Guida alla rimozione ROGUE (Falsi) ANTISPYWARE - ANTIVIRUS - UTILITY

Powered by: Hardware Upgrade Forum - Sezione Antivirus e Sicurezza

"Il contenuto di questo post è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5"

http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

La presente Guida rimuove i seguenti ROGUE:

XLG Security Center - XLGuarder - Vitae Antivirus 2008 - XP Antivirus 2008/2009 - XPAntiVirus - AntiSpyware 2008 - Antivirus Master - Registry Sentinel - WinDefender 2008 - PC-Antispy - WinAntispyware2008 - VirusRemover2008 - Wista Antivirus - PestSweeper - SpywareScanner 2008 - Virus Alert - Power Antivirus 2009 - Win Antivirus 2008 - RegistryDoctor2008 - AntiSpyStorm 2008 - PyroAntiSpy - PC Protection Center 2008 - AntiSpyware XP 2008 - Internet Antivirus - WinProtector - Antivir64 - XP-Guard - XPert Antivirus Enterprise - MS Antivirus - AntivirusDoc - Andromeda AntiVirus - Spyware Preventer - Total Secure 2009 - Cleaner2009 - AntiMalwareSuite - Smart Antivirus 2009 - SpyDevastator - AdvancedPrivacyGuard - AdvancedPrivacySuite - XP Protector 2009 - AntiSpyware Pro XP - Micro Antivirus 2009 - Antivirus Security - Antivirus Lab 2009* - VirusResponse Lab 2009* - eAntivirusPro - Security Scanner 2008 - Antivirus Protection - AntiMalware 2009 - VirtualPCGuard - VirtualGuardPlus - SystemOptimizer2008 - PersonalAntiSpy - Spyware Guard 2008 - PCVirusless - XP Antispyware 2009 - Antivirus 2010 - ContentEraser - RapidAntivirus - Antivirus Plasma - PC Defender 2008 - SpyProtector - Security 2009 - Pro Antispyware 2009 - Antivirus Plus - AntiSpy 2008 - AntiSpywareXP 2009 - Antivirus Sentry* - Real Antivirus - WinDefender 2009 - Personal Defender 2009* - Antivirus Pro 2009 - Ultra Antivirus 2009 - VirusTrigger....etc

NOTA BENE:
1 - AL FINE DI MANTENERE IL THREAD ORDINATO E FRUIBILE HOSTATE I LOG SOLO ED ESCLUSIVAMENTE IN FORMATO .TXT SU http://www.fileqube.com/ in alternativa su http://wikisend.com/ PUBBLICANDO PER OGNI LOG IL LINK CHE VERRA' RILASCIATO PER IL DOWNLOAD
2 - E' OPPORTUNO LEGGERE ATTENTAMENTE TUTTA LA GUIDA

Definizione di ROGUE (Falso):
Con il termine Rogue si identificano tutte quelle applicazione solitamente pubblicizzate su siti ingannevoli e fraudolenti, che si installano in modo subdolo sul PC del malcapitato utente, promettendo la rimozione di malware inesistenti o inutili pulizie del sistema. Con snervanti popup e messagi che cambiano lo sfondo del desktop invitano a scaricare altro codice nocivo, inutile dire a questo punto di non scaricare nulla, per evitare di infettare il PC più di quanto non lo sia già.



■ FASE PRELIMINARE ■

Disattivare il Ripristino Configurazione Sistema:

Windows XP

tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di Sistema
spunta la voce Disattiva ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi Ok


Windows Vista

Start
Pannello di controllo
seleziona Sistema e manutenzione
seleziona l’icona Sistema
nel menu a sinistra clicca su Protezione sistema
togli la spunta alle voci che fanno riferimento ai dischi ai quali disattivare il Ripristino configurazione di sistema
Confermare come da richiesta

Riattivate il Ripristino Configurazione Sistema solo a disinfezione terminata

Pulizia dei file temporanei:

ATF Cleaner Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione



■ RILEVAZIONE E RIMOZIONE ■

Download ed utilizzo software necessari per la rilevazione/rimozione:

● Malwarebytes' Anti-Malware Free Download (http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html) - Download alternativo (http://www.malwaresupport.com/mbam/program/mbam-setup.exe)
Compatibile: Windows XP - Vista - Seven

Doppio click mbam-setup.exe per lanciare l'installazione, seguite le istruzioni a video prestando cura a non modificare manualmente i settaggi di default. Terminata l'installazione MBAM si connetterà automaticamente per scaricare gli aggiornamenti, terminato il processo di aggiornamento cliccare su Scansione - Effettua una scansione completa (selezionando tutti i drives) - cliccare su Avvia scansione

Terminata la scansione rimuovete gli eventuali malware rilevati, di default MBAM provvederà a mettere in quarantena i files e le chiavi di registro identificate come infette

Il file di log da allegare per il controlo si trova nel Tab File di log, allegate il .txt secondo le modalità sopra indicate

NB: nel momento in cui non fosse possibile eseguire MBAM leggere il Post 3 (http://www.hwupgrade.it/forum/showpost.php?p=30356913&postcount=3)



● Emsisoft Anti-Malware 5.0 Download (http://download.cnet.com/Emsisoft-Anti-Malware/3000-2239_4-10292236.html?part=dl-6251182&subj=dl&tag=button) - Guida (http://www.hwupgrade.it/forum/showthread.php?t=1564958)
Compatibile: Windows XP - Vista - Seven

Doppio click su a2AntiMalwareSetup.exe per lanciare l'installazione, seguite le istruzioni a video, al termine dell'installazione vi verrà chiesto di eseguire l'update terminato il quale bisognerà riavviare per rendere effettive le modifiche apportate
Cliccare su Scansiona PC - Completa - Scansiona

Terminata la scansione cliccare su Metti in quarantena gli oggetti selezionati, successivamente su Salva rapporto per salvare il log in formato .txt da allegare per il controllo



● Dr.Web CureIt! Download (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
Compatibile: Windows XP - Vista - Seven
Caratteristiche: non necessita di installazione

Doppio click su CureIt - cliccate su Avvia - alla domanda Avvia ora il controllo? cliccate su OK
In questa modalità Express Scan vengono controllati solo i seguenti oggetti:
* Random access memory
* Settori di Boot di tutti i dischi
* Ogetti di Startup
* Disco di Boot e cartella principale
* Cartella principale del disco di installaizone di Windows
* Cartella di Sistema di Windows
* Cartella documenti Utente ("Documenti")
* Cartella temporanea di Sistema
* Usa la cartella temporanea
Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog -> info & download (http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html)



● HijackThis Download (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su HijackThis.exe messo preventivamente in una cartella dedicata
Cliccare su Do a system scan and save a log file ed allegare il .txt per il controllo


► SUGGERIMENTI:
La presente Guida (http://www.hwupgrade.it/forum/showthread.php?t=1726383) vi aiuterà a verificare la configurazione di sicurezza del PC, aggiornare programmi obsoleti e vulnerabili ed eliminare eventuali residui inutili dei programmi utilizzati nella guida.

Da mettere in pratica solo ed esclusivamente nel momento in cui dopo la procedura di rimozione siano presenti ancora i seguenti problemi, sono previste due procedure è preferibile scegliere quella automatizzata:


PROCEDURA MANUALE

Rimuovere la dicitura VIRUS ALERT! accanto all'orologio:

Start -> Pannello di controllo -> Opzioni internazionali e della lingua -> Standard e formati

dal menu a tendina selezionate Inglese (Regno Unito) e successivamente cliccate su Applica -> OK

ripetete la procedura di cui sopra ma questa volta selezionate dal menu a tendita Italiano (Italia)

Rimuovere la dicitura VIRUS ALERT! nelle Proprietà del sistema:

Start -> tasto dx del mouse su Risorse del computer verificate che nelle Proprietà del sistema sotto il TAB Generale sia la presente la dicitura VIRUS ALERT!

nell'eventualità fosse presente procedete così:

Start -> Esegui -> e digitate regedit

si aprirà l'Editor del Registro di sistema a questo punto navigate fino alla seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId"="XXXX-XXX-XXXXXXX-XXXXX"

prendete nota del valore e sostituitelo alla dicitura VIRUS ALERT! presente nella successiva chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"="XXXX-XXX-XXXXXXX-XXXXX" <- VIRUS ALERT!

per sostiutire il valore doppio click sulla chiave, inserire il valore e cliccare su OK

Ripristinare il Task Manager, l'Editor del Registro di sistema, il menu Start etc.:

Scaricate il file compresso (Varestorepolicies.zip) in allegato sul Desktop, scompattatelo, tasto dx del mouse su Varestorepolicies e cliccate su installa



PROCEDURA AUTOMATIZZATA

Scaricare SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

Terminata la fase di rimozione aprire la cartella SDFix tasto dx del mouse su XP_VirusAlert_Repair.inf o W2K VirusAlert_Repair.inf (in funzione del sistema operativo) e cliccare su installa

Da mettere in pratica solo ed esclusivamente nel momento in cui non fosse possibile eseguire la procedura di rimozione:

MALWARE DEFENSE

● rkill Download (http://download.bleepingcomputer.com/grinler/rkill.com) - in caso di problemi scaricare questa copia di rkill rinominata Download (http://download.bleepingcomputer.com/grinler/iExplore.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su rkill dovrebbe aprirsi una finestra nera, attendete pazientemente che il tool faccia il suo lavoro (potrebbe impiegare anche diversi minuti)

NB: potrebbero aprirsi una o più finestre indicanti che rkill è un virus, ignoratele, ignorarle significa non chiudere le finestre indicanti che rkill è un malware, al termine la finestra nera si dovrebbe chiudere, ripetete l'operazione con rkill 2 volte, al termine non riavviate il PC ed allegate il log che si trova in C:\rkill.log

a questo punto dovreste essere in grado di lanciare la scansione con MBAM, in caso contrario:

● ComboFix Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) al termine del download premuratevi di rinominarlo in explorer.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su explorer.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

a questo punto dovreste essere definitivamente in grado di far girare tutti i tool indicati nella Guida (http://www.hwupgrade.it/forum/showthread.php?t=1789446)

XP Internet Security 2010

Per poter eseguire MBAM è necessario ripristinare l'associazione del file .exe, per farlo scaricate l'archivio compresso allegato FixExe.zip
Scompattate l'archivio compresso, doppio click su FixExe.reg e cliccate su SI per accettare le modifiche.

ottimo lavoro chill!

presumo che il mettere mbam prima di a-squared serva per testare questo nuovo e promettente programma ;)

BElla guida Chill, complimentoni :D

Salve ho fatto la scansione mbam.exe, ho eliminato 2 file infetti è o salvato il file txt, ma aprendo hijack, ho so come mettere il file per il controllo, qualcuno sa dirmi la procedura ?

Salve ho fatto la scansione mbam.exe, ho eliminato 2 file infetti è o salvato il file txt, ma aprendo hijack, ho so come mettere il file per il controllo, qualcuno sa dirmi la procedura ?

E' scritto all'inizio della Guida NOTA BENE: etc.........

ottimo lavoro chill!

presumo che il mettere mbam prima di a-squared serva per testare questo nuovo e promettente programma ;)

BElla guida Chill, complimentoni :D

Thanks :)

ottima :p

Ottima idea, ci voleva proprio un thread specifico sui rogue.
Complimenti.

:)

Ottima idea, ci voleva proprio un thread specifico sui rogue.
Complimenti.

:)

Thanks

Ciao! vi dico quale e' il problema.Ho beccato l ANTIVIRUS 2008 PRO , un Rogue dela cavolo...non posso fre nulla di come dic la guida perche' non mi fa aprire assolutamente nulla.Ne risorse di sistema, ne internet, ne la funzione ricerca...vedo il desktop ma e' tutto bloccato.come posso fare? i programmi li ho scaricati dal mio Mac su una chiavetta, ma non c'e' modo di farli girare, o perlomeno io non sono capace...Help me!

ciao, provato da modalità provvisoria?
regedit funziona?

Ciao! vi dico quale e' il problema.Ho beccato l ANTIVIRUS 2008 PRO , un Rogue dela cavolo...non posso fre nulla di come dic la guida perche' non mi fa aprire assolutamente nulla.Ne risorse di sistema, ne internet, ne la funzione ricerca...vedo il desktop ma e' tutto bloccato.come posso fare? i programmi li ho scaricati dal mio Mac su una chiavetta, ma non c'e' modo di farli girare, o perlomeno io non sono capace...Help me!

1) log con Hijackthis quasi nulla quindi tanto vale farlo solo dopo

2) fare quanto descritto di seguito controllando d'avere il rirpistino di configurazione spento e di aver disattivato la funzione "riavvia in caso di errore" entrambe raggiungibili da pannello di controllo - sistema - avanzate:

Scaricare ed eseguire ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html) seguendo queste brevi indicazioni (non richiede installazione), prima chiudere tutte le finestre del browser:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected";


Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)
per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)


Dr.Web CureIT -> download (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)
eseguire l'aggiornamento e poi selezionare "complete scan", il log verrà salvato in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
[i]per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)
gli oggetti individuati devono essere "spostati", non c'è nessuna fretta di eliminarli!!


log con HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)



questo virs crea polecy che bloccano la disinstallazione,la disattivazione e anche regedit :)

Funziona anche con IEDefender?

1) log con Hijackthis quasi nulla quindi tanto vale farlo solo dopo

2) fare quanto descritto di seguito controllando d'avere il rirpistino di configurazione spento e di aver disattivato la funzione "riavvia in caso di errore" entrambe raggiungibili da pannello di controllo - sistema - avanzate:

Scaricare ed eseguire ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html) seguendo queste brevi indicazioni (non richiede installazione), prima chiudere tutte le finestre del browser:
nella finestra che si è aperta contrassegnare "Select All" e premere "Empty Selected", poi clickare sul menù "Firefox" e contrassegnare "Select All" e premere "Empty Selected", procedere quindi nello stesso modo anche nel menù "Opera" e infine premere "Empty Selected";


Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)
per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)


Dr.Web CureIT -> download (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)
eseguire l'aggiornamento e poi selezionare "complete scan", il log verrà salvato in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
[i]per snellire il log usare ParserLog -> info & download (http://www.hwupgrade.helloweb.eu/?p=5)
gli oggetti individuati devono essere "spostati", non c'è nessuna fretta di eliminarli!!


log con HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)



questo virs crea polecy che bloccano la disinstallazione,la disattivazione e anche regedit :)

non mi fa eseguire nulla....e' tutto bloccato....sono disperato....

non mi fa eseguire nulla....e' tutto bloccato....sono disperato....
anche da modalità provvisoria?

non mi fa eseguire nulla....e' tutto bloccato....sono disperato....

hai provato a dare il consenso prima al finto antivirus e poi a fare come ti ho indicato?

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Successivamente cerca questo file uninstall.exe in questo percorso C:\Program Files\rhcnkrj0etfg\ doppio click su uninstall.exe e poi vediamo se riesci a far girare Malwarebytes' Anti-Malware Free

Non riesco a riavviare in modalita' provvisoria.se riavvio e spingo f8, mi va nel menu per scegliere la periferica di boot...come posso fare in altro modo?

perchè lo schiacci troppo presto ;)
come prima e alla richiesta tu scegli il disco, e poi subito dopo ancora F8 ripetutamente

vao in modalita' provvisoria interrompendo il caricamento di xp, pero non mi avvia nemmeno il menu , desktop nero con scritto modalita' provvisoria e il task manager e' bloccato....ma come posso fare? volevo evitare di firmattare tutto....ma il SERIAL di questi bastardi non si trova?

Prova con il rescue cd di avira
Tutte le info le trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1689812

...Credo che Formattero'....

Allora:
Ho fatto tutte queste cose nell'ordine seguente:
1. disattivato ripristino
2. ATF-CLEANER
3. ADS SCANNER
4. A-SQUARED (mando log)
5. F-secure e CureIt me li ha spenti e al momento non riesco ad avere il log
6. SysInspector (mando log)
7. HiJackThis (mando log)
8. Gmer (mando log)
9. PrevxCSI (mando log)

Dopo tutto questo ancora esce il virus che mi da schermate blu di errore e apre finestre varie.
aiuto.

LOG DI PREVXCSI

http://wikisend.com/download/495806/prevx.txt

LOG DI SYSINSPECTOR

http://wikisend.com/download/593068/SysInspector-PENTIUM-080804-1840.txt

LOG DI GMER

LOG DI HIJACKTHIS

non è necessario aprire un post per ogni log;)
leggi il primo post di questa guida e fai la scansione completa con Malwarebytes' Anti-Malware Free
poi riprovi con cureit

Da hijackthis fixa:
O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
Poi scarica avenger 2 http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca incolla:
Files to delete:
C:\WINDOWS\system32\winsrc.dll

Poi premi execute, fai riavviare il pc e posta secondo le regole il log che ti mostrerà all'avvio.
Poi effettua la scansione consigliata:)

a giofio
di là wizard gli aveva già fatto usare avenger
http://www.hwupgrade.it/forum/showpost.php?p=23602149&postcount=9

a giofio
di là wizard gli aveva già fatto usare avenger
http://www.hwupgrade.it/forum/showpost.php?p=23602149&postcount=9

si continua qui ;)

a giofio
di là wizard gli aveva già fatto usare avenger
http://www.hwupgrade.it/forum/showpost.php?p=23602149&postcount=9

Ah, non avevo visto poichè era un thread doppione.

Vi invio questo intanto. FATEMI SAPERE SE Cè QUALCOSA DI STRANO.tra qualche minuto invio anche quello di A-SQUARED

questo è aggiornato ad ora

questo è aggiornato ad ora
procedi con cureit e hijackthis

io sto gia piangendo

LOG CON MALWARE BYTES

http://www.fileqube.com/shared/AnUsnbXO84059

io sto gia piangendo

LOG CON MALWARE BYTES

http://www.fileqube.com/shared/AnUsnbXO84059

Dal log di MBAM si evince che non hai intrapreso nessuna azione

Esempio

C:\Documents and Settings\family\Desktop\Free PC Wallpapers.lnk (Rogue.Link) -> No action taken.

ripeti la scansione mettendo in quarantena il tutto

Chiavi di registro infette: 326
Valori di registro infetti: 15
Elementi dato del registro infetti: 28
Cartelle infette: 125
File infetti: 217

ops avevo uppato quello sbagliato:D

questo è quello giusto

http://www.fileqube.com/shared/xtfrrLL84075

ops avevo uppato quello sbagliato:D

questo è quello giusto

http://www.fileqube.com/shared/xtfrrLL84075

Prosegui con i punti successivi

LOG con A-SQUARED


http://www.fileqube.com/shared/EscDm84094

LOG con A-SQUARED


http://www.fileqube.com/shared/EscDm84094

Prosegui con CureIt -> leggi bene le istruzioni e HijackThis, ricorda di allegare i log

LOG con CUREIT

http://www.fileqube.com/shared/pCDqOB84124

LOG con CUREIT

http://www.fileqube.com/shared/pCDqOB84124

stex21 allega stò benedetto log di HJT :D

stex21 allega stò benedetto log di HJT :D

lo faccio domani mattina. il computer nn è il mio, quindi nn sono sul posto per poterlo fare:D
domani mattina vado a farlo e te lo allego:D


il mio computer è vergine peggio di adrianA lima :O:asd:

lo faccio domani mattina. il computer nn è il mio, quindi nn sono sul posto per poterlo fare:D
domani mattina vado a farlo e te lo allego:D


il mio computer è vergine peggio di adrianA lima :O:asd:

Aggiornami anche sullo stato del PC perchè temo che non abbiamo finito.

Aggiornami anche sullo stato del PC perchè temo che non abbiamo finito.

temo anche io purtroppo. dopo aver rimosso un po di schifo inizia a nn vedersi il menu' start. probabilmente quelche virus puntava ai comandi del menù start e togliendo quelli va in malora. e poi anche sul desktop le icone non vanno. ora sto andando a recuperare un HD esterno e poi vado la. nel primo pomeriggio dovrei saperti gia dire qualcosa:)

la guida nellaparte sottostante le scansioni indica le varie guide disposnibili tra cui:
Explorer.exe sparito? niente più desktop? Ecco la soluzione! (ripristinare le icone sparite) (http://www.hwupgrade.it/forum/showthread.php?t=1555416)

quindi non perderti d'animo è sempre per colpa dell'infezione che non hai il desktop :)

LOG CON HIJACKTHIS

http://www.fileqube.com/shared/IcGEEB84656

LOG CON HIJACKTHIS

http://www.fileqube.com/shared/IcGEEB84656

fixa:

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-21-1935655697-162531612-725345543-1009\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background (User 'andre2')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Ilaria\Menu Avvio\Programmi\IMVU\Run IMVU.lnk
O15 - Trusted Zone: www.nodialup.name
O15 - Trusted Zone: www.sgnappo.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.whatsnew.name
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O20 - Winlogon Notify: cbxwxwu - cbxwxwu.dll (file missing)
O20 - Winlogon Notify: wvuursp - wvuursp.dll (file missing)

inoltre puoi sempre fixare tutte le O16 :)

poi mi rifaresti due nuove scnsioni con malwarebytes e a-squared?

fixati. ora sto procedendo alle due scansioni. appena finiscono posto i log:)

ottimo :)

LOG CON MALEWAREBYTES

http://www.fileqube.com/shared/yKGPweTT85088

Al termine della scansioen con A-Sqaured fai girare questo tool

scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

oltre al log di SSFix allega nuovo log di HJT

LOG CON A-SQUARED

http://www.fileqube.com/shared/xjwTnlp85145

LOG CON SDfix

http://www.fileqube.com/shared/LGLZpyJ85149

NUOVO LOG CON HJT

http://www.fileqube.com/shared/uHUhTIKA85150

Fixa

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73

allega nuovo log e dimmi come và

LOG CON HJT

http://www.fileqube.com/shared/TouinLEnQ85153

LOG CON HJT

http://www.fileqube.com/shared/TouinLEnQ85153

Come mai sono ancora qui:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73

Come mai sono ancora qui:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73

quello ke mi sto chiedendo anche io.

li ho fixati, ho riavviato il sistema e sono li di nuovo

cmq dopo tutte ste pulizie, pop up di explorer nn ne escono piu, solo che nn vanno ancora le icone del desktop e il menu start è tutto nero

cmq dopo tutte ste pulizie, pop up di explorer nn ne escono piu, solo che nn vanno ancora le icone del desktop e il menu start è tutto nero

Fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

LOG CON COMBOFIX

http://www.fileqube.com/shared/KIopHFaR85178

LOG CON COMBOFIX

http://www.fileqube.com/shared/KIopHFaR85178

mi aggiorni sul problema Start e Desktop, ma che cacchio ci fanno co stò PC

Installa SUPER ANTISPYWARE: http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

start e desktop purtroppo siam sempre li. le icone del desktop nn vanno e ce ne sono alcune che nn si levano. il menu start rimane nero nella colonna di sinistra e in quella di destra nn va praticamente niente. se poi passo nella modalità di visualizzazione classica nn si apre neanche


EDIT: ho paura che levando via i virus legati agli elementi del menu start abbia levato insieme anche le chiavi di registro:doh:

Sul Pc c'erano e ci sono problemi che non sono strettamente legati a questo problema nello specifico, comunque controllando il log di Combo ho notato

C:\Documents and Settings\andre2\Dati applicazioni\macromedia\Flash Player\#SharedObjects\W6U5CXMQ\iforex.com

il che vuol dire ADS infetti

mi confermi di aver disabilitato il ripristino configurazione sistema? inoltre procedi a fare pulizia con ATF Cleaner come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 oppure con Ccleaner che vedo installato

attendo il log di Superantispyware nel frattempo guardo bene il log di Combo

si si è disbailitato.

cosa sono gli ADS?

si si è disbailitato.

cosa sono gli ADS?

banner pubblicitari infetti realizzati in flash

advertisements = ADS

banner pubblicitari infetti realizzati in flash

advertisements = ADS

parla come mangi. cosi ho capito:D

cmq LOG CON SUPERANTISPYWARE

http://www.fileqube.com/shared/saGnbn85191

procedo con CCleaner

1 Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip


2 Prevx CSI -> Download (http://www.prevx.com/freescan.asp)
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File

3 Nuovo log di HijackThis

NB: durante le scansioni il PC deve essere disconnesso dalla rete

LOG SFF

http://www.fileqube.com/shared/PNsboe85198

LOG CSI

http://www.fileqube.com/shared/fpDaJrFo85199

LOG HJT

http://www.fileqube.com/shared/TRPJMTQ85200

inizio ad essere disperato. sto pensando quasi di formattare......pero è una soluzione estrema

inizio ad essere disperato. sto pensando quasi di formattare......pero è una soluzione estrema

In questo momento fileqube risulta irraggiungibile quindi non riesco a controllare i log, nel frattempo sperando che per tè sia raggiungibile scarica questo file http://www.fileqube.com/shared/ikwPKAfc36916

tasto dx del mouse su Varestorepolicies e clicca su installa, riavvia il Pc e dimmi come và

In questo momento fileqube risulta irraggiungibile quindi non riesco a controllare i log, nel frattempo sperando che per tè sia raggiungibile scarica questo file http://www.fileqube.com/shared/ikwPKAfc36916

tasto dx del mouse su Varestorepolicies e clicca su installa, riavvia il Pc e dimmi come và

fai con calma. son tornato a casa, continuo domani:)

infatti nemmeno io riesco :(

Purtroppo fileqube è tuttora irraggiungibile, pertanto ti ho hostato VArestorepolicies.inf su http://www.mediafire.com/index.php al seguente indirizzo:

http://www.mediafire.com/?2swjujtsilb

attendo i log sul medesimo server, ciao.

ok, come sempre dopo pranzo, perke son in ferie e faccio con calma:D

cmq una mezza idea di cosa possa essere il problema ve la siete fatta?

ok, come sempre dopo pranzo, perke son in ferie e faccio con calma:D

cmq una mezza idea di cosa possa essere il problema ve la siete fatta?

http://www.hwupgrade.it/forum/showpost.php?p=23736390&postcount=65

il tuo file l'ho installato ma nn cambia niente:(

ora ti riuppo i log

LOG CON HJT

http://wikisend.com/download/519374/hijackthis20_08_08.txt

LOG CON CSI

http://wikisend.com/download/610000/CSIreport.log

LOG CON SFF

http://wikisend.com/download/521936/rapportSSF.txt

il tuo file l'ho installato ma nn cambia niente:(

ora ti riuppo i log

e che cacchio, purtroppo adesso abbiamo ancora il problema di fileqube quindi sono impossibilitato a ricontrollare i log a ritroso, procedi così

1 Fixa nuovamente

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F96FB3B-9A5D-483E-AABD-3502B2C01008}: NameServer = 85.255.116.23 85.255.112.73

2 Allega anche un log degli StartUp ==>> esegui HijackThis -> clicca su Open the Misc Tool section -> Generate Startup List log spuntando entrambi i campi a destra

3 Disinstalla quella ciofeca di Avast ed installa Antivir come da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684 fai una scansione completa ed allega il log

4 Hai gia fatto questa verifica http://www.hwupgrade.it/forum/showthread.php?t=1555416 anche se la chiave in questione l'ha già falciata MBAM

punto uno fatto
punto 2 LOG-> http://wikisend.com/download/518606/startuplist20_08_08.txt

sto procedendo con antivir e con il punto 4

antivir installato

ho provato anche a fare il punto 4 ma nn c'è la chiave di registo explorer.exe:(

antivir installato

ho provato anche a fare il punto 4 ma nn c'è la chiave di registo explorer.exe:(

Allega il log della scansione con Avira, poi facciamo questa prova e vediamo che succede TASK MANAGER (ctrl+alt+canc) --> File-->nuova operazione e digita explorer.exe

purtroppo avevo tempo fino a stasera. ormai sto formattando, perke domani riparto e torno a casa:)

ci abbiamo provato. grazie lo stesso per l'aiuto, sei stato gentilissimo e disponibilissimo:)

purtroppo avevo tempo fino a stasera. ormai sto formattando, perke domani riparto e torno a casa:)

ci abbiamo provato. grazie lo stesso per l'aiuto, sei stato gentilissimo e disponibilissimo:)

Peccato mi sarebbe piaciuto vedere la scansione con Avira, il format lo considero l'extrema ratio, certo che stavolta e per il momento ci stava prendendo a calci nelle p...e :) come dici tu ci abbiamo provato ;), ciao e buon ritorno.

fixa anche:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
:)

ormai ho fixato tutto l'HD:fagiano:

stamattina dovevo ripartire e ho formattato. dispiace anche a me nn essere riscuito a ripulirlo, perè sono uno di quelli testoni, che alla fine deve sempre avere ragione sul pc:D pero stavolta ha vinto lui:rolleyes:

grazie a tutti per l'aiuto:)

mi spiace,mi sarebbe piaciuto andarci fino in fondo :(
comunque l'importante è che il pc stia in salute :p

Aiutatemi ragazzi, vi prego.... :(

Anche io mi sono imbattuto in uno di questi falsi antivirus, e anche se alla sua richiesta mi sono accorto che c'era qualcosa di strano e ho clikkato "annulla", non c'è stato nulla da fare! Si è aperta la finestra lo stesso.

A questo punto ho fatto deep scan sia con AVG, sia con Superantispyware...
ma niente.

E' crashato un paio di volte, e adesso NON SI AVVIA PIU' WINDOWS!!! (ora sono collegato da un altro pc)

Non potete immaginare quello che sto passando!!!! :( :( :(

Ho un casino di documenti importanti, file, programmi!
Sono un tipo previdente e faccio sempre backup di ciò che mi serve, ma questa cosa mi ha preso alla sprovvista...avevo appena formattato!

Adesso vorrei almeno salvare il salvabile, vorrei formattare MA RIUSCIRE A RECUPERARE I DATI SUL PC almeno!

Niente, non parte nè in mod provvisoria, nè in mod di debug...
si blocca nella schermata azzurra, quando compare la scritta "Avvio di Windovs in corso..." e muore lì.

HELP ME.

se puoi collega questo hd su altro pc e segui la procedura descritta in prima pagina, altriementi se non ti fidi (per evitare di infettare un altro pc) l'unica maniera è http://www.hwupgrade.it/forum/showthread.php?t=1689812
:)

Salve ragazzi,
anche a me è successo ieri mentre cercavo la discografia di un musicista (Barry White) sono incappato in una pagina web fasulla. Appena cliccato sul link di Google mi si è aperta una finestra di Window, (Windows Alerts???) che mi avvertiva di un'infezione. HO cercato di chidere la finestra ma senza risultato. Ho avviato Spy-Bot, Avira, ma senza nessun risultato. Alla fine da Process explorer sono riuscito a cancellare la finestra che mi inchiodava. MA i problemi non sono finiti, Ho aperto TcpView e mi sono accorto che c'erano delle chiamate TCP in Close-Wait circa un migliaio che ovviamente mi hanno insospettito:fagiano: , finchè oggi, usando un'altro pc ho trovato, sembra la soluzione: Malwarebytes'. Questo mi ha rilevato una decina di Trojan che ha prontamente rimosso. Ho riavviato il pc ed ora eccomi qui. Credo che però non sia finita, mi pare che qualche traccia ci sia ancora, però mi sorge il dubbio che installare altro anti-malware sia anche controproducente per il pc. Sbaglio???

Comunque, complementi a Malwarebytes', mentre una nota di disappunto per Avira e Spy-bot che non hanno trovato praticamente nulla che mi togliesse dai pasticci.

Lup

Benvenuto sul forum! :)

Vorrei chiederti ma tu hai scaricato un falso programma di sicurezza come antivirus o antimalware?

Perchè da quello che hai scritto ho capito di no, ho capito solo che hai contratto dei trojan da una pagina di internet. Che trojan? Nome?

Se hai scaricato un falso programma di sicurezza segui la guida che è in cima a questa guida, altrimenti il tuo problema è un altro e bisogna trattarlo in un diverso thread :)

se puoi collega questo hd su altro pc e segui la procedura descritta in prima pagina, altriementi se non ti fidi (per evitare di infettare un altro pc) l'unica maniera è http://www.hwupgrade.it/forum/showthread.php?t=1689812
:)

Grazie mille per la segnalazione...proverò il secondo metodo!
vediamo se posso fare ancora qualcosa...

Ho creato il rescue disk, ho fatto scansione e tutto:
ha trovato 2 trojan e li ha rinominati...ma al riavvio si blocca sempre nella schermata

"avvio di windows in corso..." :cry:

Cosa faccio?

a questo punto non mi frega nulla se devo formattare o no, vorrei solo salvare i dati importanti che avevo sul pc, non esiste qualcosa che mi permetta di fare ciò senza dover per forza avviare win?

Ah inoltre (non so se può c'entrare) se provo ad avviarlo nella modalità provvisoria, compare una scritta sotto, del tipo
"premere esc se non si vuole caricare sptd.sys"

ma se premo esc o appare la schemrata blu e devo resettare (errore irreversibile ecc), oppure si blocca sempre al solito :\


EDIT:

Dopo aver fatto per la 2° volta la scansione col rescue disk ora la situazione è addirittura PEGGIORATA!
Ora non arriva neanche più alla schermata di caricamento Win, adesso appare direttamente il pannello della scelta "mod provvisoria, debug ecc" e qualsiasi scelta io faccia crasha e si riavvia!!!!!!!!

Ho creato il rescue disk, ho fatto scansione e tutto:
ha trovato 2 trojan e li ha rinominati...ma al riavvio si blocca sempre nella schermata

"avvio di windows in corso..." :cry:

Cosa faccio?

a questo punto non mi frega nulla se devo formattare o no, vorrei solo salvare i dati importanti che avevo sul pc, non esiste qualcosa che mi permetta di fare ciò senza dover per forza avviare win?

Ah inoltre (non so se può c'entrare) se provo ad avviarlo nella modalità provvisoria, compare una scritta sotto, del tipo
"premere esc se non si vuole caricare sptd.sys"

ma se premo esc o appare la schemrata blu e devo resettare (errore irreversibile ecc), oppure si blocca sempre al solito :\


EDIT:

Dopo aver fatto per la 2° volta la scansione col rescue disk ora la situazione è addirittura PEGGIORATA!
Ora non arriva neanche più alla schermata di caricamento Win, adesso appare direttamente il pannello della scelta "mod provvisoria, debug ecc" e qualsiasi scelta io faccia crasha e si riavvia!!!!!!!!

Opzione 1 Avira Rescue ed accedi al sistema

sto esaurendo...

allora premetto che io non sono un esperto o un tecnico ecc.
però non sono neanche un impedito (del tutto:p ).

Sta mattina ho provato a smontare l'HD e a montarlo su pc di mio zio come slave (l'unico pc ke ho disponibile), ma ho notato che gli attacchi dell'HD erano diversi!
I miei sono degli spinotti neri e stretti, non molto ingombranti, quelli nel suo pc invece sono delle spinone larghe e lunghe, con una specie di nastro come cavo.
quindi non ho saputo come collegarlo...

allora sono tornato sul forum e ho letto l'ultimo commento di chill out, ho rimontato l'HD, ho ricollegato tutto e...
ora non si accende del tutto :help:

Cioè non so se rimontandolo ho fatto qualcosa di sbagliato, ma ho semplicemente ricollegato tutta la cavetteria com'era e niente...bho
ora non parte proprio, non da segni di vita...

sto esaurendo...

allora premetto che io non sono un esperto o un tecnico ecc.
però non sono neanche un impedito (del tutto:p ).

Sta mattina ho provato a smontare l'HD e a montarlo su pc di mio zio come slave (l'unico pc ke ho disponibile), ma ho notato che gli attacchi dell'HD erano diversi!
I miei sono degli spinotti neri e stretti, non molto ingombranti, quelli nel suo pc invece sono delle spinone larghe e lunghe, con una specie di nastro come cavo.
quindi non ho saputo come collegarlo...

allora sono tornato sul forum e ho letto l'ultimo commento di chill out, ho rimontato l'HD, ho ricollegato tutto e...
ora non si accende del tutto :help:

Cioè non so se rimontandolo ho fatto qualcosa di sbagliato, ma ho semplicemente ricollegato tutta la cavetteria com'era e niente...bho
ora non parte proprio, non da segni di vita...

Evidentemente non l'hai ricollegato a dovere

la piattina grigia (striscia lunga e larga grigia) ha un senso di montaggio di solito è difficile sbagliare perchè da 7 anni a questa parte hanno introdotto attacchi non reversibilidove appunto c'è una piccola protuberanza cubica che dovrebbe svolgere il ruolo di ostacolo se in posizione errata..
ovviamente anche gli estremi di tale cavo hanno un senso specifico altrimenti non fuziona a dovere :)
verso uno dei due capi hai due connettori mentre l'altro capo è più distanzionato dal connettore di mezzo, un esempio molto schematizzato e semplificato:
I-I--I

quindi i due connettori a sinistra essendo ravvicinati ti indicano che quella sezioen di cavo deve connettersi alle unità disco o ottiche, mentre quello più distante e dalla parte opposta va fissato alla scheda madre :)
poni attenzione al fatto se è dentro bene, poi assicurati di aver connesso i cavi con attacchi bianchi altrimenti non c'è corrente e infine d'aver riacceso l'interuttore posteriore dell'alimentatore :)

se arriva la corrente dovresti vedere un piccolo led acceso della scheda madre (all'interno del pc) solitamente di colore o arancione/giallo o verde :)

SALVE LEGGEVO DEI MALWARE CHE AFFLIGONO DIVERSI UTENTI,DA CIRCA UN MESE HO LO STESSO PROBLEMA(ANTIVIRUS 2008) SEGUITO LA PROCEDURA DI PAG 1(DISATTIVATO RIPRISTINO E SCANSIONE CON ANTIMALWARE) MA AD OGNI SCANSIONE RICOMPAIONO 7 TROJAN.BHO SULLE CHIAVI DI REGISTRO.....COME ELIMINARLE?

prima cosa evita il maiuscolo inquanto su internet equivale a urlare, e il farlo non è sinonimo di buona cosa..
per secondo segui la procedura descritta in prima pagina pubblicando i log così potremmo aiutarti :)

prima cosa evita il maiuscolo inquanto su internet equivale a urlare, e il farlo non è sinonimo di buona cosa..
per secondo segui la procedura descritta in prima pagina pubblicando i log così potremmo aiutarti :)

Ciao, si lo so che il maiuscolo equivale a gridare e mi scuso per questo ma di solito lo faccio per comodita' di lettura che diventa piu' chiara e comprensibile,in fondo si legge mica si ascolta.
Per il file log lo postero' quanto prima,grazie dell'aiuto.

noi leggiamo benissimo cio che scrivi quindi non serve usare metodi o sistemi per rimarcarlo che appunto equivale a urlare.
è vero che si legge e basta ma è altrettanto vero che la lingua sia un codice e ottiene ulteriori significati nel contesto nella quale viene usata.
nelle aule di grammatica viene anche insegnato adeguatamente il valore di tutti i caratteri marcatori e quando usarli quindi utilizzarli per scrivere un intero capoverso o paragrafo o capitolo è forse quanto meno inopportuno :)

sei pregato di modificare il messaggio precedente ;)

Allora questo e' il file log dell'ultima scansione effettuata:

Come da procedura ho scaricato gli aggiornamenti per Antimalware ed effettuato stavolta una scan completa,questo il file log:


Da quello che potete capire ne so' molto poco di informatica ed avrei bisogno di un aiuto passo passo,tanks

Black celebration devi modificare i tuoi messaggi precedenti perchè i log sono stati caricati in modo errato. Puoi leggere come caricarli qui: http://www.hwupgrade.it/forum/showthread.php?t=1751598

Inoltre hai sviluppato solo il punto 1 della guida, procedi con tutti gli altri punti e alla fine carica i log in modo appropriato, solo cosi potremo aiutarti :)

Grazie glen89,ho provveduto ha modificare i msg,adesso devo solo capire come allegare i file log(siamo in alto mare),credevo che come procedura bastasse solo una di quelle della guida,invece devo applicarle tutte!!!!!
ci vorra' un po' di tempo(non ne ho molto)e tanta pazienza per farlo,sara' piu' facile formattare il tutto allora....vabbe' ci ho provato.
saluti:muro: :muro:

leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1779308) come si caricano i log

nei messaggi modificati non vedo i log

Ora spero di aver fatto tutto come da copione allegando i log delle varie scansioni ..
intanto questi sono i log delle vecchie scansioni che ho fatto :


malwarebytes antimalware

http://wikisend.com/download/952522/mbam-log-08-18-2008 (22-17-14).txt

A-Squared

http://wikisend.com/download/682660/a2scan_080818-223210.txt

Dr.Web
http://wikisend.com/download/490430/DrWeb.csv

hijack

http://wikisend.com/download/119748/hijackthis.log


:sofico:


questi che seguono sono i log nuovi di pacca

malwarebytes a.m. =

http://wikisend.com/download/903474/mbam-log-08-24-2008 (15-29-55).txt

Asquared =

http://wikisend.com/download/213590/a2scan_080825-143602.txt


hijack =

http://wikisend.com/download/934558/hijackthisOggi.log


spero di aver fatto tutto bene STAVOLTA .. perdonate la mia schiappietà (mi sa che questa l ho inventata di sana pianta)
:stordita: grazie!

Ora spero di aver fatto tutto come da copione allegando i log delle varie scansioni ...........................


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [\SUE35C.exe] C:\Windows\SUE35C.exe
O4 - HKLM\..\Run: [\SUE35D.exe] C:\Windows\SUE35D.exe
O4 - HKLM\..\Run: [\SUE35F.exe] C:\Windows\SUE35F.exe
O4 - HKLM\..\Run: [\SUE360.exe] C:\Windows\SUE360.exe
O4 - HKLM\..\Run: [\SUE361.exe] C:\Windows\SUE361.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programmi\VAV\vav.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA2793] command /c del "C:\Programmi\VAV\vav0.dat"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [\SUE35C.exe] C:\Windows\SUE35C.exe
O4 - HKCU\..\Run: [\SUE35D.exe] C:\Windows\SUE35D.exe
O4 - HKCU\..\Run: [\SUE35F.exe] C:\Windows\SUE35F.exe
O4 - HKCU\..\Run: [\SUE360.exe] C:\Windows\SUE360.exe
O4 - HKCU\..\Run: [\SUE361.exe] C:\Windows\SUE361.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programmi\VAV\vav.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB2570] command /c del "C:\Programmi\VAV\vav0.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2886] cmd /c del "C:\Programmi\VAV\vav0.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4320] command /c del "C:\Programmi\VAV\vav1.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7533] cmd /c del "C:\Programmi\VAV\vav1.dat"

@wjmat


:stordita: ce l' ho fatta? è stato sconfitto per sempre? posso stappre il berlucchi brindando alla salute di questo forum???

incrocio le dita nel frattempo :eek:

Ecco qui i miei log freschi di giornata nell'ordine chiesto:
Malwarebytes
http://www.fileqube.com/shared/iGmxiRQbx87478
a-squared
http://www.fileqube.com/shared/iHvGjrY87479
doctorWeb (questo è bello grosso)
http://www.fileqube.com/shared/pCkkd87552
hijackthis
http://www.fileqube.com/shared/VduwB87480

speriamo bene,,, fatemi sapere

@wjmat


:stordita: ce l' ho fatta? è stato sconfitto per sempre? posso stappre il berlucchi brindando alla salute di questo forum???

incrocio le dita nel frattempo :eek:
il log è pulitoma dovresti pensare a mettere il sp3 per winxp e aggiornarlo con le patch che attualmente non possiedi e che haqnno lasciato appunto enrare questo malware... :)

Ecco qui i miei log freschi di giornata nell'ordine chiesto:
Malwarebytes
http://www.fileqube.com/shared/iGmxiRQbx87478
a-squared
http://www.fileqube.com/shared/iHvGjrY87479
doctorWeb (questo è bello grosso)
http://www.fileqube.com/shared/pCkkd87552
hijackthis
http://www.fileqube.com/shared/VduwB87480

speriamo bene,,, fatemi sapere
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RogueMonitor] C:\Programmi\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - HKCU\..\Run: [ShInfo] C:\WINDOWS\system32\tkzclety.exe
O4 - HKCU\..\Run: [AplEnAdm] C:\WINDOWS\system32\qpmlqjmx.exe
O4 - HKLM\..\Policies\Explorer\Run: [dy6CO0AH88] C:\Documents and Settings\All Users\Dati applicazioni\fcbgzwlu\fclgxmle.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
20 - Winlogon Notify: ssqRHAPj - ssqRHAPj.dll (file missing)
O21 - SSODL: ActAppSh - {74D7233D-BAAA-5E96-D1A7-081DEDAAEAA4} - C:\Programmi\zwbdcl\ActAppSh.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)


per il log di dr.web me lo potresti scremare con questo tool -> http://www.hwupgrade.helloweb.eu/?p=5
altrimenti impiego na vita a scaricarlo :(

scusa l'ignoranza ma come faccio ad alleggerire il log? vado sul link che mi hai dato.. clicco download e su apri file..ho la finestra con una cartella e 3 file e adesso?

scusa l'ignoranza ma come faccio ad alleggerire il log? vado sul link che mi hai dato.. clicco download e su apri file..ho la finestra con una cartella e 3 file e adesso?
per il parser precedente era una cosa simile

Estrailo in una cartella
Lancia cureit.jar
Clicca Scegli file
Seleziona il log
Spunta upload automatico e conversione
Esegui conversione
Attendi il termine delle operazioni nella finestra che si apre e poi clicca sulla X per chiuderla
Ora ci sarà il nuovo log "filtrato" o sul desktop o già caricato su un server remoto all'indirizzo che appare nell finestra del programma
Per comodità incolla nella discussione l'indirizzo ti fornisce il programma (es.www.hwupgrade.helloweb.eu/ParserLog/output0123456789.txt)

Ecco qui il log di doctorWeb

www.hwupgrade.helloweb.eu/ParserLog/log/output-29345933402.txt

grazie mille a tutti

Ecco qui il log di doctorWeb

www.hwupgrade.helloweb.eu/ParserLog/log/output-29345933402.txt

grazie mille a tutti

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Da mettere in pratica solo ed esclusivamente nel momento in cui dopo la procedura di rimozione siano presenti ancora i seguenti problemi:

Rimuovere la dicitura VIRUS ALERT! accanto all'orologio:

Start -> Pannello di controllo -> Opzioni internazionali e della lingua -> Standard e formati

dal menu a tendina selezionate Inglese (Regno Unito) e successivamente cliccate su Applica -> OK

ripetete la procedura di cui sopra ma questa volta selezionate dal menu a tendita Italiano (Italia)

Rimuovere la dicitura VIRUS ALERT! nelle Proprietà del sistema:

Start -> tasto dx del mouse su Risorse del computer verificate che nelle Proprietà del sistema sotto il TAB Generale sia la presente la dicitura VIRUS ALERT!

nell'eventualità fosse presente procedete così:

Start -> Esegui -> e digitate regedit

si aprirà l'Editor del Registro di sistema a questo punto navigate fino alla seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"ProductId"="XXXX-XXX-XXXXXXX-XXXXX"

prendete nota del valore e sostituitelo alla dicitura VIRUS ALERT! presente nella successiva chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"ProductId"="XXXX-XXX-XXXXXXX-XXXXX" <- VIRUS ALERT!

per sostiutire il valore doppio click sulla chiave, inserire il valore e cliccare su OK

Ripristinare il Task Manager, l'Editor del Registro di sistema, il menu Start etc.:

Scaricate questo file http://www.fileqube.com/shared/ikwPKAfc36916 sul Desktop tasto dx del mouse su Varestorepolicies e cliccate su installa

fatto :)

Scusate ragazzi...ho un brutto presentimento...
sono quello del rogue, ricordate?

...ho provato a smontare l'HD e a montarlo su pc di mio zio come slave, ma (...) non ho saputo come collegarlo.
allora sono tornato sul forum e ho letto l'ultimo commento di chill out, ho rimontato l'HD, ho ricollegato tutto e...
ora non si accende del tutto

Cioè non so se rimontandolo ho fatto qualcosa di sbagliato, ma ho semplicemente ricollegato tutta la cavetteria com'era e niente...bho
ora non parte proprio, non da segni di vita

Ero arrivato a questo punto...
allora ho deciso di comprare un box case per l'HD per collegarlo al portatile.
Comprato, collegato e...niente. non si accende neanche il led..

non sarà che ho bruciato l'HD? non ditemelo vi prego...:cry:

Salve a tutti, la mia ragazza stava navigando con mozilla firefox tra le immagini di google ed ha pescato un trojan che come da titolo ha cambiato lo sfondo con una immagine che recitava "windows warning message - your pc is infected" impedendo di accedere ai servizi di personalizzazione del desktop. Utilizzando malwarebytes il problema sembrava risolto, ma ho deciso cmq di effettuare la procedura in quanto qualche processino sospetto continuava ad esserci. potete dare un'occhiata ai log in allegato?

log.zip (http://wikisend.com/download/183078/log.zip)

Salve a tutti, la mia ragazza stava navigando con mozilla firefox tra le immagini di google ed ha pescato un trojan che come da titolo ha cambiato lo sfondo con una immagine che recitava "windows warning message - your pc is infected" impedendo di accedere ai servizi di personalizzazione del desktop. Utilizzando malwarebytes il problema sembrava risolto, ma ho deciso cmq di effettuare la procedura in quanto qualche processino sospetto continuava ad esserci. potete dare un'occhiata ai log in allegato?

log.zip (http://wikisend.com/download/183078/log.zip)

Luca i log non zippati, grazie.

Salve a tutti, la mia ragazza stava navigando con mozilla firefox tra le immagini di google ed ha pescato un trojan che come da titolo ha cambiato lo sfondo con una immagine che recitava "windows warning message - your pc is infected" impedendo di accedere ai servizi di personalizzazione del desktop. Utilizzando malwarebytes il problema sembrava risolto, ma ho deciso cmq di effettuare la procedura in quanto qualche processino sospetto continuava ad esserci. potete dare un'occhiata ai log in allegato?

log.zip (http://wikisend.com/download/183078/log.zip)
mi pare che con cureit tu non abbia fatto lo scan completo

@wjmat

Grazie!! lo faro' di certo anche se è l'ultima volta che apro un cavolo di cr@ck che trovo su internet.. tralaltro , il virus l ho trovato su "crackfind", magari questa segnalazione puo' essere d' aiuto a qualcuno .. :read:

Luca i log non zippati, grazie.

ok..

2.malwarebytes-log-08-25-2008 (20-37-40).txt (http://wikisend.com/download/617002/2.malwarebytes-log-08-25-2008 (20-37-40).txt)

3.a-squaredscan_080825-205324.txt (http://wikisend.com/download/563864/3.a-squaredscan_080825-205324.txt)

4.ols_report.html (http://wikisend.com/download/479274/4.ols_report.html)

5.CureIt.log (http://wikisend.com/download/908730/5.CureIt.log)

6.SysInspector.zip (http://wikisend.com/download/522966/6.SysInspector.zip)

7.hijackthis.log (http://wikisend.com/download/522268/7.hijackthis.log)

8.gmer.log (http://wikisend.com/download/486438/8.gmer.log)

9.prevx.txt (http://wikisend.com/download/935460/9.prevx.txt)


fatemi sapere

ok..

2.malwarebytes-log-08-25-2008 (20-37-40).txt (http://wikisend.com/download/617002/2.malwarebytes-log-08-25-2008 (20-37-40).txt)

3.a-squaredscan_080825-205324.txt (http://wikisend.com/download/563864/3.a-squaredscan_080825-205324.txt)

4.ols_report.html (http://wikisend.com/download/479274/4.ols_report.html)

5.CureIt.log (http://wikisend.com/download/908730/5.CureIt.log)

6.SysInspector.zip (http://wikisend.com/download/522966/6.SysInspector.zip)

7.hijackthis.log (http://wikisend.com/download/522268/7.hijackthis.log)

8.gmer.log (http://wikisend.com/download/486438/8.gmer.log)

9.prevx.txt (http://wikisend.com/download/935460/9.prevx.txt)


fatemi sapere

Per quanto concerne CureIT hai fatto la scansione in modalità Express Scan avresti dovuto fare la scansione completa

Riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce:

O4 - HKCU\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe

clicca su Fix checked

Riesegui Gmer ed elimina la seguente voce in rosso, tasto dx del mouse e clicca su DELETE SERVICE

Service system32\drivers\tdssserv.sys (*** hidden *** ) [SYSTEM] tdssserv <-- ROOTKIT !!!

Riepilogo log da allegare:
HijackThis
Gmer
Prevx CSI

@ lucascheva:
aggiungi anche questa voce da fixare in HiJackThis:
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
:)

Allora rieccomi,con tanta pazienza sto esguendo passo passo la procedura di pg 1 questa e' una prova per allegare i primi file log a disposizione.

a-squared:

Scusate ma di malware bytes come faccio a prendere il file log?
devo aprire il programma e salvarlo nella cartella documenti?


L'ho trovato,malwarebytes:

Scusate ma di malware bytes come faccio a prendere il file log?
devo aprire il programma e salvarlo nella cartella documenti?

Il file di log da allegare per il controlo si trova nel Tab File di log, allegate il .txt secondo le modalità sopra indicate

Scusate ma di malware bytes come faccio a prendere il file log?
devo aprire il programma e salvarlo nella cartella documenti?


L'ho trovato,malwarebytes:

Bene, fai pulizia con ATF Cleaner come indicato in Guida dopodichè fai girare CureIt - HijackThis ed allega i log

Allora io ho fatto le scansioni con tutto, ma per esempio malwarebytes mi dava errore :S solo dopo hijackthis mi ha eliminato anche la mascherina di antivir 2008 XP dall'orologio. Però non riesco più a cambiare desktop! :( come devo fare? In allegato vi metto il log di quest'ultimo.

Allora io ho fatto le scansioni con tutto, ma per esempio malwarebytes mi dava errore :S solo dopo hijackthis mi ha eliminato anche la mascherina di antivir 2008 XP dall'orologio. Però non riesco più a cambiare desktop! :( come devo fare? In allegato vi metto il log di quest'ultimo.
carica tutti i log che hai

Allora io ho fatto le scansioni con tutto, ma per esempio malwarebytes mi dava errore :S solo dopo hijackthis mi ha eliminato anche la mascherina di antivir 2008 XP dall'orologio. Però non riesco più a cambiare desktop! :( come devo fare? In allegato vi metto il log di quest'ultimo.

L'allegato non c'è, comunque non è importante, prima dobbiamo far passare gli altri tool in ordine. Quindi inziamo da malwarebytes , che erorre ti da? puoi fornirci il codice o la dicitura? A-squared e Drweb? Li hai fatti girare? i log ?:)

Allora io ho fatto malware ora. Vi metto l'allegato... Ora a-squared un pò gli ci vuole per finire.

Allora io ho fatto malware ora. Vi metto l'allegato... Ora a-squared un pò gli ci vuole per finire.
che hai fatto con la roba trovata??

Gli ho detto di riparare tutto e lui li ha eliminati.

Gli ho detto di riparare tutto e lui li ha eliminati.

Il file di log da allegare per il controlo si trova nel Tab File di log :read:

allegalo

Gli ho detto di riparare tutto e lui li ha eliminati.
ok, prima elimina e poi crei il log altrimenti noi non sappiamo che hai fatto ;)

Buongiorno,ultima fase questo e' Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.37.56, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\antonio\Documenti\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O22 - SharedTaskScheduler: altigraph - {c96395b8-ab09-46a4-b539-7ddf6e061808} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 2830 bytes
scusate se riporto l'intero file log ma non me lo faceva caricare(invalid file)
spero di trovare una soluzione





Per quanto riguarda DrWeb-cure.it dopo circa tre ore di scansione completa
non ha trovato virus:stordita:
Ora come procedo?

Eseguito pulizia ATFcleaner(tasto empty?)
dopo aver selezionato tutto..........poi?

Riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce

O22 - SharedTaskScheduler: altigraph - {c96395b8-ab09-46a4-b539-7ddf6e061808} - (no file)

clicca su Fix checked

Per ATF Cleaner se hai seguito le istruzioni e cliccato su EMPTY SELECT sei a posto

A questo punto dimmi se riscontri ancora problemi

Allora malware ecco il nuovo log. Però non trovo quello di a-squared, nella cartella log c'è un file .db3 ma niente txt :S Cmq ho fatto due scansioni e nella seconda ha proprio trovato "antivir 2008" e gli ho detto di cancellarlo. Hijackthis invece dà questo (ve lo copio e incollo perchè non mi allega più di un file!):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.00.24, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Prioritario\Desktop\HiJackThis.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 3471 bytes



Come da guida io ho usato questi tre: malware, a-squared e hijackthis. Ora FINALMENTE antivir2008 sembra sparito, non dà più avvisi di virus e sia il desktop sia lo screensaver sono tornati gestibili! :D

Il log di HijackThis non è allegato secondo le modalità indicate, manca il log di A2 (A-Squared) le specifiche le trovi in Guida in prima pagina, grazie per la collaborazione.

Riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce



clicca su Fix checked

Per ATF Cleaner se hai seguito le istruzioni e cliccato su EMPTY SELECT sei a posto

A questo punto dimmi se riscontri ancora problemi

Fatto,devo ripetere la procedura per verificare se sono ancora infetto?
Devo dire che prima di leggere il vostro forum malwarebytes da un analisi mi dava piu' di duecento fra trojan virus etc,ma fatto un po' di pulizia con cccleaner mi rimanevano 7 trojan.BHO che non volevano saperne,ora spero di essere pulito,grazie forum sono diventato meno impedito di prima:Prrr:

Fatto,devo ripetere la procedura per verificare se sono ancora infetto?
Devo dire che prima di leggere il vostro forum malwarebytes da un analisi mi dava piu' di duecento fra trojan virus etc,ma fatto un po' di pulizia con cccleaner mi rimanevano 7 trojan.BHO che non volevano saperne,ora spero di essere pulito,grazie forum sono diventato meno impedito di prima:Prrr:

Ripeti la scansione con MBAM ed allega il log

Ecco il MABM dopo la pulizia:





Allora?sonopulito? a chi mando i cioccolatini? :D

Ecco il MABM dopo la pulizia:
Allora?sonopulito? a chi mando i cioccolatini? :D
se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

ciao ragazzi,
anch'io sono incappato in questa maledizione. Ho seguito la guida passo a passo; non sono riuscito a ad avviare il Dr.Web...

cerco di allegarvi i log di controllo degli altri tre programmi usati:

Malwarebytes: http://www.fileqube.com/shared/jHEHCXuV88816

A-squared: http://www.fileqube.com/shared/uHlck88818

HijackThis: http://www.fileqube.com/shared/ezbpUeHlL88819

Il grosso del problema l'ho risolto grazie alle indicazione della guida, ma, quando connesso, si aprono periodicamente finestre di explorer random.

grazie per l'aiuto

PS sul PC ho installato il CCleaner, per cui non ho usato l'ATF cleaner.

ciao ragazzi,
anch'io sono incappato in questa maledizione. Ho seguito la guida passo a passo; non sono riuscito a ad avviare il Dr.Web...

cerco di allegarvi i log di controllo degli altri tre programmi usati:

Malwarebytes: http://www.fileqube.com/shared/jHEHCXuV88816

A-squared: http://www.fileqube.com/shared/uHlck88818

HijackThis: http://www.fileqube.com/shared/ezbpUeHlL88819

Il grosso del problema l'ho risolto grazie alle indicazione della guida, ma, quando connesso, si aprono periodicamente finestre di explorer random.

grazie per l'aiuto

PS sul PC ho installato il CCleaner, per cui non ho usato l'ATF cleaner.

Fai Start → Esegui → digita regedit (invio)
naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nel pannello di destra doppio click su Userinit ed elimini C:\Programmi\Common Files\Microsoft Shared\syscts.exe, (invio)
Deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,

http://img134.imageshack.us/img134/2999/regeditva6.png

poi riprova con cureit

fatto,
ma cure.it non parte; mi dà finestra di errore che allego:

http://www.fileqube.com/shared/nyWZN88865

allego anche log di hijackthis dopo modifica nel regedit:

http://www.fileqube.com/shared/NoHoKpNDx88866

grazie
ciao

fatto,
ma cure.it non parte; mi dà finestra di errore che allego:

http://www.fileqube.com/shared/nyWZN88865

allego anche log di hijackthis dopo modifica nel regedit:

http://www.fileqube.com/shared/NoHoKpNDx88866

grazie
ciao
segui qui http://www.hwupgrade.it/forum/showthread.php?t=1751772

ciao, "sono nuovamente sul pezzo"

ora provo scansione con F-Secure, poi posto qui i risultati...

grazie per la dedizione

...son qui!

brutte notizie, quando lancio la scansione con F-Secure ho un crash del computer, rapida schermata blu, riavvio.
Una finestra mi avvisa che il "sistema è stato ripristinato in seguito a un grave errore".

Inoltro log di hijackthis nella speranza che possa essere d'aiuto.

Ripeto che l'unico problema che permane è, durante la navigazione in internet con explorer 7, l'apertura periodica di pagine web (ho notato che sono sempre gli stessi 5-6 siti)

http://www.fileqube.com/shared/GDpLCL89417

...son qui!

brutte notizie, quando lancio la scansione con F-Secure ho un crash del computer, rapida schermata blu, riavvio.
Una finestra mi avvisa che il "sistema è stato ripristinato in seguito a un grave errore".

Inoltro log di hijackthis nella speranza che possa essere d'aiuto.

Ripeto che l'unico problema che permane è, durante la navigazione in internet con explorer 7, l'apertura periodica di pagine web (ho notato che sono sempre gli stessi 5-6 siti)

http://www.fileqube.com/shared/GDpLCL89417

Reisegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella caella bianca sx della sottoindicata voce

O24 - Desktop Component 0: Privacy Protection - (no file)

clicca su Fix checked

Dopodichè ripeti la scansione completa con MBAM

NB: Terminata la scansione rimuovete gli eventuali malware rilevati, di default MBAM provvederà a mettere in quarantena i files e le chiavi di registro identificate come infette

Ecco il MABM dopo la pulizia:





Allora?sonopulito? a chi mando i cioccolatini? :D

Dovresti essere finalmente Ok, per i cioccolatini a tutta la sezione Antivirus e Sicurezza :D :sofico:

ho fixato il processo che mi hai indicato (024) e rilanciato MBAM, che ha rilevato 16 malware.

allego il log della scansione: http://www.fileqube.com/shared/FvXuhscG89456

e quello di hijackthis: http://www.fileqube.com/shared/zNUIdfTE89457


...come vado?

ho fixato il processo che mi hai indicato (024) e rilanciato MBAM, che ha rilevato 16 malware.

allego il log della scansione: http://www.fileqube.com/shared/FvXuhscG89456

e quello di hijackthis: http://www.fileqube.com/shared/zNUIdfTE89457


...come vado?
riscarica e riprova cureit

Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

dopodichè fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Allega entrmbi i log + nuovo log di Hjt

beh, ho fatto come da te indicato e questi sono i risultati:

MBAM: http://www.fileqube.com/shared/tJBwR89462

successivo report di hijackthis: http://www.fileqube.com/shared/wvHBMh89463

...che dici, sono a posto?

beh, ho fatto come da te indicato e questi sono i risultati:

MBAM: http://www.fileqube.com/shared/tJBwR89462

successivo report di hijackthis: http://www.fileqube.com/shared/wvHBMh89463

...che dici, sono a posto?
segui quanto ti ha detto chill
http://www.hwupgrade.it/forum/showpost.php?p=23863889&postcount=160

ragazzi basta solo antimalware o uso anche gli atri cioe hijackt?

ragazzi basta solo antimalware o uso anche gli atri cioe hijackt?
segui la guida in ordine e carica i log secondo le modalità

Dovresti essere finalmente Ok, per i cioccolatini a tutta la sezione Antivirus e Sicurezza :D :sofico:

Grazie chill out e a tutta la redazione per l'aiuto,se vi fa piacere vi sto facendo un po' di pubblicita' non vi dico arrivederci perche' se no significa che sono di nuovo nei guai pero' ci si incontra su forum GRAZIE

scusami
ricapitolo
atf nn me lha fatto partire
allora adesso gira malware bytes
poi atf
poi anche gli due sofrtware?
??grazie mille:D

scusami
ricapitolo
atf nn me lha fatto partire
allora adesso gira malware bytes
poi atf
poi anche gli due sofrtware?
??grazie mille:D
servono tutti ;)

scusa wjmat, sono un po' testone;

ho fatto ciò che mi ha indicato chill, cioè:

eseguito nuovamente HijackThis in modalità "Do a system scan only", spuntata l'ultima voce del log (O24 - Desktop Component 0: Privacy Protection - (no file) ) e fixata,

ripetuta la scansione completa con MBAMe rimossi i malware rilevati.



ora quelle fastidiose pagine web non si aprono più...

devo comunque insistere con i SmitfraudFix e comboFix che mi hai segnalato?

grazie per la pazienza

scusa wjmat, sono un po' testone;

ho fatto ciò che mi ha indicato chill, cioè:

eseguito nuovamente HijackThis in modalità "Do a system scan only", spuntata l'ultima voce del log (O24 - Desktop Component 0: Privacy Protection - (no file) ) e fixata,

ripetuta la scansione completa con MBAMe rimossi i malware rilevati.



ora quelle fastidiose pagine web non si aprono più...

devo comunque insistere con i SmitfraudFix e comboFix che mi hai segnalato?

grazie per la pazienza
se non li hai ancora fatti, si

scusami
ricapitolo
atf nn me lha fatto partire
allora adesso gira malware bytes
poi atf
poi anche gli due sofrtware?
??grazie mille:D

Non è difficile basta leggere e seguire la Guida grazie per la collaborazione

scusa wjmat, sono un po' testone;

ho fatto ciò che mi ha indicato chill, cioè:

eseguito nuovamente HijackThis in modalità "Do a system scan only", spuntata l'ultima voce del log (O24 - Desktop Component 0: Privacy Protection - (no file) ) e fixata,

ripetuta la scansione completa con MBAMe rimossi i malware rilevati.



ora quelle fastidiose pagine web non si aprono più...

devo comunque insistere con i SmitfraudFix e comboFix che mi hai segnalato?

grazie per la pazienza

Io li farei girare poi fà un pò tu

come disse Garibaldi al re: OBBEDISCO!

ho scaricato e fatto girare i due tools; inoltro i reports

SmitfraudFix:
http://www.fileqube.com/shared/JLZcPFB89635

ComboFix:
http://www.fileqube.com/shared/eJygrtqdN89640

hijackthis:
http://www.fileqube.com/shared/LnJZqCWNl89641

mi aggiungo anche io, ho seguito la procedura ecc e linko il log mancate. Non so se il rpoblema sia risolto al 100% per ora non si apre più nulla di sospetto.... Mi resta il problema che NON VEDO l HD C anche se funziona se lo scrivo nell indirizzo :confused:

malware
http://www.fileqube.com/shared/IQYRQSI89651

per chi nn ha visto il mio preblema e log vari http://www.hwupgrade.it/forum/showthread.php?t=1807935


vorrei sapere se sono "pulito" ora e perchè non vedo l hd c
Grazie

su un forum ho trovato eliminaa questa voce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

il valore dword NoDrives e ora lo vedo.

su un forum ho trovato eliminaa questa voce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

il valore dword NoDrives e ora lo vedo.
come era la voce in origine?

mi aggiungo anche io, ho seguito la procedura ecc e linko il log mancate. Non so se il rpoblema sia risolto al 100% per ora non si apre più nulla di sospetto.... Mi resta il problema che NON VEDO l HD C anche se funziona se lo scrivo nell indirizzo :confused:

malware
http://www.fileqube.com/shared/IQYRQSI89651

per chi nn ha visto il mio preblema e log vari http://www.hwupgrade.it/forum/showthread.php?t=1807935


vorrei sapere se sono "pulito" ora e perchè non vedo l hd c
Grazie

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: (no name) - {60D2E6AF-F47E-45B8-917F-DE66D9C379B8} - (no file)
O3 - Toolbar: qalkfxor - {E7115DAD-2300-42E9-9ABA-035637465E58} - (no file)
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TGPro Office] C:\Programmi\TG 6.0\IdxOffice.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\HOMERunner.exe"
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O20 - Winlogon Notify: opnmLccA - opnmLccA.dll (file missing)
O21 - SSODL: pdoskegl - {0A1A840D-F74B-42F7-89A7-FE328BA95001} - (no file)
O21 - SSODL: rqbmvpso - {F39AA56E-6785-42C7-856A-931ACFC76795} - (no file)


estirpa spyware doctor che è solo un mattone

Dopo ever fixato le voci consigliate da wjmat ripeti la scansione con MBAM

NB: Terminata la scansione rimuovete gli eventuali malware rilevati, di default MBAM provvederà a mettere in quarantena i files e le chiavi di registro identificate come infette

Allega il log di Cureit se leggi bene la Guida è scritto dove reperirlo :read:

Per il resto leggi qui http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2

Ricorda di allegare i log per il controllo

Aggiornato il post#2 http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2 inserita la PROCEDURA AUTOMATIZZATA

come disse Garibaldi al re: OBBEDISCO!

ho scaricato e fatto girare i due tools; inoltro i reports

SmitfraudFix:
http://www.fileqube.com/shared/JLZcPFB89635

ComboFix:
http://www.fileqube.com/shared/eJygrtqdN89640

hijackthis:
http://www.fileqube.com/shared/LnJZqCWNl89641

Saremo mica a Teano :eek: :D ;)

Perfetto adesso si che ci siamo ed il log di HijackThis mi piace, ti suggerisco di leggere questo 3D http://www.hwupgrade.it/forum/showthread.php?t=1726383 ciao :)

come era la voce in origine?


cosa intendi ? ho cancellato quella chiave di registro che era tutti 0.
Ho corretto quelle voci con hjack come mi ha detto wjmat ma dopo le varie correzioni erano quasi dimezzate. Allego il log + quello di dr web con 1 sola cosa trovata.

http://www.fileqube.com/shared/SNEQMLQ90285

http://www.fileqube.com/shared/QMzPyXz90286

in hjt vedo ancora O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
segui anche http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2 la PROCEDURA AUTOMATIZZATA

Ripeti la scansione con MBAM come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=23875412&postcount=177

inoltre il ripristino configurazione sistema deve essere disttivato

mbam non ha trovato nulla devo fare la procedura automatizzata che diceva wjmat lo stesso ? grazie ancora

mbam non ha trovato nulla devo fare la procedura automatizzata che diceva wjmat lo stesso ? grazie ancora

La devi fare se riscontri i problemi descritti al post#2

eccomi quà di rientro in studio dal weekend.

ho lanciato come mi avete suggerito i due tool; vi allego i report di entrambi e un'altro HijackThis.

SmitfraudFix: http://www.fileqube.com/shared/cFncnb91359

ComboFix: http://www.fileqube.com/shared/WTCmG91360

HijackThis: http://www.fileqube.com/shared/KvZuMixCE91361


posso stare tranquillo ora?

grazie a tutti e buon inizio di settimana. Ciao

eccomi quà di rientro in studio dal weekend.

ho lanciato come mi avete suggerito i due tool; vi allego i report di entrambi e un'altro HijackThis.

SmitfraudFix: http://www.fileqube.com/shared/cFncnb91359

ComboFix: http://www.fileqube.com/shared/WTCmG91360

HijackThis: http://www.fileqube.com/shared/KvZuMixCE91361


posso stare tranquillo ora?

grazie a tutti e buon inizio di settimana. Ciao


http://www.hwupgrade.it/forum/showpost.php?p=23880661&postcount=179

buona settimana anche a te

La devi fare se riscontri i problemi descritti al post#2

scusa post 2 di questa pagina o pagina 2 ? comunque non riscontro + nessun problema anche prima del fix di hjack andava tutto perfetto ( almeno in apparenza ).

scusa post 2 di questa pagina o pagina 2 ? comunque non riscontro + nessun problema anche prima del fix di hjack andava tutto perfetto ( almeno in apparenza ).

http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2

grazie Chill per l'aiuto e i preziosi consigli, mi avete tolto un bell'impaccio.

Se passate da Bologna o Ferrara, vi offro da bere.

Arrivederci al prossimo disastro informatico!

grazie Chill per l'aiuto e i preziosi consigli, mi avete tolto un bell'impaccio.

Se passate da Bologna o Ferrara, vi offro da bere.

Arrivederci al prossimo disastro informatico!

Prego di nulla ;)

Comunque da Bo ci passo Giovedì :D :sofico:

a no no problemi di scritta e prodotto li avevo già rimossi con quella procedura seguendo la guida. Grazie mille allora sono pulito :D

a no no problemi di scritta e prodotto li avevo già rimossi con quella procedura seguendo la guida. Grazie mille allora sono pulito :D

Si direi che sei pulito, ciao :)

Ragazzi io ho seguito alla lettera la guida , pubblico tutti i log , il pc è abbastanza a posto ma mi è rimasto un problema che non riesco a risolvere :

http://www.fileqube.com/shared/UoyUI92149

http://www.fileqube.com/shared/fCtQz92151

http://www.fileqube.com/shared/bekFp92152

Ho usato anche sdfix ecc ecc

ecco lo screen del mio desktop

http://img175.imageshack.us/img175/7879/screenai4.th.jpg (http://img175.imageshack.us/my.php?image=screenai4.jpg)

ogni volta che accendo il pc sul desktop c'è e rimane questa finestra bianca in alto a sinistra sembra qualcosa legato a internet explorer ma non sparisce come posso fare ?

Ragazzi io ho seguito alla lettera la guida , pubblico tutti i log , il pc è abbastanza a posto ma mi è rimasto un problema che non riesco a risolvere :

http://www.fileqube.com/shared/UoyUI92149

http://www.fileqube.com/shared/fCtQz92151

http://www.fileqube.com/shared/bekFp92152

Ho usato anche sdfix ecc ecc

ecco lo screen del mio desktop

http://img175.imageshack.us/img175/7879/screenai4.th.jpg (http://img175.imageshack.us/my.php?image=screenai4.jpg)

ogni volta che accendo il pc sul desktop c'è e rimane questa finestra bianca in alto a sinistra sembra qualcosa legato a internet explorer ma non sparisce come posso fare ?

Esegui HijackThis e clicca su Do a system only, metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix checked

O24 - Desktop Component 0: Privacy Protection - (no file)

poi mi alleghi il log di SDFix e Cureit che non vedo :)

Esegui HijackThis e clicca su Do a system only, metti il segno di spunta nella casella bianca a sx della sottoindicata voce e clicca su Fix checked

O24 - Desktop Component 0: Privacy Protection - (no file)

poi mi alleghi il log di SDFix e Cureit che non vedo :)

Questi sono gli altri due log che mi avevi chiesto

http://www.fileqube.com/shared/sFQZKz92815 Cureit

http://www.fileqube.com/shared/JHZGt92822 Sdfix

O24 - Desktop Component 0: Privacy Protection questa voce nel mio Hijachthis non c'è e ti allego anche lo screen del programma , da me arriva a 023 ....

http://img396.imageshack.us/img396/5244/screenhijackthisms9.th.jpg (http://img396.imageshack.us/my.php?image=screenhijackthisms9.jpg)

Poi oggi il pc quando l'ho acceso mi ha dato una marea di errori con croci rosse del tipo non è stato trovato quella .dll ecc ecc ed il desktop si è di nuovo modificato , posto uno screen di come è oggi:

http://img90.imageshack.us/img90/3791/screendesktopuf5.th.jpg (http://img90.imageshack.us/my.php?image=screendesktopuf5.jpg)

Grazie mille per il tuo aiuto ;)

Questi sono gli altri due log che mi avevi chiesto

http://www.fileqube.com/shared/sFQZKz92815 Cureit

http://www.fileqube.com/shared/JHZGt92822 Sdfix

O24 - Desktop Component 0: Privacy Protection questa voce nel mio Hijachthis non c'è e ti allego anche lo screen del programma , da me arriva a 023 ....

http://img396.imageshack.us/img396/5244/screenhijackthisms9.th.jpg (http://img396.imageshack.us/my.php?image=screenhijackthisms9.jpg)

Poi oggi il pc quando l'ho acceso mi ha dato una marea di errori con croci rosse del tipo non è stato trovato quella .dll ecc ecc ed il desktop si è di nuovo modificato , posto uno screen di come è oggi:

http://img90.imageshack.us/img90/3791/screendesktopuf5.th.jpg (http://img90.imageshack.us/my.php?image=screendesktopuf5.jpg)

Grazie mille per il tuo aiuto ;)

La voce da me indicato ovvero O24 - Desktop Component 0: Privacy Protection - (no file) è presente nel tuo lod di HJT
http://www.fileqube.com/shared/fCtQz92151

evidentemente prima di procedere col fix hai fatto girare SDFix per ben 2 volte, allega un nuovo log di HJT e MBAM temo che tu abbia provveduto a reinfettarti opure hai messo le mani dove non dovevi.

La voce da me indicato ovvero O24 - Desktop Component 0: Privacy Protection - (no file) è presente nel tuo lod di HJT
http://www.fileqube.com/shared/fCtQz92151

evidentemente prima di procedere col fix hai fatto girare SDFix per ben 2 volte, allega un nuovo log di HJT e MBAM temo che tu abbia provveduto a reinfettarti opure hai messo le mani dove non dovevi.

MBAM l'ho fatto rigirare ma non ha trovato assolutamente nulla ..... sdfix l 'ho fatto girare solo una volta per ultimo come specificato nella guida .... l'unico problema è stato forse che dopo la prima volta di MBAM dove ha trovato un macello di cose al successivo riavvio avevo spybot installato e mi chiedeva di continuo se volevo modificare chiavi di registro io a qualcuna ho dato consenti ad altre ho dato nega .... comunque adesso riprovo hijjackthis

Ecco l'ultimo log

http://www.fileqube.com/shared/fIpeKuU92933

Ecco l'ultimo log

http://www.fileqube.com/shared/fIpeKuU92933

Dal log non si evince nulla di chè, ripristina le modifiche apportate da SpyBot

Dal log non si evince nulla di chè, ripristina le modifiche apportate da SpyBot

e come si fa ? io appena ho visto che faceva cose simili spybot l ho disinstallato ... quindi non si può risolvere la questione ?

e come si fa ? io appena ho visto che faceva cose simili spybot l ho disinstallato ... quindi non si può risolvere la questione ?

Fai girare nuovamente SDFix e vediamo se ripristina i valori di default, dopodiche fai girare questo tool

Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

ragazzi, è impressione mia oppure non funziona più nessun link? ci sto mettendo ua vita a tovare tutti i programi e sono ancora ai primi 2.... Dr.Web CureIt lo to cercando ancora... -.-'

ragazzi, è impressione mia oppure non funziona più nessun link? ci sto mettendo ua vita a tovare tutti i programi e sono ancora ai primi 2.... Dr.Web CureIt lo to cercando ancora... -.-'

Appena testati funzionano tutti correttamente

Tramite spybot ho fatto ripristina a tutte le modifiche che aveva fatto , ma non è cambiato nulla... la cosa buffa è che i menu sulla sinistra del desktop sono realmente funzionanti ... cioè se clicco documenti si apre documenti ecc ecc

Eseguito Superantispyware poi ccleaner, e poi systemscan , la situazione è peggiorata in quanto adesso su start non c'è più nemmeno il tasto tutti i programmi ....

questo è il log :

http://www.fileqube.com/shared/EDJNIOZ93110

adesso provo la tua soluzione Chill-out

Fai girare nuovamente SDFix e vediamo se ripristina i valori di default, dopodiche fai girare questo tool

Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Sdfix prima del riavvio

http://www.fileqube.com/shared/ZfclUe93132

sdfix dopo il riavvio

http://www.fileqube.com/shared/SmWytYZ93133

e questo è il rapport dopo aver eseguito tutta la tua guida

http://www.fileqube.com/shared/aDmneBZx93134

non è cambiato nulla ma ti volevo ringraziare per la pazienza e per tutto quello che stai facendo

Eseguito Superantispyware poi ccleaner, e poi systemscan , la situazione è peggiorata in quanto adesso su start non c'è più nemmeno il tasto tutti i programmi ....

questo è il log :

http://www.fileqube.com/shared/EDJNIOZ93110

adesso provo la tua soluzione Chill-out

Mai chiesto SystemScan ma su quanti Forum stai chiedendo assistenza, ti consiglio per evitare sovrapposizioni di seguire una procedura o l'altra, se no si fanno macelli.

Sdfix prima del riavvio

http://www.fileqube.com/shared/ZfclUe93132

sdfix dopo il riavvio

http://www.fileqube.com/shared/SmWytYZ93133

e questo è il rapport dopo aver eseguito tutta la tua guida

http://www.fileqube.com/shared/aDmneBZx93134

non è cambiato nulla ma ti volevo ringraziare per la pazienza e per tutto quello che stai facendo

Sei sicuro di aver fatto girare ancora MBAM

che ci fanno queste chiavi ancora in giro

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"

fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

NB: disabilita anche quel cavolo di SpyBot

Sei sicuro di aver fatto girare ancora MBAM

che ci fanno queste chiavi ancora in giro



fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

NB: disabilita anche quel cavolo di SpyBot

Ecco questo è il nuovo log di MBAM

http://www.fileqube.com/shared/nzUcOvCK93184

questo è quello di combofix

http://www.fileqube.com/shared/nOMiDOi93185

come prima non è cambiato nulla .... si scusa se ho fatto girare prima altri programmi ma sembra che sono in alto mare comunque sto seguendo alla lettera tutto ciò che mi dici di fare , e ti ringrazio davvero di nuovo ;)

Ecco questo è il nuovo log di MBAM

http://www.fileqube.com/shared/nzUcOvCK93184

questo è quello di combofix

http://www.fileqube.com/shared/nOMiDOi93185

come prima non è cambiato nulla .... si scusa se ho fatto girare prima altri programmi ma sembra che sono in alto mare comunque sto seguendo alla lettera tutto ciò che mi dici di fare , e ti ringrazio davvero di nuovo ;)

Purtroppo hai provveduto a reinfettarti, procedi così:

1 ripeti la Deep Scan con A-Squared come indicato in Guida in prima pagina
2 Prevx CSI -> Download (http://www.prevx.com/freescan.asp)
Compatibile: Windows XP - Vista
Caratteristiche: necessaria la connesione ad Internet
Dopo aver terminato la scansione per ottenere il log cliccare su Options - Save a Log File
3 Gmer -> Download (http://www2.gmer.net/beta/gmer.exe)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione - scompattare il file compresso per praticità sul DeskTop e lanciare Gmer.exe avendo cura di spuntare sul pannello di destra tutte le caselle
Dopo aver terminato la scansione cliccare su Copy, aprite il Blocco Note ed incollare il log

ragazzi, tutto sistemato grazie a voi :D
Ho solo un problema. perchè non mi visualizza il "link" Tutti i programmi nello Start? :(

niente più. Sistemato :D Ho avviato ComboFix in provvisoria :D

Allora, io ho beccato il Rogue XP Antivirus proprio ieri, ho fatto la scansione con Malwarebytes' Anti-Malware e mi ha rilevato e messo in quarantina alcune voci di registro, librerie, ecc. Dopo di che ho rifatto la scansione sempre con Malwarebytes' Anti-Malware e anche con altri antyspyware e non mi è stato rilevato più alcun problema da tali software.

Posso stare tranquillo e ritenere il virus definitivamente sparito dal mio sistema?
Dato che dopo il virus ho riscontrato alcuni problemi di rete sul mio pc tali problemi possono essere attribuiti al virus? E se si come potrei risolverli?

Ultima domanda: il virus potrebbe in qualche modo aver incasinato il router?

grazie a tutti

Allora, io ho beccato il Rogue XP Antivirus proprio ieri, ho fatto la scansione con Malwarebytes' Anti-Malware e mi ha rilevato e messo in quarantina alcune voci di registro, librerie, ecc. Dopo di che ho rifatto la scansione sempre con Malwarebytes' Anti-Malware e anche con altri antyspyware e non mi è stato rilevato più alcun problema da tali software.

Posso stare tranquillo e ritenere il virus definitivamente sparito dal mio sistema?
Dato che dopo il virus ho riscontrato alcuni problemi di rete sul mio pc tali problemi possono essere attribuiti al virus? E se si come potrei risolverli?

Ultima domanda: il virus potrebbe in qualche modo aver incasinato il router?

grazie a tutti

Io porterei a termine la Guida allegando i log per il controllo, inoltre che cosa intendi di preciso per "incasinamento del router"?

Allora, i log li posto stasera da casa perchè ora sono al lavoro, spero avrete la bontà di dargli un'occhiata e farmi sapere (oltre al log di Malwarebytes' Anti-Malware quale altro log devo postarti?). Quanto a incasinamenti del router mi riferivo ai seguenti problemi di rete tra i miei due pc che ho riscontrato dopo aver preso (ed eliminto) il virus da uno dei due (il portatile):

- il portatile pinga il fisso ma il fisso non pinga il portatile

- se dal fisso digito \\indirizzo IP Portatile mi appare il messaggio di errore: "xx.xx.xx.xx nessun provider di rete ha accettato il percorso di rete specificato"

- la porta TCP configurata per Emule risulta chiusa, anche se sul firewall del router io l'ho aperta

Ripeto, questi ultimi tre problemi di rete si sono verificato dopo aver preso ed eliminato il rogue sul protatile.

Grazie

Allora, i log li posto stasera da casa perchè ora sono al lavoro, spero avrete la bontà di dargli un'occhiata e farmi sapere (oltre al log di Malwarebytes' Anti-Malware quale altro log devo postarti?). Quanto a incasinamenti del router mi riferivo ai seguenti problemi di rete tra i miei due pc che ho riscontrato dopo aver preso (ed eliminto) il virus da uno dei due (il portatile):

- il portatile pinga il fisso ma il fisso non pinga il portatile

- se dal fisso digito \\indirizzo IP Portatile mi appare il messaggio di errore: "xx.xx.xx.xx nessun provider di rete ha accettato il percorso di rete specificato"

- la porta TCP configurata per Emule risulta chiusa, anche se sul firewall del router io l'ho aperta

Ripeto, questi ultimi tre problemi di rete si sono verificato dopo aver preso ed eliminato il rogue sul protatile.

Grazie

Dubito che i problemi descritti possano derivare dal malware, hai fatto le opportune verifiche sul router, sulla configurazione di rete, sul firewall e sui i permessi? Per il resto attendiamo i log

Domanda: il portatile viaggia in rete senza problemi?

in una stessa la lan non ci possono essere due emule che usano la stessa porta remota! ovviamente intendo anche che non puoi creare la regola nel router per emule con le stesse porte per entrambi i pc :)
quindi cambia su ciasc'un ip la porta e vedrai che il mulo torna a galoppare :)

se ci chiedi assistenza devi essere disposto ad avallare le richieste di pubblicazione dei log, noi mettiamo il nostro tempo a disposizione per aiutare te e gli altri gratuitamente ma se ci mettete in difficoltà richiedendo anche la capacità di chiaroveggienza allora forse viene richiesta assistenza al forum sbagliato ;)

Scusa, xcdegasp, ma nel mio ultimo post ho detto che avrei postato i log stasera (più probabilmente stanotte, quando moglie e pupo sono a nanna e posso stare finalmente al pc in santa pace) perchè ora sono al lavoro.

Quanto ai dubbi da voi evidenziati aggiungo che sia portatile che fisso viaggiano su internet senza problemi, ovviamente il mulo parte solo su un pc per volta, ma mentre sul fisso va senza problemi di apertura porte sul portatile (lo lancio dopo averlo chiuso sul fisso) la porta TCP risulta essere chiusa anche se sul router è aperta.

Grazie e ciao

ripeto:
nel router devi creare le regole con prote differenti per entrambi i pc, esempio:

virtual server (per i router us-robotics lo schema è formato così):
4262 | 4262 | tcp | 4262 | 4262 | 192.168.1.2 -> pc1
4272 | 4272 | udp | 4272 | 4272 | 192.168.1.2 -> pc1

4462 | 4462 | tcp | 4462 | 4462 | 192.168.1.3 -> pc2
4472 | 4472 | udp | 4472 | 4472 | 192.168.1.3 -> pc2

come vedi ogni ip deve avere porte differenti indipendentemente che stiua usando emule o meno :)

preso anche io un po di robaccia...virus alert sono riuscito a toglierlo..credo!
ma ho ancora qualcosa come antivirus ho kaspersky e ogni tanto mi rileva qualcosa che probabilmente non riesce a togliere.
Ho fatto varie scanzioni con kaspersky antivirus 7 a squared free superantispy anti-malware e qualcos altro..

vi do qualche log che ho salvato spero possiate darmi una mano

ne avrei anche altri ma xche mi fa allegare al max un file x volta?spero in un vostro aiuto grazie

Allora, procedo con il postare i log:

1 - log di mbam dopo l'infezione:

Malwarebytes' Anti-Malware 1.26
Versione del database: 1103
Windows 5.1.2600 Service Pack 2

04/09/2008 20.27.28
mbam-log-2008-09-04 (20-27-28).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 49742
Tempo trascorso: 2 minute(s), 31 second(s)

log rimosso, leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

--
End of file - 8908 bytes


Ho fatto la scansione anche con dr web e non mi ha rilevato nulla.

Scusate per la lunghezza del post ma non ho trovato siti di file hosting validi.

Grazie a tutti per l'aiuto.

I siti per hostare i log sono indicati in guida, prima pagina, grazie. :)

1 - log di Malwarebytes' Anti-Malware dopo l'infezione:

http://www.fileqube.com/shared/OqWJPr95383

2 - log dopo aver rimosso il malware:

LOG di Malwarebytes' Anti-Malware

http://www.fileqube.com/shared/NKSLAfVF95405

LOG DI A-SQUARED

http://www.fileqube.com/shared/TvaopBzSM95409

LOG DI HIJACKTHIS

http://www.fileqube.com/shared/TIxdrTB95411

LOG DI DRWEB

http://www.fileqube.com/shared/bXsKW95412

spero che così sia meglio.

Ciao

rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: SSO - {2FBE4EA9-CA44-470A-98EF-142DE942AA76} - https://sso.capgemini.com/autologon.asp?url=home (file missing) (HKCU)

O9 - Extra button: Flash2X Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Program Files\Flash Hunter\save.htm (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: &Launch Flash Hunter - {77B563A5-2A35-4E6B-BFC8-F4B6BB65D5DF} - C:\Program Files\Flash Hunter\save.htm (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxx.it

O17 - HKLM\Software\..\Telephony: DomainName = xxxxxx.it

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxx.it

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

Ho fatto, grazie, ma i problemi di rete permangono.

Ciao

Ho fatto, grazie, ma i problemi di rete permangono.

Ciao

per quanto concerne CureIt hai fatto la scansione in modalità express dovresti fare la scansione completa

Ecco qua i miei log spero qualcuno mi possa aiutare.Uso kaspersky internet security 7.0 e ogni tanto mi trova qualcosa ma cmq il notebook va male.
Avevo virus alert che credo sia stato rimosso ho fatto varie scanzioni con superantispy a squared free malwarebytes aft clean dr web .



kaspersky lab tool http://www.fileqube.com/shared/ECUoea95724
hijackthis http://www.fileqube.com/shared/KzrQV95725
malwarebytes anty-malware http://www.fileqube.com/shared/WIDCoKRT95726
malwarebytes anty-malware http://www.fileqube.com/shared/VQFpD95727

Domanda rivotla ad esperti del settore.
Non ho ancora avuto a che fare con questi malware la mia domanda è è possibile toglierlo con l'antivirus cioè l'aqntivirus lo riconosce rispondetemi grazie ;)

Domanda rivotla ad esperti del settore.
Non ho ancora avuto a che fare con questi malware la mia domanda è è possibile toglierlo con l'antivirus cioè l'aqntivirus lo riconosce rispondetemi grazie ;)

avira in due passate fa piazza pulita... :)

avira in due passate fa piazza pulita... :)

ok quindi è facile rimuoverlo credevo fosse piu complicato :D

mi servirebbe questo rogue per analizzarlo purtroppo andato sul sito del rogue mi blocca e nn posso scaricarlo
È stato rilevato e bloccato il tentativo di intrusione "HTTP Misleading Application Detection" in antivirus-2008-software.net(78.109.29.65) da parte del computer in uso.
Autore dell'intrusione: localhost(1405).
Livello di rischio: Alto.
Protocollo: TCP.
IP attaccato: antivirus-2008-software.net(78.109.29.65).
Porta attaccata: http(80).

disabilita l'antivirus così lo puoi anche installare :p

Ecco qua i miei log spero qualcuno mi possa aiutare.Uso kaspersky internet security 7.0 e ogni tanto mi trova qualcosa ma cmq il notebook va male.
Avevo virus alert che credo sia stato rimosso ho fatto varie scanzioni con superantispy a squared free malwarebytes aft clean dr web .



kaspersky lab tool http://fileqube.com/upbar?type=default_fin&up_id=f27416f8e7ff8087d920e37933c256cc&s_1=sWke195724
hijackthis http://fileqube.com/upbar?type=default_fin&up_id=f27416f8e7ff8087d920e37933c256cc&s_1=QX2hcNr95725
malwarebytes anty-malware http://fileqube.com/upbar?type=default_fin&up_id=f27416f8e7ff8087d920e37933c256cc&s_1=2GvQX9095726
malwarebytes anty-malware http://fileqube.com/upbar?type=default_fin&up_id=f27416f8e7ff8087d920e37933c256cc&s_1=KgNa895727

qualcuno che mi puo aiutare???ad ogni riavvio di windows kaspersky continua a dirmi che ha trovato qualcosa su pe_patch.upx e mi dice non trovato:virus heur invader(modifica)
continuo a fare scanzioni ma non trovo nulla

disabilita l'antivirus così lo puoi anche installare :p

e questo il problma visto che nn ho i pc del laboratorio per ovii motivi :D
PS QUOTA 1000:yeah:

Ciao , sul pc di un amico si e' installato il mitico XLG Security Guard.
Il pc ha Vista.

Questo cavolo di programma si avvia sempre all'avvio di Windows , anche se si avvia in modalita' provvisoria parte sempre questo Scan e non si puo' fare nient'altro , non si puo' accedere al desktop ne' niente , l'unica cosa che si puo' fare e' cliccare sul bottone che permette l'acquisto di questo "antivirus" , si apre il browser ma non si puo' andare su nessun altro sito se non quello di questo programma.
Non e' possibile aprire nessuna applicazione.

Consigli?

Ecco qua i miei log spero qualcuno mi possa aiutare.Uso kaspersky internet security 7.0 e ogni tanto mi trova qualcosa ma cmq il notebook va male.
Avevo virus alert che credo sia stato rimosso ho fatto varie scanzioni con superantispy a squared free malwarebytes aft clean dr web .



kaspersky lab tool http://www.fileqube.com/shared/ECUoea95724
hijackthis http://www.fileqube.com/shared/KzrQV95725
malwarebytes anty-malware http://www.fileqube.com/shared/WIDCoKRT95726
malwarebytes anty-malware http://www.fileqube.com/shared/VQFpD95727

i link originari portavano alla pagina in cui ti si diceva di copiare il link per com,unicarlo ad altri..
ho corretto quindi i vari link :)

rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
per il momento fixa:

O24 - Desktop Component 0: Privacy Protection - (no file)

Ciao , sul pc di un amico si e' installato il mitico XLG Security Guard.
Il pc ha Vista.

Questo cavolo di programma si avvia sempre all'avvio di Windows , anche se si avvia in modalita' provvisoria parte sempre questo Scan e non si puo' fare nient'altro , non si puo' accedere al desktop ne' niente , l'unica cosa che si puo' fare e' cliccare sul bottone che permette l'acquisto di questo "antivirus" , si apre il browser ma non si puo' andare su nessun altro sito se non quello di questo programma.
Non e' possibile aprire nessuna applicazione.

Consigli?

mi quoto per dire che mi ero perso questo thread , scusate :muro:

http://www.hwupgrade.it/forum/showthread.php?t=1689812

Ciao , sul pc di un amico si e' installato il mitico XLG Security Guard.
Il pc ha Vista.

Questo cavolo di programma si avvia sempre all'avvio di Windows , anche se si avvia in modalita' provvisoria parte sempre questo Scan e non si puo' fare nient'altro , non si puo' accedere al desktop ne' niente , l'unica cosa che si puo' fare e' cliccare sul bottone che permette l'acquisto di questo "antivirus" , si apre il browser ma non si puo' andare su nessun altro sito se non quello di questo programma.
Non e' possibile aprire nessuna applicazione.

Consigli?
segui la procedura in prima pagina o come hai poi detto da solo procedi con Avira AntiVir Rescue System...

segui la procedura in prima pagina o come hai poi detto da solo procedi con Avira AntiVir Rescue System...

la procedura in prima pagina non la posso eseguire , come ho detto non posso avviare nessun programma , nemmeno in modalita' provvisoria

la procedura in prima pagina non la posso eseguire , come ho detto non posso avviare nessun programma , nemmeno in modalita' provvisoria

alora ti rimane solo avira rescue system..

alora ti rimane solo avira rescue system..

si infatti , domani provo con quello e poi faccio sapere ;)

i link originari portavano alla pagina in cui ti si diceva di copiare il link per com,unicarlo ad altri..
ho corretto quindi i vari link :)

rifai la scansione con HiJackThis optando per "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le voci sugerite e premi tale tasto.
per il momento fixa:

O24 - Desktop Component 0: Privacy Protection - (no file)

Scusami ma non sono un granche col pc!!:D cmq fatto questo è il log
http://www.fileqube.com/shared/sPdlRWz97088

Scusami ma non sono un granche col pc!!:D cmq fatto questo è il log
http://www.fileqube.com/shared/sPdlRWz97088

ma c'è ancora sicuro d'aver fatto come ti ho detto?
24 - Desktop Component 0: Privacy Protection - (no file)

ma c'è ancora sicuro d'aver fatto come ti ho detto?
24 - Desktop Component 0: Privacy Protection - (no file)

apro HijackThis versione 2.o2 clicco su do a system scan only scorro in basso fino alla voce 024 desktop component 0 privacy protection - no file
lo seleziono e poi clicco su fix checked. appare una schedmata con scritto fix 1 selected items?this will permanently delete and or repair what you selected.
clicco su si riavviato il programma ma c e sempre..

apro HijackThis versione 2.o2 clicco su do a system scan only scorro in basso fino alla voce 024 desktop component 0 privacy protection - no file
lo seleziono e poi clicco su fix checked. appare una schedmata con scritto fix 1 selected items?this will permanently delete and or repair what you selected.
clicco su si riavviato il programma ma c e sempre..

Scarica questo file http://www.fileqube.com/shared/ikwPKAfc36916 poi tasto dx del mouse su Varestorepolicies e clicca su installa
Poi nuovo log di hijackthis

fatto
http://www.fileqube.com/shared/rUYnJS97246

fatto
http://www.fileqube.com/shared/rUYnJS97246

Segui le indicazioni al post #2 http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2 scegli la procedura automatizzata, tralasciando questa parte (Terminata la fase di rimozione aprire la cartella SDFix tasto dx del mouse su XP_VirusAlert_Repair.inf o W2K VirusAlert_Repair.inf (in funzione del sistema operativo) e cliccare su installa) dopodichè fixa la voce indicata sopra ovvero:

O24 - Desktop Component 0: Privacy Protection - (no file)

Segui le indicazioni al post #2 http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2 scegli la procedura automatizzata, tralasciando questa parte (Terminata la fase di rimozione aprire la cartella SDFix tasto dx del mouse su XP_VirusAlert_Repair.inf o W2K VirusAlert_Repair.inf (in funzione del sistema operativo) e cliccare su installa) dopodichè fixa la voce indicata sopra ovvero:
eccomi...scusa il ritardo ma lavoro tutto il giorno lontano da casa..
fatto tutto passo passo ma almeno x il fix non è cambiato nulla..ecco qua i log
hijackthis http://fileqube.com/upbar?type=default_fin&up_id=9924b8c07a30383bf5c77b802210e55f&s_1=mNmMr98259
sdfx http://www.fileqube.com/shared/ZkdKVjR98262