Ragazzi ho un grosso problema....

Quando cerco qualcosa con GOOGLE, se poi vado a cliccare sui risultati di ricerca vengo reindirizzato a go.google.com e poi a delle pagine pubblicitarie (o siti porno) che non c'entrano assolutamente nulla con quello che cerco....

Oltre a ciò la navigazione diventa lentissima dopo una mezzoretta di uso......

Il problema si verifica sia con Firefox che con IE.....

questo è la scansione fatta da Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.00.05, on 26/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\Process Lasso\processgovernor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\NETGEAR\WPN111\wpn111.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\-----------------\Desktop\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll (file missing)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ATITool.lnk = C:\Programmi\ATITool\ATITool.exe
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://F:\ECDL_Elisa\install\authorware\awswaxf.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196185323843
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D765883-6F09-4174-BA00-6713803E7AF7}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A7517BE-E288-4B6B-B578-BCB40B345318}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 12137 bytes




HELP PLEASE!

Ciao benvenuto nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Ho il medesimo problema e non sono riuscito a risolvere.

Ho il medesimo problema e non sono riuscito a risolvere.

apriti una discussione e carica i log

Ciao benvenuto nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)
log di A-squared scansione deep aggiornato ad oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)
log di Kaspersky Virus Removal Tool scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) oppure di F-Secure OnLine http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT scaricato oggi http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
log di ESET SysInspector http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)


Appena ho tutti i log vi faccio sapere.


Grazie!

Ragazzi i link per il PUNTO 3 non vanno...

Precisamente i link a questa pagina:
http://www.hwupgrade.it/forum/showthread.php?t=1631690

Ragazzi i link per il PUNTO 3 non vanno...

Precisamente i link a questa pagina:
http://www.hwupgrade.it/forum/showthread.php?t=1631690

ho provato ora i primi 2 e vanno...

ho provato ora i primi 2 e vanno...

Non so perchè, ma a me non li fa scaricare....
Ne da Firefox ne da IE.....

Ho anche provato (ad esempio) a scaricare i file del punto 4, ma nemmeno quelli vanno...


Che succede??

Non posso più scaricare niente.... E ora che faccio?? :muro:


PS: Fra l'altro ora il computer non rivela più la scheda audio (sento tutti i suoni di sistema, ma ad esempio windows media player non funziona....)

Non so perchè, ma a me non li fa scaricare....
Ne da Firefox ne da IE.....

Ho anche provato (ad esempio) a scaricare i file del punto 4, ma nemmeno quelli vanno...


Che succede??

Non posso più scaricare niente.... E ora che faccio?? :muro:


PS: Fra l'altro ora il computer non rivela più la scheda audio (sento tutti i suoni di sistema, ma ad esempio windows media player non funziona....)

a questo punto dire di procedere con:
Avira Antivir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812)
che dovrai scaricare e masterizzare da un altro pc poi fai il boot tramite questo cd e dai una bella pulita usando la funzione "2" :)

a questo punto dire di procedere con:
Avira Antivir Rescue System (http://www.hwupgrade.it/forum/showthread.php?t=1689812)
che dovrai scaricare e masterizzare da un altro pc poi fai il boot tramite questo cd e dai una bella pulita usando la funzione "2" :)

Miseriaccia......


Se lo faccio partire dalla penna USB va bene lo stesso?

non penso, non abbiamo mai provato

non penso, non abbiamo mai provato

Ma se invece scarico tutti i rimanenti programmi (da un altro pc) e poi li copio su questo?

Va bene lo stesso?



Ma come mai non riesco più a scaricare? Eppure prima di usare A-squared andava... Possibile che il programma abbia cancellato qualche file relativo al sistema in sè?

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto
post 2
io te l'avevo già detto ;)

post 2
io te l'avevo già detto ;)

Ok, perfetto...
Vi faccio sapere...

GRAZIE!

Avviando GMER mi da un errore....

Esattamente:
http://img300.imageshack.us/img300/344/immaginepf3.th.jpg (http://img300.imageshack.us/img300/344/immaginepf3.jpg)

e se premo OK appare un'altra finestra con scritto:

http://img338.imageshack.us/img338/8359/immaginete2.th.jpg (http://img338.imageshack.us/img338/8359/immaginete2.jpg)


Che faccio??

Ho già provato a riavviare il pc, ma l'errore è lo stesso....

Scarica da qui (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip) Panda Anti-Rootkit
Estrailo e fallo partire -> Spunta "In-depth scan" -> Fagli cercare gli aggiornamenti -> Fai riavviare il pc e lascia scansionare -> Rimuovi eventuali rootkit trovati -> Carica il log

Avviando GMER mi da un errore....

Esattamente:
http://img300.imageshack.us/img300/344/immaginepf3.th.jpg (http://img300.imageshack.us/img300/344/immaginepf3.jpg)

e se premo OK appare un'altra finestra con scritto:

http://img338.imageshack.us/img338/8359/immaginete2.th.jpg (http://img338.imageshack.us/img338/8359/immaginete2.jpg)


Che faccio??

Ho già provato a riavviare il pc, ma l'errore è lo stesso....

ma che sistema operativo possiedi? prima del panda anti rootkit (che in passato ha fatto danni) pubblica gli altri log :)

al limite potresti usare questo antirootkit: RootRepeal (http://rootrepeal.googlepages.com/RootRepeal_1.1.2.rar) :)

ma che sistema operativo possiedi? prima del panda anti rootkit (che in passato ha fatto danni) pubblica gli altri log :)

al limite potresti usare questo antirootkit: RootRepeal (http://rootrepeal.googlepages.com/RootRepeal_1.1.2.rar) :)


Windows XP....

Quindi che faccio? Pubblico i log?

Mi mancano gli ultimi 2 punti.....


PS: Ma questo errore da cosa è causato??

ho lo stesso problema..

ho fatto una scannata con lavasoft e spybot ma nisba.

Il problema e che sono aggiornati al 24.. aspeto il loro aggiornamento..

Cmq aggiungo anche questo problema: chrome non funaziona.

Per il momento è l'adware o quel che è piu intelligente che abbia mai preso!

Un altra indicazione: penso di averlo preso navigando con opera: ad un certo punto mi si è chiudo il firewall di windows e da allora google etc non funziona!!

al momento non ho il computer sotto mano.. domani loggo..

Windows XP....

Quindi che faccio? Pubblico i log?

Mi mancano gli ultimi 2 punti.....


PS: Ma questo errore da cosa è causato??
pubblica i log intanto che fai la scansione con RootRepeal e PrevxCSI :)

ho lo stesso problema..

ho fatto una scannata con lavasoft e spybot ma nisba.

Il problema e che sono aggiornati al 24.. aspeto il loro aggiornamento..

Cmq aggiungo anche questo problema: chrome non funaziona.

Per il momento è l'adware o quel che è piu intelligente che abbia mai preso!

Un altra indicazione: penso di averlo preso navigando con opera: ad un certo punto mi si è chiudo il firewall di windows e da allora google etc non funziona!!

al momento non ho il computer sotto mano.. domani loggo..

segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione :)

pubblica i log intanto che fai la scansione con RootRepeal e PrevxCSI :)

Domattina li pubblico....;)

Domattina li pubblico....;)

ottimo :)

Allora, ecco tutto:

Malwarebytes log --> http://www.fileqube.com/shared/WKYYT115350

A-Squared log --> http://www.fileqube.com/shared/idcOtRdl115351

Kaspersky log --> www.hwupgrade.helloweb.eu/ParserLog/log/output-1537981191.txt

Dr.Web log --> www.hwupgrade.helloweb.eu/ParserLog/log/output60129479.txt

ESET Sys log --> TXT: http://www.fileqube.com/shared/ZFojgpj115353
XML: http://www.fileqube.com/shared/dPifaaR115355

HiJackThis log --> [rl]http://wuww.fileqube.com/shared/WdItpG115354[/url]





Se trovate queste stringa: "----------------" è perchè ho cancellato informazioni personali.....


:help:

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O16 - tutte le voci senza riferimenti a microsoft

da malwarebytes:

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\Documents and Settings\-------------------\Desktop\PROGRAMMI OK\SpaceTime.Mathematics.SpaceTime.v3.0.3.2.ARM.PPC.Incl.Keymaker-COREPDA\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleanxp.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\--------------------\results.txt (Malware.Trace) -> Quarantined and deleted successfully.


da a-squared:

c:\programmi\morpheusbar rilevati: Trace.Directory.Morpheus Toolbar
Value: HKEY_CLASSES_ROOT\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_CLASSES_ROOT\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0AF8185C-26D7-4607-A005-7D586B750C38}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5BF31631-3D94-4267-B6F4-0CE18B008928}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.Blubster
C:\Documents and Settings\-------------\Impostazioni locali\Temporary Internet Files\Content.IE5\K0EM8GE1\._file[1].exe rilevati: Trojan-Downloader.Win32.Small.adin
C:\Programmi\Shareaza\Downloads\@ mirc6 12 invision2 0 rar @ [!].zip/Setup.exe rilevati: Trojan-Dropper.Win32.Mudrop.du
C:\Programmi\Shareaza\Downloads\_uncensored_ mirc6.12invision2.0.rar by iNC Full.zip/Setup.exe rilevati: Trojan-Dropper.Win32.Agent.cfv
C:\SETUP\JackSMS 3[1].07 Install.zip/JackSMS 3[1].07 Install.exe/JackSMS.exe rilevati: Backdoor.Win32.mIRC-based
C:\SETUP\JackSMS 3[1].07 Install.zip/JackSMS 3[1].07 Install.exe/ps.dll rilevati: Riskware.RiskTool.Win32.PsKill.q
C:\WINDOWS\system32\closeapp.exe rilevati: Riskware.RiskTool.Win32.CloseApp.a
C:\WINDOWS\system32\drivers\vgqr.sys rilevati: Hoax.Win32.Agent.fu


e pensare che ci sono versioni di IRC completamente gratuite come Virc o i plugins per pidgin/miranda/trillian


da kaspersky-tool:

Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan-Downloader.Win32.Agent.hzc (email)
Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan-Spy.HTML.Fraud.gen (email)
Trojan program Trojan.Win32.Agent.aejy (email)
Trojan program Backdoor.Win32.SdBot.eoq (File: C:\eraseme_61722.exe)
virus Email-Worm.Win32.Glowa.h (File: C:\Documents and Settings\--------\Desktop\Nuova EMULE\[software] Total IrRemote symbian 3rd s60 ( n80 n73).rar) <- un bel covo di malware questo zip
Trojan program Trojan-Downloader.Java.OpenConnection.ap (cache di java)
27/09/2008 11.30.59 File: C:\eraseme_61722.exe not disinfected postponed

in nod32 svuota la quarantena che è piena di cavolate ricevute da email o scaricate da p2p.. poi rifai la scansione completa (profonda / deep) con kaspersky-tool e rimuovi tutto cio che trova :)


Non scaricare mai video in formato WMV perchè in questo formato puoi associare la richiesta di download di falsi codec che hanno lo scopo di infettarti!
infatti Dr.WEb cureIT rileva correttamente proprio dei filmati infetti da "Trojan.DownLoader.1729"

C:\EPSON\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\SP2100\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\EPSON\SP2100\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\FILM\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\FILM\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\MAGIX\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\MAGIX\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\nokia 6630\Desktop_.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\NOKIA\nokia 6630\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\Program Files\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\Program Files\Adobe\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\SETUP\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\SETUP\alcohol.120.1.9.5.3105.crack\_desktop.ini infettato da Win32.HLLW.Gavir.ini - cancellato
C:\WINDOWS\system32\tdssl.dll infettato da BackDoor.Tdss.7 - cancellato
C:\WINDOWS\system32\tdsslog.dll infettato da Trojan.Sespy.13 - cancellato
C:\WINDOWS\system32\tdssmain.dll infettato da BackDoor.Tdss.7 - cancellato
C:\WINDOWS\system32\tdssserf.dll infettato da Trojan.Fakealert.1304 - cancellato

nonn ho riportato tutti gli oggetti perchè era solo dispersivo.. la cosa però non è rassicurante!


da HiJackThis:

Fixa:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll (file missing)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"

sono tutte voci marginali, verranno solo stoppate queste esecuzioni automatiche che non sono esenziali e consumano solo risorse inutilmente, tutte le applicazioni continueranno a funzionare come sempre.


Devi fare subito la pulizia dei file temporanei a browser chiuso sia da atf-cleaner si da pannello di controllo -> java -> pulisci cache

Poi fammi un log con FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) :)

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=093008 serial=dr12wex-1504397-kty lang=IT
O4 - HKLM\..\Run: [ProcessGovernor] C:\Program Files\Process Lasso\processgovernor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O16 - tutte le voci senza riferimenti a microsoft




Ecco fatta la scansione con HiJackTHis:

http://www.fileqube.com/shared/aEaEMiT115369


L'altra la faccio dopo pranzo....;)


EDIT:
Da pannello di controllo->java si apre una finestra nella quale non c'è traccia di pulisci cache.....

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti :ave:

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti :ave:

Grazie per la segnalazione...

Quindi in breve faccio partire antivir da cd e tutto è risolto??

si risolve tutt oseguendo
http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13

Cmq secondo voi come l'ho fatto a beccare?
uso avira free.

In teoria navigavo con Opera quando all'improvviso mi si è chiuso il firewall di internet e l'ho riaperto manualmente...

da allora i problemi, cosa puo esser? (cosi evito in futuro simili problemi)

grazie a tutti :ave:
il tuo era un problema comnpletamente differente e dovuto da infezione da rootkit:
http://www.hwupgrade.it/forum/showthread.php?t=1829462

sei pregato di non innondare il forum dei tuoi messaggi, che se da un punto di vista sono gratificanti inquanto significa che le MIE DIRETTIVE sono state fruttuose, dall'altra mi vedrei costretto a sospenderti per aver eseguito crossposting e aver dato consigli senza cognizione di causa!
ribadisco, ti abbiamo aiutato ma con la stessa facilità ti possiamo allontanare ;)

Ecco fatta la scansione con HiJackTHis:

http://www.fileqube.com/shared/aEaEMiT115369


L'altra la faccio dopo pranzo....;)


EDIT:
Da pannello di controllo->java si apre una finestra nella quale non c'è traccia di pulisci cache.....

ne dovresti fare due non una sola :)


per la java:
Pannello di controllo -> Java -> Cache -> Cancella

ne dovresti fare due non una sola :)


per la java:
Pannello di controllo -> Java -> Cache -> Cancella

Questo è quello che vedo, non c'è traccia della cache, nemmeno nella altre schede (che nell'immagine non si vedono...)

http://img156.imageshack.us/img156/2434/immaginewi6.jpg

prosegui in file temporanei -> impostazioni

prosegui in file temporanei -> impostazioni

Ok, c'era scritto ELIMINA FILE... Ed ho eliminato tutto...


Dopo procedo con le altre operazioni che mi hai suggerito...
Poi posto tutti i risultati....;)


Ciao e grazie ancora!

Ragazzi domani vi faccio avere tutto...
Oggi devo studiare per un esame......:rolleyes:

da malwarebytes:

Devi fare subito la pulizia dei file temporanei a browser chiuso sia da atf-cleaner si da pannello di controllo -> java -> pulisci cache

Poi fammi un log con FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) :)



Allora ho fatto tutto quanto mi è stato detto...

Il log di FindAWF è il seguente:



Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report



Nella finestra del prompt che mi è apparsa ho seguito la procedura 1....


Fatemi sapere....

a posto il log è pulito :)

a posto il log è pulito :)

E quindi che faccio....?

I miei problemi persistono......

ricarica un nuovo log classico di HiJackThis

ricarica un nuovo log classico di HiJackThis

aggiungo anche da fare il log dr.Web CureIT (clickandio su aggiorna prima) tramite scansione completa :)

Ecco il log di Hijack.....

http://www.fileqube.com/shared/tsepZp118314

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)


O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll (file missing)
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll (file missing)
O4 - HKLM\..\Run: [PerfectOptimizer] C:\Programmi\Perfect Optimizer\PerfectOptimizer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V3 - {3B28142E-6D05-47AB-A263-0556C785EBB4} - C:\Programmi\IEInspector\HTTPAnalyzerFullV3\IEHTTPAnalyzerV3.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O16 tutte le voci senza riferimenti a microsoft


il problema potrebbe essere collegato alle O16 che ti avevo già detto di fixare qui
http://www.hwupgrade.it/forum/showpost.php?p=24322081&postcount=25

Ecco fatto tutto come hai detto....


PS: Comunque lo avevo già fatto.....

Fammi sapere qualcosa, questo virus mi sta torturando.....



EDIT: Il problema della ricerca su Google sballata permane sempre...

pulito


Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet e chiudi ogni altra finestra o programma
Lancialo e aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare
Digita 1 e attendi la scansione evitando di fare qualsiasi altra operazione
Dai conferma nel caso ti chieda di rimuovere alcuni driver
Attendi pazientemente senza toccare nulla
Al termine verrà mostrato il log da caricare che si trova in C:\ComboFix.txt

Allora, ho appena fatto tutto, in allegato c'è il log....

L'unica cosa: non ho dovuto premere 1, ha fatto tutto da solo...
E all'inizio della scansione ho dovuto riavviare il pc perchè il programma ha rilevato la presenza di ROOTKIT....:rolleyes:


EDIT:
Il problema sembrerebbe risolto.....
La ricerca su Google funziona correttamente e la navigazione non è più lenta...

Un'ultima cosa: ma cosa posso utilizzare (in futuro) per essere più protetto e per ottimizzare il pc?

Ancora GRAZIE 1000!!

ti preparo uno script per combo poi per il resto se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene iltrattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide



Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

per la cronaca...

combo ha eliminato questa robaccia

C:\Autorun.inf
C:\Documents and Settings\Tutti.PACCHIER-6AOND6\Menu Avvio\Programmi\Videos.url
C:\Documents and Settings\Tutti.PACCHIER-6AOND6\Preferiti\Videos.url
C:\install.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat


ricontrollando l'ottimo riassunto di deg
http://www.hwupgrade.it/forum/showpost.php?p=24322288&postcount=26
le voci in rosso
mbam doveva rimuoverle al riavvio
cureit sembra le abbia cancellate

giorni fà un caso simile si era risolto eliminando da gmer il servizio relativo a TDSS
in questo caso gmer non partiva, panda è stato sconsigliato per repeal (che non ho trovato) e così probabilmente continuava a rigenerarsi...

Ciao allega un nuovo log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe

Funzione 1

NB: ho visto che ti è già stato chiesto ma vorrei che tu ne ne producessi un'altro :)

Intanto vi ringrazio ancora per il supporto...

Ad oggi posso confermare che i problemi sono stati risolti...
E durante tutti i procedimenti che ho effettuato ho eliminato anche tanta altra roba.....


Una domanda: All'avvio Nod32 non parte in automatico... Come posso fare per fare ciò?

PS: Provvedo a fare il log con FindAwF....


EDIT:
Ecco il log con FindAWF:



Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report



PS: Quindi ora mi consigliate di leggere e mettere in atto questo?
http://www.hwupgrade.it/forum/showpost.php?p=24322288&postcount=26


E come faccio per far partire Nod32 in automatico all'avvio?

Intanto vi ringrazio ancora per il supporto...

Ad oggi posso confermare che i problemi sono stati risolti...
E durante tutti i procedimenti che ho effettuato ho eliminato anche tanta altra roba.....


Una domanda: All'avvio Nod32 non parte in automatico... Come posso fare per fare ciò?

PS: Provvedo a fare il log con FindAwF....


EDIT:
Ecco il log con FindAWF:





PS: Quindi ora mi consigliate di leggere e mettere in atto questo?
http://www.hwupgrade.it/forum/showpost.php?p=24322288&postcount=26


E come faccio per far partire Nod32 in automatico all'avvio?

Strano dal log di HJT io vedo Nod32 in run attivo è funzionante nod32krn.exe

visto l'accaduto io lo rimpiazzarei... a meno che sia correttamente licenziato...

Strano dal log di HJT io vedo Nod32 in run attivo è funzionante nod32krn.exe

Si, perchè ogni volta lo avvio io dopo il riavvio.....:)

E cosa potrei mettere al posto di Nod32? era comodo perchè è leggero....

Si, perchè ogni volta lo avvio io dopo il riavvio.....:)

E cosa potrei mettere al posto di Nod32? era comodo perchè è leggero....

E' regolarmente licenziato?

E' regolarmente licenziato?

:Prrr:

:Prrr:

Male, disinstalla il Nod, fai pulizia con CCleaner dopodichè installa Avira Antivir Free configuralo coma da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

e procedi con una scansione completa del sistema

Male, disinstalla il Nod, fai pulizia con CCleaner dopodichè installa Avira Antivir Free configuralo coma da Guida http://www.hwupgrade.it/forum/showthread.php?t=1514684

e procedi con una scansione completa del sistema


Ok, ora faccio i passaggi indicati sopra e poi installo Avira...
Ma è abbastanza leggero come antivirus?

vai tranquillo ;)

Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto




Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


Ecco il log fatto con questa procedura...

la stringa incriminata è ancora presente....
sicuro di aver seguito bene
http://www.hwupgrade.it/forum/showpost.php?p=24379456&postcount=46

prova ora con Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

la stringa incriminata è ancora presente....
sicuro di aver seguito bene
http://www.hwupgrade.it/forum/showpost.php?p=24379456&postcount=46

prova ora con Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)


Si, ho creato il file .txt e l'ho trascinato su ComboFIx.... Poi però non ho premuto nulla, ha fatto tutto (o quasi) da solo....

la stringa incriminata è ancora presente....
sicuro di aver seguito bene
http://www.hwupgrade.it/forum/showpost.php?p=24379456&postcount=46

prova ora con Gmer http://img171.imageshack.us/img171/2085/info2gs7.jpg (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)

Ecco il log fatto con GMER.....
http://www.fileqube.com/shared/jwBPSgFzq120029


Fatemi sapere..... :)

scarica l'allegato, rinominalo in fix.reg, click dx e aggiungi
poi nuovo log di combo

scarica l'allegato, rinominalo in fix.reg, click dx e aggiungi
poi nuovo log di combo



Cioè lo rinomino e poi lo "sposto" su Combofix?

PS: ComboFIX Antivir me lo rileva come un virus...
Come faccio a non farlo controllare?
Sennò mi compare la finestra di notifica ogni secondo.....

fix.txt lo rinomini poi click destro e fai aggiungi
serve per carcellare quella stringa di registro che prima con combo non è sparita....

di fianco all'orologio disabilita momentaneamente antivir, click dx - disable mi pare..

fix.txt lo rinomini poi click destro e fai aggiungi
serve per carcellare quella stringa di registro che prima con combo non è sparita....

di fianco all'orologio disabilita momentaneamente antivir, click dx - disable mi pare..

Ok fatto....;)

Ora devo fare qualche altra cosa?
Magari per prevenzione....

Ho installato Avira e il firewall Online Armor Premium....

nel trattamento che ti avevo linkato c'è tutto ;)

nel trattamento che ti avevo linkato c'è tutto ;)

Ho seguito tutto, ed è tutto sistemato correttamente...Tranne il punto 14.....
Come mai devo rimuovere tutti i tool?

Un'ultima cosa... Per ottimizzare un po' le prestazioni oppure per togliere roba obsoleta che mi consigli?

Ho seguito tutto, ed è tutto sistemato correttamente...Tranne il punto 14.....
Come mai devo rimuovere tutti i tool?

Un'ultima cosa... Per ottimizzare un po' le prestazioni oppure per togliere roba obsoleta che mi consigli?
non tutti, quelli che non ti servono più... ;)

nel bigino ho un deframmentatore e un pulitore di registro

non tutti, quelli che non ti servono più... ;)

nel bigino ho un deframmentatore e un pulitore di registro

Ok, faccio una bella deframmentazione (che chissà da quanto tempo non la faccio....:stordita: )

Ciao e ancora grazie 1000!!

Ok, faccio una bella deframmentazione (che chissà da quanto tempo non la faccio....:stordita: )

Ciao e ancora grazie 1000!!
di nulla;)

Già che ci sono sfrutto questo topic per non aprirne un altro....

Ho insallato il firewall Online Armor Premium, ma ho un problema quando collego il palmare al pc....

In pratica ActiveSync lo trova, ma quando vado su ESPLORA RISORSE (per aprire la memoria del palmare) mi appare una finestra vuota....

Prima che ciò succedesse mi è apparso un avviso del FIREWALL e io ho acconsentito alla domanda che mi chiedeva se eseguire ActiveSync o meno e poi qualche altra cosa relativa alla connessione tra palmare e pc...

Quando invece disattivo il firewall la memoria del palmare viene correttamente visualizzata...


Come posso risolvere??

al momento non ce l'ho sottomano OA, chiedi direttamente nel suo 3d

Ciao a tutti. Spero di avere individuato il thread giusto. Il mio problema consisteva nel malfunzionamento di google (ciccando sui link frutto della ricerca mi reindirizzava sempre a siti legati a go.google; ero impossibilitato ad accedere a qualunque sito di antivirus o antispyware; il contenuto della cartella di installazione di spybot search&destroy era stato eliminato; il mio pc aveva problemi all’avviamento ed ero impossibilitato ad accedere a usb drive). Per poter seguire la “guida alla disinfezione per infetti”, ho prima avviato con il rescue cd di avira e poi ho seguito passo passo la guida. Pubblico i log per chiedervi di darmi una mano a “guarire” del tutto. Ho disattivato la protezione di sistema e pulito con AFT-Cleaner poi ho scansionato con :

Malwarebytes log> http://www.fileqube.com/file/JiHrQLxjd152821
A-Squared log> http://www.fileqube.com/file/KhpwTU152822
F-Secure log> http://www.fileqube.com/file/MkBopuhZ152823
Dr.Web log> http://www.fileqube.com/file/LozrbQUA152824
ESET Sys log> http://www.fileqube.com/file/hOtumyKpH152825
HiJackThis log> http://www.fileqube.com/file/CIEoWZCXr152826
Gmer log> http://www.fileqube.com/file/cbuSfhGEF152827 (in rosso era segnato: Service system32\drivers\TDSSmqlt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys)
PrevxCSI (non consente più di salvare il log, ma ho inserito l’immagine dopo lo scan)> http://www.fileqube.com/file/hIHkhZE152828

Grazie dell'aiuto. Ciao

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)
con combo dovresti eliminare completamente il problema



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UVS11 Preload] C:\Programmi\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vmware-tray] C:\Programmi\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programmi\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageEnterpriseServer\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageEnterpriseServer\TimounterMonitor.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pippo\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O16 - tutte le voci

Ciao e grazie fin da ora.
Riassumendo: uso combofix e pubblico il log relativo, poi lancio HijackThis e procedo come descritto. O devo prima fare il fix con HiJackThis?
Una volta concluso il tutto posso considerare il mio pc "guarito"?
Ciao e grazie ancora

comincia con combo che dobrebbe segare tutti i file relativi a TDSS
fai il fix con hjt e carichi entrambi i log

Ho provveduto. Dopo aver fatto pulizia con Combofix, hjt non ha rilevato più voci contrassegnate con inizio riga 016: ho fatto il fix delle altre.
I log sono i seguenti:

Combofix> http://www.fileqube.com/file/POSsRJwZ153173

hjt> http://www.fileqube.com/file/OGyJTqw153174

Grazie ancora per l'aiuto. Ciao

Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c855d8fa-a013-11dd-902b-005056c00008}]



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt


se non riscontri altri problemi (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante
aggiornare Windows va al service pack 3
aggiornare Internet Explorer alla 7

Fai girare anche questo tool

Scarica SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

allega anche un nuovo log di Gmer

Fatto come da indicazioni. I log sono i seguenti:

ComboFix> http://www.fileqube.com/file/eyxHdgtgB153201
SDFix> http://www.fileqube.com/file/tErQrqKwV153204
Gmer> http://www.fileqube.com/file/MygYJxz153206

Ciao

Fatto come da indicazioni. I log sono i seguenti:

ComboFix> http://www.fileqube.com/file/eyxHdgtgB153201
SDFix> http://www.fileqube.com/file/tErQrqKwV153204
Gmer> http://www.fileqube.com/file/MygYJxz153206

Ciao

Dovremmo essere Ok, riscontri problemi?

Dovremmo essere Ok, riscontri problemi?
era rimasto un rimasuglio che ha eliminato sdfix
l'altra volta combo aveva fatto strike ;)
http://www.hwupgrade.it/forum/showpost.php?p=24380483&postcount=47

era rimasto un rimasuglio che ha eliminato sdfix
l'altra volta combo aveva fatto strike ;)
http://www.hwupgrade.it/forum/showpost.php?p=24380483&postcount=47

C:\WINDOWS\SYSTEM32\TDSSOSVD.dat - Deleted ;)

Mitici!!
Allora è guarito?
Io ho già provveduto ad installare IE7 e Sp3.
Per il firewall, sygate personal firewall com'è? (è quello installato attualmente).
E cosa mi dite di Spybot search&destroy?
Grazie ancora di tutto.
:D

A proposito...problemi ieri sera non ne ho riscontrati, a parte uno (che però mi accompagna da un po'): firefox dopo un tot di schede aperte si chiude con il classico messaggio di Windows. A parte questo (contavo di tentare di reinstallare Firefox), altri problemi non ne ho.
Grazie. Ciao

spybot rimuovilo pure
sygate potresti rimpiazzarlo con online armor oppure comodo entrambi free e migliori

Uso questo mio vecchio topic per non aprirne inutilmente un altro...

Ho visto che è uscita la nuova versione di Avira..
Che dite, la installo?

CIAO! :D

Uso questo mio vecchio topic per non aprirne inutilmente un altro...

Ho visto che è uscita la nuova versione di Avira..
Che dite, la installo?

CIAO! :D

Esiste già http://www.hwupgrade.it/forum/showthread.php?t=1514684 dove puoi trovere tutte le info che ti necessitano ;)

Grazie! :)

raga uppo questo posto.

Ho un problema molto simile a flaviopac. solo che con combofix non l'ho risolto.
ho aperto anche un altro post con tutti i log.

qualcuno puo' aiutarmi?

(disabilitazione scheda audio e similari)

raga uppo questo posto.

Ho un problema molto simile a flaviopac. solo che con combofix non l'ho risolto.
ho aperto anche un altro post con tutti i log.

qualcuno puo' aiutarmi?

(disabilitazione scheda audio e similari)

se hai già un tuo thread a che serve upparne un altro per lo stesso motivo?
http://www.hwupgrade.it/forum/showthread.php?t=2027710

scusa se non è così immediata la soluzione purtroppo non sei il solo a chiedere assistenza e noi siamo qui noprofit devolvendo il nostro tempo libero, nons arebbe nemmeno facile se avessimo tutta la giornata a tua completa disposizione perchè del resto noi dobbiamo farci un idea senza avere il pc sotto mano e dobbiao evitare di causarti maggiori problemi rispetto a quelli che già riscontri..