allora rifatta la procedura compreso file delete:D
Pagine di google non è cambiata.
hijackthis.log (http://wikisend.com/download/458640/hijackthis.log)
avenger.txt (http://wikisend.com/download/544150/avenger.txt)

allora rifatta la procedura compreso file delete:D
Pagine di google non è cambiata.
hijackthis.log (http://wikisend.com/download/458640/hijackthis.log)
avenger.txt (http://wikisend.com/download/544150/avenger.txt)

Siamo a posto, la pagina di Google è ok.

Siamo a posto, la pagina di Google è ok.

Grazie per l'aiuto:D

Grazie per l'aiuto:D

Prego

Con la stessa modalità carica anche i log di:

MBAM
A2
CureIt

successivamente vediamo cosa fare.
Grazie, capisco che avete molto da fare e non pretendo l'aiuto obbligato,ma ho messo un log di hijackthis e un numero con errore di Windows Update,almeno quello pensavo in un aiuto cmq ho risolto, il PC funziona alla perfezione aggiornamenti Windows Update fatti e antivirus aggiornato.
:) ;) TAITA57 :cincin:

Grazie, capisco che avete molto da fare e non pretendo l'aiuto obbligato,ma ho messo un log di hijackthis e un numero con errore di Windows Update,almeno quello pensavo in un aiuto cmq ho risolto, il PC funziona alla perfezione aggiornamenti Windows Update fatti e antivirus aggiornato.
:) ;) TAITA57 :cincin:

Perfetto

Tramite MBAM
ok, rimosso. sono a posto o devo fare altro?
ti sono molto grato per l'aiuto Chill-Out.

Roberto

ok, rimosso. sono a posto o devo fare altro?
ti sono molto grato per l'aiuto Chill-Out.

Roberto

Direi che siamo ok, ciao.

pare sia tutto ok ora
grazie per l'assistenza
molto gentili ed efficenti

pare sia tutto ok ora
grazie per l'assistenza
molto gentili ed efficenti

bene :)

ciao

ciao ho provato a seguire la guida per la disinfezione ma sto avendo dei problemi relativi ad a-squared.. tutto succede a scansione finita.. io sposto tutti i file in quarantena ma poi compaiono dei messaggi che mi dicono che è impossibile svolgere l'operazione perchè bisogna "rimuovere l'attributo di sola lettura", una cosa del genere, e poi mi crasha a-squared :(
ora sto riprovando con una seconda scansione, vorrei chiedervi a voi come devo comportarmi a scansione terminata per fare tutto correttamente

grazie in anticipo

ciao ho provato a seguire la guida per la disinfezione ma sto avendo dei problemi relativi ad a-squared.. tutto succede a scansione finita.. io sposto tutti i file in quarantena ma poi compaiono dei messaggi che mi dicono che è impossibile svolgere l'operazione perchè bisogna "rimuovere l'attributo di sola lettura", una cosa del genere, e poi mi crasha a-squared :(
ora sto riprovando con una seconda scansione, vorrei chiedervi a voi come devo comportarmi a scansione terminata per fare tutto correttamente

grazie in anticipo
lascia perdere asquared e fai le altre scansioni

ecco i log son riuscito, spero, anche a far quello di asquared:

malwarebytes:http://www.mediafire.com/file/mnjolziigkl/mbam-log-2010-04-06%20%2814-27-24%29c.txt
asquared:http://www.mediafire.com/file/qy5l3fyitmz/a2scan_100406-222039-.txt
drweb-cureit:http://www.mediafire.com/file/yn3wcynrzz2/cureit%20filtrato.txt
hijackthis:http://www.mediafire.com/file/ymngjetz3jf/hijackthisw.txt

io non ho ancora riabilitato il ripristino configurazione di sistema.. quando posso farlo? e se sì, devo solo spuntare l'icona precedentemente spuntata? nel mio caso:VISTA (C:) (Sistema)

grazie per l'attenzione

ecco i log son riuscito, spero, anche a far quello di asquared:

malwarebytes:http://www.mediafire.com/file/mnjolziigkl/mbam-log-2010-04-06%20%2814-27-24%29c.txt
asquared:http://www.mediafire.com/file/qy5l3fyitmz/a2scan_100406-222039-.txt
drweb-cureit:http://www.mediafire.com/file/yn3wcynrzz2/cureit%20filtrato.txt
hijackthis:http://www.mediafire.com/file/ymngjetz3jf/hijackthisw.txt

io non ho ancora riabilitato il ripristino configurazione di sistema.. quando posso farlo? e se sì, devo solo spuntare l'icona precedentemente spuntata? nel mio caso:VISTA (C:) (Sistema)

grazie per l'attenzione

non si capisce se hai eliminato le voci trovate da asquared
il ripristino non è necessario riattivarlo

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O16 - DPF: {C186F386-6FC6-414C-AB53-975FB0EB15C1} (Photo Uploader Control) - http://v.netlogstatic.com/v5.00/2833//s/e/Aurigma/ImageUploaderPHP/PhotoUploader .cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://vexcast.com/download/vexcast.cab


non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

-ho fixato le voci di hijackthis da te suggerite e ho controllato con una nuova scansione che non ci fossero più
-per quanto riguarda asquared il problema era quello che ti avevo esposto nel mio post antecedente le scansioni.. ovvero che le tracce non potevano essere eliminate perchè bisognava rimuovere l'attributo di sola lettura.. avevo provato anche a cercare i percorsi ma strano ma vero alcuni elencati da asquared non esistevano nel mio pc :mbe:
-per il firewall imposterò comodo
-ora leggo il link per l'aggiornamento dei programmi

grazie ancora per il supporto

-ho fixato le voci di hijackthis da te suggerite e ho controllato con una nuova scansione che non ci fossero più
-per quanto riguarda asquared il problema era quello che ti avevo esposto nel mio post antecedente le scansioni.. ovvero che le tracce non potevano essere eliminate perchè bisognava rimuovere l'attributo di sola lettura.. avevo provato anche a cercare i percorsi ma strano ma vero alcuni elencati da asquared non esistevano nel mio pc :mbe:
-per il firewall imposterò comodo
-ora leggo il link per l'aggiornamento dei programmi

grazie ancora per il supporto

Aggiorna A2 e ripeti scansione completa.

ecco il nuovo log di asquared: http://www.mediafire.com/file/kwlnzommzuz/a2scan_100408-130638.txt

ecco il nuovo log di asquared: http://www.mediafire.com/file/kwlnzommzuz/a2scan_100408-130638.txt

A posto :)

thread ripulito :)

Ho seguito passo passo la guida dopo essermi infettato con un virus che simulava un software antivirus Digital Protection per cercare di risolvere il problema

allego i file log

mbam-log-2010-04-11 (18-11-26).txt (http://wikisend.com/download/466454/mbam-log-2010-04-11 (18-11-26).txt)

a2scan_100411-191154.txt (http://wikisend.com/download/508690/a2scan_100411-191154.txt)

CureIt.log (http://wikisend.com/download/443488/CureIt.log)

hijackthis.log (http://wikisend.com/download/457758/hijackthis.log)

Ditemi cos'altro devo fare...grazie mille

Ho seguito passo passo la guida dopo essermi infettato con un virus che simulava un software antivirus Digital Protection per cercare di risolvere il problema

allego i file log

mbam-log-2010-04-11 (18-11-26).txt (http://wikisend.com/download/466454/mbam-log-2010-04-11 (18-11-26).txt)

a2scan_100411-191154.txt (http://wikisend.com/download/508690/a2scan_100411-191154.txt)

CureIt.log (http://wikisend.com/download/443488/CureIt.log)

hijackthis.log (http://wikisend.com/download/457758/hijackthis.log)

Ditemi cos'altro devo fare...grazie mille

Ciao, devi aggiornare MBAM la versione corrente è la 1.45, aggiornare il database dell firme virali e ripetere scansione completa, hai fatto scansione rapida

Anche per quanto concerne A2 a-squared devi ripetere scansione completa e passare in quarantena tutti gli elementi infetti, tranne:

Value: HKEY_USERS\S-1-5-21-817792519-4254311928-4063872163-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Value: HKEY_CLASSES_ROOT\AppID\TVUAx.DLL --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TVUAx.DLL --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TVUPlayer --> NSIS:Language rilevati: Trace.Registry.dl.tvunetworks.com!A2


Riepilogo log da allegare:
MBAM
A2
Nuovo log HJT

ciao...ho rifatto i log e te li allego...diimi cos'altro!!! e grazie mille :D

mbam-log-2010-04-12 (12-53-09).txt (http://wikisend.com/download/434250/mbam-log-2010-04-12 (12-53-09).txt)

a2scan_100412-101904.txt (http://wikisend.com/download/917576/a2scan_100412-101904.txt)

hjt1204.txt (http://wikisend.com/download/466984/hjt1204.txt)

ciao...ho rifatto i log e te li allego...diimi cos'altro!!! e grazie mille :D

mbam-log-2010-04-12 (12-53-09).txt (http://wikisend.com/download/434250/mbam-log-2010-04-12 (12-53-09).txt)

a2scan_100412-101904.txt (http://wikisend.com/download/917576/a2scan_100412-101904.txt)

hjt1204.txt (http://wikisend.com/download/466984/hjt1204.txt)

Dal log di MBAM si evince che non hai eliminato (No action taken.) le seguenti Chiavi di registro

Chiavi di registro infette:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

per eliminarle devi ripetere la scansione.

- Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca sx delle sottoindicate voci e clicca su Fix checked

O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

NB: devi aggiornare IE alla versione 8

Ho fatto anche gli ultimi passaggi che mi hai indicato..manca solo di aggiornare IE..sto a posto così??? ti ringrazio molto per l'aiuto :D

Ho fatto anche gli ultimi passaggi che mi hai indicato..manca solo di aggiornare IE..sto a posto così??? ti ringrazio molto per l'aiuto :D

Se non riscontri problemi sei a posto.

Salve a tutti, mi sono imbattuto in questa discussione cercando di capire qualcosa su questo rogue e ho seguito quello che la guida consigliava di fare, allego il log di hijackthis e vi ringrazio anticipatamente! :D

Mi scuso se lo riporto per esteso ma (forse proprio a causa del rogue?) non riesco ad utilizzare nessun sevizio di hosting! :doh:

__________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.20.10, on 12/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DNA\btdna.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\ave.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\AVG\AVG8\avgui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\AVG\AVG8\avgscanx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programmi\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programmi\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Unforgiven Organizer#Autostart] "C:\Programmi\Unforgiven Organizer\UnOrg.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/version4/windows-ie/en/AMClient.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://marcoinmacro.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5617/mcfscan.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10395 bytes

il mio virus è digital protection:
hijackthis.log (http://wikisend.com/download/479046/hijackthis.log)

a2scan_100412-094730.txt (http://wikisend.com/download/457836/a2scan_100412-094730.txt)

appena finisce posto doctorweb

Salve a tutti, mi sono imbattuto in questa discussione cercando di capire qualcosa su questo rogue e ho seguito quello che la guida consigliava di fare, allego il log di hijackthis e vi ringrazio anticipatamente! :D


Si sei infetto

C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\ave.exe


ma è necessario seguire la Guida in prima pagina per rimuovere il Virus, che non impedisce l'hosting dei log sui Server Remoti indicati.

il mio virus è digital protection:
hijackthis.log (http://wikisend.com/download/479046/hijackthis.log)

a2scan_100412-094730.txt (http://wikisend.com/download/457836/a2scan_100412-094730.txt)

appena finisce posto doctorweb

Serve anche il log di MBAM

ciao a tutti. oggi sul mio pc/muletto è scoppiato il finimondo. Mi sono beccato il virus Digital Protection e adesso è comparso un Antivirus Suite ed è tutto bloccato.
Ad ogni programma che provo a lanciare, esce il messaggio del rogue che me lo impedisce dicendo che è infetto ecc...

Oltre a chiedermi che ceppa ci stava a fare AntiVir installato e sempre aggiornato :rolleyes: il problema è che non so che fare, come disinfettare, a questo punto. Non riesco a lanciare eseguire eseguibile...

Serve anche il log di MBAM

il problema è che mbam una volta che finisce la scansione mi dice di salvare il log e quando clicco su ok si chiude il programma....

ciao a tutti. oggi sul mio pc/muletto è scoppiato il finimondo. Mi sono beccato il virus Digital Protection e adesso è comparso un Antivirus Suite ed è tutto bloccato.
Ad ogni programma che provo a lanciare, esce il messaggio del rogue che me lo impedisce dicendo che è infetto ecc...

Oltre a chiedermi che ceppa ci stava a fare AntiVir installato e sempre aggiornato :rolleyes: il problema è che non so che fare, come disinfettare, a questo punto. Non riesco a lanciare eseguire eseguibile...

io la stessa cosa: 2 pc con antivir aggiornato ed entrambi infettati con "digital protection"!!!

ciao a tutti. oggi sul mio pc/muletto è scoppiato il finimondo. Mi sono beccato il virus Digital Protection e adesso è comparso un Antivirus Suite ed è tutto bloccato.
Ad ogni programma che provo a lanciare, esce il messaggio del rogue che me lo impedisce dicendo che è infetto ecc...

Oltre a chiedermi che ceppa ci stava a fare AntiVir installato e sempre aggiornato :rolleyes: il problema è che non so che fare, come disinfettare, a questo punto. Non riesco a lanciare eseguire eseguibile...

il problema è che mbam una volta che finisce la scansione mi dice di salvare il log e quando clicco su ok si chiude il programma....

io la stessa cosa: 2 pc con antivir aggiornato ed entrambi infettati con "digital protection"!!!

Come indicato al Post 3 della presente Guida, in caso di problemi fate girare rkill


@fab77

Apri MBAM -> TAB di LOG ed allega l'ultimo in ordine di tempo

@fab77

Apri MBAM -> TAB di LOG ed allega l'ultimo in ordine di tempo

che ovviamente è vuota...


il log di rkill è:

rkill.log (http://wikisend.com/download/638122/rkill.log)

il log di combofixè:

combofix_log.txt (http://wikisend.com/download/583506/combofix_log.txt)

che ovviamente è vuota...


il log di rkill è:

rkill.log (http://wikisend.com/download/638122/rkill.log)

il log di combofixè:

combofix_log.txt (http://wikisend.com/download/583506/combofix_log.txt)

Come indicato al Post 3 dopo aver fatto girare rkill, dovresti essere in grado di far girare MBAM non Combofix, manca anche il log di CureIt.

PS: dal log di A2 si evince che non hai passato in quarantena tutti gli elementi infetti, in particolare le chiavi di registro infette.

ragazzi sono incappato anche io in questo virus che non riesco a togliere..mi servirebbe anche una mano per malwarebytes in quanto dopo averlo installato mi trova una 50 di file infetti, ma a scansione terminata, spunta la finestrella premi mostra risultati per visualizzare tutti gli elementi infetti...faccio ok e il programma si chiude non permettendomi di eliminare o spostare in quarantena i file...l'ho re installato, ma nulla..sempre stessa storia con il programma che si chiude..non so come fare, magari qualcuno può aiutarmi passo passo

ragazzi sono incappato anche io in questo virus che non riesco a togliere..mi servirebbe anche una mano per malwarebytes in quanto dopo averlo installato mi trova una 50 di file infetti, ma a scansione terminata, spunta la finestrella premi mostra risultati per visualizzare tutti gli elementi infetti...faccio ok e il programma si chiude non permettendomi di eliminare o spostare in quarantena i file...l'ho re installato, ma nulla..sempre stessa storia con il programma che si chiude..non so come fare, magari qualcuno può aiutarmi passo passo

Come indicato al Post 3 del presente 3D fai girare rkill

ok forse ho risolto, dopo vari tentativi ha funzionato e ho eliminato quasi tutta la roba..

vorrei postarvi qualche log per essere sicuro che tutto sia apposto, però ditemi voi che programma far partire e in più come allegarvi il log...

ok forse ho risolto, dopo vari tentativi ha funzionato e ho eliminato quasi tutta la roba..

vorrei postarvi qualche log per essere sicuro che tutto sia apposto, però ditemi voi che programma far partire e in più come allegarvi il log...
Segui la guida in prima pagina.

io la stessa cosa: 2 pc con antivir aggiornato ed entrambi infettati con "digital protection"!!!

stessa situazione...
sono riuscito, dopo vari passaggi, a recuperare l'utilizzo del task manager e a riottenere l'accesso a "opzioni cartella" che prima erano inaccessibili...
ma ancora non riesco ad avere accesso alla palette "ripristino configurazione di sistema" che è sparita dalla finestrella che si ottiene cliccando il tasto dx su risorse del pc...
e quindi non riesco a debellare al 100% il problema... ora sto facendo una scansione con rkill (che è molto lungo) e poi riproverò un altro passaggio con MBAM...
ci sono altri modi per disattivare il ripristino di configurazione del sistema?

stessa situazione...
sono riuscito, dopo vari passaggi, a recuperare l'utilizzo del task manager e a riottenere l'accesso a "opzioni cartella" che prima erano inaccessibili...
ma ancora non riesco ad avere accesso alla palette "ripristino configurazione di sistema" che è sparita dalla finestrella che si ottiene cliccando il tasto dx su risorse del pc...
e quindi non riesco a debellare al 100% il problema... ora sto facendo una scansione con rkill (che è molto lungo) e poi riproverò un altro passaggio con MBAM...
ci sono altri modi per disattivare il ripristino di configurazione del sistema?

Fai girare rkill 2 volte esattamente come indicato in Guida, poi procedi con MBAM - a-sqaured e CureIt vedi Post 1

stessa situazione...
sono riuscito, dopo vari passaggi, a recuperare l'utilizzo del task manager e a riottenere l'accesso a "opzioni cartella" che prima erano inaccessibili...
ma ancora non riesco ad avere accesso alla palette "ripristino configurazione di sistema" che è sparita dalla finestrella che si ottiene cliccando il tasto dx su risorse del pc...
e quindi non riesco a debellare al 100% il problema... ora sto facendo una scansione con rkill (che è molto lungo) e poi riproverò un altro passaggio con MBAM...
ci sono altri modi per disattivare il ripristino di configurazione del sistema?

ciao

se hai xp, per il ripristino conf. di sistema vedi qui
http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23
se non risolvi già come indicato da chill

tanto per conoscenza... la prima scansione con rkill è ancora in corso... ed è cominciata circa 45 minuti fa...
hd da 70 Gb e tutte le applicazioni chiuse, a parte la richiesta di avvio notifica a microsoft xè "l'applicazione pev.rkexe ha subito un errore e verrà chiusa" e che lascio lì visto che se clicco "non inviare" ricompare...
quanto è lecito che duri una scansione di rkill indicativamente?
TIA a tutti

Arieccomi:

a2scan:
http://www.mediafire.com/?myzt2wmtmdz

hijackthis:
http://www.mediafire.com/?ne2dmnndmzz

mbam:
http://www.mediafire.com/?yfq2mdtikjy

cure.it:
http://www.mediafire.com/?ve2njtmz2na

Grazie ancora!

tanto per conoscenza... la prima scansione con rkill è ancora in corso... ed è cominciata circa 45 minuti fa...
hd da 70 Gb e tutte le applicazioni chiuse, a parte la richiesta di avvio notifica a microsoft xè "l'applicazione pev.rkexe ha subito un errore e verrà chiusa" e che lascio lì visto che se clicco "non inviare" ricompare...
quanto è lecito che duri una scansione di rkill indicativamente?
TIA a tutti

Pochi minuti, c'è qualcosa che non quadra, aggiornaci sulla situazione.

Arieccomi:

a2scan:
http://www.mediafire.com/?myzt2wmtmdz

hijackthis:
http://www.mediafire.com/?ne2dmnndmzz

mbam:
http://www.mediafire.com/?yfq2mdtikjy

cure.it:
http://www.mediafire.com/?ve2njtmz2na

Grazie ancora!

Ciao, praticamente non hai fatto nulla, in quanto:

- dal log di a-sqaured si evince che non ahi messo in quarantena gli elementi infetti rilevati, ripeti scansione completa dopo averlo aggiornate, e quarantena tutto tranne:

Value: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Key: HKEY_CURRENT_USER\software\kazaa rilevati: Trace.Registry.KaZaA!A2
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe


- stesso discorso per quanto concerne MBAM dal log si evince che non hai eliminato nulla -> No action taken ripeti scansione completa dopo averlo aggiornato.

Valori di registro infetti:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> No action taken.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> No action taken


Riepilogo da allegare:
a-squared
MBAM
Nuovo log di HJT

niente da fare...
rkill ha girato fino alle 15...
sempre con a fianco la finestra "si è verificato un errore in pev.rkexe... l'applicazione verrà chiusa... segnalazione del problema a microsoft... etc"...
non inviando riappare sempre la finestra... inviando rkill si chiude e appare un log in notepad che dice:
"This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Paola on 13/04/2010 at 15.19.15.
Processes terminated by Rkill or while it was running:
Rkill completed on 13/04/2010 at 15.19.26."

riavviato il pc... sempre task manager accessibile... ma sempre inaccessibile la sezione "ripristino configurazione di sistema"...
con rkill non cambia nulla... provato sia rkill.com che la versione rinominata iExplorer.exe...
riprovo una scansione con MBAM

TIA

rieccoci:

pc fisso:

log.combofix.txt (http://wikisend.com/download/935522/log.combofix.txt)

hijackthis.log (http://wikisend.com/download/459158/hijackthis.log)

a2scan_100412-094730.txt (http://wikisend.com/download/954150/a2scan_100412-094730.txt)

rkill.log (http://wikisend.com/download/587100/rkill.log)

mbam-log-2010-04-13 (05-47-44).txt (http://wikisend.com/download/494930/mbam-log-2010-04-13 (05-47-44).txt)

stat cureit.JPG (http://wikisend.com/download/875856/stat cureit.JPG)

manca qualcosa?

rieccoci:

pc fisso:

log.combofix.txt (http://wikisend.com/download/935522/log.combofix.txt)

hijackthis.log (http://wikisend.com/download/459158/hijackthis.log)

a2scan_100412-094730.txt (http://wikisend.com/download/954150/a2scan_100412-094730.txt)

rkill.log (http://wikisend.com/download/587100/rkill.log)

mbam-log-2010-04-13 (05-47-44).txt (http://wikisend.com/download/494930/mbam-log-2010-04-13 (05-47-44).txt)

stat cureit.JPG (http://wikisend.com/download/875856/stat cureit.JPG)

manca qualcosa?

Dal log di A2 si evince che non hai messo in qurantena tutte le minacce rilevate, mentre dal log di MBAM si evince che non hai eliminato nulla -> No action taken

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a9ba40a1-74f1-52bd-f431-00b15a2c8953} (Trojan.Ertfor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Digital Protection (Rogue.DigitalProtection) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Digital Protection (Rogue.DigitalProtection) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.


in Guida è scritto per filo e per segno che cosa fare.

aggiornamento:
TDSSkiller non rileva più rootkit
la scansione con MBAM non rileva files infetti
hyjackthis non rileva alcun codice 04
pulito i temp con atf-cleaner
cancellati manualmente files exe sospetti
sembrerebbe tutto a posto...
ma continuo a non aver accesso al "ripristino configurazione di sistema"... e la cosa mi puzza...
e vorrei risolvere la cosa prima di reinstallare avira...

qualche consiglio? provare con systemrestore mi pare cmq una forzatura a risolvere un problema che nn dovrebbe + porsi...
TIA

aggiornamento:
TDSSkiller non rileva più rootkit
la scansione con MBAM non rileva files infetti
hyjackthis non rileva alcun codice 04
pulito i temp con atf-cleaner
cancellati manualmente files exe sospetti
sembrerebbe tutto a posto...
ma continuo a non aver accesso al "ripristino configurazione di sistema"... e la cosa mi puzza...
e vorrei risolvere la cosa prima di reinstallare avira...

qualche consiglio? provare con systemrestore mi pare cmq una forzatura a risolvere un problema che nn dovrebbe + porsi...
TIA
probabilmente l'infezione si e' mangiata quella chiave di registro:eek:

aggiornamento:
TDSSkiller non rileva più rootkit
la scansione con MBAM non rileva files infetti
hyjackthis non rileva alcun codice 04
pulito i temp con atf-cleaner
cancellati manualmente files exe sospetti
sembrerebbe tutto a posto...
ma continuo a non aver accesso al "ripristino configurazione di sistema"... e la cosa mi puzza...
e vorrei risolvere la cosa prima di reinstallare avira...

qualche consiglio? provare con systemrestore mi pare cmq una forzatura a risolvere un problema che nn dovrebbe + porsi...
TIA

Se cortesemente alleghi i log sia di TDSSkiller e MBAM.

probabilmente l'infezione si e' mangiata quella chiave di registro:eek:

Tutte? :D

Tutte? :D

quindi potrebbe bastare system restore repair:D

Se cortesemente alleghi i log sia di TDSSkiller e MBAM.


TDSSkiller
TDSSKiller.2.2.8.1_13.04.2010_16.16.28_log.txt (http://wikisend.com/download/486546/TDSSKiller.2.2.8.1_13.04.2010_16.16.28_log.txt)

MBAM
mbam-log-2010-04-13 (16-14-42).txt (http://wikisend.com/download/664772/mbam-log-2010-04-13 (16-14-42).txt)


TIA

report sdfix:
report_sdfix.txt (http://wikisend.com/download/564928/report_sdfix.txt)

ora una domanda:

sdfix mi dice che non ho trojan e in effetti ho riottenuto la possibilità di modificare le impostazioni delle cartelle e del ripristino configurazione, però ho ancora la presenza di:

digiprote.JPG (http://wikisend.com/download/548932/digiprote.JPG)

Dal log di A2 si evince che non hai messo in qurantena tutte le minacce rilevate, mentre dal log di MBAM si evince che non hai eliminato nulla -> No action taken



in Guida è scritto per filo e per segno che cosa fare.

ok

TDSSkiller
TDSSKiller.2.2.8.1_13.04.2010_16.16.28_log.txt (http://wikisend.com/download/486546/TDSSKiller.2.2.8.1_13.04.2010_16.16.28_log.txt)

MBAM
mbam-log-2010-04-13 (16-14-42).txt (http://wikisend.com/download/664772/mbam-log-2010-04-13 (16-14-42).txt)


TIA

Prosegui pure con a-squared - Cureit e HJT

quindi potrebbe bastare system restore repair:D

In che senso?

..
ma continuo a non aver accesso al "ripristino configurazione di sistema"... e la
e vorrei risolvere la cosa prima di reinstallare avira...

qualche consiglio? provare con systemrestore mi pare cmq una forzatura a risolvere un problema che nn dovrebbe + porsi...
TIA

In che senso?

http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php

http://www.zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php

Il discorso del ripristino lo affrontiamo poi, ovvero al termine della procedura.

portatile:

mbam-log-2010-04-13 (22-48-18).txt (http://wikisend.com/download/484962/mbam-log-2010-04-13 (22-48-18).txt)

combofix_log.txt (http://wikisend.com/download/910240/combofix_log.txt)

rkill.log (http://wikisend.com/download/498342/rkill.log)

report_sdfix.txt (http://wikisend.com/download/508078/report_sdfix.txt)

hijackthis.log (http://wikisend.com/download/556006/hijackthis.log)

portatile:

mbam-log-2010-04-13 (22-48-18).txt (http://wikisend.com/download/484962/mbam-log-2010-04-13 (22-48-18).txt)

combofix_log.txt (http://wikisend.com/download/910240/combofix_log.txt)

rkill.log (http://wikisend.com/download/498342/rkill.log)

report_sdfix.txt (http://wikisend.com/download/508078/report_sdfix.txt)

hijackthis.log (http://wikisend.com/download/556006/hijackthis.log)

Il log di HJT è pulito, MBAM è OK ma non vedo i log di A2 e CureIt, aggiornami sul problema.

Grazie mille per la guida, utilissima. Tra ieri e oggi sono riuscito a disinfettare credo tutto, ora finti antivirus & co. sono spariti. Tuttavia oggi ho notato ancora un problema: non mi carica più la pagina di windows update. (sono con xp sp3)
Ora, non so se il problema è legato ai rogue perchè non avevo mai fatto gli aggiornamenti prima... IE 8 dice impossibile visualizzare la pagina, firefox non la carica nemmeno, resta fermo sulla pagina corrente:stordita:

I log di tutte le scansioni che ho rifatto oggi:
mbam-log-2010-04-14 (14-19-34).txt (http://wikisend.com/download/442544/mbam-log-2010-04-14 (14-19-34).txt)
CureIt.log (http://wikisend.com/download/787722/CureIt.log)
a2scan_100414-145516.txt (http://wikisend.com/download/651948/a2scan_100414-145516.txt)
hijackthis.log (http://wikisend.com/download/555584/hijackthis.log)

Grazie mille per la guida, utilissima. Tra ieri e oggi sono riuscito a disinfettare credo tutto, ora finti antivirus & co. sono spariti. Tuttavia oggi ho notato ancora un problema: non mi carica più la pagina di windows update. (sono con xp sp3)
Ora, non so se il problema è legato ai rogue perchè non avevo mai fatto gli aggiornamenti prima... IE 8 dice impossibile visualizzare la pagina, firefox non la carica nemmeno, resta fermo sulla pagina corrente:stordita:

I log di tutte le scansioni che ho rifatto oggi:
mbam-log-2010-04-14 (14-19-34).txt (http://wikisend.com/download/442544/mbam-log-2010-04-14 (14-19-34).txt)
CureIt.log (http://wikisend.com/download/787722/CureIt.log)
a2scan_100414-145516.txt (http://wikisend.com/download/651948/a2scan_100414-145516.txt)
hijackthis.log (http://wikisend.com/download/555584/hijackthis.log)

Riscarica DrWeb CureIt e ripeti scansione completa, hai fatto scansione rapida, successivamente esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

Siamo sicuri che il SO è regolarmente licenziato? Dal log di A2 sembrerebbe di no.

Gentilissimo, ora funziona tutto anche windows update, grazie mille:D

a2scan_100414-204110.txt (http://wikisend.com/download/508104/a2scan_100414-204110.txt)

ecco asquared.

per il pc fisso penso che l'unica soluzione sia formattare visto che sintomi di infezioni non ne da più, ma ogni tanto riavvia per cause sconosciute e siccome di stare ad impazzirci troppo non mi va più.... format c:

a2scan_100414-204110.txt (http://wikisend.com/download/508104/a2scan_100414-204110.txt)

ecco asquared.

per il pc fisso penso che l'unica soluzione sia formattare visto che sintomi di infezioni non ne da più, ma ogni tanto riavvia per cause sconosciute e siccome di stare ad impazzirci troppo non mi va più.... format c:

Se il PC si riavvia da solo hai problemi all'alimentatore.

Se il PC si riavvia da solo hai problemi all'alimentatore.

spero di no!!

spero di no!!

già provato a disabilitare il riavvio automatico?

spero di no!!
Ma ti si chiude normalmente Windows oppure semplicemente ti riparte dalla schermata del BIOS ? Se è la seconda allora probabile che sia davvero l'alimentatore.

Prosegui pure con a-squared - Cureit e HJT

il problema con la sezione "ripristino configurazione di sistema" rimane... palette sparita dalla finestra...
come si nota un generale rallentamento nei collegamenti a internet... spesso bisogna riavviare il router per connettersi...
allego i vari log...

A2LOG.jpg (http://wikisend.com/download/952744/A2LOG.jpg)

hijackthis.log (http://wikisend.com/download/474776/hijackthis.log)

cureit filtrato.txt (http://wikisend.com/download/563348/cureit filtrato.txt)

tia

il problema con la sezione "ripristino configurazione di sistema" rimane... palette sparita dalla finestra...
come si nota un generale rallentamento nei collegamenti a internet... spesso bisogna riavviare il router per connettersi...
allego i vari log...

A2LOG.jpg (http://wikisend.com/download/952744/A2LOG.jpg)

hijackthis.log (http://wikisend.com/download/474776/hijackthis.log)

cureit filtrato.txt (http://wikisend.com/download/563348/cureit filtrato.txt)

tia

Come indicato in Guida servono i log dei tool non gli screenshot, aiutateci ad aiutarvi.

Con il Browser chiuso esegui HJT, clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sc delle sottoindicate voci e clicca su Fix checked

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\tbSoft.dll
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [fozoocu] C:\WINDOWS\system32\lygatoossos.exe
O4 - HKLM\..\RunServices: [fozoocu] C:\WINDOWS\system32\lygatoossos.exe
O20 - AppInit_DLLs: app_dll.dll
O23 - Service: Creative ALchemy AL1 Licensing Service (ieu6kxi6au) - Four-F - C:\WINDOWS\system32\furud.exe
O23 - Service: SecWun - Unknown owner - \?C:ProgrammiFile comuniSystemcom6.exe (file missing)
O23 - Service: SrvAav - Unknown owner - \?C:ProgrammiFile comuniSystemlpt5.exe (file missing)

Fai girare Combofix come indicato al Post 3 del presente 3D, successivamente installa Avira Antivir visto che non hai Antivirus e produci log di una scansione completa ->> Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Riepilogo log da allegare:
Combofix
Avira
Nuovo log HJT

PS: con DrWeb CureIt non hai fatto scansione completa

Come indicato in Guida servono i log dei tool non gli screenshot, aiutateci ad aiutarvi.

Con il Browser chiuso esegui HJT, clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sc delle sottoindicate voci e clicca su Fix checked


Fai girare Combofix come indicato al Post 3 del presente 3D, successivamente installa Avira Antivir visto che non hai Antivirus e produci log di una scansione completa ->> Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Riepilogo log da allegare:
Combofix
Avira
Nuovo log HJT

PS: con DrWeb CureIt non hai fatto scansione completa


mi scuso per lo screenshot ma non è stato possibile salvare il log di a.squared... e non riesco a capire come salvarne uno in txt dal programma...
ho recuperato questo file tra le cartelle di a2... non so se può essere ugualmente utile
a-squared.db3 (http://wikisend.com/download/891358/a-squared.db3)

eliminate le voci indicate con hijack
allego seguente scansione con combofix, che all'avvio ha scaricato dal sito microsoft "console di ripristino di emergenza" x cui adesso il problema "ripristino configurazione di sistema" è risolto...

combofixlog.txt (http://wikisend.com/download/470766/combofixlog.txt)


il problema internet sembrava dovuto semplicemente a un cavo collegato male...
scaricato e installato avira... che mi dà dei problemi in aggiornamento che paiono essere comuni... aggiornato in manuale... stanotte mando la scansione e domani allegherò il log...

allego altro log di hijack finale (due volte dopo le scansioni con combifix è andato in errore, così come anche cure.it si è piantato due volte... la terza scansione completata ieri sera con cureit alle 23 sembrava però completata)

hijackthis2.log (http://wikisend.com/download/534046/hijackthis2.log)


TIA

ecco il log della scansione di avira antivir

AVSCAN-20100415-192555-001740BE.LOG (http://wikisend.com/download/443914/AVSCAN-20100415-192555-001740BE.LOG)

continuano però le difficoltà ad eseguire l'aggiornamento automatico

TIA

Ciao,
ieri sono stato anch'io alle prese con questo problema.
Ho fatto ciò che era scritto nel primo post e sembra che abbia risolto il problema (mi scuso di non aver postato il log, ero preso dalla fretta, pardon).

Ora però penso sia rimasta qualche traccia del virus:
-nella tray bar non mi compaiono più molte cose (ad es. avg );
-ho problemi con facebook (chat e qualche link);
-ho qualche problema con la visualizzazione di alcuni siti (uso firefox);
-aprendo il task manager i processi attivi sono pochissimi rispetto a prima.

Volevo sapere se sono residui del rogue oppure se ho fatto qualcosa di sbagliato nei procedimenti (ovviamente se questo vi risulta essere un problema comune a prescindere dai dettagli di quello che ho fatto).

Nel caso in cui abbiate bisogno dei vari log ecc.. rifaccio tutto!

Grazie e scusate ancora se non sono stato "ortodosso"..:(

ecco il log della scansione di avira antivir

AVSCAN-20100415-192555-001740BE.LOG (http://wikisend.com/download/443914/AVSCAN-20100415-192555-001740BE.LOG)

continuano però le difficoltà ad eseguire l'aggiornamento automatico

TIA

A volte gli aggiornamenti automatici danno problemi nel caso chiedi nel 3d dedicato, adesso abilita la visualizzazione dei files nascosti

Pannello di controllo - Aspetto e personalizzazione - Opzioni cartella - Visualizza cartelle e file nascosti e metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK


controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

lygatoossos.exe che trovi in C:\WINDOWS\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

Ciao,
ieri sono stato anch'io alle prese con questo problema.
Ho fatto ciò che era scritto nel primo post e sembra che abbia risolto il problema (mi scuso di non aver postato il log, ero preso dalla fretta, pardon).

Ora però penso sia rimasta qualche traccia del virus:
-nella tray bar non mi compaiono più molte cose (ad es. avg );
-ho problemi con facebook (chat e qualche link);
-ho qualche problema con la visualizzazione di alcuni siti (uso firefox);
-aprendo il task manager i processi attivi sono pochissimi rispetto a prima.

Volevo sapere se sono residui del rogue oppure se ho fatto qualcosa di sbagliato nei procedimenti (ovviamente se questo vi risulta essere un problema comune a prescindere dai dettagli di quello che ho fatto).

Nel caso in cui abbiate bisogno dei vari log ecc.. rifaccio tutto!

Grazie e scusate ancora se non sono stato "ortodosso"..:(

Ciao, per poterti prestare assistenza è necessario vedere i log, altrimenti tiriamo ad indovinare.

(Se ho ben capito è preferibile rispondere a questo thread piuttosto che aprirne uno nuovo).
Salve a tutti. Qualche mese fa il mio netbook (Samsung Nc10, WinXp, IE) è stato infettato da Malware Defense, che ero riuscito completamente a eliminare con Malwarebites.
Oggi una nuova infezione sempre di Malware Defense, anche se più limitata nei sintomi (non più finestre che si aprono in continuazione, ma soltanto un falso Centro sicurezza windows).
Malwarebites (nel frattempo aggiornato) non ha eliminato il problema. Ad ogni riavvio infatti c'è sempre questo falso Centro sicurezza che dice che Malware Defense ha rilevato che non c'è alcun antivirus presente (invece ovviamente è correttamente installato Avira Anti-Vir).

Da qualche parte ho letto di usare ComboFix. L'ho fatto. Ora però (a parte che IE ha perso alcune cose, come la pagina iniziale) non riesco a interpretarne il log. Potete aiutarmi? Grazie...

(Se ho ben capito è preferibile rispondere a questo thread piuttosto che aprirne uno nuovo).
Salve a tutti. Qualche mese fa il mio netbook (Samsung Nc10, WinXp, IE) è stato infettato da Malware Defense, che ero riuscito completamente a eliminare con Malwarebites.
Oggi una nuova infezione sempre di Malware Defense, anche se più limitata nei sintomi (non più finestre che si aprono in continuazione, ma soltanto un falso Centro sicurezza windows).
Malwarebites (nel frattempo aggiornato) non ha eliminato il problema. Ad ogni riavvio infatti c'è sempre questo falso Centro sicurezza che dice che Malware Defense ha rilevato che non c'è alcun antivirus presente (invece ovviamente è correttamente installato Avira Anti-Vir).

Da qualche parte ho letto di usare ComboFix. L'ho fatto. Ora però (a parte che IE ha perso alcune cose, come la pagina iniziale) non riesco a interpretarne il log. Potete aiutarmi? Grazie...
ciao e benvenuto

per una pulizia completa segui le info del 1°post

ciao e benvenuto

per una pulizia completa segui le info del 1°post

Ho eseguito ATF Cleaner, poi di nuovo Malwarebytes, stavolta (al contrario di stamattina) quest'ultimo non ha rilevato files da correggere, tento comunque di postarne il log.


Grazie!!!!!!!!
(Ma si è capito come si riceve questo Malware? Io non navigo in siti strani, giusto un paio di social networks a parte le cose che mi servono per lavoro...)

Ho eseguito ATF Cleaner, poi di nuovo Malwarebytes, stavolta (al contrario di stamattina) quest'ultimo non ha rilevato files da correggere, tento comunque di postarne il log.


Grazie!!!!!!!!
(Ma si è capito come si riceve questo Malware? Io non navigo in siti strani, giusto un paio di social networks a parte le cose che mi servono per lavoro...)

i modi per infettarsi sono infiniti, come le vie del Signore :)
aspettiamo gli altri log

i modi per infettarsi sono infiniti, come le vie del Signore :)
aspettiamo gli altri log

CureIt non ha trovato niente. Il log di HiJackThis è questo (non riesco ad allegarlo perché dice "Invalid file"):

Log rimosso non conforme alle Regole, ti invito ad uniformarti, grazie.

CureIt non ha trovato niente. Il log di HiJackThis è questo (non riesco ad allegarlo perché dice "Invalid file"):


o lo rinomini in txt o lo carichi sui server remoti come indicato nelle regole di sezione, grazie

o lo rinomini in txt o lo carichi sui server remoti come indicato nelle regole di sezione, grazie

scusa, avevo letto ma m'ero dimenticato.
link al log di HJT: http://wikisend.com/download/520084/hjtlog.log

controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:
lygatoossos.exe che trovi in C:\WINDOWS\system32\


http://virscan.org/report/64b54b59c0e955d6da6dfa39ca359bdf.html

http://www.virustotal.com/it/analisis/17b5024a8f0c571ae7bccd2d1d3e845d9a7cf1ee1bbcdd7629cf582a849ae48b-1271424397

sembrerebbe un file sospetto
TIA

http://virscan.org/report/64b54b59c0e955d6da6dfa39ca359bdf.html

http://www.virustotal.com/it/analisis/17b5024a8f0c571ae7bccd2d1d3e845d9a7cf1ee1bbcdd7629cf582a849ae48b-1271424397

sembrerebbe un file sospetto
TIA

Aggiorna A2 e ripeti scansione completa dal momento che rileva il malware.

Riepilogo log da allegare:
A2
Nuovo log HJT

questo è il link del log con hijackthis

http://wikisend.com/download/493158/hijackthis.log

e questo è con mbam

http://wikisend.com/download/435366/mbam-log-2010-04-24 (15-12-45).txt

questo è il link del log con hijackthis

http://wikisend.com/download/493158/hijackthis.log

e questo è con mbam

http://wikisend.com/download/435366/mbam-log-2010-04-24 (15-12-45).txt

Mancano a-squared e CureIt.

Ecco qui il file con il log creato con Melwarebytes . Potreste quindi dirmi cosa devo eliminare a questo punto?
Grazie
Ric
PS: vi metto qui il link perchè tramite l'allegatore del forum non mi daceva allegare.

http://wikisend.com/download/444964/mbam-log-2010-04-26 (00-43-21).txt

Ecco qui il file con il log creato con Melwarebytes . Potreste quindi dirmi cosa devo eliminare a questo punto?
Grazie
Ric
PS: vi metto qui il link perchè tramite l'allegatore del forum non mi daceva allegare.

http://wikisend.com/download/444964/mbam-log-2010-04-26 (00-43-21).txt

Mancano i log di A2 - CureIt e HJT allegali sempre su Wikisend

Ecco qui il riepilogo. Ho seguito la guida ed ecco i link a tutti i mei log.
Cosa devo fare?
Attendo risposta Grazie mille!!:)

MBAM:

http://wikisend.com/download/444964/mbam-log-2010-04-26 (00-43-21).txt

A2:

http://wikisend.com/download/561034/a2scan_100426-015519.txt

DRWEB CUREIT

http://wikisend.com/download/486524/cureit filtrato.txt

Hijackthis

http://wikisend.com/download/527322/hijackthis.log

1 Aggiorna A2, ripeti scansione completa ed elimina tutti gli elementi infetti rilevati, tranne:

Value: HKEY_USERS\S-1-5-21-861567501-583907252-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2

2 Dal log di Cureit si evince che non hai messo in quarantena tutti gli elementi infetti

Statistiche totali della sessione
=============================================================================
Oggetti controllati: 294851
Trovati oggetti Infetti: 7
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 1
Trovato Adware: 0
Trovato Dialer: 0
Trovato Riskware: 0
Trovato Hacktool: 0
Oggetti curati: 0
Oggetti cancellati: 1
Oggetti rinominati: 0
Oggetti spostati: 2
Oggetti ignorati: 0
Velocità di scansione: 267 Kb/s
Durata scansione: 04:04:04

3 Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

R3 - URLSearchHook: agihelper.AGUtils - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - mscoree.dll (file missing)
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\mswinvks.exe
O2 - BHO: agihelper.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing)

PS: vedo inoltre che si fermo al SP2, ma il motivo lo si evince dal log di A2

PS: vedo inoltre che si fermo al SP2, ma il motivo lo si evince dal log di A2[/QUOTE]

si...il 3 però mi rompe crea un sacco di problemi a "eventuali" programmi pirata no? ;-):Prrr:

ok per il resto risistemo e riposto!!

PS: vedo inoltre che si fermo al SP2, ma il motivo lo si evince dal log di A2
si...il 3 però mi rompe crea un sacco di problemi a "eventuali" programmi pirata no? ;-):Prrr:

ok per il resto risistemo e riposto!!

Forse è il caso che ti leggi il Regolamento del Forum.

Ho letto la guida ma i vari malware defense si autoavviano?
Io non ho controllo sul pc, entra e si autocarica il rogue senza possibilità d'intervento, nememno in modalità provvisoria o in boot da cd, il task manager è disattivato...
Ho visto che c'è avira antivir rescue system.potrebbe funzionare?

Ho letto la guida ma i vari malware defense si autoavviano?
Io non ho controllo sul pc, entra e si autocarica il rogue senza possibilità d'intervento, nememno in modalità provvisoria o in boot da cd, il task manager è disattivato...

In che senso?


Ho visto che c'è avira antivir rescue system.potrebbe funzionare?

http://www.hwupgrade.it/forum/showthread.php?t=1689812

http://wikisend.com/download/436530/mbam-log-2010-04-27 (09-37-54).txt

http://wikisend.com/download/521282/cureit filtrato.txt

http://wikisend.com/download/463766/hijackthis.log

Non so dove cercare il log di A-Squared... non mi è parso di aver visto da nessuna parte la possibilità di salvare il rapporto al termine della scansione.

Cos'altro posso fare?

Non so dove cercare il log di A-Squared... non mi è parso di aver visto da nessuna parte la possibilità di salvare il rapporto al termine della scansione.

Cos'altro posso fare?

Per ottenere il log devi necessariamente ripetere scansione completa, nella guida in prima pagina trovi le istruzioni inerenti il savataggio del log stesso.

Riepilogo log da allegare:
A2
Nuovo log HJT

In che senso?




All'avvio di windows il malware si apre automaticamente occupando tutto lo schermo e iniziando a fare la sua "scansione".
Non posso agire sul pc,niente alt+f4, niente task manager...niente di niente!
Se entro in modalità provvisoria il problema persiste.

Ciao qualcuno può controllare i miei log????

http://wikisend.com/download/451296/HiJackFree3.log

Grazie.

Ciao qualcuno può controllare i miei log????

http://wikisend.com/download/451296/HiJackFree3.log

Grazie.

devi seguire la guida del 1 post e caricare i log richiesti

Quindi sono infetto da questi falsi antispyware???? Ok....
Ah dimenticavo.... Ho fatto una scansione con spyware doctor e mi ha messo in quarantena alcuni di questi virus.... Ma come faccio ad eliminarli del tutto????

Quindi sono infetto da questi falsi antispyware???? Ok....
Ah dimenticavo.... Ho fatto una scansione con spyware doctor e mi ha messo in quarantena alcuni di questi virus.... Ma come faccio ad eliminarli del tutto????

Inizia col seguire la Guida in prima pagina.

Questo è il log prima dell'eliminazione delle minacce
http://wikisend.com/download/502324/mbam-log-2010-04-28 (17-35-19).txt

Questo è dopo
http://wikisend.com/download/448034/mbam-log-2010-04-28 (17-36-12).txt

Come vedete alcune non sono state cancellate.
Come posso operare?

Questo è il log prima dell'eliminazione delle minacce
http://wikisend.com/download/502324/mbam-log-2010-04-28 (17-35-19).txt

Questo è dopo
http://wikisend.com/download/448034/mbam-log-2010-04-28 (17-36-12).txt

Come vedete alcune non sono state cancellate.
Come posso operare?

Prosegui tranquillamente con i Punti successivi.

Inizia col seguire la Guida in prima pagina.

Ok ho seguito la guida ed ecco il file log filtrato dopo lo scan con doctorweb....
http://wikisend.com/download/463440/cureit filtrato.txt

Torno a postare i risultati

Malwarebytes' Anti-Malware:
http://wikisend.com/download/436530/mbam-log-2010-04-27 (09-37-54).txt

A-Squared:
http://wikisend.com/download/502978/a2scan_100428-095435.txt

Dr.Web CureIt!:
http://wikisend.com/download/521282/cureit

HijackThis:
http://wikisend.com/download/520154/hijackthis.log

Non capendone una mazza, sono nelle vostre mani :)

Ecco i miei log:

-Malwarebytes' Anti-Malware
http://wikisend.com/download/473076/mbam-log-2010-04-28 (20-45-16).txt

-A-squared free
http://wikisend.com/download/722630/a2scan_100428-223418.txt

-Dr.web
http://wikisend.com/download/515258/cureit filtrato.txt

-Hijackthis
http://wikisend.com/download/554388/HiJackFree.log

Ecco i miei log:

-Malwarebytes' Anti-Malware
http://wikisend.com/download/473076/mbam-log-2010-04-28 (20-45-16).txt

-A-squared free
http://wikisend.com/download/722630/a2scan_100428-223418.txt

-Dr.web
http://wikisend.com/download/515258/cureit filtrato.txt

-Hijackthis
http://wikisend.com/download/554388/HiJackFree.log

Dovremmo essere ok :)

Torno a postare i risultati

Malwarebytes' Anti-Malware:
http://wikisend.com/download/436530/mbam-log-2010-04-27 (09-37-54).txt

A-Squared:
http://wikisend.com/download/502978/a2scan_100428-095435.txt

Dr.Web CureIt!:
http://wikisend.com/download/521282/cureit

HijackThis:
http://wikisend.com/download/520154/hijackthis.log

Non capendone una mazza, sono nelle vostre mani :)

fixa:

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AliceMessenger] "C:\Programmi\Alice Messenger\alicemessenger.exe"
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe

inoltre emerge che java e acrobatreader sono talmente antichi che vanno obbligatoriamente aggiornati immediatamente (questa è una delle cause dell'infezione), vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente..

ricorda che per java dovrai poi entrare nel "pannello di controllo di windows -> installa/rimuovi applicazioni" e disinstallare la vecchia java.

NB: al posto di acrobat reader potresti installare foxit reader che oltre ade ssere più leggero, veloce, potente e decisamente più sicuro lo puoi trovare anche nella versione "portable" (ovviamente è sempre gratis) :O

fixa:

[...]

inoltre emerge che java e acrobatreader sono talmente antichi che vanno obbligatoriamente aggiornati immediatamente (questa è una delle cause dell'infezione), vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente..

ricorda che per java dovrai poi entrare nel "pannello di controllo di windows -> installa/rimuovi applicazioni" e disinstallare la vecchia java.

NB: al posto di acrobat reader potresti installare foxit reader che oltre ade ssere più leggero, veloce, potente e decisamente più sicuro lo puoi trovare anche nella versione "portable" (ovviamente è sempre gratis) :O

Grazie mille :)
E' il portatile di mio padre, ci ho messo le mani adesso per la prima volta dopo la comparsa del rogue. Sarei quasi tentato di tenere giusto la raccolta di foto e formattare tutto mettendo poi 7 32 bit...

Salve, vengo da un altro 3d che i moderatori hanno riorientato: Avira rescue cd aveva rilevato un vundo. l'ho cancellato e dal comportamento strano del pc durante la disinfestazione sembravano rogue.

Sono riuscito a far girare MBAM e il log parla di rogue ma non solo: wjmat mi suggeriva questo 3d e xcdegasp il 3d su vundo : quale procedura mi conviene utilizzare? Grazie a tutti.

ecco il log di mbam

http://www.filedropper.com/mbam-log-2010-04-3014-02-05

Salve, vengo da un altro 3d che i moderatori hanno riorientato: Avira rescue cd aveva rilevato un vundo. l'ho cancellato e dal comportamento strano del pc durante la disinfestazione sembravano rogue.

Sono riuscito a far girare MBAM e il log parla di rogue ma non solo: wjmat mi suggeriva questo 3d e xcdegasp il 3d su vundo : quale procedura mi conviene utilizzare? Grazie a tutti.

ecco il log di mbam

http://www.filedropper.com/mbam-log-2010-04-3014-02-05
continua pure questa procedura

Dovremmo essere ok :)

Davvero???? Grazie mille!!!! Un ultima cosa... Posso cancellare i file che i programmi mi hanno messo in quarantena????

Davvero???? Grazie mille!!!! Un ultima cosa... Posso cancellare i file che i programmi mi hanno messo in quarantena????

In quarantena non possono nuocere, in teoria potrebbero rimanerci a vita, comunque eliminali definitivamente solo dopo un uso massivo del PC.

Spero sia la discussione giusta, non sono molto pratico in queste cose....
Comunque ieri accendendo il pc mi è apparsa la schermata di antimalware doctor.
Ho allora scaricato malwarebytes' e ho avviato una scansione completa, il programma mi ha trovato circa 70 file infetti che ho provveduto ad eliminare, ho riavviato il pc ma una volta fatto antimalware doctor era ancora al suo posto.....
Ho fatto altre due scansioni con lo stesso programma e una con prevx giusto ora ma entrambi mi dicono che sul mio pc non ci sono elementi infetti.
A questo punto cosa posso fare?
Grazie

A questo punto cosa posso fare?
Grazie

Seguire esattamente la Guida in prima pagina ed allegare i log per il controllo :)

Forse è il caso che ti leggi il Regolamento del Forum.

Grazie Chill e a tutti coloro che mi hanno aiutato in questo forum...spero mi perdonino perchè ora non ricordo i loro nomi!

Sembra che adesso abbia risolto perchè i programmi non mi segnalano più niente, neanche l'antivirus e il problema è sparito!
Chill comunque ho rifatto la scansione con dr web ma non mi ha più segnalato niente.

Grazie ancora
A presto
Ric

PS: ok Chill ho letto il regolamento scusa non è che io volessi intavolare una discussione su software pirata, mi è scappato! :rolleyes: :doh:

sono stato dirottato qui dopo la chiusura del mio tread riguardante virus protector e non avendo risolto nulla ho deciso di estrarre l'hd e inserirlo in un'altro pc, ora vi chiedo se da questa posizione è possibile rilevare questo rogue e se possibile eliminarlo, grazie a tutti per l'aiuto

Il mio vecchio portatile è stato nfettato da Desktop Security 2010, mi appresto a seguire le istruzioni per la pulizia. Se c'è qualche mattiniero avrei bisogno di un chiarimanto; dopo le varie scansioni si fa il riavvio quando richiesto da software o no ?? Per esempio dopo il primo giro con Malwarebytes si riavvia o no?
Grazie e buona giornata


Sono troppo mattiniero !!
Non ho effettuato il riavvio perchè il virus che risultava presente ma poco attivo sarebbe ripartito. Spero di non aver sbagliato!

Il mio vecchio portatile è stato nfettato da Desktop Security 2010, mi appresto a seguire le istruzioni per la pulizia. Se c'è qualche mattiniero avrei bisogno di un chiarimanto; dopo le varie scansioni si fa il riavvio quando richiesto da software o no ?? Per esempio dopo il primo giro con Malwarebytes si riavvia o no?
Grazie e buona giornata


Sono troppo mattiniero !!
Non ho effettuato il riavvio perchè il virus che risultava presente ma poco attivo sarebbe ripartito. Spero di non aver sbagliato!

Non riavviare

sono stato dirottato qui dopo la chiusura del mio tread riguardante virus protector

Sei stato dirottato qui, perchè questo è il 3D dedicato :)


e non avendo risolto nulla ho deciso di estrarre l'hd e inserirlo in un'altro pc, ora vi chiedo se da questa posizione è possibile rilevare questo rogue e se possibile eliminarlo, grazie a tutti per l'aiuto

Si

Nell'andare avanti con la procedura A-Squared mi dice che non riesce ad eliminare il file ic C:/Document and setting/nome user/impostazioni locali/temp/m.26.tmp.exe perchè risulta protetto in sola settura.
Ho controllato e il file ha data e ora della possibile infezione ma con tasto destro - proprietà non è settato come sola lettura, ma non riesco a cancellarlo neanche a mano.
Sullo schermo ho una finestra del virus che non riesco a chiudere ma se ne sta lì buona buona senza fare niente
Che faccio ??
Resto in attesa grazie

Nell'andare avanti con la procedura A-Squared mi dice che non riesce ad eliminare il file ic C:/Document and setting/nome user/impostazioni locali/temp/m.26.tmp.exe perchè risulta protetto in sola settura.
Ho controllato e il file ha data e ora della possibile infezione ma con tasto destro - proprietà non è settato come sola lettura, ma non riesco a cancellarlo neanche a mano.
Sullo schermo ho una finestra del virus che non riesco a chiudere ma se ne sta lì buona buona senza fare niente
Che faccio ??
Resto in attesa grazie

Porta a termine la Guida in prima pagina ed allega i log richiesti.

Porta a termine la Guida in prima pagina ed allega i log richiesti.

Se vado avanti con il file bloccato mi dà l'impressione che a Squared non metta niente in querantena. Vado avanti lo stesso ??

Se vado avanti con il file bloccato mi dà l'impressione che a Squared non metta niente in querantena. Vado avanti lo stesso ??

Si, allega tutti i log per il controllo, successivamente vediamo come procedere :)

Mentre gira cureit, ancora una domanda da profano/imbranato: stasera spendo il pc o no ?? Spero di concludere le scansioni, poi devo preparare i log, aspettare le vostre risposte (spero) e mettere in pratica i suggerimenti, non credo che si riesca a concludere stasera e domattina non riesco a fare nulla. Riassumendo stasera lo spengo o no ?? Prima di spegnerlo riattivo il "ripristino configurazione di sistema" disattivato all'inizio o no??
Grazie

Mentre gira cureit, ancora una domanda da profano/imbranato: stasera spendo il pc o no ?? Spero di concludere le scansioni, poi devo preparare i log, aspettare le vostre risposte (spero) e mettere in pratica i suggerimenti, non credo che si riesca a concludere stasera e domattina non riesco a fare nulla. Riassumendo stasera lo spengo o no ?? Prima di spegnerlo riattivo il "ripristino configurazione di sistema" disattivato all'inizio o no??
Grazie

Terminato CureIt allega i log, non riattivare il ripristino, e spegni il PC.

come lo riconosco e spratutto come lo elimino:confused:

come lo riconosco e spratutto come lo elimino:confused:

Scansione l'HDD infetto con i software indicati nella Guida in prima pagina :)

grazie ci provo

Eccomi qua, dopo la lunghissima scansione di Cureit ( 6 ore ) ho spento tutto. Stamattina ho riacceso e il Desktipo Security 2010 è sempre al suo posto.
Allego i link dei log l'up load è fatto con wikisend, spero vada bene (fileqube non funzionava)
mbam-log-2010-05-04 (07-51-19).txt (http://wikisend.com/download/570338/mbam-log-2010-05-04 (07-51-19).txt)
a2scan_100504-080705.txt (http://wikisend.com/download/501428/a2scan_100504-080705.txt)
cureit filtrato.txt (http://wikisend.com/download/435966/cureit filtrato.txt)

Resto in attesa di istruzioni semplici e passo passo da incompetente/imbranato ( ci ho messo un po' a capire che Malwarebytes e mbam sono la stessa cosa)
Grazie in anticipo e buona giornata.

ci sono anch'io, prima del consiglio di chill avevo già fatto una scansione con Spybot- risultato migliaia di file infetti e programma bloccato, ora ho provato con malwarebytes' e:muro: stesso risultato
ps in win 32 avevo trovato alcuni file di quel giorno che avevano come icona un occhio e che ho cancellato ma evidentemente non è servito a nulla

dopo aver interrotto la scansione di I/ questo è il file log, spero non mi abbia creato problemi anche all'altro pc:confused:
ps il file è stato tagliato a causa della sua lunghezza

Ho ricevuto una mail da Avast, cui avevo segnalato il problema del virus Desktop Security 2010, con un link al sito Scanspyware da dove prelevare una utility gratuita, e dedicata a quel virus, per risolvere il problema.
Che faccio ?? Ci provo ??

Ho ricevuto una mail da Avast, cui avevo segnalato il problema del virus Desktop Security 2010, con un link al sito Scanspyware da dove prelevare una utility gratuita, e dedicata a quel virus, per risolvere il problema.
Che faccio ?? Ci provo ??

io finirei la procedura iniziata qui :)
con mbam non si vede se hai eliminato le voci

dopo aver interrotto la scansione di I/ questo è il file log, spero non mi abbia creato problemi anche all'altro pc:confused:
ps il file è stato tagliato a causa della sua lunghezza

hai eliminato le voci trovate da mbam visto che dal log non lo si capisce?
il ripristino conf. di sistema va disattivato
segui anche queste info (http://www.hwupgrade.it/forum/showpost.php?p=31620665&postcount=2694) per la rimozione di TDSS rootkit

mbam non à riuscito a eliminare i file, inoltre ne ha trovati tantissimi altri sull'hd del pc ospite che non avevo nemmeno selezionato x la scansione

io finirei la procedura iniziata qui :)
con mbam non si vede se hai eliminato le voci

Non ricordo esattamente, ma ho cercato di seguire alla lettera le istruzioni, per cui se c'è scritto rimuovere dovrei averle rimosse.
Sono anch'io dell'idea di continuare con questa procedura (anche se sarei curioso....) per questo sta aspettando dritte per andare avanti!!

Non ricordo esattamente, ma ho cercato di seguire alla lettera le istruzioni, per cui se c'è scritto rimuovere dovrei averle rimosse.
Sono anch'io dell'idea di continuare con questa procedura (anche se sarei curioso....) per questo sta aspettando dritte per andare avanti!!

fai girare anche combofix come indicato qui
http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3

mbam non à riuscito a eliminare i file, inoltre ne ha trovati tantissimi altri sull'hd del pc ospite che non avevo nemmeno selezionato x la scansione

fai girare i tool indicati sopra e carica i log

Eccomi qua, dopo la lunghissima scansione di Cureit ( 6 ore ) ho spento tutto. Stamattina ho riacceso e il Desktipo Security 2010 è sempre al suo posto.
Allego i link dei log l'up load è fatto con wikisend, spero vada bene (fileqube non funzionava)
mbam-log-2010-05-04 (07-51-19).txt (http://wikisend.com/download/570338/mbam-log-2010-05-04 (07-51-19).txt)
a2scan_100504-080705.txt (http://wikisend.com/download/501428/a2scan_100504-080705.txt)
cureit filtrato.txt (http://wikisend.com/download/435966/cureit filtrato.txt)

Resto in attesa di istruzioni semplici e passo passo da incompetente/imbranato ( ci ho messo un po' a capire che Malwarebytes e mbam sono la stessa cosa)
Grazie in anticipo e buona giornata.

Dai log di MBAM e A2 (a-squared) si evince che non hai eliminato nulla, ripeti la Guida in prima pagina prestando attenzione alle istruzioni.

mbam non à riuscito a eliminare i file, inoltre ne ha trovati tantissimi altri sull'hd del pc ospite che non avevo nemmeno selezionato x la scansione

fai girare i tool indicati sopra e carica i log

Esattamente, ripeti la Guida in prima pagina prestando attenzione alle istruzioni.

Dai log di MBAM e A2 (a-squared) si evince che non hai eliminato nulla, ripeti la Guida in prima pagina prestando attenzione alle istruzioni.

Rilanciato MBAM ecco il lik del log
mbam-log-2010-05-05 (16-55-11).txt (http://wikisend.com/download/576428/mbam-log-2010-05-05 (16-55-11).txt)

......

Ho combinato uno dei miei soliti casini per cui ho riavviato il pc. Al riavvio non è partito il Desktop Security 2010, per non sbagliare ho rilanciato MBAM che non ha trovato più alcun elemento infetto.

Procedo al lancio di A-squared

Rilanciato MBAM ecco il lik del log
mbam-log-2010-05-05 (16-55-11).txt (http://wikisend.com/download/576428/mbam-log-2010-05-05 (16-55-11).txt)

Adesso rilancio a-squared

Dal log si evince che hai eseguito correttamente le istruzioni, procedi con i restanti tool :)

Seguire esattamente la Guida in prima pagina ed allegare i log per il controllo :)

Ho risolto seguendo la guida, ti ringrazio molto per la disponibilità :)

Ho provato con a-squared. almeno questo è arrivato alla fine:D e questo è il file log

HOPS mancano allegati ho dovuto dividerli

seconda parte

HOPS mancano allegati ho dovuto dividerli

non devi dividerli ma caricarli sui server remoti indicati nelle regole di sezione, grazie

Ho risolto seguendo la guida, ti ringrazio molto per la disponibilità :)

Prego :)

Per sicurezza ho rifatto tutta la sequenza dei controlli e a me, da imbranato, sembra sia tutto ok, non ci sono state segnalazioni, comunque allego tutti i log
mbam-log-2010-05-06 (07-35-27).txt (http://wikisend.com/download/870980/mbam-log-2010-05-06 (07-35-27).txt)
a2scan_100506-073714.txt (http://wikisend.com/download/451716/a2scan_100506-073714.txt)
cureit filtrato.txt (http://wikisend.com/download/520770/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/478818/hijackthis.log)

Se, come spero, è tutto ok non mi resta che riattivare "Ripristino configurazione di sistema" e ringraziare tutti ed in particolare Chill-Out per la competenza e la pazienza

Per sicurezza ho rifatto tutta la sequenza dei controlli e a me, da imbranato, sembra sia tutto ok, non ci sono state segnalazioni, comunque allego tutti i log
mbam-log-2010-05-06 (07-35-27).txt (http://wikisend.com/download/870980/mbam-log-2010-05-06 (07-35-27).txt)
a2scan_100506-073714.txt (http://wikisend.com/download/451716/a2scan_100506-073714.txt)
cureit filtrato.txt (http://wikisend.com/download/520770/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/478818/hijackthis.log)

Se, come spero, è tutto ok non mi resta che riattivare "Ripristino configurazione di sistema" e ringraziare tutti ed in particolare Chill-Out per la competenza e la pazienza

Esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix checked

O4 - HKCU\..\Run: [o9culvuvw5sq] C:\Documents and Settings\Iancer\Impostazioni locali\Temp\m.26.tmp.exe

per il resto siamo ok, ma devi necessariamente aggionare il SO al SP3 -->> Platform: Windows XP SP2 (WinNT 5.01.2600)

Fatto il lavoro con HjK e ripristinato il settaggio iniziale.
Adesso mi metterò a cercare come scaricare SP3, anche se il pc in questione andrà quasi in disuso perchè passerò ad un altro + recente. Mi serviva comunque spulciarlo per non spostare porcherie.
Ancora grazie

Adesso mi metterò a cercare come scaricare SP3
Ancora grazie

http://www.hwupgrade.it/forum/showthread.php?t=1726383

Prego

salve a tutti
doverosa premessa: il mio livello di competenza informatica è piuttosto scarso pertanto....:D sono nelle vostre mani.
Comincio dall'inizio. Saltuariamente AVG mi segnalava qualche minaccia di virus, prontamente spostata in quarantena......credo. La scorsa settimana, scaricando musica da emule mi è arrivata una mandria di trojan, sempre prontamente rilevati va AVG. 2 giorni fa all'apertura di vista mi sono partiti dei link con intestazione di spyware che non conoscevo. Non ho fatto nulla se non lanciare un aggiornamento del mio AVG ufficiale, dopo di che le finestre "anomale" si sono automaticamente chiuse e tutto sembrava OK. Il giorno successivo, sempre all'apertura di vista arriva un pop-up "impossibile trovare modulo specificato:C:\......AppData\Local\Temp\sshnas21.dll"
Comincio a fare una ricerca in rete....ed eccomi qua.
Ho seguito la procedura indicata all'inizio: disattivato il ripristino config. sistema e lanciato ATF Cleaner e successivamente Malwarebytes' Anti....... Questo è il relativo log. mbam-log-2010-05-06 (23-06-11).txt (http://wikisend.com/download/519518/mbam-log-2010-05-06 (23-06-11).txt)
NB il programma mi ha segnalato che non tutti i file infetti sono stati quarantenati!
Vista l'ora tarda, ho riattivato il ripristino (e qua, ho letto solo dopo, forse ho fatto una cavolata) e spento il pc. Oggi ho riacceso, disattivato il ripristino, e lanciato A-Squared. questo il log a2scan_100507-191442.txt (http://wikisend.com/download/518016/a2scan_100507-191442.txt) .
Devo continuare anche con gli altri 2 programmi ? (DrWebCureIt! e Hijack?)
ringrazio anticipatamente per ogni aiuto

salve a tutti
doverosa premessa: il mio livello di competenza informatica è piuttosto scarso pertanto....:D sono nelle vostre mani.
Comincio dall'inizio. Saltuariamente AVG mi segnalava qualche minaccia di virus, prontamente spostata in quarantena......credo. La scorsa settimana, scaricando musica da emule mi è arrivata una mandria di trojan, sempre prontamente rilevati va AVG. 2 giorni fa all'apertura di vista mi sono partiti dei link con intestazione di spyware che non conoscevo. Non ho fatto nulla se non lanciare un aggiornamento del mio AVG ufficiale, dopo di che le finestre "anomale" si sono automaticamente chiuse e tutto sembrava OK. Il giorno successivo, sempre all'apertura di vista arriva un pop-up "impossibile trovare modulo specificato:C:\......AppData\Local\Temp\sshnas21.dll"
Comincio a fare una ricerca in rete....ed eccomi qua.
Ho seguito la procedura indicata all'inizio: disattivato il ripristino config. sistema e lanciato ATF Cleaner e successivamente Malwarebytes' Anti....... Questo è il relativo log. mbam-log-2010-05-06 (23-06-11).txt (http://wikisend.com/download/519518/mbam-log-2010-05-06 (23-06-11).txt)
NB il programma mi ha segnalato che non tutti i file infetti sono stati quarantenati!
Vista l'ora tarda, ho riattivato il ripristino (e qua, ho letto solo dopo, forse ho fatto una cavolata) e spento il pc. Oggi ho riacceso, disattivato il ripristino, e lanciato A-Squared. questo il log a2scan_100507-191442.txt (http://wikisend.com/download/518016/a2scan_100507-191442.txt) .
Devo continuare anche con gli altri 2 programmi ? (DrWebCureIt! e Hijack?)
ringrazio anticipatamente per ogni aiuto
ciao

si prosegui pure e poi segui queste info (http://www.hwupgrade.it/forum/showpost.php?p=31620665&postcount=2694) per la rimozione di TDSS rootkit e posta in questa discussione (http://www.hwupgrade.it/forum/showthread.php?t=2177137)i log richiesti, in un unico post e secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

eccomi qua!
eseguito DrWebCureIt!
here the log CureIt.log (http://wikisend.com/download/515888/CureIt.log)
eseguito HijackThis
..the log hijackthis.log (http://wikisend.com/download/498080/hijackthis.log)
Tentato di scaricare TDSSkiller.zip ma è stato immediatamente bloccato da
"Plug-in di AVG "Minaccia rilevata"

Nome file: C\User\.......\Local|Temp|tdsskiller.zip
Nome minaccia. Trojan Patched_c.GBU

:eek: :eek: :eek:
Che devo fare?

Spostato in quarantena la minaccia rilevata, alla successiva riapertura del PC mi è uscito un Avviso di protezione di windows che mi segnala che l'antivirus è disattivato!!!!

la finestra del Centro di sicurezza PC windows mi dà:

PROTEZIONE DA MALWARE:

PROTEZIONE DA VIRUS --> DISATTIVATO
SPYWARE E ALTRI TIPI DI PROTEZIONE DA MALWARE --> ATTIVATO

....ma se apro AVG cliccando 2 volte sull'iconcina posta sulla barra sotto dello schermo, mi segnala che tutte le funzioni sono attive!!!!

Come devo procedere?

******************************************************

riaperto il PC stamattina è sparita l'iconcina di allarme e aprendo il "centro sicurezza PC" ora mi segnala che è tutto attivo!!

Cos'è successo? come mai si era disattivato l'antivirus ?

attendo vostre preziose osservazioni e consigli
grazie

Dopo aver disinfettato il mio vecchio portatile, ho pensato di fare un giro di controllo sul "nuovo" passto dal figlio, questi sono i log:
mbam-log-2010-05-10 (07-58-43).txt (http://wikisend.com/download/522742/mbam-log-2010-05-10 (07-58-43).txt)
a2scan_100510-080630.txt (http://wikisend.com/download/435410/a2scan_100510-080630.txt)
cureit filtrato.txt (http://wikisend.com/download/514978/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/572216/hijackthis.log)

Pensavo fosse tutto a posto, ma mi sa che c'è qualcosa da mettere a posto, sì, ma cosa ??
Grazie in anticipo

eccomi qua!
eseguito DrWebCureIt!
here the log CureIt.log (http://wikisend.com/download/515888/CureIt.log)
eseguito HijackThis
..the log hijackthis.log (http://wikisend.com/download/498080/hijackthis.log)
Tentato di scaricare TDSSkiller.zip ma è stato immediatamente bloccato da
"Plug-in di AVG "Minaccia rilevata"

Nome file: C\User\.......\Local|Temp|tdsskiller.zip
Nome minaccia. Trojan Patched_c.GBU

:eek: :eek: :eek:
Che devo fare?

disattiva avg, scarica tdsskiller, fallo girare e carica il suo log nella discussione indicata sopra

Dopo aver disinfettato il mio vecchio portatile, ho pensato di fare un giro di controllo sul "nuovo" passto dal figlio, questi sono i log:
mbam-log-2010-05-10 (07-58-43).txt (http://wikisend.com/download/522742/mbam-log-2010-05-10 (07-58-43).txt)
a2scan_100510-080630.txt (http://wikisend.com/download/435410/a2scan_100510-080630.txt)
cureit filtrato.txt (http://wikisend.com/download/514978/cureit filtrato.txt)
hijackthis.log (http://wikisend.com/download/572216/hijackthis.log)

Pensavo fosse tutto a posto, ma mi sa che c'è qualcosa da mettere a posto, sì, ma cosa ??
Grazie in anticipo

Con il Browser chiuso esegui HJT e fixa questa voce

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2530241

disattiva avg, scarica tdsskiller, fallo girare e carica il suo log nella discussione indicata sopra

come faccio a disattivare AVG?
ho disattivato "Resident shield" e "Firewall" (gli unici che sono riuscito a disattivare), ma non riesco a scaricare tdsskiller perchè mi viene sempre bloccato dal plug-in.
Che devo fare ? :stordita:

PS: devo usare delle accortezze con l'antivirus disattivato (quando e se riuscirò a disattivarlo!!:D )

grazie mille della pazienza

come faccio a disattivare AVG?
ho disattivato "Resident shield" e "Firewall" (gli unici che sono riuscito a disattivare), ma non riesco a scaricare tdsskiller perchè mi viene sempre bloccato dal plug-in.
Che devo fare ? :stordita:

PS: devo usare delle accortezze con l'antivirus disattivato (quando e se riuscirò a disattivarlo!!:D )

grazie mille della pazienza

personalmente lo rimpiazzerei con antivir :)
non conoscendolo bene ti consiglio di chiedere qui
http://www.hwupgrade.it/forum/showthread.php?t=1625201

Si tratta del pc di casa della mia ragazza , appena apre firefox e/o internet explorer e cerca di visitare un sito su cui non è mai stata prima si apre un finto programma di scansione . Purtroppo non ho fatto le scansioni io e si sono dimenticati di salvare il log di asquared .
Spero possiate cmq dirmi cosa fare su quel pc :)

Purtroppo non mi ricordo come si chiami il finto antivirus e inoltre siccome gli
log cure it
http://wikisend.com/download/534256/cureit filtrato.txt

log mbam
http://wikisend.com/download/961864/mbam-log-2010-05-05 (12-25-39).txt


log HiJackThis
http://wikisend.com/download/612598/hijackthis.log

Si tratta del pc di casa della mia ragazza , appena apre firefox e/o internet explorer e cerca di visitare un sito su cui non è mai stata prima si apre un finto programma di scansione . Purtroppo non ho fatto le scansioni io e si sono dimenticati di salvare il log di asquared .
Spero possiate cmq dirmi cosa fare su quel pc :)

Purtroppo non mi ricordo come si chiami il finto antivirus e inoltre siccome gli
log cure it
http://wikisend.com/download/534256/cureit filtrato.txt

log mbam
http://wikisend.com/download/961864/mbam-log-2010-05-05 (12-25-39).txt


log HiJackThis
http://wikisend.com/download/612598/hijackthis.log


Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)


O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {26522409-8BBF-4C5B-A4D3-CF4B1D6F255B} (UMediaPlayer Class) - http://www.umediaserver.net/bin/UMediaControl5.cab
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://www.intellisystem.it/DEMOLIVE/IT3G320-3G320W/RtspVaPgDec.cab
O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} (RtspVaPgCtrlNew Class) - http://78.152.117.140/RtspVaPgDec.cab
O16 - DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} (AxisRTPSrcFilter) - http://webcam.hotelbibionepalace.it/activex/AMC.cab
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.100.20/web/NetCam.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuwe b_site.cab?1265757840453
O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1265757830296
O16 - DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - http://www.neogeo.unisi.it/ecwplugins/NCS.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {96816368-C1E3-414D-A193-63C3CC921990} (MJPEGRender Control) - http://hotelatlantestar-rome.remotemanager.co.uk/common/activex/MJPEGRender.ocx
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://www.intellisystem.it/DEMOLIVE/IT50_50W/Server_h263ctrl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://91.143.205.4/activex/AMC.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/setup/ntractivex118_24.cab


il pc sembra infetto anche da altro
fai seguire qui (http://www.hwupgrade.it/forum/showthread.php?t=1715546) la guida per la rimozione di MBR rootkit e postare in quella discussione i log richiesti dalla fase1, in un unico post, secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Allora sono stata infettata dal falso antivirus security essential, ho usato il programma Dr.Web CureIt! unico problema non sono riuscita a fare il passaggio Disattivare il Ripristino Configurazione Sistema dato che in modalità provvisoria non me lo faceva fare, come già detto in windows non mi faceva proprio entrare, comunque ho fatto la scansione cancellato i file infetti ora quando riavvio continua a non farmi entrare nella schermata di windows devo comunque entrare in modalità provvisoria e non mi escono più i messaggi di prima tipo pc infetto, ... ho cercato di fare un riprisino ma mi dice che non è possibile come devo fare ?? poi un ultima cosa forse molto importante non ho fatto questo passaggio " Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog " come faccio ad allegare se provo qui mi dice che è troppo grande !!

Allora sono stata infettata dal falso antivirus security essential, ho usato il programma Dr.Web CureIt! unico problema non sono riuscita a fare il passaggio Disattivare il Ripristino Configurazione Sistema dato che in modalità provvisoria non me lo faceva fare, come già detto in windows non mi faceva proprio entrare, comunque ho fatto la scansione cancellato i file infetti ora quando riavvio continua a non farmi entrare nella schermata di windows devo comunque entrare in modalità provvisoria e non mi escono più i messaggi di prima tipo pc infetto, ... ho cercato di fare un riprisino ma mi dice che non è possibile come devo fare ?? poi un ultima cosa forse molto importante non ho fatto questo passaggio " Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog " come faccio ad allegare se provo qui mi dice che è troppo grande !!

Ciao, leggi la guida in prima pagina, mettila in pratica ed allega i log per il controllo su uno dei server remoti indicati.

Senza vedere i report non possiamo fornirti i suggerimenti del caso.

Salve a tutti,

volevo segnalare la mia soluzione al problema del regedit e taskmanager bloccati;

incontrando questo problema su un SO XP, ho ricorso a diversi forum per cercare le svariate soluzioni: tra cui il ricorso ad hijackthis ed altri software antimalware risultando purtroppo inutili poco dopo o al riavvio.

la soluzione, dicevo, l'ho avuta utilizzando un piccolo software freeware chiamato RE-ENABLE portable (ne esiste anche la versione installabile ma potrebbe non funzionare) rintracciabile qui (http://www.softpedia.com/progDownload/Re-Enable-Portable-Download-137300.html)
questo software è semplicissimo e intuitivo e dopo il riavvio (richiesto e attuato dal software stesso):

se sblocca regedit & taskmanager al primo tentativo (infatti mi è capitato di dover avviare il software ancora una volta) basta procedere con una scansione di un comune Antivirus (che risultava anch'esso bloccato nei miei casi ho utilizzato Avira Antivir) e una scansione con Spybot - Search & Destroy (anch'esso bloccato) per eliminare ogni traccia del problema.

spero di essere stato utile.

scusate davvero ma come faccio ad inserire il tag filtrato ? se provo ad allegare mi dice che è troppo grande ! prima di scrivere ho cercato qualcosa ma non lo so fare

C'è scritto in prima pagina dove mettere i log...

Edit: rimosso log allegato by cionci
spero di aver fatto bene

Ripeto: c'è scritto in prima pagina e all'inizio della guida:

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://www.fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

http://wikisend.com/download/461380/cureit filtrato.txt

Devi allegare tutti i log richiesti in prima pagina ;)

hai fatto benissimo collega, lo sai che sei sempre il benvenuto :D :vicini:

Salve a tutti,

volevo segnalare la mia soluzione al problema del regedit e taskmanager bloccati;

incontrando questo problema su un SO XP, ho ricorso a diversi forum per cercare le svariate soluzioni: tra cui il ricorso ad hijackthis ed altri software antimalware risultando purtroppo inutili poco dopo o al riavvio.

la soluzione, dicevo, l'ho avuta utilizzando un piccolo software freeware chiamato RE-ENABLE portable (ne esiste anche la versione installabile ma potrebbe non funzionare) rintracciabile qui (http://www.softpedia.com/progDownload/Re-Enable-Portable-Download-137300.html)
questo software è semplicissimo e intuitivo e dopo il riavvio (richiesto e attuato dal software stesso):

se sblocca regedit & taskmanager al primo tentativo (infatti mi è capitato di dover avviare il software ancora una volta) basta procedere con una scansione di un comune Antivirus (che risultava anch'esso bloccato nei miei casi ho utilizzato Avira Antivir) e una scansione con Spybot - Search & Destroy (anch'esso bloccato) per eliminare ogni traccia del problema.

spero di essere stato utile.


Sei un grande Tony ;)

cIAO a tutti sono nuovo, ho un problema anche io con il virus di windows alert...Ho un grosso problema perchè non posso avviare nessun tipo di programma in modlità normale..mi chiude subito le finestre!Posso seguire la guida anche in modalità provvisoria?
grazie mille

cIAO a tutti sono nuovo, ho un problema anche io con il virus di windows alert...Ho un grosso problema perchè non posso avviare nessun tipo di programma in modlità normale..mi chiude subito le finestre!Posso seguire la guida anche in modalità provvisoria?
grazie mille

Ciao, prima di passare alla modalità provvisoria leggi il Post 3 della presente Guida.

gente ho un problema uguale..peccato che qualunque cosa scarichi o installi mi si blocca..mi va solo firefox e non so manco perche..ho letto un po la guida iniziale ma non riesco manco a fare la procedura iniziale mi chiude anche il pannello di controllo

gente ho un problema uguale..peccato che qualunque cosa scarichi o installi mi si blocca..mi va solo firefox e non so manco perche..ho letto un po la guida iniziale ma non riesco manco a fare la procedura iniziale mi chiude anche il pannello di controllo

Leggi il Post 3, eventualmente non dovesse sortire effetti positivi scansiona il PC con Avira Rescue -->> http://www.hwupgrade.it/forum/showthread.php?t=1689812

Leggi il Post 3, eventualmente non dovesse sortire effetti positivi scansiona il PC con Avira Rescue -->> http://www.hwupgrade.it/forum/showthread.php?t=1689812

ragazzi il post 3 l'ho letto ho provato a lanciare anche il file che dice di lanciare ma mi si blocca..ma formattando tutto l'errore va via?quasi quasi farei cosi..

ragazzi il post 3 l'ho letto ho provato a lanciare anche il file che dice di lanciare ma mi si blocca..ma formattando tutto l'errore va via?quasi quasi farei cosi..

Se formatti risolvi il problema alla radice, altrimenti utilizza il Rescue disk come indicato in precedenza.

Se formatti risolvi il problema alla radice, altrimenti utilizza il Rescue disk come indicato in precedenza.

ma sicuramente funziona?perche non posso nemmeno masterizzare per cui l'unica è cercare un altro pc per farmelo fare ma dovrei fare un bel casino per tutto cio..ne vale la pena o formatto direttametne?

Come da richiesta moderatore, posto il log di hijackthis in quanto dopo aver seguito la guida non riesco a navigare con explorer ma con mozilla si.
Grazie a tutti x la disponibilità

ma sicuramente funziona?perche non posso nemmeno masterizzare per cui l'unica è cercare un altro pc per farmelo fare ma dovrei fare un bel casino per tutto cio..ne vale la pena o formatto direttametne?

Considero il Format l'ultima spiaggia, ma se decidi di formattare risolvi di sicuro.

Come da richiesta moderatore, posto il log di hijackthis in quanto dopo aver seguito la guida non riesco a navigare con explorer ma con mozilla si.
Grazie a tutti x la disponibilità

Il mio suggerimento è stato il seguente

Ciao, dal momento che hai seguito la Guida in rilievo http://www.hwupgrade.it/forum/showthread.php?t=1789446 allega i log per il controllo nel 3D dedicato.

che non prevede solo il log di HJT.

Prevx mi segnala questi virus:
csrcs.exe in c:\windows\sistem32\
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\
\REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

AVG all'accensione del pc mi rileva sempre un PUP con nome:
Adware LoudMo.A in c:\documents and settings\arianna\FLVPro.exe e si apre una finestra di dialogo che non è possibile aprire...

in + mi ha trovato un virus:
I-Worm/Generic.DAM in C:\WINDOWS\system32\kdnydtc.dll


Che faccio?
Comincio ad eseguire la scansione con mbam?

Ciao, premetto che mi sono beccato il rogue in oggetto il 26/05 e dopo essere risucito a scaricare Malwarebytes dopo decine di tentativi ed essere riuscito a eliminare un po' di roba, ecco che mi sono accorto della guida fantastica postata da voi!
Di seguito i miei log

http://wikisend.com/download/563558/mbam-log-2010-05-29 (10-02-50).txt
http://wikisend.com/download/477136/a2scan_100529-101446.txt
http://wikisend.com/download/797370/cureit filtrato.txt
http://wikisend.com/download/453134/hijackthis.log

sperando che finalmente il pc torni pulito :-)

Grazie,
Davide

Prevx mi segnala questi virus:
csrcs.exe in c:\windows\sistem32\
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\
\REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

AVG all'accensione del pc mi rileva sempre un PUP con nome:
Adware LoudMo.A in c:\documents and settings\arianna\FLVPro.exe e si apre una finestra di dialogo che non è possibile aprire...

in + mi ha trovato un virus:
I-Worm/Generic.DAM in C:\WINDOWS\system32\kdnydtc.dll


Che faccio?
Comincio ad eseguire la scansione con mbam?Ho fatto la scansione con mbam. Eccola
http://wikisend.com/download/524394/mbam-log-2010-05-29 (19-50-59).txt

Sembra che ha tolto qualche virus che trovava prevx.

Però adesso ho rifatto la scansione con prevx e alcuni sono spariti, ma ne è uscito un altro:
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\

Che faccio adesso? Continuo con la scansione di A-squared Free? O tolgo manualmente i due file, mettendoli nel cestino e eliminandoli, dato che li ho individuati?

'

Ho fatto la scansione con mbam. Eccola
http://wikisend.com/download/524394/mbam-log-2010-05-29 (19-50-59).txt

Sembra che ha tolto qualche virus che trovava prevx.

Però adesso ho rifatto la scansione con prevx e alcuni sono spariti, ma ne è uscito un altro:
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\

Che faccio adesso? Continuo con la scansione di A-squared Free? O tolgo manualmente i due file, mettendoli nel cestino e eliminandoli, dato che li ho individuati?

Segui esattamente la Guida in prima pagina, quindi procedi con A2 - CureIt e HJT, attendiamo i log per il controllo.

Ciao, premetto che mi sono beccato il rogue in oggetto il 26/05 e dopo essere risucito a scaricare Malwarebytes dopo decine di tentativi ed essere riuscito a eliminare un po' di roba, ecco che mi sono accorto della guida fantastica postata da voi!
Di seguito i miei log

http://wikisend.com/download/563558/mbam-log-2010-05-29 (10-02-50).txt
http://wikisend.com/download/477136/a2scan_100529-101446.txt
http://wikisend.com/download/797370/cureit filtrato.txt
http://wikisend.com/download/453134/hijackthis.log

sperando che finalmente il pc torni pulito :-)

Grazie,
Davide

Ciao, per scrupolo fai girare questo tool

http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

Segui esattamente la Guida in prima pagina, quindi procedi con A2 - CureIt e HJT, attendiamo i log per il controllo.
Ho appena finito la scansione con A-Squared Free. Ecco il log:
http://wikisend.com/download/571540/quarantine.txt

Ci sono cose che dovrei ripristinare, perchè sono del pc. Quali sono?

Ecco il log di HJT prima di tutte le scansioni:
http://wikisend.com/download/500204/loghijack.txt

Ed ecco quello dopo le scansioni di mbam e A-Squared Free:
http://wikisend.com/download/454298/hijackthis2.txt

Il file del virus kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe l'ho tolto manualmente, ho fatto male? Cmq adesso prevx non lo trova + quel virus, adesso è rimasto solo un virus:
uxthecer.exe in c:\windows\system32\ (Meidum Risk Malware)

Cosa devo ripristinare di ciò che ho messo in quarantena con a-squared free? C'è qualcosa da fixare alla scansione di HJT? Poi cosa faccio per togliere il virus uxthecer.exe che mi rileva prevx?

Ho appena finita la scansione con A-Squared Free. Ecco il log:
http://wikisend.com/download/571540/quarantine.txt

Ci sono cose che dovrei ripristinare, perchè sono del pc. Quali sono?

Hai usato una versione obsoleta di A2, la versione corrente è la 5.0.0.53 tra l'altro il log non è quello rilasciato da A2 quindi non comprendo se hai aggiornato il database delle firme virali.

Comunque questi elementi li puoi ripristinare

C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe
C:\Programmi\HPQ\Default Settings\CpqsetVer.exe

questo elemento presumo tu lo conosca

C:\Sistema1\consolle.exe

aggiorna A2 e ripeti scansione completa.

Hai usato una versione obsoleta di A2, la versione corrente è la 5.0.0.53 tra l'altro il log non è quello rilasciato da A2 quindi non comprendo se hai aggiornato il database delle firme virali.

Comunque questi elementi li puoi ripristinare

C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe
C:\Programmi\HPQ\Default Settings\CpqsetVer.exe

questo elemento presumo tu lo conosca

C:\Sistema1\consolle.exe

aggiorna A2 e ripeti scansione completa.Hai ragione che non è aggiornato A2 alla versione che dici tu. Eppure quando l'ho scaricato ho fatto gli aggiornamenti. Infatti ho provato a riaggiornarlo adesso e rimane sempre alla versione 4.5.0.27 Ho capito il motivo, il mio non è A2, ma A-squared free 1. Ora per installare la A2, devo disinstallare l'A1 o posso installare subito l'A2?

No, non conosco C:\Sistema1\consolle.exe
Sono andato nella cartella Sistema1 e ho trovato 2 file: tropezsetup e uninstall. Dovrebbe essere qualche programma di casino, ma che io non ho mai installato. Quindi che faccio? Se non mi sbaglio l'ho già messo in quarantena, quindi lo rimango li?

Ma dai log di HJT tutto apposto, non devo fixare niente?

Hai ragione che non è aggiornato A2 alla versione che dici tu. Eppure quando l'ho scaricato ho fatto gli aggiornamenti. Infatti ho provato a riaggiornarlo adesso e rimane sempre alla versione 4.5.0.27 Ho capito il motivo, il mio non è A2, ma A-squared free 1. Ora per installare la A2, devo disinstallare l'A1 o posso installare subito l'A2?

No, non conosco C:\Sistema1\consolle.exe
Sono andato nella cartella Sistema1 e ho trovato 2 file: tropezsetup e uninstall. Dovrebbe essere qualche programma di casino, ma che io non ho mai installato. Quindi che faccio? Se non mi sbaglio l'ho già messo in quarantena, quindi lo rimango li?

Ma dai log di HJT tutto apposto, non devo fixare niente?

Per aggiornare A2 alla versione corrente devi andare in Impostazioni - Aggiornamento - metti il segno di spunta in Installa aggiornamenti beta.

Riepilogo log da allegare:
A2
CureIt
Prevx
Nuovo log HJT

C:\Sistema1\consolle.exe -->> mettilo in quarantena

Per aggiornare A2 alla versione corrente devi andare in Impostazioni - Aggiornamento - metti il segno di spunta in Installa aggiornamenti beta.

Riepilogo log da allegare:
A2
CureIt
Prevx
Nuovo log HJT

C:\Sistema1\consolle.exe -->> mettilo in quarantenaL'ho fatto come dici tu, ma rimane sempre alla versione vecchia. Quindi mi tocca disinstallare la vers vecchia e installare quella nuova.

L'ho fatto come dici tu, ma rimane sempre alla versione vecchia. Quindi mi tocca disinstallare la vers vecchia e installare quella nuova.

Alla luce di quanto dici credo sia la soluzione migliore.

Ciao, per scrupolo fai girare questo tool

http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt


Grazie,
ecco il log, credo comunque di essere ancora infetto visto l'apertura a caso di pop up e l'Avira in fibrillazione!!

http://wikisend.com/download/909322/TDSSKiller.2.3.2.0_31.05.2010_18.30.50_log.txt

Grazie,
ecco il log, credo comunque di essere ancora infetto visto l'apertura a caso di pop up e l'Avira in fibrillazione!!

http://wikisend.com/download/909322/TDSSKiller.2.3.2.0_31.05.2010_18.30.50_log.txt

Infatti, appena riavviato il PC ( il TDSSKiller lo richiede) da Task Manager ho trovato due processi molto strani ed appena li ho terminati sono riuscito a connettermi...sono Isusea.exe e Ibe.exe...spero di non dover riprendere la disinfezione da capo...:muro:

Infatti, appena riavviato il PC ( il TDSSKiller lo richiede) da Task Manager ho trovato due processi molto strani ed appena li ho terminati sono riuscito a connettermi...sono Isusea.exe e Ibe.exe...spero di non dover riprendere la disinfezione da capo...:muro:

Come sospettavo, a questo punto proseguiamo qui:

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt dopo averlo riscaricato

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt


NB: salta per ovvi motivi il punto 1

Come sospettavo, a questo punto proseguiamo qui:

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt dopo averlo riscaricato

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt


NB: salta per ovvi motivi il punto 1


Eccoli

http://wikisend.com/download/442220/TDSSKiller.2.3.2.0_31.05.2010_18.30.50_log.txt

http://wikisend.com/download/479046/ComboFix.txt


http://wikisend.com/download/513212/cureit filtrato.txt

Alla luce di quanto dici credo sia la soluzione migliore.Ho avuto difficoltà a installare a2, perchè non è gratis, è solo per 30 giorni se ti fai un account, ma non me lo faceva fare, e allora ho scelto i 3 giorni gratis.
Fatta la scansioone, ma niente di nuovo da quella vecchia.
Ecco il log: http://wikisend.com/download/575884/a2scan_100531-193932.txt

Prevx ancora mi segnala quel virus: uxthecer.exe
Ma è sicuro che è un virus? Perchè cmq a me il computer va benissimo. E poi se è un virus non lo posso togliere manualmente eliminandolo, dato che l'ho trovato? Che dovrei fare adesso?

Ho avuto difficoltà a installare a2, perchè non è gratis, è solo per 30 giorni se ti fai un account, ma non me lo faceva fare, e allora ho scelto i 3 giorni gratis.
Fatta la scansioone, ma niente di nuovo da quella vecchia.
Ecco il log: http://wikisend.com/download/575884/a2scan_100531-193932.txt

Prevx ancora mi segnala quel virus: uxthecer.exe
Ma è sicuro che è un virus? Perchè cmq a me il computer va benissimo. E poi se è un virus non lo posso togliere manualmente eliminandolo, dato che l'ho trovato? Che dovrei fare adesso?

Per quanto concerne A2 esiste la versione Free e la versione a pagamento, comunque sul da farsi i passi te li ho indicati qui http://www.hwupgrade.it/forum/showpost.php?p=32147635&postcount=1449 senza vedere i log delle scansioni richieste tiriamo ad indovinare.

Eccoli

http://wikisend.com/download/442220/TDSSKiller.2.3.2.0_31.05.2010_18.30.50_log.txt

http://wikisend.com/download/479046/ComboFix.txt


http://wikisend.com/download/513212/cureit filtrato.txt

Aggiorna Avira e ripeti scansione completa ed aggiornami sul problema.

Aggiorna Avira e ripeti scansione completa ed aggiornami sul problema.

Ecco il log di Avira,sembrerebbe tutto ok...

http://wikisend.com/download/664772/AVSCAN-20100601-192118-3B249A6B.LOG

Per quanto concerne A2 esiste la versione Free e la versione a pagamento, comunque sul da farsi i passi te li ho indicati qui http://www.hwupgrade.it/forum/showpost.php?p=32147635&postcount=1449 senza vedere i log delle scansioni richieste tiriamo ad indovinare.CureIt non ha rilevato nessun virus.

Ecco il log di prevx, che rileva sempre quel virus:
http://wikisend.com/download/957668/log prevx.log

Ed infine ecco il nuovo log di HJT:
http://wikisend.com/download/441796/hijackthis nuovo.txt


Devo fixare niente su HJT? Che faccio adesso?

ho eseguito tutte le scansioni anti-malware,attendo pareri per procedere alla disinfezione di bagle.
log MBAM

mbam-log-2010-06-01 (11-49-44).txt (http://wikisend.com/download/907476/mbam-log-2010-06-01 (11-49-44).txt)

mbam-log-2010-06-01 (13-18-12).txt (http://wikisend.com/download/513348/mbam-log-2010-06-01 (13-18-12).txt)

mbam-log-2010-06-01 (17-35-49).txt (http://wikisend.com/download/940344/mbam-log-2010-06-01 (17-35-49).txt)

log A-squared
a2scan_100601-180025.txt (http://wikisend.com/download/560990/a2scan_100601-180025.txt)

log hijsckthis
hijackthis.log (http://wikisend.com/download/674216/hijackthis.log)

p.s. non posso postare i log di doctorweb perchè winzip è andato k.o. e non posso snellire il file con il programma indicato dato che deve essere decompresso. e non posso nemmeno reinstallare winzip,dato che il programma di setup di esso non è eseguibile a causa del solito errore "non è un'applicazione di win32 valida"

Ciao a tutti, il problema che sto cercando di risolvere da 15 giorni è legato ad un dominio, il quale ha due CMS installati (Wordpress e E107). Ho sovrascritto tutti i file delle installazioni di entrambi, ho controllato che non vi fossero pagine create, ho controllato anche il DB di entrambi ma niente..non ne vengo a capo.
Entrambe i CMS, se si aprono nella index, NON mostrano nessun avviso....ma al momento di volere leggere una notizia, scaricare un file ecc ecc ecc ecco che AVG mi segnala un Rogue Fake Macos...senza darmi possibilità di collegarmi alla pagina dei dettagli, e senza farmi vedere il contenuto.
NON fa quindi niente...mi visualizza nella barra degli URL dove puinta questo ipotetico redirect...ma basta.
Il problema quindi NON è il PC (tra l'altro ho effetuato una scansione con tutti i programmi consigliati e tutti quelli che ho già installati) che "de facto" risulta pulito da questo cavolo di Rogue. Il problema è solo il dominio...

Questo è il dominio:
paleoseti.it(con Wordpress installato)
Questo è l'altro CMS (l'archivio del portale dal 2001 al 2009)
paleoseti.it/e107/news.php

Suggerimenti, consigli sono ben accetti
Nel frattempo continuo a :muro:

Ciauz e grazie per l'aiuto
Teodoro

Saluti a tutti
Sono una vittima di Antispyware Pro.
Dopo varie tribolazioni sono riuscito ad attenuarne la virulenza usando Symantec AntiVirus, Malwarebytes' Anti-Malware, Spybot Search & Destroy, CCleaner.
Ma il pc non è ancora tornato alla piena funzionalità: oltre a continue riapparizioni dell'infezione ho avuto problemi con l'hardware.
Sia il DVD che la scheda wireless (e anche quella di rete) del notebook risultavano non riconosciute.
Dopo vari tentativi i componenti sono stati reinstallati e riconosciuti dal pnp, ma il funzionamento della scheda wifi è ancora tentennante.
Quando si connette la velocità sembra quella di una connessione analogica e spesso si scollega facilmente.

Finalmente ho scoperto questo thread.
Ho seguito le istruzioni del primo post alla lettera; a-squared ha rilevato ciò che non veniva trovato dagli altri software.
Quando tento di lanciare Cureit, però, l'applicazione non parte e quindi non riesco a proseguire nell'operazione di pulizia.

Consigli?

Ecco il log di Avira,sembrerebbe tutto ok...

http://wikisend.com/download/664772/AVSCAN-20100601-192118-3B249A6B.LOG

A posto, ma configura Avira esattamente come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1514684

CureIt non ha rilevato nessun virus.

Ecco il log di prevx, che rileva sempre quel virus:
http://wikisend.com/download/957668/log prevx.log

Ed infine ecco il nuovo log di HJT:
http://wikisend.com/download/441796/hijackthis nuovo.txt


Devo fixare niente su HJT? Che faccio adesso?

CureIt non ha trovato nulla, ma se cortesemente alleghi il log come richiesto :)

Fixa questa voce

O21 - SSODL: drivers - {90EAEAED-4E60-4148-A6EA-83C4EDD7DCDC} - (no file)


successivamente abilita la visualizzazione dei files nascosti

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

uxthecer.exe che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

ho eseguito tutte le scansioni anti-malware,attendo pareri per procedere alla disinfezione di bagle.
log MBAM

mbam-log-2010-06-01 (11-49-44).txt (http://wikisend.com/download/907476/mbam-log-2010-06-01 (11-49-44).txt)

mbam-log-2010-06-01 (13-18-12).txt (http://wikisend.com/download/513348/mbam-log-2010-06-01 (13-18-12).txt)

mbam-log-2010-06-01 (17-35-49).txt (http://wikisend.com/download/940344/mbam-log-2010-06-01 (17-35-49).txt)

log A-squared
a2scan_100601-180025.txt (http://wikisend.com/download/560990/a2scan_100601-180025.txt)

log hijsckthis
hijackthis.log (http://wikisend.com/download/674216/hijackthis.log)

p.s. non posso postare i log di doctorweb perchè winzip è andato k.o. e non posso snellire il file con il programma indicato dato che deve essere decompresso. e non posso nemmeno reinstallare winzip,dato che il programma di setup di esso non è eseguibile a causa del solito errore "non è un'applicazione di win32 valida"


Del Bagle come detto nell'altro 3D non ci sono tracce, per quanto concerne CureIt non serve WinZip è un semplice file .exe.

Saluti a tutti
Sono una vittima di Antispyware Pro.
Dopo varie tribolazioni sono riuscito ad attenuarne la virulenza usando Symantec AntiVirus, Malwarebytes' Anti-Malware, Spybot Search & Destroy, CCleaner.
Ma il pc non è ancora tornato alla piena funzionalità: oltre a continue riapparizioni dell'infezione ho avuto problemi con l'hardware.
Sia il DVD che la scheda wireless (e anche quella di rete) del notebook risultavano non riconosciute.
Dopo vari tentativi i componenti sono stati reinstallati e riconosciuti dal pnp, ma il funzionamento della scheda wifi è ancora tentennante.
Quando si connette la velocità sembra quella di una connessione analogica e spesso si scollega facilmente.

Finalmente ho scoperto questo thread.
Ho seguito le istruzioni del primo post alla lettera; a-squared ha rilevato ciò che non veniva trovato dagli altri software.
Quando tento di lanciare Cureit, però, l'applicazione non parte e quindi non riesco a proseguire nell'operazione di pulizia.

Consigli?


Ciao, segui passo passo la guida in prima pagina ed i log per il controllo, così possiamo aiutarti.

Ciao a tutti, il problema che sto cercando di risolvere da 15 giorni è legato ad un dominio, il quale ha due CMS installati (Wordpress e E107). Ho sovrascritto tutti i file delle installazioni di entrambi, ho controllato che non vi fossero pagine create, ho controllato anche il DB di entrambi ma niente..non ne vengo a capo.
Entrambe i CMS, se si aprono nella index, NON mostrano nessun avviso....ma al momento di volere leggere una notizia, scaricare un file ecc ecc ecc ecco che AVG mi segnala un Rogue Fake Macos...senza darmi possibilità di collegarmi alla pagina dei dettagli, e senza farmi vedere il contenuto.
NON fa quindi niente...mi visualizza nella barra degli URL dove puinta questo ipotetico redirect...ma basta.
Il problema quindi NON è il PC (tra l'altro ho effetuato una scansione con tutti i programmi consigliati e tutti quelli che ho già installati) che "de facto" risulta pulito da questo cavolo di Rogue. Il problema è solo il dominio...

Questo è il dominio:
paleoseti.it(con Wordpress installato)
Questo è l'altro CMS (l'archivio del portale dal 2001 al 2009)
paleoseti.it/e107/news.php

Suggerimenti, consigli sono ben accetti
Nel frattempo continuo a :muro:

Ciauz e grazie per l'aiuto
Teodoro

Ciao, da un controllo sommario e veloce, non vedo nulla di anomalo.

Del Bagle come detto nell'altro 3D non ci sono tracce, per quanto concerne CureIt non serve WinZip è un semplice file .exe.
sisi,ma dicevo che non posso postare i log di CureIt perchè avrei dovuto postarli in versione "integrale",dato che il programma per snellirli è in winzip :)

è consigliabile eseguire ugualmente le operazioni di disinfezione,anche se non pare essercene traccia? (eppure i sintomi parevano quelli)

sisi,ma dicevo che non posso postare i log di CureIt perchè avrei dovuto postarli in versione "integrale",dato che il programma per snellirli è in winzip :)

è consigliabile eseguire ugualmente le operazioni di disinfezione,anche se non pare essercene traccia? (eppure i sintomi parevano quelli)

Allora allegami solo parte finale inerente rilevazione/rimozione. Attendo il log dopodichè ci sono altre cosa da fare.

PS: non si tratta del Bagle il tuo Kaspersky 7 funziona regolarmente lo vedo in Run

Ciao, segui passo passo la guida in prima pagina ed i log per il controllo, così possiamo aiutarti.

Va bene.
Allegherò i file log di mbam e di a-squared a breve.

Arieccomi:

Di seguito il link per il file log di MBAM:
http://wikisend.com/download/454062/mbam-log-2010-06-01 (23-37-22).txt

Segue il log di A-squared:
http://wikisend.com/download/887728/a2scan_100602-001030.txt

E infine il log di HiJackThis:
http://wikisend.com/download/612986/hijackthis.log

Come spiegavo nel mio primo post non posso allegare il log di CureIt.

Grazie in anticipo per il prezioso aiuto!

antclog.txt (http://wikisend.com/download/454828/antclog.txt)

ecco la parte finale del log di cureIt

CureIt non ha trovato nulla, ma se cortesemente alleghi il log come richiesto :)

Fixa questa voce

O21 - SSODL: drivers - {90EAEAED-4E60-4148-A6EA-83C4EDD7DCDC} - (no file)


successivamente abilita la visualizzazione dei files nascosti



controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

uxthecer.exe che trovi in c:\windows\system32\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.Chiedo scusa, pensavo non servisse il log dato che non aveva trovato virus, ecco allora il log di cureit:
http://wikisend.com/download/511392/cureit filtrato.txt

Ho fixato il file che mi hai detto ed ecco il nuovo log:
http://wikisend.com/download/616616/hijackthis nuovo 2.txt

Ho fatto la scansione con virscan ed ecco il link:
http://virscan.org/report/c559b04c7e08758a3c0dd9af7c708404.html

Ecco invece il link della scansione con virustotal:
http://www.virustotal.com/it/analisis/4c90a3340fd990155abedf5203f31d1841de980ac20321913255059ca08c4613-1275510022

Cmq non so se può essere utile, ma in c:windows\system32\ ci sono 2 file uxthecer, uno uxthecer e ha il simbolo di una applicazione e l'altro che si chiama uxthecer.exe ed è un documento di testo (note)

Quindi ho rifatto la scansione con virscan anche all'applicazione uxthecer e non mi ha trovato niente:
http://virscan.org/report/42b866933cb066bbbdb4da1b12a1a660.html

Ora che faccio?

Chiedo scusa, pensavo non servisse il log dato che non aveva trovato virus, ecco allora il log di cureit:
http://wikisend.com/download/511392/cureit filtrato.txt

Ho fixato il file che mi hai detto ed ecco il nuovo log:
http://wikisend.com/download/616616/hijackthis nuovo 2.txt

Ho fatto la scansione con virscan ed ecco il link:
http://virscan.org/report/c559b04c7e08758a3c0dd9af7c708404.html

Ecco invece il link della scansione con virustotal:
http://www.virustotal.com/it/analisis/4c90a3340fd990155abedf5203f31d1841de980ac20321913255059ca08c4613-1275510022

Cmq non so se può essere utile, ma in c:windows\system32\ ci sono 2 file uxthecer, uno uxthecer e ha il simbolo di una applicazione e l'altro che si chiama uxthecer.exe ed è un documento di testo (note)

Quindi ho rifatto la scansione con virscan anche all'applicazione uxthecer e non mi ha trovato niente:
http://virscan.org/report/42b866933cb066bbbdb4da1b12a1a660.html

Ora che faccio?

Non vedo i risultati di VT, cortesemente ricontrolla come detto sopra

uxthecer.exe che trovi in c:\windows\system32\

Non vedo i risultati di VT, cortesemente ricontrolla come detto sopra

uxthecer.exe che trovi in c:\windows\system32\Rifatta la scansione, ecco il link: http://www.virustotal.com/it/analisis/4c90a3340fd990155abedf5203f31d1841de980ac20321913255059ca08c4613-1275586608

Che faccio adesso?

Rifatta la scansione, ecco il link: http://www.virustotal.com/it/analisis/4c90a3340fd990155abedf5203f31d1841de980ac20321913255059ca08c4613-1275586608

Che faccio adesso?

Direi che simao a posto, segui il trattamento post infezione come indicato in Guida.

antclog.txt (http://wikisend.com/download/454828/antclog.txt)

ecco la parte finale del log di cureIt

Allora devi necessariamente aggiornare il tuo AV, utilizzi la versione del 7 del Kaspersky assolutamente obsoleta, se non desideri rinnovare l'abbonamento puoi optare per una soluzione free estremamente valida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Inoltre devi aggiornare il SO al SP2 e IE alla versione 7, puoi aiutarti leggendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Direi che simao a posto, segui il trattamento post infezione come indicato in Guida.Ok grazie della tua disponibilità per avermi aiutato a pulire il computer dai virus.

Ma come si spiega il fatto che prevx rileva quel virus?

Arieccomi:

Di seguito il link per il file log di MBAM:
http://wikisend.com/download/454062/mbam-log-2010-06-01 (23-37-22).txt

Segue il log di A-squared:
http://wikisend.com/download/887728/a2scan_100602-001030.txt

E infine il log di HiJackThis:
http://wikisend.com/download/612986/hijackthis.log

Come spiegavo nel mio primo post non posso allegare il log di CureIt.

Grazie in anticipo per il prezioso aiuto!

Con il Browser chiuso esegui esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked

O1 - Hosts: 136.158.126.219 virusupdate.hydro.com
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O4 - HKLM\..\Run: [RunOSSettings] C:\Program Files\Hydro\Image\2ndRegSett.vbs
O4 - HKLM\..\Run: [BinD Startup Script] C:\WINDOWS\system32\wscript.exe "C:\Program Files\Hydro\BinD\Core\3.2.9118.222\BinDStartup.vbs"
O16 - DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/2.9.1.0/GarminAxControl.CAB
O16 - DPF: {2EDF75C0-5ABD-49f9-BAB6-220476A32034} (System Requirements Lab) - hxxp://intel-drv-cdn.systemrequirementslab.com/wireless/bin/sysreqlab_srlx.cab

dimmi quali problemi ti da DrWeb CureIt, vedo inoltre che si fermo al SP2, questo non aiuta.

Grazie Chill-Out

Ho seguito le tue istruzioni.
DrWeb CureIt comunque non si avvia.

Stranamente quando ho riavviato dopo aver atteso un po', DrWeb CureIt sembrava si stesse avviando, ma ormai la procedura di chiusura era partita...

Al riavvio, nonostante alcuni tentativi e attese di qualche minuto, lo stesso problema: DrWeb CureIt non parte!

Grazie Chill-Out

Ho seguito le tue istruzioni.
DrWeb CureIt comunque non si avvia.

Stranamente quando ho riavviato dopo aver atteso un po', DrWeb CureIt sembrava si stesse avviando, ma ormai la procedura di chiusura era partita...

Al riavvio, nonostante alcuni tentativi e attese di qualche minuto, lo stesso problema: DrWeb CureIt non parte!

Cestina l'eseguibile di CureIt, riscaricalo e riprova.

Allora devi necessariamente aggiornare il tuo AV, utilizzi la versione del 7 del Kaspersky assolutamente obsoleta, se non desideri rinnovare l'abbonamento puoi optare per una soluzione free estremamente valida http://www.hwupgrade.it/forum/showthread.php?t=1514684

Inoltre devi aggiornare il SO al SP2 e IE alla versione 7, puoi aiutarti leggendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383
ok grazie.
notavo che dopo il trattamento anti-malware ho grossi problemi di connessione (lenta e instabile),inoltre ritentando un paio di volte la scansione MBAM salta sempre fuori un rookit.

devo dedurre che il pc è ancora infetto?

Cestina l'eseguibile di CureIt, riscaricalo e riprova.

Fatto.
Ma non cambia nulla purtroppo!
CureIt non parte.

Anch'io ho una connessione lentissima e instabile

ok grazie.
notavo che dopo il trattamento anti-malware ho grossi problemi di connessione (lenta e instabile),inoltre ritentando un paio di volte la scansione MBAM salta sempre fuori un rookit.

devo dedurre che il pc è ancora infetto?

Deduco che ti sei reinfettato, i motivi si evincono da qui http://www.hwupgrade.it/forum/showpost.php?p=32188789&postcount=1478

Allega il log di MBAM

Fatto.
Ma non cambia nulla purtroppo!
CureIt non parte.

Anch'io ho una connessione lentissima e instabile

Se non parte è inutile insistere, a parte il rallentamente che può dipendere da cause esterne, aggiornami sullo stato di salute del PC.

Se non parte è inutile insistere, a parte il rallentamente che può dipendere da cause esterne, aggiornami sullo stato di salute del PC.

Il Notebook non ha mai avuto problemi di connessione (o altro) fino all'infezione con Antispyware Pro.
Con un altro notebook o il netbook di mia figlia si viaggia a full speed.
Escluderei cause esterne, quindi.

Il Notebook non ha mai avuto problemi di connessione (o altro) fino all'infezione con Antispyware Pro.
Con un altro notebook o il netbook di mia figlia si viaggia a full speed.
Escluderei cause esterne, quindi.

Aggiorna MBAM e ripeti scansione, allega il log + nuovo log HJT.

Deduco che ti sei reinfettato, i motivi si evincono da qui http://www.hwupgrade.it/forum/showpost.php?p=32188789&postcount=1478

Allega il log di MBAM
fantastico :(

allora completo gli aggiornamenti,scarico avira e ripeto la procedura postando i vari log. grazie per il momento.

Aggiorna MBAM e ripeti scansione, allega il log + nuovo log HJT.

OK, grazie

Li avrai in serata

OK, grazie

Li avrai in serata

Wikisend non mi fa fare l'upload...
Posso mandarti i file log in pvt?

Nelle Regole di sezione in firma trovi i Server Remoti alternativi.

Nelle Regole di sezione in firma trovi i Server Remoti alternativi.

Grazie

Ecco i log:
http://www.filedropper.com/mbam-log-2010-06-0419-25-35

e

http://www.filedropper.com/hijackthis04-06-10

Grazie

Ecco i log:
http://www.filedropper.com/mbam-log-2010-06-0419-25-35

e

http://www.filedropper.com/hijackthis04-06-10

Snelliamo un pochino

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKLM\..\Run: [MyGarminAgent] C:\Program Files\Garmin\MyGarminAgent.exe

NB: devi aggiornare il SO al SP3 (sta per terminare il supporto) - aggiornare IE alla versione 8 - aggiornare i software complementari.

Eseguo.

Tracce del virus non se ne trovano più, quindi?
Thx

P.S. Una precisazione: ci sono controindicazioni all'installazione di SP3?
Ho sentito di macchine bloccate e impossibilitate a fare il boot, quanto c'è di vero?

Eseguo.

Tracce del virus non se ne trovano più, quindi?
Thx

P.S. Una precisazione: ci sono controindicazioni all'installazione di SP3?
Ho sentito di macchine bloccate e impossibilitate a fare il boot, quanto c'è di vero?

Dai log non emrge nulla, per quanto concerne il SP3 se non erro è stato rilasciato a Giugno del 2008 e qualche problemino ma solo in determinate condizione c'è stato (rientra nella normalità).

Aggionare significa guadagnare in performance, stabilità e sicurezza in primis, qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 trovi le inof che ti necessitano.

Dai log non emrge nulla, per quanto concerne il SP3 se non erro è stato rilasciato a Giugno del 2008 e qualche problemino ma solo in determinate condizione c'è stato (rientra nella normalità).

Aggionare significa guadagnare in performance, stabilità e sicurezza in primis, qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 trovi le inof che ti necessitano.

Grazie ancora
Su SP3 ci penserò...

mbam-log-2010-06-04 (18-51-54).txt (http://wikisend.com/download/544416/mbam-log-2010-06-04 (18-51-54).txt)

A-Squared

a2scan_100604-185454.txt (http://wikisend.com/download/539110/a2scan_100604-185454.txt)

Risultati sessione CureIt
CureIt.log (http://wikisend.com/download/478854/CureIt.log)

hijackthis.log (http://wikisend.com/download/947606/hijackthis.log)

Ciao! Sono giorni che lotto con questo mostro :muro:
Purtoppo ho visto la vostra guida solo a metà guerra per cui non ho tutti i log e non ho seguito l'iter in quell'ordine esatto. Potete aiutarmi comunque? :cry:
Cerco di fare un riepilogo:

DrWebCureit mi indicava come eradicato un virus backdoor.tdss.565. Ma in realtà non riusciva ad eliminarlo, come è successo ad altri.
Malwarebytes ha trovato qualcosa. Ho selezionato tutto e rimosso ma, come è successo ad altri, in realtà non è stata intrapresa alcuna azione.
http://wikisend.com/download/543736/mbam-log-2010-06-03 (23-37-11).txt
E da allora Malwarebytes non lo identificava più.
DrWeb continuava a indicare come eradicato backdoor.tdss.565.
Disperata ho scansionato anche con SpyHunter freeware che mi ha trovato un sacco di robaccia e ha identificato il mostro come Zlob Trojan
Ecco il print screen:
http://wikisend.com/download/567630/biruszlob2.jpg

Grazie a TDSSKiller finalmente Malwarebytes ha rivisto ed eliminato un pò di schifezze. Ecco gli ultimi log:
http://wikisend.com/download/968294/mbam-log-2010-06-06 (17-02-55).txt
A-Squared
http://wikisend.com/download/450778/a2scan_100606-125318.txt
DrWeb non rileva più backdoor.tdss.565.
L'ultimo HijackThis
http://wikisend.com/download/912838/hijackthis.log

Mi pare che vada moltooo megliooo ma ho il terrore di non essere ancora a posto (anche perchè come avrete capito non ci capisco granchè :mc: )

In più ad ogni riavvio ora mi appare il messaggio:
"errore durante il caricamento di jbprnxuh.dll Impossibile trovare il modulo"
e il messaggio di SpyHunter:
"Your DNS setting have been modified. Accept changes or restore original saved settings." :cry:

Grazie grazie grazieee
e scusate la prolissità

Grazie ancora
Su SP3 ci penserò...

Prego :)