella guida).

Come si fa?? quando carico il file se ne va su questo link:
http://fqu03.livedepot.net/cgi/upload.cgi?up_id=3b9903438cf513961975549dacc3e6c1Ho provato con l'altro sito e ci sono riuscito.Ecco il download link del log a-squared-free
http://wikisend.com/download/465362/a2scan_100224-091939.txt

Ho provato con l'altro sito e ci sono riuscito.Ecco il download link del log
http://wikisend.com/download/465362/a2scan_100224-091939.txt

Attendiamo i log di di:

MBAM
DrWeb CureIt
HijackThis

Attendiamo i log di di:

MBAM
DrWeb CureIt
HijackThis
Ah perchè servono di tutti??? Però ho problemi con l'installazioni di mbam, perchè una volta l'ho installato ma non mi partiva, e quando l'ho disinstallato me l'ha tolto, però dicendomi che alcune cose sono rimaste e bisognava toglierli manualmente, e quindi oni volta che lo installo non mi funziona. Come faccio???

Ah perchè servono di tutti??? Però ho problemi con l'installazioni di mbam, perchè una volta l'ho installato ma non mi partiva, e quando l'ho disinstallato me l'ha tolto, però dicendomi che alcune cose sono rimaste e bisognava toglierli manualmente, e quindi oni volta che lo installo non mi funziona. Come faccio???Ho provato a installarlo ora mbam e mi funziona, forse non funzionava per qualche virus.

Sto facendo la scansione di mbam. Al termine devo cancellare tutti gli elementi infetti che ha trovato??? O come a-squared-fredd solo alcuni cioè i trojan che erano ad alto rischio????

Sto facendo la scansione di mbam. Al termine devo cancellare tutti gli elementi infetti che ha trovato??? O come a-squared-fredd solo alcuni cioè i trojan che erano ad alto rischio????

Peppe89 questo è un Forum non una chat, se desideri ricevere assistenza, segui passo passo la Guida in prima pagina ed allega i log, grazie per la collaborazione.

Peppe89 questo è un Forum non una chat, se desideri ricevere assistenza, segui passo passo la Guida in prima pagina ed allega i log, grazie per la collaborazione.Chiedo scusa dei tanti messaggi che ho scritto.

Ecco il download link del log di mbam
http://wikisend.com/download/956072/mbam-log-2010-02-24 (19-22-46).txt

Mi rimangono i 2 errori quando accendo il pc:
"errore durante il caricamento di c:\progra-3\jokogoni\jokogoni.dll.
Impossibile trovare il modulo specificato."

Appena posso faccio le altre 2 scansioni e posto i log.

Ecco il download link del log hijackthis.log
http://wikisend.com/download/456260/hijackthis.log

Ho fatto anche la scansione di Doctor web cureit, ma quando stava per finire mio padre ha chiuso il programma e non ha potuto finire la scansione, ma non aveva trovato niente.

Adesso che ho fatto tutte le scansioni, che devo fare adesso??
Quando accendo il pc ancora mi escono i due errori che ho scristo nel post precedente. E stamattina dopo 3 giorni avg mi ha rilevato minaccia sheur, ma l'ha messo in quarantena e non è + uscito.

Ecco il download link del log hijackthis.log
http://wikisend.com/download/456260/hijackthis.log

Ho fatto anche la scansione di Doctor web cureit, ma quando stava per finire mio padre ha chiuso il programma e non ha potuto finire la scansione, ma non aveva trovato niente.

Adesso che ho fatto tutte le scansioni, che devo fare adesso??
Quando accendo il pc ancora mi escono i due errori che ho scristo nel post precedente. E stamattina dopo 3 giorni avg mi ha rilevato minaccia sheur, ma l'ha messo in quarantena e non è + uscito.

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O4 - HKLM\..\Run: [dagumibut] Rundll32.exe "c:\progra~3\jokogoni\jokogoni.dll",a
O4 - HKCU\..\Run: [dagumibut] Rundll32.exe "c:\progra~3\jokogoni\jokogoni.dll",a
O20 - AppInit_DLLs: C:\ProgramData\nojezeve\nojezeve.dll c:\PROGRA~3\jokogoni\jokogoni.dll
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)


successivamente aggiorni a-sqaured ripeti scansione completa, metti in quarante tutti gli elemnti infetti ed alleghi il log.

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked



successivamente aggiorni a-sqaured ripeti scansione completa, metti in quarante tutti gli elemnti infetti ed alleghi il log.Fatta la scansione di HJT, e non so se sia normale quando ho fatto fix checked mi sono uscito 2 errori o simili o proprio uguali e con con yes facevo submit. E' normale??? Penso di si perchè cmq ho risolto il problema degli errori quando accendo il pc.

Ti ringrazio per avermi risolto il problema seguito passo passo. Cmq domani faccio la scansione con a-squarede metto il log.

Non voglio scrivere tanti post, però volevo avvisare che i 2 errori che uscivano quando accendo il pc, al mio utente non escono +, invece agli altri utenti ne esce 1 adesso invece di 2, sempre lo stesso:
"errore durante il caricamento di c:\progra-3\jokogoni\jokogoni.dll.
Impossibile trovare il modulo specificato."

Cmq procedo come mi hai detto con la scansione di a-squared, o devo fare qualche altra cosa prima?

Fatta la scansione di HJT, e non so se sia normale quando ho fatto fix checked mi sono uscito 2 errori o simili o proprio uguali e con con yes facevo submit. E' normale??? Penso di si perchè cmq ho risolto il problema degli errori quando accendo il pc.

Ti ringrazio per avermi risolto il problema seguito passo passo. Cmq domani faccio la scansione con a-squarede metto il log.

Non voglio scrivere tanti post, però volevo avvisare che i 2 errori che uscivano quando accendo il pc, al mio utente non escono +, invece agli altri utenti ne esce 1 adesso invece di 2, sempre lo stesso:
"errore durante il caricamento di c:\progra-3\jokogoni\jokogoni.dll.
Impossibile trovare il modulo specificato."

Cmq procedo come mi hai detto con la scansione di a-squared, o devo fare qualche altra cosa prima?

Allega il log di a-squared + nuovo log di HJT

Allega il log di a-squared + nuovo log di HJTAllora ecco i log vecchi quelli dei giorni scorsi:
a-sqaured: http://wikisend.com/download/467506/a2scan_100224-091939.txt
HJT: http://wikisend.com/download/655388/hijackthis.log

Oggi ho rifatto prima la scansione di a-squared e non ha trovato virus ad alto rischio e questo è il log:
http://wikisend.com/download/532562/2a2scan_100226-144624.txt

E mentre facevo la scansione di a-squared, avg mi harilevato 3 minaccie: 2 sheur2.cnff (percorsi: C:\Users\peppe89\AppData\Local\Temp\xi0I2.exe e C:\Users\peppe89\AppData\Local\Temp\tqdhxkx.exe) e 1 sheur2.cndx (C:\Users\Peppe89\AppData\Local\Temp\tlvfbqf.exe), cmq gli ha messi tutti e tre in quarantena.

Poi ho fatto la scansione HJT e questo è il log:
http://wikisend.com/download/565136/2hijackthis.log

Cmq ricordo che l'errore che da è quello iniziale jokogoni agli altri utenti, non al mio.

Cosa devo fare adesso?

Allora ecco i log vecchi quelli dei giorni scorsi:
a-sqaured: http://wikisend.com/download/467506/a2scan_100224-091939.txt
HJT: http://wikisend.com/download/655388/hijackthis.log

Oggi ho rifatto prima la scansione di a-squared e non ha trovato virus ad alto rischio e questo è il log:
http://wikisend.com/download/532562/2a2scan_100226-144624.txt

Come detto in precedenza devi mettere in quarantena tutte le minaccie rilevate, cosa che non hai fatto

E mentre facevo la scansione di a-squared, avg mi harilevato 3 minaccie: 2 sheur2.cnff (percorsi: C:\Users\peppe89\AppData\Local\Temp\xi0I2.exe e C:\Users\peppe89\AppData\Local\Temp\tqdhxkx.exe) e 1 sheur2.cndx (C:\Users\Peppe89\AppData\Local\Temp\tlvfbqf.exe), cmq gli ha messi tutti e tre in quarantena.

Evidentemente nel frattempo navighi dove non devi

Poi ho fatto la scansione HJT e questo è il log:
http://wikisend.com/download/565136/2hijackthis.log

Cmq ricordo che l'errore che da è quello iniziale jokogoni agli altri utenti, non al mio.

Dal log di HJT non merge nulla in merito all'errore c:\progra-3\jokogoni\jokogoni.dll. allega il log di HJT loggato come "altro" utente.

Cosa devo fare adesso?

Seguire le indicazioni altrimenti perdiamo solo tempo, sia io che tu.

1.Come detto in precedenza devi mettere in quarantena tutte le minaccie rilevate, cosa che non hai fatto



2.Evidentemente nel frattempo navighi dove non devi



Dal log di HJT non merge nulla in merito all'errore c:\progra-3\jokogoni\jokogoni.dll. allega il log di HJT loggato come "altro" utente.



3.Seguire le indicazioni altrimenti perdiamo solo tempo, sia io che tu.1. Anche l'altra volta ho messo in quarantena solo i virus ad alto rischio, cioè quelli che sono già con la spunta di suo, invece quelli a medio e basso rischio non sono con la spunta e non mi avevi detto che avevo sbagliato e quindi anche questa volta ho fatto la stessa cosa.

2.Non stavo navigando stava solo facendo la scansione e stava aperto avg che mi ha rilevato i 3 errori.

3. Quindi ora che devo fare? Per non sbagliarmi ti chiedo di spiegarmelo chiaramente.

1. Anche l'altra volta ho messo in quarantena solo i virus ad alto rischio, cioè quelli che sono già con la spunta di suo, invece quelli a medio e basso rischio non sono con la spunta e non mi avevi detto che avevo sbagliato e quindi anche questa volta ho fatto la stessa cosa.

2.Non stavo navigando stava solo facendo la scansione e stava aperto avg che mi ha rilevato i 3 errori.

3. Quindi ora che devo fare? Per non sbagliarmi ti chiedo di spiegarmelo chiaramente.

Leggere e mettere in pratica esattamente quanto scritto qui:

http://www.hwupgrade.it/forum/showpost.php?p=31049996&postcount=1087

Per quanto concerne a-squared nelle specifico la Guida recita:

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo

Leggere e mettere in pratica esattamente quanto scritto qui:

http://www.hwupgrade.it/forum/showpost.php?p=31049996&postcount=1087

Per quanto concerne a-squared nelle specifico la Guida recita:Chiedo dei chiarimenti per evitare errori e quindi perdite di tempo.
1.Quando faccio la scansione di a-squared, posso utilizzare il pc? O non devo fare niente? E posso tenere avg aperto?

2.Poi quando finisce la scansione devo selezionare tutti i virus a medio e basso rishio e non solo quelli che mi mette la spunta l'antivrus a quelli ad alto rischio, giusto?

3.E poi quando finisco la scansione di a-squared posto il log e basta? Non devo + rifare la scansione con HJT, giusto?

Chiedo dei chiarimenti per evitare errori e quindi perdite di tempo.
1.Quando faccio la scansione di a-squared, posso utilizzare il pc? O non devo fare niente? E posso tenere avg aperto?

2.Poi quando finisce la scansione devo selezionare tutti i virus a medio e basso rishio e non solo quelli che mi mette la spunta l'antivrus a quelli ad alto rischio, giusto?

3.E poi quando finisco la scansione di a-squared posto il log e basta? Non devo + rifare la scansione con HJT, giusto?

1 meglio non fare niente

2 esatto -> selezioni tutto e passi in quarantena

3 posti il log + nuovo log di HJT loggato come "altro" utente.

1 meglio non fare niente

2 esatto -> selezioni tutto e passi in quarantena

3 posti il log + nuovo log di HJT loggato come "altro" utente.
Cosa significa? Cosa vuol dire loggato come "altro utente"? Devo fare la scansione di HJT da un altro utente?

Cosa significa? Cosa vuol dire loggato come "altro utente"? Devo fare la scansione di HJT da un altro utente?

Signica quelle che hai scritto tu


Poi ho fatto la scansione HJT e questo è il log:
http://wikisend.com/download/565136/2hijackthis.log

Cmq ricordo che l'errore che da è quello iniziale jokogoni agli altri utenti, non al mio.

Signica quelle che hai scritto tuScusa ma non ho capito.
Io ho scritto che esce l'errore solo quando gli altri accedono al proprio utente. Invece quando apro il mio utente non esce l'errore. Cioè sul mio computer ci sono 4 utenti. A tutti esce l'errore quando accedono, solo quando accedo al mio utente non esce nessun errore. Spero di essere stato chiaro.

Tu invece hai scritto di loggare HJT come "altro" utente. Che significa??? Come si fa a loggare come "altro" utente?

Ho rifatto la scansione di a-squared e o selezionato tutti i virus, gli ho messi in quarantena, ma alcuni no, perchè diceva si togliere la protezione di sola lettura.
Ecco il log:
http://wikisend.com/download/470088/3a2scan_100227-163820.txt

Ho notato che mi ha tolto il programma etoro.
E poi ho notato che c'era virus che come percoso aveva c:\hp\HPQWare\EasySetup\SetACL.exe sicuro che è virus? Non è che è una cosa che serve al computer? Non è che ora che l'ho tolto può dare problemi al pc?
Non è che alcune cose le devo ripristinare perchè non sono virus??????????

Questo è il link per vedere i virus che non è riuscito a mettere in quarantena a-squared.
http://wikisend.com/download/700266/virus non tolti.jpg

Poi ho fatto la scansione di JHT, come l'ho sempre fatto, ed ecco il log:
http://wikisend.com/download/551116/3hijackthis.log

Cmq ancora esce l'errore agli altri utenti quando accedono al loro utente. Non c'è nessun modo per togliere questo errore? Ma a cosa è dovuto? Ci sono ancora virus???

Adesso che devo fare?


EDIT: Ho fatto la scansione HJT su un altro utente e ho visto che sta un percorso con il nome jokogoni, quindi dovremmo aver risolto il problema, giusto. Ecco il log dell'utente mazza:
http://wikisend.com/download/477216/hijackthis.log

Ora che faccio?

Appena posso faccio la scansione anche dalgi altri utenti.

Rispondimi alla domanda in grassetto.

EDIT: Ho fatto la scansione HJT su un altro utente e anche qui c'è jokogoni. Ecco il log dell'utente michele:
http://wikisend.com/download/471398/hijackthis.log

Anche qui che devo fare ora?

Ho rifatto la scansione di a-squared e o selezionato tutti i virus, gli ho messi in quarantena, ma alcuni no, perchè diceva si togliere la protezione di sola lettura.
Ecco il log:
http://wikisend.com/download/470088/3a2scan_100227-163820.txt

Ho notato che mi ha tolto il programma etoro.
E poi ho notato che c'era virus che come percoso aveva c:\hp\HPQWare\EasySetup\SetACL.exe sicuro che è virus? Non è che è una cosa che serve al computer? Non è che ora che l'ho tolto può dare problemi al pc?
Non è che alcune cose le devo ripristinare perchè non sono virus??????????

Questo è il link per vedere i virus che non è riuscito a mettere in quarantena a-squared.
http://wikisend.com/download/700266/virus non tolti.jpg

Poi ho fatto la scansione di JHT, come l'ho sempre fatto, ed ecco il log:
http://wikisend.com/download/551116/3hijackthis.log

Cmq ancora esce l'errore agli altri utenti quando accedono al loro utente. Non c'è nessun modo per togliere questo errore? Ma a cosa è dovuto? Ci sono ancora virus???

Adesso che devo fare?


EDIT: Ho fatto la scansione HJT su un altro utente e ho visto che sta un percorso con il nome jokogoni, quindi dovremmo aver risolto il problema, giusto. Ecco il log dell'utente mazza:
http://wikisend.com/download/477216/hijackthis.log

Ora che faccio?

Appena posso faccio la scansione anche dalgi altri utenti.

Rispondimi alla domanda in grassetto.

EDIT: Ho fatto la scansione HJT su un altro utente e anche qui c'è jokogoni. Ecco il log dell'utente michele:
http://wikisend.com/download/471398/hijackthis.log

Anche qui che devo fare ora?

Apri a-sqaured -->> Quarantena -->> metti il segno di spunta in corrispondenza di C:\hp\HPQWare\EasySetup\SetACL.exe rilevati: Riskware.Win32.ACLSet!A2 e clicca su Ripristina

Utente mazza:

con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O4 - HKCU\..\Run: [dagumibut] Rundll32.exe "c:\progra~3\jokogoni\jokogoni.dll",a
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

Utente michele:

O4 - HKCU\..\Run: [dagumibut] Rundll32.exe "c:\progra~3\jokogoni\jokogoni.dll",a
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

Ciao a tutti.
Volevo chiedere solamente un parere su un'evento che mi è successo alcuni giorni fà. Mentre navigavo tra i siti dei risultati di un motore di ricerca per lavoro, mi sono imbattuto in un quacosa di strano. Quando sono entrato in questo link centroimpiego.it/centri-impiego-ascoli-piceno-c80.html che veniva segnalato da NIS2010 come sicuro e senza rischi di infezioni, mi si è aperto risorse del computer dove c'era una barra rossa sotto le icone classiche che mi diceva che ero stato infettato. Inoltre, mi si è aperta anche una finestra che mi diceva di premere OK per scaricare un'anti-adaware, ma io non ci sono cascato ed ho fatto annulla.
Ho fatto una scansione completa tramite NIS2010 e, oltre ai cookie di controllo assolutamente innocui, mi ha anche rilevato backdoor.graybird . Eseguendo la correzione del problema, NIS 2010 lo ha rimosso e mi ha richiesto di riavviare il PC, cosa che ho fatto.
Che ne dite? Sono infetto oppure nò?
Nel sistema non noto anomalie di nessun genere.

Ciao a tutti.
Volevo chiedere solamente un parere su un'evento che mi è successo alcuni giorni fà. Mentre navigavo tra i siti dei risultati di un motore di ricerca per lavoro, mi sono imbattuto in un quacosa di strano. Quando sono entrato in questo link centroimpiego.it/centri-impiego-ascoli-piceno-c80.html che veniva segnalato da NIS2010 come sicuro e senza rischi di infezioni, mi si è aperto risorse del computer dove c'era una barra rossa sotto le icone classiche che mi diceva che ero stato infettato. Inoltre, mi si è aperta anche una finestra che mi diceva di premere OK per scaricare un'anti-adaware, ma io non ci sono cascato ed ho fatto annulla.
Ho fatto una scansione completa tramite NIS2010 e, oltre ai cookie di controllo assolutamente innocui, mi ha anche rilevato backdoor.graybird . Eseguendo la correzione del problema, NIS 2010 lo ha rimosso e mi ha richiesto di riavviare il PC, cosa che ho fatto.
Che ne dite? Sono infetto oppure nò?
Nel sistema non noto anomalie di nessun genere.

http://www.hwupgrade.it/forum/showpost.php?p=31032893&postcount=3

http://www.hwupgrade.it/forum/showpost.php?p=31032893&postcount=3

Ti ringraio Chill-Out per la risposta che mi hai dato.
Prima di fare un controllo ulteriore, volevo avere un tuo parere. Che ne pensi: NIS2010 ha eliminato il problema (quando ho eseguito la correzione del problema mi ha segnalato che è stato rimosso), oppure mi consigli lo stesso di fare un'ulteriore controllo?
Più precisamente, cosa mi consigli di utilizzare?
Ti ringrazio per l'interessamento.

Ti ringraio Chill-Out per la risposta che mi hai dato.
Prima di fare un controllo ulteriore, volevo avere un tuo parere. Che ne pensi: NIS2010 ha eliminato il problema (quando ho eseguito la correzione del problema mi ha segnalato che è stato rimosso), oppure mi consigli lo stesso di fare un'ulteriore controllo?
Più precisamente, cosa mi consigli di utilizzare?
Ti ringrazio per l'interessamento.

L'infezione rilevata da NIS2010 è stata sicuramente eliminata, ma se desideri fare un controllo approfondito e fugare ogni dubbio, segui la Guida in prima pagina.

L'infezione rilevata da NIS2010 è stata sicuramente eliminata, ma se desideri fare un controllo approfondito e fugare ogni dubbio, segui la Guida in prima pagina.

Ti ringrazio.
Giusto per stare completamente tranquillo, farò un'ulteriore controllo con Dr.Web CureIt!

Ti ringrazio.
Giusto per stare completamente tranquillo, farò un'ulteriore controllo con Dr.Web CureIt!

L'ordine dei tool indicati in Guida non è casuale :)

Apri a-sqaured -->> Quarantena -->> metti il segno di spunta in corrispondenza di C:\hp\HPQWare\EasySetup\SetACL.exe rilevati: Riskware.Win32.ACLSet!A2 e clicca su Ripristina

Utente mazza:

con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked



Utente michele:Fatto tutto ciò che mi hai deto. E risolti i problemi di errore all'accesso di questi due utenti. Manca ancorea un altro utente, che però non posso farlo ora perchè non c'è e non so la password per entrare.

Cmq ho che questi due file, qui sotto, che mi hai fatto levare stanno anche sul mio utente, cheperò non mi hai fatto levare. Questo è il log del mio utente: http://wikisend.com/download/551116/3hijackthis.logis.log
Che faccio li levo anche dal mio utente???

O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

Fatto tutto ciò che mi hai deto. E risolti i problemi di errore all'accesso di questi due utenti. Manca ancorea un altro utente, che però non posso farlo ora perchè non c'è e non so la password per entrare.

Cmq ho che questi due file, qui sotto, che mi hai fatto levare stanno anche sul mio utente, cheperò non mi hai fatto levare. Questo è il log del mio utente: http://wikisend.com/download/551116/3hijackthis.logis.log
Che faccio li levo anche dal mio utente???

O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

http://www.hwupgrade.it/forum/showpost.php?p=31032850&postcount=1082

http://www.hwupgrade.it/forum/showpost.php?p=31032850&postcount=1082
Si l'avevo fatto così, però quei due file sono rimasti, ma è cambiato il nome, prima erano così:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)

e ora sono così:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

E quando l'ho tolti oggi pomeriggio agli utenti mazza e michele, ho visto che facendo dinuovo la scasnsione con HJT uscivano dinuovo:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

Ma sono virus?? Li devo togliere per forza??? O possono stare? E se li devo togliere come devo fare?

Si l'avevo fatto così, però quei due file sono rimasti, ma è cambiato il nome, prima erano così:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - c:\progra~3\jokogoni\jokogoni.dll (file missing)

e ora sono così:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

E quando l'ho tolti oggi pomeriggio agli utenti mazza e michele, ho visto che facendo dinuovo la scasnsione con HJT uscivano dinuovo:
O21 - SSODL: tohidomij - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)
O22 - SharedTaskScheduler: jugezatag - {25b9041e-1aff-475c-9dc2-d4cfdee14393} - (no file)

Ma sono virus?? Li devo togliere per forza??? O possono stare?

Ovunque li trovi, questa è la procedura:

Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

Ovunque li trovi, questa è la procedura:La faccio ma o non li leva o li si ricreano. Quindi che faccio?

La faccio ma o non li leva o li si ricreano. Quindi che faccio?

Evidentemente no, comunque se non ricevi più nessun errore all'avvio siamo a posto.

Evidentemente no, comunque se non ricevi più nessun errore all'avvio siamo a posto.No, non fa + nessun errore quando accediamo agli utenti, a parte uno, che ancora non ho fatto la scansione HJT e non ho tolto jokogoni. Appena posso lo tolgo. Quando lo tolgo, riattivo il ripristino di sistema, giusto?? E poi ho finito???

No, non fa + nessun errore quando accediamo agli utenti, a parte uno, che ancora non ho fatto la scansione HJT e non ho tolto jokogoni. Appena posso lo tolgo. Quando lo tolgo, riattivo il ripristino di sistema, giusto?? E poi ho finito???

Giusto

Giusto
Allora ti ringrazio tantissmo per avermi aiutato e seguito passo passo a pulire il mio pc dai virus. Grazie mille!

Allora ti ringrazio tantissmo per avermi aiutato e seguito passo passo a pulire il mio pc dai virus. Grazie mille!

Prego, ti suggerisco la lettura di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Prego, ti suggerisco la lettura di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
Ok, grazie ancora!

Buongiorno a tutti,
stamattina accendendo il pc ho trovato una bella sorpresa: un virus sottoforma di "security tool". Ho seguito due scansioni con Malwarebytes' AntiMalware: la prima per eliminare i file infetti e la seconda per controllare che non ce ne fossero più. Successivamente per sicurezza ho fatto la scansione con hijack (vedi log in allegato) in cui c'è ancora la voce "O4 - Startup: winesm32.exe" che non riesco a cancellare.
Come posso procedere?

grazie,
buonagiornata

Buongiorno a tutti,
stamattina accendendo il pc ho trovato una bella sorpresa: un virus sottoforma di "security tool". Ho seguito due scansioni con Malwarebytes' AntiMalware: la prima per eliminare i file infetti e la seconda per controllare che non ce ne fossero più. Successivamente per sicurezza ho fatto la scansione con hijack (vedi log in allegato) in cui c'è ancora la voce "O4 - Startup: winesm32.exe" che non riesco a cancellare.
Come posso procedere?

grazie,
buonagiornata

Segui la Guida in prima pagina ed allega i log per il controllo.

Scusa ma non avevo letto le prime righe...adesso ho eseguito l'upload del log di hijack e questo è il link
http://wikisend.com/download/605814/hijackthis.txt

Scusa ma non avevo letto le prime righe...adesso ho eseguito l'upload del log di hijack e questo è il link
http://wikisend.com/download/605814/hijackthis.txt

La Guida in prima pagina prevede:

MBAM
A2
DrWeb CureIt
HJT

se desideri il solo controllo del log di HJT esiste un 3D dedicato.

Ho eseguito le scansioni come mi avete indicato. Nell'ordine:
1. Malwarebytes' Anti Malware con relativo log
http://wikisend.com/download/449360/mbam-log-2010-03-01 (10-12-30).txt

2. A-squared free
http://wikisend.com/download/523944/a2scan_100302-090501.txt

3. cureit
http://wikisend.com/download/208608/cureit filtrato.txt

4. hijackthis
http://wikisend.com/download/466894/hijackthis.txt

Che ne dite, il problema è stato risolto definitivamente?
Grazie

Ho eseguito le scansioni come mi avete indicato. Nell'ordine:
1. Malwarebytes' Anti Malware con relativo log
http://wikisend.com/download/449360/mbam-log-2010-03-01 (10-12-30).txt

2. A-squared free
http://wikisend.com/download/523944/a2scan_100302-090501.txt

3. cureit
http://wikisend.com/download/208608/cureit filtrato.txt

4. hijackthis
http://wikisend.com/download/466894/hijackthis.txt

Che ne dite, il problema è stato risolto definitivamente?
Grazie

Si direi che siamo ok, ripristina i seguenti files dalla quarantena di A2 = a-squared

C:\Programmi\CA\eTrustITM\rmcompt.exe/shutdown.exe rilevati: Win32.SuspectCrc!IK
C:\Programmi\CA\SharedComponents\CAUpdate\CAUConnect.dll rilevati: Virus.Win32.Trojan!IK

Si direi che siamo ok, ripristina i seguenti files dalla quarantena di A2 = a-squared

noo...accidentalmente ho cancellato i file inseriti nella quarantena. Che conseguenze ci sono??

noo...accidentalmente ho cancellato i file inseriti nella quarantena. Che conseguenze ci sono??

Se non riscontri malfunzionamenti al tuo AV nessuna conseguenza, al massimo lo reinstalli.

Se non riscontri malfunzionamenti al tuo AV nessuna conseguenza, al massimo lo reinstalli.

Ah ok, quindi sono file che si riferiscono all'antivirus. Vabbè vedo cosa succede nei prossimi giorni :)
Cmq grazie di tutto, e buon lavoro ;)

Ho conlcuso anche la scansione completa con Dr.Web CureIt! e, per fortuna, non mi ha rilevato nulla.
Quindi, se NIS 2010 e Dr.Web CureIt! non hanno rilevato niente, allora vuol dire che il virus è stato rimosso completamente.
Ora posso stare più tranquillo.

noto che avete usato malwarebytes e cureit .. ma il problema e che una volta preso ANTIVIRUS2010 non ti da la possibilità di istallare nessun antivirus ..ne tantomeno di agire sul regedit ne di eliminare le dll e gli exe infetti ..quindi l'unica cosa è usare l'hdd infetto su un altro pc usandolo come secondario

noto che avete usato malwarebytes e cureit .. ma il problema e che una volta preso ANTIVIRUS2010 non ti da la possibilità di istallare nessun antivirus ..ne tantomeno di agire sul regedit ne di eliminare le dll e gli exe infetti ..quindi l'unica cosa è usare l'hdd infetto su un altro pc usandolo come secondario

Leggi il Post # 3

Leggi il Post # 3


come dicevo prima la procedura del 3 post non ha avuto effetti ..non mi fa installare malwarebytes ....ha corrotto pure il windows installer ... metto l'hdd su una piattaforma linux e tolgo manualmente i file sospetti e poi vi fo sape

come dicevo prima la procedura del 3 post non ha avuto effetti ..non mi fa installare malwarebytes ....ha corrotto pure il windows installer ... metto l'hdd su una piattaforma linux e tolgo manualmente i file sospetti e poi vi fo sape

mi autoquoto finalmente ho tolto questa immondizia di virus.. ho usato linux togliendo tutti i file che ha creato il virus ..nel ripartire window ha dato qualche problema , le finestre in auto so sparite ho istallato malwarebytes ed ora sta lavorando ..haijackthis mi ha tolto un po di immondizia .. ora metto a lavoro virit e cureit e dopo vi aggiorno

come dicevo prima la procedura del 3 post non ha avuto effetti ..non mi fa installare malwarebytes ....ha corrotto pure il windows installer ... metto l'hdd su una piattaforma linux e tolgo manualmente i file sospetti e poi vi fo sape

Se cortesemente alleghi il log di rkill, vediamo di capire il perchè :)

noto che avete usato malwarebytes e cureit .. ma il problema e che una volta preso ANTIVIRUS2010 non ti da la possibilità di istallare nessun antivirus ..ne tantomeno di agire sul regedit ne di eliminare le dll e gli exe infetti ..quindi l'unica cosa è usare l'hdd infetto su un altro pc usandolo come secondario

Anche io l'ho beccato e avevo lo stesso problema non riuscivo ad installare mbam... ma poi ci sono riuscito in modalita' provvisoria solo che purtroppo non ha cancellato nulla:muro:

Mi dici che file bisogna cancellare manualmente che provo a cancellarli da un'altra partizione con seven?

EDIT
Sembra che spybot abbia risolto il problema... sparito tutto sia avvisi che pop up(penso dovreste includerlo nella guida) ora faccio la guida per vedere se ha effettivamente cancellato tutto!

Anche io l'ho beccato e avevo lo stesso problema non riuscivo ad installare mbam... ma poi ci sono riuscito in modalita' provvisoria solo che purtroppo non ha cancellato nulla:muro:

Mi dici che file bisogna cancellare manualmente che provo a cancellarli da un'altra partizione con seven?

EDIT
Sembra che spybot abbia risolto il problema... sparito tutto sia avvisi che pop up(penso dovreste includerlo nella guida) ora faccio la guida per vedere se ha effettivamente cancellato tutto!

Hai letto il Post # 3 che prevede l'uso di rkill?

Aggiornata la Guida ed in particolare il Post # 3 per la rimozione di XP Internet Security 2010 e affini.

un paio di giorni fa avevo aperto questa discussione
http://www.hwupgrade.it/forum/showthread.php?t=2159047
che mi è stata chiusa perche potevo consultare benissimo questa!
il mio problema è che il mio pc non mi fa fare proprio nulla (installare, disinstallare, aprire, ecc..)appena clicco su qualsiasi icona (qualsiasi) mi spunta l'apri con e se con questo dovessi scegliere un programma allora mi dice che xxxxxxxx non è un'applicazione win32 valida!
p.s. sistema operativo windows xp

Anche io l'ho beccato e avevo lo stesso problema non riuscivo ad installare mbam... ma poi ci sono riuscito in modalita' provvisoria solo che purtroppo non ha cancellato nulla:muro:

Mi dici che file bisogna cancellare manualmente che provo a cancellarli da un'altra partizione con seven?

EDIT
Sembra che spybot abbia risolto il problema... sparito tutto sia avvisi che pop up(penso dovreste includerlo nella guida) ora faccio la guida per vedere se ha effettivamente cancellato tutto!

i file da eliminare so molti ..non ti consiglio di usare seven ( potresti beccarlo pure sotto questa piattaforma)se vuoi fallo pure , per prima devi cercare l'esecutibile del virus , una volta eliminato quello lo si attenua e poi puoi agire con i vari antivirus

Aggiornata la Guida ed in particolare il Post # 3 per la rimozione di XP Internet Security 2010 e affini.

il problema vedi è l'istallazione degli antidoti ..la tua guida è fatto + che bene ma bisogna correlarla di qualcos'altro ..per esempio i fix per attivare cureit, virit, malwarebytes a volte non funzionano , sto maledetto di virus li inibisce ..qualcosa deve esserci oltre a questo fix capace di attenuare la sua virulenza ...cerco testo e vi aggiorno
ciao a tt

1) log con Hijackthis quasi nulla quindi tanto vale farlo solo dopo

2) fare quanto descritto di seguito controllando d'avere il rirpistino di configurazione spento e di aver disattivato la funzione "riavvia in caso di errore" entrambe raggiungibili da pannello di controllo - sistema - avanzate:

Scaricare ed eseguire ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html) seguendo queste brevi indicazioni (non richiede installazione), prima chiudere tutte le finestre del browser:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected";


Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)
per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)


Dr.Web CureIT -> download (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)
eseguire l'aggiornamento e poi selezionare "complete scan", il log verrà salvato in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
[i]per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)
gli oggetti individuati devono essere "spostati", non c'è nessuna fretta di eliminarli!!


log con HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)



questo virs crea polecy che bloccano la disinstallazione,la disattivazione e anche regedit :)

si in effetti crea uno script all'avvio che blocca l'accesso a regedit ..digitando regedit fai il suo scopo ..ossia moltiplicare gli script corrosivi del sistema ..ai tuoi antivirus che hai citato aggiungerei l'italianissimo VIRIT è a pagamento ma la versionedi prova ha durata di 30g ...ciao

si in effetti crea uno script all'avvio che blocca l'accesso a regedit ..digitando regedit fai il suo scopo ..ossia moltiplicare gli script corrosivi del sistema ..ai tuoi antivirus che hai citato aggiungerei l'italianissimo VIRIT è a pagamento ma la versionedi prova ha durata di 30g ...ciao

virit lo usiamo solo in determinati casi perchè è troppo pieno di falsi positivi ma in determinati casi fa una pulizia veramente ottima.
per questo lo tiriamo in ballo solo quando necessario :)

Ciao ragazzi...ho preso il famigerato virus ke si camuffa in un fasullo antivirus Virus protector. Allora all'avvio del pc nn mi compare ne il desktop ne la barra di avvio (start)...premendo ogni tasto nn succede nulla...l'unica cosa ke vedo è la schermata di Virus protector ke mi dice ke ho il pc infetto e mi consiglia di registrare il programma. Task menager non funziona. Ho letto in rete varie procedure e scaricato vari programmi ma come faccio ad installarli sul portatile? NN mi funziona nulla...vorrei formattare ma come faccio? IL pc è un ACER travelmate 5600 e Windows XP è all'interno del disco fisso. Potete aiutarmi o darmi qualche dritta...sn disperato. grazie. Ciao

virit lo usiamo solo in determinati casi perchè è troppo pieno di falsi positivi ma in determinati casi fa una pulizia veramente ottima.
per questo lo tiriamo in ballo solo quando necessario :)


hai ragione ma a volte vede dei virus nella mbr del disco che cureit non è capace di vedere ..cmq abbinato agli ottimi antivirus su citati è una buona opportunità di ulteriore pulizia :D

Ciao ragazzi...ho preso il famigerato virus ke si camuffa in un fasullo antivirus Virus protector. Allora all'avvio del pc nn mi compare ne il desktop ne la barra di avvio (start)...premendo ogni tasto nn succede nulla...l'unica cosa ke vedo è la schermata di Virus protector ke mi dice ke ho il pc infetto e mi consiglia di registrare il programma. Task menager non funziona. Ho letto in rete varie procedure e scaricato vari programmi ma come faccio ad installarli sul portatile? NN mi funziona nulla...vorrei formattare ma come faccio? IL pc è un ACER travelmate 5600 e Windows XP è all'interno del disco fisso. Potete aiutarmi o darmi qualche dritta...sn disperato. grazie. Ciao


ti consiglio di avviare il laptop con hiren's boot cd ..ti parte un xp da cd ..cosi puoi agire con i vari antivirus presenti nella realese ..non saranno aggiornati ma almeno ti attenueranno la virulenza e poi segui le descrizioni dei primi post
ciao

un paio di giorni fa avevo aperto questa discussione
http://www.hwupgrade.it/forum/showthread.php?t=2159047
che mi è stata chiusa perche potevo consultare benissimo questa!
il mio problema è che il mio pc non mi fa fare proprio nulla (installare, disinstallare, aprire, ecc..)appena clicco su qualsiasi icona (qualsiasi) mi spunta l'apri con e se con questo dovessi scegliere un programma allora mi dice che xxxxxxxx non è un'applicazione win32 valida!
p.s. sistema operativo windows xp


qualcuno di voi sa come risolvere il mio problema?

scusate se ho aperto tutte quelle discussione ma mi ero dimenticato che potevo postare i miei problemi qui purtroppo ho passato molto tempo su elaborare forum che ha delle abitudini diverse...allora vi spiego il mio proreblema:
-non riesco a formattare il pc! inserendo il cd originale di windows, lo apre ma non mi da la possibilità di scegliere l opzione "installa windows xp" in pratica clicco e non succede nulla!ho provato anche ad inserire il cd durante il caricamento di xp senza risultati, ho provato a formattare una partizione in modalità provvisoria con promp comandi(visto che nella mod normale non posso aprire nessun programma...guarda punto 2) ma nonostante cio non riesco a far partire l installazione del cd
-perchè formatto?ho un virus che non mi permette di aprire nessun programma segnalando un errore e di seguito appare la richiesta di scelta "apri con"
-ho perso il produtc key del cd originale xp e visto che non posso usare programmi non riesco a usare il keyfinder
ho letto la guida ma molte delle operazioni elencate sono impossibili da fare per il mio pc...sono sempre stato senza antivirus e ultimamente ho lasciato anche il firewall aperto per dimenticanza cosa posso fare?

i file da eliminare so molti ..non ti consiglio di usare seven ( potresti beccarlo pure sotto questa piattaforma)se vuoi fallo pure , per prima devi cercare l'esecutibile del virus , una volta eliminato quello lo si attenua e poi puoi agire con i vari antivirus



il problema vedi è l'istallazione degli antidoti ..la tua guida è fatto + che bene ma bisogna correlarla di qualcos'altro ..per esempio i fix per attivare cureit, virit, malwarebytes a volte non funzionano , sto maledetto di virus li inibisce ..qualcosa deve esserci oltre a questo fix capace di attenuare la sua virulenza ...cerco testo e vi aggiorno
ciao a tt

Infatti devi ripristinare l'associazione del file .exe esattamente come scritto al Post # 3 :) :read:

qualcuno di voi sa come risolvere il mio problema?

Questo è il post al quale fai riferimento, dove indichi chiaramante di aver problemi con un Rogue AV

Salve a tutti sono nuovo in questo forum e per questo volevo fare un saluto a tutti e soprattutto volevo complimentarmi per l'ottimo lavoro svolto!(vi consulto sempre)
p.s. non trovavo la discussione per le presentazioni!scusatemi se sbaglio in qualcosa!

Cerco di spiegarvi in poche parole cosa è successo!vi prego aiutatemi.
Stamattina accendo il computer e trovo un virus (per l'esattezza è l'ormai noto "Antivirus Vista 2010")


leggi il Post # 3 della presente Guida.

Ciao ragazzi...ho preso il famigerato virus ke si camuffa in un fasullo antivirus Virus protector. Allora all'avvio del pc nn mi compare ne il desktop ne la barra di avvio (start)...premendo ogni tasto nn succede nulla...l'unica cosa ke vedo è la schermata di Virus protector ke mi dice ke ho il pc infetto e mi consiglia di registrare il programma. Task menager non funziona. Ho letto in rete varie procedure e scaricato vari programmi ma come faccio ad installarli sul portatile? NN mi funziona nulla...vorrei formattare ma come faccio? IL pc è un ACER travelmate 5600 e Windows XP è all'interno del disco fisso. Potete aiutarmi o darmi qualche dritta...sn disperato. grazie. Ciao

Ciao, segui la Guida in prima pagina, prestando attenzione al Post # 3

Questo è il post al quale fai riferimento, dove indichi chiaramante di aver problemi con un Rogue AV



leggi il Post # 3 della presente Guida.


chill out l'antivirus vista 2010 l'ho gia eliminato, non è quello il mio problema. leggi il seguito del mio post, il mio problema è un altro.
tutto quello che dici nel post # 3 della guida sarà sicuramente giusto ma il mio problema è che non riesco ad istallare ne ad aprire nessuno di quei programmi. il mio pc non me lo lascia fare!

chill out l'antivirus vista 2010 l'ho gia eliminato, non è quello il mio problema. leggi il seguito del mio post, il mio problema è un altro.
tutto quello che dici nel post # 3 della guida sarà sicuramente giusto ma il mio problema è che non riesco ad istallare ne ad aprire nessuno di quei programmi. il mio pc non me lo lascia fare!

Bene, presumo che dopo aver debellato il Rogue, hai contratto il Bagle, segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1933977

sempre che io abbia interpretato bene quanto scritto, l'aiuto che vi forniamo dipende da come esponete il problema.

Ciao, segui la Guida in prima pagina, prestando attenzione al Post # 3

ciao...ho usato avira...ora mi si avvia il pc ma l'unica cosa ke vedo è il mio sfondo...la guida in prima pagina di questa sezione?

puoi inviarmi il link del post 3...?

il task manager nn funziona...mi dice ke è stato bloccato dall'amministratore. nn ci capisco nulla. help me:muro: :muro: :muro:

il task manager nn funziona...mi dice ke è stato bloccato dall'amministratore. nn ci capisco nulla. help me:muro: :muro: :muro:

da modalità provvisoria riesci a fare qualcosa in più?

Prima di tutto mi presento come da mio user name si capisce mi chiamo lucio e vi faccio i complimenti per il forum che mi sembra a dir poco stupendo.

Ieri sono stato vittima di un rogue che si chiama "XP defender pro" e fortunatamente ho trovato questa utilissima guida che mi ha tirato fuori dai guai almeno credo, per prima cosa prima di leggere questa guida ho cercato di fare da me ed ho cancellato il file ave.exe dopo di che il falso antivirus non e più ricomparso ma mi sono accorto che i files .exe non funzionavano più, allora ho trovato la guida, ho disabilitato il ripristino di configurazione, ed ho scaricato e lanciato il fixexe.zip poi ho installato ed eseguito mbam-setup.exe
dalla scansione sono risultati 25 tra file e chiavi infette, dopo di che ho riavviato ho provato varie cose sul PC e tutto andava perfettamente.
Mi consigliate comunque di continuare con gli altri punti della guida cioè, A-Squared, Dr.Web CureIt! ecc.... ho può bastare così, e poi una curiosità io ho il Symantec Endpoint Protection v11 originale ed uso il firewall di windows possibile che il virus abbia bucato così facilmente queste difese? Addirittura dopo aver lanciato il fixexe.zip ho fatto partire l'antivirus ed ancora dopo una scansione non mi segnalava assolutamente nessun virus malwer o altro...maa :doh:

Scusatemi se magari le domande sono OT ma è la prima volta dopo anni che mi accade una cosa del genere.

Ciao a tutti.

Ieri ho seguito la procedura gentilmente consigliata da wjmat nella sezione su Hijackthis per eliminare i rogue, ma devo aver sbagliato qualcosa perchè stamattina al riavvio il portatile è "morto" :) si presenta cioè dopo il boot o come diavolo si chiama una bella schermata blu, che mi suggerisce di fare varie cosette compreso chdsk/f o qualcosa del genere.
Grazie per eventuali suggerimenti, al momento il portatile è da spedire in "assistenza" :eek:
ciao!
c
ps: non riesco nemmeno a riavviarlo in modalità provvisoria, se seleziono l'opzione lui comunque mi porta alla schermata blu.

Con questi pochi dettagli è impossibile sapere cosa sia successo. Ti consiglio di fare una foto alla schermata.
Inoltre un portatile non si spedisce mai in assistenza per un problema software, al massimo usi il DVD/CD di ripristino per installare nuovamente il sistema pulito.
Se invece vuoi recuperare il contenuto dell'hard disk ti consiglio di rivolgerti a qualche persona capace che ti recupererà sicuramente il contenuto dell'hard disk prima di ripristinare il sistema operativo.

Ti ringrazio, ma appunto non ho altri... dettagli! :-) se può essere utile vi trascrivo il contenuto della schermata.
Si l'assistenza ce l'ho onsite, volevo dire semplicemente che non vedo alternative a metterlo in mano a loro... e ovviamente al recupero del contenuto sennò m'impicco :muro: :D

Ti conviene fare una foto alla schermata.

Ieri ho seguito la procedura gentilmente consigliata da wjmat nella sezione su Hijackthis per eliminare i rogue, ma devo aver sbagliato qualcosa perchè stamattina al riavvio il portatile è "morto" :) si presenta cioè dopo il boot o come diavolo si chiama una bella schermata blu, che mi suggerisce di fare varie cosette compreso chdsk/f o qualcosa del genere.
Grazie per eventuali suggerimenti, al momento il portatile è da spedire in "assistenza" :eek:
ciao!
c
ps: non riesco nemmeno a riavviarlo in modalità provvisoria, se seleziono l'opzione lui comunque mi porta alla schermata blu.

se ti chiede di fare il check... fallo :)
controllo disco in firma

Prima di tutto mi presento come da mio user name si capisce mi chiamo lucio e vi faccio i complimenti per il forum che mi sembra a dir poco stupendo.

Ieri sono stato vittima di un rogue che si chiama "XP defender pro" e fortunatamente ho trovato questa utilissima guida che mi ha tirato fuori dai guai almeno credo, per prima cosa prima di leggere questa guida ho cercato di fare da me ed ho cancellato il file ave.exe dopo di che il falso antivirus non e più ricomparso ma mi sono accorto che i files .exe non funzionavano più, allora ho trovato la guida, ho disabilitato il ripristino di configurazione, ed ho scaricato e lanciato il fixexe.zip poi ho installato ed eseguito mbam-setup.exe
dalla scansione sono risultati 25 tra file e chiavi infette, dopo di che ho riavviato ho provato varie cose sul PC e tutto andava perfettamente.
Mi consigliate comunque di continuare con gli altri punti della guida cioè, A-Squared, Dr.Web CureIt! ecc.... ho può bastare così, e poi una curiosità io ho il Symantec Endpoint Protection v11 originale ed uso il firewall di windows possibile che il virus abbia bucato così facilmente queste difese? Addirittura dopo aver lanciato il fixexe.zip ho fatto partire l'antivirus ed ancora dopo una scansione non mi segnalava assolutamente nessun virus malwer o altro...maa :doh:

Scusatemi se magari le domande sono OT ma è la prima volta dopo anni che mi accade una cosa del genere.

Ciao a tutti.

ciao lucio, benvenuto sul forum di hu :)

si è meglio che segui tutta la guida fino in fondo e ci carichi i log
quel software non lo conosco bene, magari non era settato adeguatamente o magari è in parte vulnerabile visto che di malware ce ne sono di svariati tipi
il firewall di windows non serve a molto

se ti chiede di fare il check... fallo :)
controllo disco in firma

Ok, ci provo, sperando di non fare altri danni.
Intanto quì la schermata http://www.mediafire.com/i/?gzyyyh45md2
ciao grazie

Ok wjmat oggi pomeriggio al ritorno dal lavoro vado avanti con la procedura e posto i log.

Grazie. :)

Fatto il primo check-disk, alla fine dice che nel disco ci sono uno o più errori. Dopo exit, al riavvio ritorna alla schermata blu. Quindi sono errori non correggibili?
Quì sotto ho inserito il testo presente nel supporto Dell riguardo al mio errore, ora provo a seguire il consiglio presente nell'ultimo punto...

--------------------------------------------------------------
Stop 0x0000007B (INACCESSIBLE_BOOT_DEVICE)

These two errors have similar causes and the same troubleshooting steps apply to both of them. These stop codes always occur during the startup process. When you encounter one of these stop codes, the following has happened:

1 The system has completed the Power-On Self-Test (POST).

2 The system has loaded NTLDR and transferred control of the startup process to NTOSKRNL (the kernel).

3 NTOSKRNL is confused. Either it cannot find the rest of itself, or it cannot read the file system at the location it believes it is stored.

When troubleshooting this error, your task is to find out why the Windows kernel is confused and fix the cause of the confusion.

Things to check:

* The SATA controller configuration in the system BIOS If the SATA controller gets toggled from ATA to AHCI mode (or vice versa), then Windows will not be able to talk to the SATA controller because the different modes require different drivers. Try toggling the SATA controller mode in the BIOS.
* RAID settings You may receive this error if you've been experimenting with the RAID controller settings. Try changing the RAID settings back to Autodetect (usually accurate).
* Improperly or poorly seated cabling Try reseating the data cables that connect the drive and its controller at both ends.
* Hard drive failure Run the built-in diagnostics on the hard drive. Remember: Code 7 signifies correctable data corruption, not disk failure.
* File system corruption Launch the recovery console from the Windows installation disc and run chkdsk /f /r.
* Improperly configured BOOT.INI (Windows XP). If you have inadvertently erased or tinkered with the boot.ini file, you may receive stop code 0x7B during the startup process. Launch the recovery console from the Windows installation disc and run BOOTCFG /REBUILD
---------------------------------------------------------------

Humm... modificando il controller SATA da AHCI ad ATA è ripartito regolarmente. Ora vedo se funziona :-)
(scusate per questi continui post)

scusate se ho aperto tutte quelle discussione ma mi ero dimenticato che potevo postare i miei problemi qui purtroppo ho passato molto tempo su elaborare forum che ha delle abitudini diverse...allora vi spiego il mio proreblema:
-non riesco a formattare il pc! inserendo il cd originale di windows, lo apre ma non mi da la possibilità di scegliere l opzione "installa windows xp" in pratica clicco e non succede nulla!ho provato anche ad inserire il cd durante il caricamento di xp senza risultati, ho provato a formattare una partizione in modalità provvisoria con promp comandi(visto che nella mod normale non posso aprire nessun programma...guarda punto 2) ma nonostante cio non riesco a far partire l installazione del cd
-perchè formatto?ho un virus che non mi permette di aprire nessun programma segnalando un errore e di seguito appare la richiesta di scelta "apri con"
-ho perso il produtc key del cd originale xp e visto che non posso usare programmi non riesco a usare il keyfinder
ho letto la guida ma molte delle operazioni elencate sono impossibili da fare per il mio pc...sono sempre stato senza antivirus e ultimamente ho lasciato anche il firewall aperto per dimenticanza cosa posso fare?

up please

Ciao a tutti,
negli scorsi giorni sono stato infettato dal rogue XpInternetSecurity 2010, che mi ha modificato le schermate delle opzioni di sicurezza del pannello di controllo ed ha iniziato ad aprire le svariate finestre di avviso di infezione con annesso tasto per l'acquisto della licenza.
Inizialmente ho rilevato il rogue con Spyware Doctor, in seguito ho letto la vostra utilissima guida e vi allego i log, sperando di aver agito nel modo corretto.

A-squared free al momento di mettere in quarantena i files sospetti mi ha dato alcuni messaggi in cui mi chiedeva di togliere l'attributo di sola lettura ad alcuni oggetti, come ad esempio a C:\Documents and Settings\Roby\Dati applicazioni\Mozilla\Firefox\Profiles\l8szwmkf.default , ma non sono riuscito a togliere il segno di spunta da sola lettura.

Ora non ho più l'apertura delle finestre e le impostazioni nel pannello di controllo sono tornate quelle consuete, ma vorrei essere sicuro di avere ripulito il tutto.
La cosa strana è che rilanciando Spyware Doctor, RogueAntispyware.XP<internetSecurity2010 viene ancora segnalato,per la precisione con queste descrizioni:

Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Internet Explorer\iexplore.exe"

Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Mozilla Firefox\firefox.exe"

Grazie.
Roberto

http://wikisend.com/download/594236/mbam-log-2010-03-13 (23-58-09).txt
http://wikisend.com/download/438938/a2scan_100314-112455.txt
http://wikisend.com/download/489420/cureit filtrato.txt
http://wikisend.com/download/533958/hijackthis.log

mbam-log-2010-03-16 (18-47-12).txt (http://wikisend.com/download/570338/mbam-log-2010-03-16 (18-47-12).txt)

http://wikisend.com/download/570338/mbam-log-2010-03-16 (18-47-12).txt

[URL=http://wikisend.com/download/485346

http://wikisend.com/download/485346/a2scan_100316-135856.txt

http://wikisend.com/download/467152/hijackthis.log

hijackthis.log (http://wikisend.com/download/467152/hijackthis.log)

up please

il post 3 con il fix dei .exe hai già provato a seguirlo?

Sapete dirmi guardando i file log se è pulito o no il pc?sono riuscito a liberarmi del virus?

rieccomi nella sezione -spero- giusta =)

in sintesi ho un'infezione che va peggiorando le condizioni del sistema. con mbam avevo eliminato quattro o cinque file infetti (trojan), poi avevo fatto tutte le scansioni consigliate da voi nella sezione 'aituo sono infetto' senza trovare altro. avevo poi ripetuto tutto l'iter daccapo ma niente, tutto pulito. intanto però il sistema a volte si riavviava dopo schermata blu, la navigazione era lentissima, iexplorer si era aperto tutte le porte su online armor (i cui log sono tutti completamente illeggibili!), i file sul desktop sono TUTTI spariti tranne le icone di collegamento. solo avira ha in un secondo momento, facendo una scansione, trovato delle infezioni nei punti di ripristino che avevo riabilitato DOPO le varie scansioni con tutti i softrware. segno inequivocabile, direi, che qualcosa che non va c'è ancora e che nessuno (nemmeno prevx free impostato al massimo dell'euristica) aveva visto.

gmer però si pianta. mi dà schermata blu con errore c000021a - 0xc00000005 (0x00000000 0x00000000). facendolo girare con poche spunte per volta, però, in safe mode non dava problemi, tutto pareva liscio. al successivo riavvio in modalità normale, però, altre stranezze del sistema (e cose tipo avira che da solo decide di fare una scansione... mai visto prima!). rilancio gmer e appena faccio partire la scansione con la terza, quarta e quinta (mi pare) voci selezionate, vedo una scritta GIALLA che dice: warning!!! ... detected hidden... e boh non ho fatto in tempo a leggere altro che bummm schermata blu con l'errore di cui sopra. al successivo riavvio mille altri problemi a rilanciare gmer (non si caricava un driver nei file temp che però era nascosto visto che nel frattempo avevo fatto pulizia, boh) e poi ce l'ho fatta ma stavolta tutto pulito. peccato che nel frattempo il sistema è andato in pappa e di nuovo, da solo, schermata blu.

ora sono su col live cd di ubuntu e non so proprio cosa fare, se non formattare, dato che non ho idea di come intercettare sto maledetto COSO e di come farlo fuori. se qualcuno ha qualche idea avrà la mia sempiterna adorazione.

domanda da ignorantissimo: se attacco una periferica esterna per salvare i dati prima del format la infetto? se invece masterizzo i file su cd, i file stessi sono infetti e rischio di contaminare il pc futuro pulito se poi li ricopio su hd? non ho mica idea di come funzionino queste cose...

altra domanda ignorantissima: il router sembra a posto, non ho visto nulla di diverso dal solito, ma: rischia di essere in qualche modo compromesso? mi conviene resettarlo? ho un netgear.

a proposito, ho dato una scorsa ai log del netgeare sono stracarichi di port scan udp sempre verso una stessa porta, praticamente, e attacchi dos... oltre al fatto che noto che il server dns primario (prima quello di alice, poi quello di opendns, che ho impostato dopo), fanno un port scan udp... ma è normale?? non mi pare di aver mai visto nulla del genere... linko una parte dei log insieme a quelli di combofix e di gmer e di hijackthis, gli unici che possano dire qualcosa:

combofix http://pastebin.com/RpMGiy2i edit: combofix l'ho fatto girare in safe mode
gmer (ma non durante la rilevazione del file nascosto) http://pastebin.com/tt1u6wET
hijackthis http://pastebin.com/Rwf0CRG3
netgear http://pastebin.com/8KydEyyf

a proposito di hijackthis, l'unica cosa diversa da prima che noto è la ripetizione del servizio ctfmon. prima compariva una volta soltanto, ne sono sicuro, la chiave hkus non c'era... non so se c'entri ma tant'è...


scusate per lo sproloquio ma sono davvero alla frutta, spero in qualche vostro consiglio altrimenti mi do al format...

rieccomi nella sezione -spero- giusta =)


Non mi sembra che Pastebin sia contemplato tra i server remoti indicati nelle Regole di sezione, tra l'altro nessuno dei log corrisponde a quanto rindicato in Guida.

http://wikisend.com/download/467152/hijackthis.log

hijackthis.log (http://wikisend.com/download/467152/hijackthis.log)

ciao

dal log di mbam non si capisce se hai eliminato le voci
manca il log di cureit

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)


O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect .cab




devi aggiornare
Windows all'ultimo service pack
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Grazie veramente per la vostra guida che mi è risultata fondamentale.

Nei giorni scorsi il mio PC è stato infettato da uno o più Trojan che hanno attivato il rogue XP Defender (e questo sebbene il sistema sia protetto con Viruscan di McAfee aggiornato; è probabile tuttavia che sotto attacco da molteplici Trojans abbia risposto in modo errato ai messaggi di errore).

Seguendo le istruzioni spero di aver ripulito completamente il PC e vi allego i file di log postati su Wikisend:

http://wikisend.com/download/454644/rkill.txt
http://wikisend.com/download/473076/mbam-log-2010-03-16(17-11-11).txt
http://wikisend.com/download/544456/a2scan_100316-172034.txt
http://wikisend.com/download/448712/cureit filtrato.txt
http://wikisend.com/download/593070/hijackthis.txt

Adesso sembra tutto funzionare bene. Mi chiedevo solamente cosa fare dei virus/trojans messi in quarantena (soprattutto da DrWeb). Posso cancellarli direttamente da Windows?

Grazie

Non mi sembra che Pastebin sia contemplato tra i server remoti indicati nelle Regole di sezione, tra l'altro nessuno dei log corrisponde a quanto rindicato in Guida.

per pastebin errore mio (ennesimo) e mi scuso, ma per i log in sé, beh, lo dissi più volte che ero pulito con tutte le altre scansioni e che forse questo non era il thread giusto per me, ma ho seguito le tue istruzioni. forse ho capito male e avrei dovuto postare i log puliti? mah. mi arrangio da solo, grazie comunque.

per pastebin errore mio (ennesimo) e mi scuso, ma per i log in sé, beh, lo dissi più volte che ero pulito con tutte le altre scansioni e che forse questo non era il thread giusto per me. mi arrangio da solo, grazie comunque.

Senza vedere i log sulla base di cosa possiamo risponderti?

mi arrangio da solo, grazie comunque.

Ne prendiamo atto

Senza vedere i log sulla base di cosa possiamo risponderti?



Ne prendiamo atto

beh, credo di aver ampiamente spiegato il mio problema, e comunque resto convinto del fratto che l'ultimo thread che mi hai chiuso fosse nel posto giusto per me, più generico di questo dove gli altri sanno di aver scaricato una cosa precisa, io no. è chiaro che non pretendo una risposta o una soluzione da alcuno, ci mancherebbe, magari speravo in qualche intuizione da parte di chi sicuramente ne sa ben più di me e che magari ha già letto/visto situazioni analoghe alla mia.

il forum resta comunque ricchissimo di spunti ottimi per i neofiti e ringrazio tutti per questo. buon lavoro.

beh, credo di aver ampiamente spiegato il mio problema, e comunque resto convinto del fratto che l'ultimo thread che mi hai chiuso fosse nel posto giusto per me, più generico di questo dove gli altri sanno di aver scaricato una cosa precisa, io no. è chiaro che non pretendo una risposta o una soluzione da alcuno, ci mancherebbe, magari speravo in qualche intuizione da parte di chi sicuramente ne sa ben più di me e che magari ha già letto/visto situazioni analoghe alla mia.

il forum resta comunque ricchissimo di spunti ottimi per i neofiti e ringrazio tutti per questo. buon lavoro.

Credo di averti dato tutta la mia disponibilità, spetta a te fornire quanto richiesto per essere aiutato, concludo ricordandoti che da Regolamento che hia sottoscritto i chiarimenti vanno chiesti in PVT.

Credo di averti dato tutta la mia disponibilità, spetta a te fornire quanto richiesto per essere aiutato.

ma certo, il punto è un altro: il mio virus o chissà cosa nel suo infettarmi non ha seguito la procedura, perdirindindina!

ma certo, il punto è un altro: il mio virus o chissà cosa nel suo infettarmi non ha seguito la procedura, perdirindindina!

I meccanisci che innescano e deterninano un'infezione sono molteplici e sono funzione di una serie fattori.

Ribadisco se desideri pubblica i log richiesti e sulla base degli stessi possiamo ragionare, altrimenti non c'è altro da aggiungere.

Grazie veramente per la vostra guida che mi è risultata fondamentale.

Nei giorni scorsi il mio PC è stato infettato da uno o più Trojan che hanno attivato il rogue XP Defender (e questo sebbene il sistema sia protetto con Viruscan di McAfee aggiornato; è probabile tuttavia che sotto attacco da molteplici Trojans abbia risposto in modo errato ai messaggi di errore).

Seguendo le istruzioni spero di aver ripulito completamente il PC e vi allego i file di log postati su Wikisend:

http://wikisend.com/download/454644/rkill.txt
http://wikisend.com/download/473076/mbam-log-2010-03-16(17-11-11).txt
http://wikisend.com/download/544456/a2scan_100316-172034.txt
http://wikisend.com/download/448712/cureit filtrato.txt
http://wikisend.com/download/593070/hijackthis.txt

Adesso sembra tutto funzionare bene. Mi chiedevo solamente cosa fare dei virus/trojans messi in quarantena (soprattutto da DrWeb). Posso cancellarli direttamente da Windows?

Grazie

Ciao, dal log di A2 si evince che non hai messo in quarantena tutti gli elementi infetti rilevati, alcuni dei quali definirei decisamente poco "consoni"

Gli elementi infetti presenti nella quarantena di CureIt non possono nuocere, in teoria potresti anche non eliminarli, per scrupolo cestina l'eseguibile di CureIt e relativa cartella C:\Documents and Settings\nomeutente\DoctorWeb solo dopo un uso massivo del PC

Per il resto i log sono OK

Ecco il log di cureit

http://wikisend.com/download/443282/CureIt.log

CureIt.log (http://wikisend.com/download/443282/CureIt.log)

l'ho appena beccato semplicemente guardando un video su youtube..ho appena lanciato drweb..speriamo di fare qualcosa..il bello e' che non stavo facendo assolutamente nulla..

dopo rkill ora mbam parte di nuovo..per ora ne ha trovati 3..speriamo..

dopo rkill ora mbam parte di nuovo..per ora ne ha trovati 3..speriamo..

Cortesemente allega tutti i log richiesti in unico Post secondo le mdalità indicate in guida.

trovati 16..
selezionato cancella
riavviato poiche' alcuni non poteva cancellarli
rifatto scan
0 elementi..nessun avviso e nulla relativo a virus o altro..direi meglio..
mamma mia che strizza..

Salve come già accennato in un post precedente sono stato attaccato dall' xp defender pro ho seguito la guida alla lettera ed ora sembra vada tutto bene, come da guida vi posto i Log:

http://wikisend.com/download/473568/mbam-log-2010-03-16 (01-29-50).txt
http://wikisend.com/download/525032/a2scan_100316-194629.txt
http://wikisend.com/download/612538/cureit filtrato.txt
http://wikisend.com/download/505486/hijackthis.log

Cortesemente potreste analizzarli e darmi il vostro parere?

Grazie. :sperem:

Ecco il log di cureit

http://wikisend.com/download/443282/CureIt.log

CureIt.log (http://wikisend.com/download/443282/CureIt.log)

se non hai altri problemi procedi con il trattamento finale

Salve come già accennato in un post precedente sono stato attaccato dall' xp defender pro ho seguito la guida alla lettera ed ora sembra vada tutto bene, come da guida vi posto i Log:

http://wikisend.com/download/473568/mbam-log-2010-03-16 (01-29-50).txt
http://wikisend.com/download/525032/a2scan_100316-194629.txt
http://wikisend.com/download/612538/cureit filtrato.txt
http://wikisend.com/download/505486/hijackthis.log

Cortesemente potreste analizzarli e darmi il vostro parere?

Grazie. :sperem:


Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)



O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"
O4 - HKLM\..\Policies\Explorer\Run: []

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1226266614765
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10.cab




devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

@wjmat

Ciao, ho eseguito il tutto e come vedrai dal file allegato l'unica riga che si è ripresentata dopo il fix è la seguente:
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"

Dimmi tu come procedere per fixarlo se è il caso oppure lasciarlo li se non da troppi problemi, ho provveduto ad aggiornare tutti i programmi tramite secunia, domani installo un firewall comodo o l'altro che consigliate sul sito.
Solo 2 domande devo aggiornare Internet explorer alla versione 8 anche se ti garantisco non lo uso mai, stanno addirittura le ragnatele sull'icona :D , navogo solo ed esclusivamente con firefox, seconda domanda mi dici di aggiornare windows all'ultimo service pack ma io ho già la 3 installata ed ho gli aggiornamenti automatici attivati per caso è uscita la 4 e non so niente? :confused:

Grazie ancora per le dritte. Ciao

@wjmat

Ciao, ho eseguito il tutto e come vedrai dal file allegato l'unica riga che si è ripresentata dopo il fix è la seguente:
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"

Dimmi tu come procedere per fixarlo se è il caso oppure lasciarlo li se non da troppi problemi, ho provveduto ad aggiornare tutti i programmi tramite secunia, domani installo un firewall comodo o l'altro che consigliate sul sito.
Solo 2 domande devo aggiornare Internet explorer alla versione 8 anche se ti garantisco non lo uso mai, stanno addirittura le ragnatele sull'icona :D , navogo solo ed esclusivamente con firefox, seconda domanda mi dici di aggiornare windows all'ultimo service pack ma io ho già la 3 installata ed ho gli aggiornamenti automatici attivati per caso è uscita la 4 e non so niente? :confused:

Grazie ancora per le dritte. Ciao
fai controllare su www.virustotal.com e su http://virscan.org/
C:\Windows\System32\drivers\setup\manager.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

sp3 è l'ultimo, quindi sei ok, IE va sempre aggiornato

ho un pc su cui si è installato xp smart security 2010 al posto del firewall. nei processi riporta ad un ave.exe che però anche rimuovendo non riesco comunque ad installare mbam.exe perchè lo blocca.
inoltre non mi fa eseguire il ripristino e non mi fa vedere i file nascosti.

ho provato con linux live cancellando ave.exe dalle impostazioni locali ma quando riavvio windows è sempre presente.

per di più si è sostituito proprio al firewall di windows.

con hijackthis trova solo l'ave.exe in impostazioni locali, nessun altro processo.

come posso fare?

ho un pc su cui si è installato xp smart security 2010 al posto del firewall. nei processi riporta ad un ave.exe che però anche rimuovendo non riesco comunque ad installare mbam.exe perchè lo blocca.
inoltre non mi fa eseguire il ripristino e non mi fa vedere i file nascosti.

ho provato con linux live cancellando ave.exe dalle impostazioni locali ma quando riavvio windows è sempre presente.

per di più si è sostituito proprio al firewall di windows.

con hijackthis trova solo l'ave.exe in impostazioni locali, nessun altro processo.

come posso fare?

ciao

segui il primo post e carica gli allegati richiesti

fatto ecco il primo log

ecco il secondo, però è successo che dopo l'utilizzo di a2free il malware non c'è più però ci sono dei problemi:

se clicco sulle applicazioni mi chiede come voglio aprirle...però se faccio destro star partono regolarmente.
se tento di aprire office mi dice applicazione non trovata...

stessa cosa se provo ad andare in installazione applicazioni o centro sicurezza anzi in tutte le applicazioni all'interno del pannello di controllo, appare:

c:\windows\system32\rundll32.exe
Applicazione non trovata

che cavolo è successo?

ecco il secondo, però è successo che dopo l'utilizzo di a2free il malware non c'è più però ci sono dei problemi:

se clicco sulle applicazioni mi chiede come voglio aprirle...però se faccio destro star partono regolarmente.
se tento di aprire office mi dice applicazione non trovata...

stessa cosa se provo ad andare in installazione applicazioni o centro sicurezza anzi in tutte le applicazioni all'interno del pannello di controllo, appare:

c:\windows\system32\rundll32.exe
Applicazione non trovata

che cavolo è successo?
se non vanno gli exe, vedi al post3 il fix

fai controllare su www.virustotal.com e su http://virscan.org/
C:\Windows\System32\drivers\setup\manager.exe


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

sp3 è l'ultimo, quindi sei ok, IE va sempre aggiornato

Ciao wjmat la cosa è strana, se vado nella cartella C:\Windows\System32\drivers\setup\manager.exe il file non c'è ho seguito la procedura per rendere i file visibili cioè modificare le opzioni di visualizzazione cartella ma non me lo fa vedere nonostante gli altri file nascosti o di sistema io li veda che dici procedo con il lanciare il file riparazione menù file nascosti.zip??

P.S. Internet explorer aggiornato alla versione 8.

Ciao wjmat la cosa è strana, se vado nella cartella C:\Windows\System32\drivers\setup\manager.exe il file non c'è ho seguito la procedura per rendere i file visibili cioè modificare le opzioni di visualizzazione cartella ma non me lo fa vedere nonostante gli altri file nascosti o di sistema io li veda che dici procedo con il lanciare il file riparazione menù file nascosti.zip??

P.S. Internet explorer aggiornato alla versione 8.

prova a rifixare di nuovo

prova a rifixare di nuovo

Niente ho rifixato, le impostazioni di visualizzazione cartelle sono ok ma il file non c'è ho non si vede, vedo tutti i file nascosti e quelli di sistema "quelli trasparenti per capirci" ma non quello.

Niente ho rifixato, le impostazioni di visualizzazione cartelle sono ok ma il file non c'è ho non si vede, vedo tutti i file nascosti e quelli di sistema "quelli trasparenti per capirci" ma non quello.

se la voce è sparita ok, il file magari era già stato eliminato

se la voce è sparita ok, il file magari era già stato eliminato

Si in effetti ho rifatto una scansione con hijackthis e non c'è più:) l'ho fatta pochi minuti fa.

Ti allego il log.

Si in effetti ho rifatto una scansione con hijackthis e non c'è più:) l'ho fatta pochi minuti fa.

Ti allego il log.

se non hai altri problemi direi che siamo a posto

se non hai altri problemi direi che siamo a posto

Credo di si altri problemi non ce ne sono il PC va meglio di prima l'ho ulteriormente alleggerito da software superfluo.

Un grazie a te in particolare ed a tutto lo staff di questo forum bello e utile che comunque ora che l'ho scoperto continuerò a frequentare anche in altre sezioni di discussione. :)

Ciao. ;)

Credo di si altri problemi non ce ne sono il PC va meglio di prima l'ho ulteriormente alleggerito da software superfluo.

Un grazie a te in particolare ed a tutto lo staff di questo forum bello e utile che comunque ora che l'ho scoperto continuerò a frequentare anche in altre sezioni di discussione. :)

Ciao. ;)

du nulla ;)
ciao

da oggi ho trovato nel task manager un file ave.exe che compare e ritorna dopo ogni avvio di programmi, mi apre centro sicurezza pc segnalandomi numerosi malware. Ora sto seguendo la guida, disabilitato il ripristino, sono riuscito a far partire MBAM solo con FixExe, quando finisce posto i log, Ho solo problemi con con Dr Web Cureit, parte e fa l'express scan ma poi non riesco a fare lo scan completo, tenta di collegarsi la sito ma non ci riesce..alternative?
grazie
Giorgio

edit

CureIt mi sembra permetta di fare solo l'express scan. Fa tutto in automatico.

ciao
dov'è il 3D dei rogue?

cos'e syspck32.exe che trovo nel menù di avvio?

MBAM log: http://wikisend.com/download/178920/mbam-log-2010-03-20 (09-32-09).txt

Hijackthis log: http://wikisend.com/download/903446/hijackthis.log

ora però quando riavvio riparte sempre in modalità provvisoria:
Devo riattivare il ripristino?
grazie

ciao
dov'è il 3D dei rogue?

cos'e syspck32.exe che trovo nel menù di avvio?

è questo
comincia a caricare i log in tuo possesso

fatto
MBAM log: http://wikisend.com/download/178920/mbam-log-2010-03-20 (09-32-09).txt

Hijackthis log: http://wikisend.com/download/903446/hijackthis.log

gli scan sono stati fatti in mod. provvisoria
solo che ora riparte sempre così
a-squared si è interrotto a metà
devo rifarlo?

fatto
MBAM log: http://wikisend.com/download/178920/mbam-log-2010-03-20 (09-32-09).txt

Hijackthis log: http://wikisend.com/download/903446/hijackthis.log

gli scan sono stati fatti in mod. provvisoria
solo che ora riparte sempre così
a-squared si è interrotto a metà
devo rifarlo?

si rifallo e in seguito riprova cureit
poi lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!


F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem3267ad0efe.exe,\?g lobalrootsystemrootsystem32ROrkc62.exe,
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\giorgio1\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - Startup: syspck32.exe
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://www.flash.iway.na:81/activex/AMC.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab




devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

CureIt mi sembra permetta di fare solo l'express scan. Fa tutto in automatico.

sì parte con l'express scan che si può far completare o interrompere subito, fatto questo si può ordinargli la scansione completa :)

allora:
cureit non ha trovato nulla.
hijackthis è in allegato ma continua ad esserci O4 - Startup: syspck32.exe ,ritorna sempre.
Log A2scan: http://wikisend.com/download/515758/a2scan_100320-111612.txt

il file ave.exe è stato eliminato
il sistema pare ora molto rallentato
ma il problema è che quando riavvio parte sempre in modalità provvisoria.
devo entrare nel boot e dare ok al master per fare partire tutto normalmente.
Controllando con CCleaner nei programmi di avvio trovo sempre tale syspck32.exe che non posso disattivare. che è?
inoltre risulta disattivato regedt32, è giusto o va attivato?
che faccio con il ripristino?
internet explorer dovrebbe già essere aggiornato a 8.
mentre per quanto riguarda il service pack 3 non mi sono fidato ad installarlo finora per timore del WGA, mentre gli aggiornamenti sono fatti regolarmente

allora:
cureit non ha trovato nulla.
hijackthis è in allegato ma continua ad esserci O4 - Startup: syspck32.exe ,ritorna sempre.
Log A2scan: http://wikisend.com/download/515758/a2scan_100320-111612.txt

il file ave.exe è stato eliminato
il sistema pare ora molto rallentato
ma il problema è che quando riavvio parte sempre in modalità provvisoria.
devo entrare nel boot e dare ok al master per fare partire tutto normalmente.
Controllando con CCleaner nei programmi di avvio trovo sempre tale syspck32.exe che non posso disattivare. che è?
inoltre risulta disattivato regedt32, è giusto o va attivato?
che faccio con il ripristino?
internet explorer dovrebbe già essere aggiornato a 8.
mentre per quanto riguarda il service pack 3 non mi sono fidato ad installarlo finora per timore del WGA, mentre gli aggiornamenti sono fatti regolarmente

la voce rimasta prova a rifixarla
la scansione con asquared non è quella completa
se windows non ha la sua licenza l'assistenza potrebbe finire qui

windows ha la sua licenza di serie col pc ma quando ho aggiornato il service pack 2 ho dovuto penare le pene dell'inferno per farmela riconoscere...:(

windows ha la sua licenza di serie col pc ma quando ho aggiornato il service pack 2 ho dovuto penare le pene dell'inferno per farmela riconoscere...:(
aggiorna a sp3
avg io lo riampiazzei con avira, migliore e più leggero
zone alarm da sostituire pure lui secondo me, ad ogni modo vedi consigli nel trattamento

ok domani con calma rimpiazzo AVG e ZL e aggiorno a SP3.
Comunque O4 - Startup: syspck32.exe non riesce a fixarlo, non è che ritorna non lo elimina proprio.
Non riesco a fare la scansione completa con asquared , ho provato anche a reinstallarlo ma si blocca sempre al 15%. Alternative?

ok domani con calma rimpiazzo AVG e ZL e aggiorno a SP3.
Comunque O4 - Startup: syspck32.exe non riesce a fixarlo, non è che ritorna non lo elimina proprio.
Non riesco a fare la scansione completa con asquared , ho provato anche a reinstallarlo ma si blocca sempre al 15%. Alternative?

fai una scansione anche combofix che trovi al post 3

combofix

combofix

prova a rifixare ora

Ciao a tutti stò tentanto di togliere questo subdolo Virus da un PC di un mio amico, preso da Facebxxk forse già molti lo conoscono.. e-mail di visionare una clip che non parte e si richiede l'aggiornamento di flash Player e sei fregato, ho fatto tutto quello che è in primo post e adesso sono a Dr.Web. l'unica cosa che chiedo se tutto funziona anche in modalità provv. perchè non mi permette di avviare niente in modalità normale. in un'altro PC ho dovuto formattare e reinstallare tutto perchè non si avviava più nessun programma e spero che con questa guida non devo riformattare ancora tutto.La cosa è lunga e noiosa e io personalmente preferirei formattare e reinstallare tutto di nuovo:D :D tanto il PC non è il mio.
risaluto e grazie a chill che ha inserito questa utilissima guida che spero funzioni anche con questo virus.
PS il PC formattato e reinstallato aveva XP ANTIVIRUS 2010 questo che stò facendo adesso è PERSONAL SECURITY:mad:

salve ho fatto una scansione con dr.web e mi ha trovato 5 file infetti.....sapete dirmi questi virus infetti se sono dannosi o se sono del tutto eliminati??
fatemi sapere grazie milleeeeeeeeeee:mc: :mc:

http://wikisend.com/download/486380/CureIt2.txt

Ciao a tutti stò tentanto di togliere questo subdolo Virus da un PC di un mio amico, preso da Facebxxk forse già molti lo conoscono.. e-mail di visionare una clip che non parte e si richiede l'aggiornamento di flash Player e sei fregato, ho fatto tutto quello che è in primo post e adesso sono a Dr.Web. l'unica cosa che chiedo se tutto funziona anche in modalità provv. perchè non mi permette di avviare niente in modalità normale. in un'altro PC ho dovuto formattare e reinstallare tutto perchè non si avviava più nessun programma e spero che con questa guida non devo riformattare ancora tutto.La cosa è lunga e noiosa e io personalmente preferirei formattare e reinstallare tutto di nuovo:D :D tanto il PC non è il mio.
risaluto e grazie a chill che ha inserito questa utilissima guida che spero funzioni anche con questo virus.
PS il PC formattato e reinstallato aveva XP ANTIVIRUS 2010 questo che stò facendo adesso è PERSONAL SECURITY:mad:

ciao
in caso di problemi vedi post #3

salve ho fatto una scansione con dr.web e mi ha trovato 5 file infetti.....sapete dirmi questi virus infetti se sono dannosi o se sono del tutto eliminati??
fatemi sapere grazie milleeeeeeeeeee:mc: :mc:

http://wikisend.com/download/486380/CureIt2.txt

ciao

il log va filtrato con l'utility apposita, qui ne manca una parte

[QUOTE=ispanico79;31380467]salve ho fatto una scansione con dr.web e mi ha trovato 5 file infetti.....sapete dirmi questi virus infetti se sono dannosi o se sono del tutto eliminati??
fatemi sapere grazie milleeeeeeeeeee:mc: :mc:

ecco spero ke si vede ora.....

http://wikisend.com/download/177486/CureIt.log

[QUOTE=ispanico79;31380467]salve ho fatto una scansione con dr.web e mi ha trovato 5 file infetti.....sapete dirmi questi virus infetti se sono dannosi o se sono del tutto eliminati??
fatemi sapere grazie milleeeeeeeeeee:mc: :mc:

ecco spero ke si vede ora.....

http://wikisend.com/download/177486/CureIt.log

mi sembra lo stesso file e non si vedono i file infetti

oooookkkkk............come vedi mi sono stati trovati due Riskware e il virus era il DLEADER..........sono pericolosi??e se si con quale antivirus vanno combattuti??......va bene anke spyBot???

cmq prima della scansione,internet e il mio pc andava lento,ora invece è tornato alla normalità,veloce e si aprono subito le pagine internet.........kosa ne dici??

GRAZIE A TUTTI !!!!!!!!!!!!!!:)

Up. nessuno che ha gentilmente tempo per darmi un parere?
aggiorno i link ormai scaduti.
grazie.

http://wikisend.com/download/447024/mbam-log-2010-03-13(23-58-09).txt
http://wikisend.com/download/933034/a2scan_100314-112455.txt
http://wikisend.com/download/493476/cureitfiltrato.txt
http://wikisend.com/download/555704/hijackthis.txt

Ciao a tutti,
negli scorsi giorni sono stato infettato dal rogue XpInternetSecurity 2010, che mi ha modificato le schermate delle opzioni di sicurezza del pannello di controllo ed ha iniziato ad aprire le svariate finestre di avviso di infezione con annesso tasto per l'acquisto della licenza.
Inizialmente ho rilevato il rogue con Spyware Doctor, in seguito ho letto la vostra utilissima guida e vi allego i log, sperando di aver agito nel modo corretto.

A-squared free al momento di mettere in quarantena i files sospetti mi ha dato alcuni messaggi in cui mi chiedeva di togliere l'attributo di sola lettura ad alcuni oggetti, come ad esempio a C:\Documents and Settings\Roby\Dati applicazioni\Mozilla\Firefox\Profiles\l8szwmkf.default , ma non sono riuscito a togliere il segno di spunta da sola lettura.

Ora non ho più l'apertura delle finestre e le impostazioni nel pannello di controllo sono tornate quelle consuete, ma vorrei essere sicuro di avere ripulito il tutto.
La cosa strana è che rilanciando Spyware Doctor, RogueAntispyware.XP<internetSecurity2010 viene ancora segnalato,per la precisione con queste descrizioni:

Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Internet Explorer\iexplore.exe"

Infezione - HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command, (Default) = "C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Mozilla Firefox\firefox.exe"

Grazie.
Roberto

Up. nessuno che ha gentilmente tempo per darmi un parere?
aggiorno i link ormai scaduti.
grazie.

http://wikisend.com/download/447024/mbam-log-2010-03-13(23-58-09).txt
http://wikisend.com/download/933034/a2scan_100314-112455.txt
http://wikisend.com/download/493476/cureitfiltrato.txt
http://wikisend.com/download/555704/hijackthis.txt

Ciao Roberto, con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

R3 - URLSearchHook: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Programmi\WhiteSmoke_Tools\tbWhit.dll (file missing)
O2 - BHO: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Programmi\WhiteSmoke_Tools\tbWhit.dll (file missing)
O3 - Toolbar: WhiteSmoke Tools Toolbar - {011f9246-da13-4555-9998-6e4805bd533f} - C:\Programmi\WhiteSmoke_Tools\tbWhit.dll (file missing)
O4 - Global Startup: Launch WhiteSmoke.lnk = C:\Programmi\WhiteSmoke\WSEnrichment.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex /hcImpl.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) - http://portal3.rinera.com/download/ConvivaStreamingPlugin-1.7.0.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab


successivamente aggiorna MBAM, ripeti scansione completa ed allega il log.

grazie mille, appena possibile eseguo ed allego il log.

Roberto

ecco i miei log :cry:

mbam-log-2010-03-24 (18-32-56).txt (http://wikisend.com/download/571048/mbam-log-2010-03-24 (18-32-56).txt)

hijackthis.log (http://wikisend.com/download/456434/hijackthis.log)

DrWeb.csv (http://wikisend.com/download/462866/DrWeb.csv)

ecco i miei log :cry:

mbam-log-2010-03-24 (18-32-56).txt (http://wikisend.com/download/571048/mbam-log-2010-03-24 (18-32-56).txt)

hijackthis.log (http://wikisend.com/download/456434/hijackthis.log)

DrWeb.csv (http://wikisend.com/download/462866/DrWeb.csv)

Ciao, manca il log di A2 = a-squared inoltre potresti indicare quali problemi riscontri?

Pardon,il mio problema è quello esposto nell'altra discussione(http://www.hwupgrade.it/forum/showthread.php?t=2165773),cioè ho la pagina di google fittizia e la richiesta di scaricare un programma per la sicurezza,quando navigo,adesso faccio la scansione con suqared e metto il log,grazie per l'aiuto.
a2scan_100325-111342.txt (http://wikisend.com/download/477286/a2scan_100325-111342.txt)

Pardon,il mio problema è quello esposto nell'altra discussione(http://www.hwupgrade.it/forum/showthread.php?t=2165773),cioè ho la pagina di google fittizia e la richiesta di scaricare un programma per la sicurezza,quando navigo,adesso faccio la scansione con suqared e metto il log,grazie per l'aiuto.
a2scan_100325-111342.txt (http://wikisend.com/download/477286/a2scan_100325-111342.txt)

Devi fare scansione completa, dimmi inoltre se il problema persiste tuttora.

Grazie per l'aiuto il problema esiste ancora anche dopo aver eseguito la scansione completa che ora sto rifacendo per il file log,ho visto anche che il problema di google me lo fa anche sul portatile adesso:cry: .

Ciao a tutti. credo di essere a buon punto:) funziona tutto, programmi internet e non compare più la scansione falsa del virus, l'unica cosa non riesco a entrare in windows update, si è aggiornato l'antivirus ma non Windows :confused: adesso stò ripetendo tutte le scansioni come al primo post delle istruzioni in modalità normale, prima le avevo fatte in modalità provv. perchè non riuscivo a far partire niente cmq ringrazio l'autore delle istruzioni e wjmat per l'aiuto dato a tutti me compreso
PS chiedo AIUTO per windows update Grazie;)

ecco i miei log spero siano ok adesso.
a2scan_100325-115912.txt (http://wikisend.com/download/532656/a2scan_100325-115912.txt)
mbam-log-2010-03-24 (18-32-56).txt (http://wikisend.com/download/571048/mbam-log-2010-03-24 (18-32-56).txt)

hijackthis.log (http://wikisend.com/download/456434/hijackthis.log)

DrWeb.csv (http://wikisend.com/download/462866/DrWeb.csv)

Ciao Roberto, con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

successivamente aggiorna MBAM, ripeti scansione completa ed allega il log.

ecco il log di MBAM.
grazie.

http://wikisend.com/download/452212/mbam-log-2010-03-25(20-58-59).txt

Info se tutto funziona e non ho più problemi posso disinstallare tutto e lasciare l'antivirus originale? Intendo tutti i programmi indicati per la rimozione del Bastardo? Grazie ancora a Chill-Out e a wjmat ;) :)

Info se tutto funziona e non ho più problemi posso disinstallare tutto e lasciare l'antivirus originale? Intendo tutti i programmi indicati per la rimozione del Bastardo? Grazie ancora a Chill-Out e a wjmat ;) :)
nei suggerimenti finali trovi tutte le informazioni

ecco i miei log spero siano ok adesso.
a2scan_100325-115912.txt (http://wikisend.com/download/532656/a2scan_100325-115912.txt)
mbam-log-2010-03-24 (18-32-56).txt (http://wikisend.com/download/571048/mbam-log-2010-03-24 (18-32-56).txt)

hijackthis.log (http://wikisend.com/download/456434/hijackthis.log)

DrWeb.csv (http://wikisend.com/download/462866/DrWeb.csv)

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\DOCUME~1\MaxCarra\IMPOST~1\Temp\RarSFX0\263zgq.exe
C:\DOCUME~1\MaxCarra\IMPOST~1\Temp\RarSFX0\tzb33XP.exe


clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + uno Screenshot della Home di Google

ecco il log di MBAM.
grazie.

http://wikisend.com/download/452212/mbam-log-2010-03-25(20-58-59).txt

Dal log di MBAM si evince che non hai messo hai in quarantena

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Roby\Impostazioni locali\Dati applicazioni\av.exe" /START "C:\Programmi\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> No action taken.

Info se tutto funziona e non ho più problemi posso disinstallare tutto e lasciare l'antivirus originale? Intendo tutti i programmi indicati per la rimozione del Bastardo? Grazie ancora a Chill-Out e a wjmat ;) :)

Prima sarebbe opportuno allegare i log per il controllo :)

Ho copiato lo script nel box bianco ma mi restituisce questo errore:

Error invalid script.a valid script must begin with a command directive,aborting execution

Sbaglio qualcosa??

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + uno Screenshot della Home di Google

Dal log di MBAM si evince che non hai messo hai in quarantena

lo faccio tramite MBAM o altro software?

lo faccio tramite MBAM o altro software?

Tramite MBAM

Prima sarebbe opportuno allegare i log per il controllo :)

:D non sono in grado di mettere i log salvati :( l'unico problema riscontrato è che non riesco ad aggiornare Vista con WinUpd mi dà un errore con un numero:confused:

:D non sono in grado di mettere i log salvati :( l'unico problema riscontrato è che non riesco ad aggiornare Vista con WinUpd mi dà un errore con un numero:confused:

E' impossibile prestare assistenza senza vedere i log e senza sapere il codice di riferimento attribuito all'errore, non possiamo certo tirare ad indovinare.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

E' impossibile prestare assistenza senza vedere i log e senza sapere il codice di riferimento attribuito all'errore, non possiamo certo tirare ad indovinare.

Proviamo il log di hijack dovrebbe essere questo http://wikisend.com/download/224208/hijackthis.log gli altri non riesco a copiarli dal pc infetto l'errore che mi dà con windows update (vista) è questo 80070422 scusate l'ignoranza cercherò di far meglio la prox. :( :cry:

Proviamo il log di hijack dovrebbe essere questo http://wikisend.com/download/224208/hijackthis.log gli altri non riesco a copiarli dal pc infetto l'errore che mi dà con windows update (vista) è questo 80070422 scusate l'ignoranza cercherò di far meglio la prox. :( :cry:

Con la stessa modalità carica anche i log di:

MBAM
A2
CureIt

successivamente vediamo cosa fare.

Ciao chill-out mi avevi detto di copiare i tuoi script nel box di avenger ma come ho scritto nell'altra pagina mi da errore puoi ancora aiutarmi ?

Ciao chill-out mi avevi detto di copiare i tuoi script nel box di avenger ma come ho scritto nell'altra pagina mi da errore puoi ancora aiutarmi ?

Il log di Avenger in formato .txt + Screenshot della Home di Google come già richesto, grazie.

Fatto riavvio con average (senza mettere lo script sul box)il problema in parte si è risolto,in google adesso le ricerce si aprono nella stessa finestra e per il momento la richiesta dell'antivirus non compare,anche se la pagina di google mi sembra ancora sbagliata.
http://img69.imageshack.us/img69/3732/googleio.jpg
avenger.txt (http://wikisend.com/download/485550/avenger.txt)

Fatto riavvio con average (senza mettere lo script sul box)il problema in parte si è risolto,in google adesso le ricerce si aprono nella stessa finestra e per il momento la richiesta dell'antivirus non compare,anche se la pagina di google mi sembra ancora sbagliata.
http://img69.imageshack.us/img69/3732/googleio.jpg
avenger.txt (http://wikisend.com/download/485550/avenger.txt)

Non hai inserito correttamento lo Script, devi copiare/incollare nel Box bianco tutto il contenuto del quote

Files to delete:
C:\DOCUME~1\MaxCarra\IMPOST~1\Temp\RarSFX0\263zgq.exe
C:\DOCUME~1\MaxCarra\IMPOST~1\Temp\RarSFX0\tzb33XP.exe

oltre al log di Avenger, allega nuovo log di HJT.