salve.
sono di nuovo a chiedervi aiuto e consiglio.
e anche questa volta il computer non è mio, ma di amici.
ho iniziato a seguire la guida per la disinfestazione, ma purtroppo mi son bloccato ben presto.
malwarebyter's termina la scansone ma quando gli dico di eliminare gli oggetti infetti, si blocca e rimane bloccato. ho già tentato 2 volte. cmq la seconda ho pensato bene di salvare il log prima. così mi dite quanto malato è il malato e come procedere come la cura. ovviamente Grazie in anticipo

Ciao benvenuto nel pronto soccorso di HU.
prova con il cd di avira come indicato più sotto poi segui bene le info

Per ripulire completamente il pc segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Leggi bene tutto questo post, e arriverai in fondo alla guida in perfetta autonomia
salvo in caso di problemi particolari...


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)



Se il sistema è molto compromesso, e non dovessi riuscire a seguire la guida, prima prova con il rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812), a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22), anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log, qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

ok, grazie. sto facendo la scansione con il cd di avira. però non potrò salvare il log, vista l'assenza del floppy. appena termina, vi aggiorno sulla situazione e riprovo con Malwarebytes Anti-Malware e successivi passi come da guida.

rieccomi.
la scansione con il cd rescue di avira non ha individuato granchè. mi ha solo segnalato un 3-4 warning e nessun file infetto.
ho allora provato a fare scansione deep con a-squared. e ho messo in quarantena quanto trovato. escluso i file che so essere propri dei pc HP.
ottimista, ho poi riprovato con malwarebyte's, ma anche questa volta si blocca quando gli dico di rimuovere gli oggetti individuati.

allego i log di asquared e di malwarebyte's primache si bloccasse.
cosa suggerite di fare? elimino manualmente i file e le chiavi individuate da malwarebyte's o procedo con le scansioni secondo la guida?

log di mbam: http://wikisend.com/download/524174/mbam-log-2008-10-18 (11-42-29).txt

prova con malwarebytes da mod. provvisoria

mentre vi aspettavo, ho avuto la stessa idea. infatti ho già iniziato la scansione in mod provv. appena termina, vi faccio sapere. ciao e grazie

in modalità provvisoria malwarebyte's non si è bloccato. però alcuni file ha avvisato che li avrebbe cancellati dopo il riavvio. non son troppo sicuro l'abbia fatto, perchè avast al riavvio mi ha segnalato la presenza di uno di questi file
come procedo?

bene, procedi pure con la guida

mi sa che malwarebytes non ha cancellato tutto. adesso sto rifacendo la scansione e ha già trovato 7 elementi infetti. la lascio finire? blocco la scansione e spero che gli elementi vengano eliminati dai prossimi programmi? devo rifare scansione con asquared o passo al punto successivo?

mi sa che malwarebytes non ha cancellato tutto. adesso sto rifacendo la scansione e ha già trovato 7 elementi infetti. la lascio finire? blocco la scansione e spero che gli elementi vengano eliminati dai prossimi programmi? devo rifare scansione con asquared o passo al punto successivo?
procurati tutto il necessario vedi voce portabilità nele info
cerca di rimanere scollegato qui usa kasp e non f-secure ;)
finisci con mbam, poi procedi con la sequenza

ok. scarico da altro pc e lascio scollegato il malato.
un dubio: durante le scansioni lascio attivo avast?

attivo o disattivo mi sembra non cambi nulla :D
lascialo comunque attivo... vedremo poi di rimpiazzarlo ;)

mi sa che hai ragione :D

rieccomi. ho terminato le scansioni (escluso quella con prevx, preferendo come suggeritomi rimanere offline).

ecco i log:

-log malwarebyte's: http://wikisend.com/download/527432/mbam-log-2008-10-18 (17-44-26).txt
-log a-squared: http://wikisend.com/download/575302/a2scan_081018-174917.txt
- log kaspersky: www.hwupgrade.helloweb.eu/ParserLog/log/output-53544830981.txt
- log dr.web: www.hwupgrade.helloweb.eu/ParserLog/log/output-3697911883.txt
- log eset: http://wikisend.com/download/926644/SysInspector-VALENTINA-081019-1200.xml
- log highjackthis: http://wikisend.com/download/479046/hijackthis.log
- log gmer: http://wikisend.com/download/538176/log gmer.log

alcuni file considerati infetti penso siano porpri dei computer HP e quindi non li ho rimossi. speroi di aver fatto bene
altre segnalazioni riguardano gli strumenti di rimozione.

c'è da dire che gli elementi che malwarebyte's si riprometteva di cancellare al reboot in realtà non son stati rimossi. adesso sto rifacendo scansione, appena termina vi metto il log.

cosa dite sulla situazione? cosa devo far?

grazie

mi carichi le prime righe riassuntive del log di kasp
quali sono i file che non hai eliminato? se fossero corrotti e non li cancelli potremmo stare qui dei mesi... ;)


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

O2 - BHO: (no name) - {A8A2BB49-31BD-45EB-A79E-F7D12552378D} - c:\windows\system32\mgxlhpb.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Internet Cleaner - {45819E58-6E84-4A5D-BD65-A706981E5BE8} - C:\Programmi\Internet Cleaner\ICleaner.exe (HKCU)
O9 - Extra 'Tools' menuitem: Internet Cleaner - {45819E58-6E84-4A5D-BD65-A706981E5BE8} - C:\Programmi\Internet Cleaner\ICleaner.exe (HKCU)
O20 - Winlogon Notify: obcxiehb - C:\WINDOWS\SYSTEM32\mgxlhpb.dll
O16 - tutte le voci

eccomi. malwarebyte's ha appena terminato la scansione.
ecco il log prima di tentare di rimuovere gli elementi, cosa che temo non riesca a fare.

http://wikisend.com/download/792408/mbam-log-2008-10-19 (14-02-29).txt

per il log di kasp, io ho questo.
mi sorge il dubbio di averlo salvato prima che terminasse di cancellare un file.
che cmq era riuscito a cancellare

ecco il log di highjackthis dopo il fix. alcune voci le ho lasciate, visto che il pc non è mio e non so se efettivamente le son comode.
è rimasto altro di nocivo?


come procedo per pulire ile chiavi e i file infetti dal trojan, rilevati ma impossibili da rimuovere con malwarebyte's??

carica il log di mbam dopo l'ultima eliminazione
poi eventualmente fai una scansione rapida di verifica

mbam non elimina niente. si blocca. e anche in modalità provvisoria dice che eliminerà i file dopo il rebbot, ma non li elimina.

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet e chiudi ogni altra finestra o programma
Lancialo e aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare
Digita 1 e attendi la scansione evitando di fare qualsiasi altra operazione
Dai conferma nel caso ti chieda di rimuovere alcuni driver
Attendi pazientemente senza toccare nulla
Al termine verrà mostrato il log da caricare che si trova in C:\ComboFix.txt

è preferibile fare il tutto in modalità provvisoria?

va bene anche da mod. normale, anche lui fa le eliminazioni ostiche con il riavvio

ecco il log di combo

Apri il Blocco Note copia e incolla questa righe:

File::
C:\WINDOWS\system32\mgxlhpb.dll
C:\WINDOWS\system32\Drivers\kqV05.sys

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8A2BB49-31BD-45EB-A79E-F7D12552378D}]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

fatto come suggerito
ecco il log ottenuto

Apri il Blocco Note copia e incolla questa righe:

File::
C:\WINDOWS\system32\mgxlhpb.dll
C:\WINDOWS\system32\Drivers\kqV05.sys

Driver::
kqV05

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8A2BB49-31BD-45EB-A79E-F7D12552378D}]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kqV05.sys]


Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

ecco il log

C'è qualcosa che non torna mi allegheresti un nuovo log di HJT + SysInspector devo verificare una cosa, grazie.

eccoli:

http://wikisend.com/download/556028/hijackthis new.txt
http://wikisend.com/download/915712/SysInspector-VALENTINA-081020-1228.xml

e grazie a te

Salve! Sono nuovo qui! Mi chiamo Giovanni e chiedo necessariamente il vostro aiuto! Mi sono imbattuto in un virus: quello che fa comparire la scritta VIRUS ALERT! accanto all'orologio e che disattiva l'esplorazione delle risorse del computer.
Ho più o meno eseguito i 9 punti della "guida alla disinfestazione per infetti" ma ancora il problema persiste. Non saprei cosa fare!!!

Vorrei allegarvi i logs, ma non riesco a caricarne più di uno!

ciao! penso che sarebbe meglio che aprissi una nuova discussione, dove esponi i tuoi problemi e alleghi i log delle scansioni che hai fatto.
in questo post:
http://www.hwupgrade.it/forum/showthread.php?t=1779308
trovi le istruzioni su come allegare i log. usa uno dei siti suggeriti al punto 2.
ciao e buona pulizia

eccoli:

http://wikisend.com/download/556028/hijackthis new.txt
http://wikisend.com/download/915712/SysInspector-VALENTINA-081020-1228.xml

e grazie a te

Ripeti lo script copiando ed incollando queste righe, mi raccomando queste sotto riportate

File::
c:\WINDOWS\system32\mgxlhpb.dll
C:\WINDOWS\system32\Drivers\kqV05.sys

Driver::
kqV05

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8A2BB49-31BD-45EB-A79E-F7D12552378D}]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kqV05.sys]

il tuo suggerimento insistito di copiare quelle righe, mi ha messo un dubbio.
adesso ti spiego il mistero. sto lavorando con kubuntu e il file di testo che creavo copiando e incollando, ha dei terminatoti di linea non perfettamente compatibili con windows. spinto dal dubbio ho aperto il file dello script e capito il problema. scusa, succede.

adesso sistemo il file, vado a mangiare e poi ti allego il log.

ecco il log

proviamo con avenger....

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\system32\mgxlhpb.dll

mi sa che neppure avenger è riuscito nell'intento.

ecco il log

adesso ci siamo anche se in parte

mi sa che neppure avenger è riuscito nell'intento.

no purtroppo on, produci un log di Prevx CSI

eccoci

http://wikisend.com/download/214572/log prevx.log
http://wikisend.com/download/727006/Immagine prevx.bmp

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\WINDOWS\system32\dxpzqsa.dll.bak
C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe


Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\WINDOWS\system32\dxpzqsa.dll.bak
C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe


Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

anche questo file C:\WINDOWS\system32\mgxlhpb.dll sempre che si riesca ad upparlo

ho preso l'iniziatiìva di disinstallare avast e installare avira. spero di non aver sbagliato a farlo adesso. (ma visto che devo mettermi online, con avast temevo di prendere altri virus prima di finire la pulizia) cmq durante la scansione iniziale, ha individuato il file dxpzqsa.dll come infetto da trojan TR/Killav.28714. l'ho messo in quarantena. adesso verifico i file che avete chiesto

ho preso l'iniziatiìva di disinstallare avast e installare avira. spero di non aver sbagliato a farlo adesso. (ma visto che devo mettermi online, con avast temevo di prendere altri virus prima di finire la pulizia) cmq durante la scansione iniziale, ha individuato il file dxpzqsa.dll come infetto da trojan TR/Killav.28714. l'ho messo in quarantena. adesso verifico i file che avete chiesto

ottima iniziativa mi raccomando allega il log :)

avira sta riconoscendo un po di file. io nel dubbio li ho spostati in quarantena.
quindi non li posso inviare a virustotal, perchè son tutti 3 in quarantena.
l'unico che ho pouto inviare è stato il backup di quello famoso che non si riusciva a cancellare. ecco la pagina con i risultati:
http://www.virustotal.com/it/analisis/e6dfd9fe87d6fab52013bed6c05b5ce0

come faccio a farvi vedere i file messi in quarantena? e quelli a cui viene negato l'accsso da avira? 2 di questi penso-pensavo fossero propri di HP. ma a questo punto, non saprei. aspetto vostre istruzioni sul da farsi

avira sta riconoscendo un po di file. io nel dubbio li ho spostati in quarantena.
quindi non li posso inviare a virustotal, perchè son tutti 3 in quarantena.
l'unico che ho pouto inviare è stato il backup di quello famoso che non si riusciva a cancellare. ecco la pagina con i risultati:
http://www.virustotal.com/it/analisis/e6dfd9fe87d6fab52013bed6c05b5ce0

come faccio a farvi vedere i file messi in quarantena? e quelli a cui viene negato l'accsso da avira? 2 di questi penso-pensavo fossero propri di HP. ma a questo punto, non saprei. aspetto vostre istruzioni sul da farsi

a fine scansione allega il log

no, la scansione non l'ho ancora avviata. i file li ha riconosciuti con la protezione in tempo reale. (e 1 all'inizio in una scansione rapidissima che ha fatto appena installato)

vi allego i log di quanto ha trovato

http://wikisend.com/download/589876/AVSCAN-20081020-162533-885EB0C9 1.txt
http://wikisend.com/download/613550/Events.txt

i file HP che pensavo propri di HP sui quali avira mi allerta sono
C:\Programmi\HP Easy Internet\InterDialer.exe. (al quale io e avira abbiam negato l'accesso)
'C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe (meso in quarantena)

adesso avvio una scansione di avira. intanto sarei felice di avere un commento sulla situazione e sui passi successivi da fare. grazie :)

quei file sono quelli che ti eri rifiutato di eliminare a inizio guida ;)

scansione completa e tutto in quarantena poi log

si ricordo, ma rimango ancora in dubbio sul fatto che quei file siano malevoli. ho visto parecchi pc HP ultimamente e se non sbaglio (e potrei sbagliare :) ) quei file erano sempre presenti. ma forse è solo una mia falsa convinzione. penso o pensavo fossero queli relativi alla connessione interfree che mettono a disposizione sui pc HP appunto. cmq adesso li metterò in quarantena, se già non lo sono.
la dll che non siam riusciti a cancellare, adesso è in quarantena?

poi una domanda da ignorante curioso: ma tutte queste dll e file fanno danni solo per il fatto di essere presenti sul pc o solo nel momento in cui vengono caricati nel sistema? io opterei per la seconda.... quindi potrebbe essere sufficiente evitare che vengano caricati, anche se son incancellabili, o sbaglio di brutto? scusate se ho detto azzate

Sono entrambi preinstallati sui Pc Hp e non solo

sono dei falsi positivi? devo metterli-lasciarli in quarantena? il mio presentimento era giusto? o son degli "ex-file buoni" infettati?
a breve, almeno spero, il log (appena termina)

Salve! Per motivi logistici mi son dovuto assentare ed ora mi son ritrovato con la discussione "VIRUS ALERT!" chiusa. Cosa fare???

Cmq i punti 3 e 4 di...
http://www.hwupgrade.it/forum/showthread.php?t=1599603&highlight=chiavetta
...ho cercato di farli ma non esiste alcun file "autorun.inf" nè in C:\ e nè in D:\

Cosa faccio???

Li puoi passare tranquillamente in quarantene sono inutili

Salve! Per motivi logistici mi son dovuto assentare ed ora mi son ritrovato con la discussione "VIRUS ALERT!" chiusa. Cosa fare???

Cmq i punti 3 e 4 di...
http://www.hwupgrade.it/forum/showthread.php?t=1599603&highlight=chiavetta
...ho cercato di farli ma non esiste alcun file "autorun.inf" nè in C:\ e nè in D:\

Cosa faccio???

Se la discussione è stata chiusa c'è un motivo, mi usi la cortesia di leggere i reply http://www.hwupgrade.it/forum/showpost.php?p=24648682&postcount=21

ecco il log della scansione di avira

il prevx è un falso positivo o era infetto da trojan?

Primary action...................: repair
Secondary action.................: ignore

sistema meglio la configurazione di antivir come questa immagine
http://img80.imageshack.us/img80/3417/antivirwu7.png

poi nuovo log di prevx, però disinstallalo riscaricalo e reinstallalo

fatto. ecco il log

C:\System Volume Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP7\A0000635.exe
[DETECTION] Contains recognition pattern of the DR/386454.A dropper

perchè il ripristino conf.sitema non è disattivato?

ripeti la scansione con Prevx CSI ed allega il log, inoltre aggiornaci sullo stato del PC

il perhè non è disativato non lo so. si è riattivato da solo. (si riattiva al riavvio? è normale?)
il log di prevx mi son dimenticato di caricarlo nel post di prima. rimedio ora

http://www.fileqube.com/file/rBolTtT136903

il pc adesso che l'ho riavviato (dopo la disinstallazione di prevx), mi sembra ok.
invece prima del riavvio, andava a "scatti". come se qualche processo lo stesse usando al 100%. per esempio cliccavo su start e dovevo aspettare un bel po prima che si aprisse il menu. poi di nuovo si "bloccava" e "sbloccava".

Controlla il link mi da 404 not found

fileqube ha ancora problemi....

scusate ma penso fosse colpa di fileqube. anche wikisend mi da errore.
mediafire dovrebbe andar bene

http://www.mediafire.com/?tdt32bg0qmm

In Avenger

Files to delete:
C:\WINDOWS\system32\dxpzqsa.dll.bak

allega il log

mi sa che avenger non è riuscito nel suo intento.

http://www.mediafire.com/?dcclcbt2yjj

inoltre al riavvio mentre finiva di caricare i programmi, mi è uscito l'errore in immagine

http://www.mediafire.com/imageview.php?quickkey=chtumugon9x&thumb=5

altra cosa, la scansione rapida di malwarebyte's ha individuato 4 chiavi come da log, che si riproponeva di cancellare al riavvio. adesso riprovo a fare scansione, ma non son troppo fiducioso le abbia cancellate

http://www.mediafire.com/?me0xe2f9yld

Quale errore e quale log ?

scusate, avevo incollato il link pensando fosse quello riassuntivo dei 3 file caricati. invece ce n'erano 3. corretto nel post di prima

Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Apri MBAM clicca sul TAB -> Altri Strumenti -> FileASSASIN e cancella

C:\WINDOWS\system32\dxpzqsa.dll.bak

dopodichè ripeti la scansione con MBAM

il file non c'è o meglio penso che non si veda.

il file non c'è o meglio penso che non si veda.

Togli il segno di spunta anche da:

Nascondi i file protetti di sistema
Nascondi le estensioni per i tipi di file conosciuti

se neppure così riesci ad individuarlo, disinstalla Prevx CSI, riscaricalo e ripeti la scansione

Riepilogo log da allegare
Prevx
MBAM

il file non si vede in nessun modo. ma deve esserci perchè prevx (reinstallato) lo continua a segnalare.

http://www.mediafire.com/?sm9n4bnangt

malwarebyte's contnua a rilevare le solite 4 chiavi che dice rimuoverà al riavvio, ma quando gli clicco OK non si riavvia e cmq riavviando non son state cancellate

http://www.mediafire.com/?q9pdgiuenty

1 Scarica SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

2 Scarica questo tool sul DeskTop e decomprimilo all'interno di una cartella che chiamerai per praticità SFF
Riavvia in modalità provvisoria F8
Apri la cartella che contiene SmitfraudFix ed avvia smitfraudfix.cmd
Seleziona opzione #2 Clean - cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio
Rispondi Sì (Y) ad eventuali altre domande
eseguita tutta la scansione dopo il riavvio del pc allega il log C:\rapport.txt
Download: http://siri.urz.free.fr/Fix/SmitfraudFix.zip

fatta anche questa.

http://www.mediafire.com/?ntj3zvxug1d
http://www.mediafire.com/?onx09ijd4t3

che dite?

Scansione completa con MBAB e Prevx CSI e vediamo i risultati

ma gli ultimi 2 strumenti, pensi abbiano cancellato qualcosa?

ma gli ultimi 2 strumenti, pensi abbiano cancellato qualcosa?

Diciamo che non ho visto quello che avrei voluto vedere :)

anch'io, da ignorante, non avevo visto quello che penso tu avresti voluto vedere. da qui la mia domanda di prima :cry:

la situazioni mi sembra essere identica

eco i log

http://www.mediafire.com/?cnxk0mljldy
http://www.mediafire.com/?zqz09dx0mmx

non possiam provare a cancellare le chiavi di registro individuate da mbam con avenger?? o non si fa? sono nelle vostre mani

e per l'altro file??

Apri il Blocco Note copia e incolla questa righe:

File::
C:\WINDOWS\system32\dxpzqsa.dll.bak

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu]

Salva il file sul Desktop come CFScript.txt

Trascina il file appena creato ovvero CFScript.txt sull'icona di ComboFix

al termine il PC si dovrebbe ravviare, eventualmente riavvia tu manualmente, allega il log che trovi in C:\ComboFix.txt

NB: disabilita tutti i software di sicurezza Antivirus - Anispyware etc.........

ecco fatto. ma non riesco a capire se ha cancellato quanto volevamo.
fra l'altro non si era riavviato. ho fatto io.

ecco fatto. ma non riesco a capire se ha cancellato quanto volevamo.
fra l'altro non si era riavviato. ho fatto io.

Direi di si ma per scrupolo è opportuno ripetere la scansione con MBAM e Prevx, dai ancora un piccolo sforzo :sperem: ;)

purtroppo è bastata la scansione rapida di mbam per rilevare le 4 chiavi del registro. ma se provo a cercarle e cancellarle manualmente??
adesso disinstallo e reinstallo prevx per veder se almeno il file l'abbiamo debellato

anche il file .bak è rimasto dov'era :(
e se li lascio lì dite che creano fastidi? altrimenti cosa si può far?

E che cavolo.......mi alleghi i log

Successivamente da Start - Esegui - digita Regedit e verifica la presenza delle seguenti ed ormai famose chiavi di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu

ecco i log. ma penso siano uguali a molti altri vecchi :(

http://www.mediafire.com/?r9gdtxnipi9
http://www.mediafire.com/?mceummyvbng

si le chiavi ci sono

ecco i log. ma penso siano uguali a molti altri vecchi :(

http://www.mediafire.com/?r9gdtxnipi9
http://www.mediafire.com/?mceummyvbng

si le chiavi ci sono

Falciale a mano e dimmi sei hai il CD di installazione di Win

l'ultima domanda mi spaventa alquanto, soprattutto non essendo mio il computer.
cmq non ho il cd di installazione di windows, perchè il pc viene fornito con partizione di ripristino e possibilità di cd di ripristino, ma senza cd di windows, cosa che io disapprovo, ma vabbè.

pensandoci, dovrei avere il mio cd di windows.
a cosa serve? aspetto risposta prima di falciarle a mano

l'ultima domanda mi spaventa alquanto, soprattutto non essendo mio il computer.
cmq non ho il cd di installazione di windows, perchè il pc viene fornito con partizione di ripristino e possibilità di cd di ripristino, ma senza cd di windows, cosa che io disapprovo, ma vabbè.

pensandoci, dovrei avere il mio cd di windows.
a cosa serve? aspetto risposta prima di falciarle a mano

Eliminale il discorso del CD e per fare eventualmente un'altra cosa

che misterioso :D

come non detto, ovviamente non me le lascia eliminare

Seleziona le chaivi in questione poi tasto dx del mouse e clicca su Autorizzazioni e metti il segno di spunta nei primi due campi della colonna Consenti - Applica - Ok

non c'è Autorizzazioni cliccando con il destro.

non c'è Autorizzazioni cliccando con il destro.

Tasto dx sulla cartellina gialla

non ho l'autorizzazione per modificare. devo entrare in modalità provissoria con l'account Administrator?

non ho l'autorizzazione per modificare. devo entrare in modalità provissoria con l'account Administrator?

Si

niente da fare. come administrator ho il controllo completo sulle chiavi e le sottochiavi, ma non mi permette di cancellarle

niente da fare. come administrator ho il controllo completo sulle chiavi e le sottochiavi, ma non mi permette di cancellarle

Ok si fà per dire, scarica questo tool http://www.atribune.org/public-beta/VundoFix.exe

Doppio click VundoFix.exe
Click su Scan for Vundo
Al termine della scansione clicca con tasto dx del mouse nel Box bianco - clicca su Add more files?
Seleziona il files di testo che ti ho allegato
Clicca su Remove Vundo
A questo punto il desktop dovrebbe rimanere bianco e il programma inizierà la rimozione del Vundo
Terminata la pulizia allega il log

mi sa che ho sbagliato qualcosa :D
il tool non ha trovato infezioni e ha cancellato il file di testo!! :cry:
penso che l'intenzione non fosse quella

mi sa che ho sbagliato qualcosa :D
il tool non ha trovato infezioni e ha cancellato il file di testo!! :cry:
penso che l'intenzione non fosse quella

Sono io che mi sono spiegato male, mi alleghi il log che trovi in C:\Vundofix.txt

ecco
non capisco come fare per dirgli di cancellare il file .bak e non il file txt

Ribadisco ho sbagliato io :stordita: clicca su Add more files? e cerci dxpzqsa.dll.bak nel seguente percorso C:\WINDOWS\system32\ abilitanto la visualizzazione dei files nascosti etc.........

Purtroppo non avendo il Cd di installazione di Win siamo limitati :(

il file non c'è

Recupera il tuo Cd di installazione di Win (stesso SO) e procedi così:

Accendi il PC, subito dopo l'accensione premi il tasto Canc o F2 per accedere al BIOS

EntratO nel BIOS SETUP UTILITY seleziona la scheda BOOT e successivamente BOOT DEVICE PRIORITY

Seleziona 1st Boot Device ed imposta nelle Options CDROM mentre come 2nd Boot Device imposta Hard Drive

A questo punto inserisci nel lettore CDROM il Disco di Installazione di Windows

Premi F10 per confermare ed uscire

Riavviato il PC ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM

Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza

Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza, nel tuo caso 1) C:\Windows quindi premere 1 e confermare con OK

Quando richiesto, digitare la password di amministratore. Se il campo della password di amministratore deve essere lasciato vuoto, premere solo INVIO.

Al prompt dei comandi:
digita cd \windows\system32 -> batti invio

digita del dxpzqsa.dll.bak -> batti invio

Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere INVIO dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows


NB: per muoverti all'inteno del BIOS e selezionare i parametri indicati segui le istruzioni sui tasti funzione che vedi a video

Dopodichè nuova scansione con MBAM e Prevx CSI, ricorda di allegare i log

dici che così lo vede e cancella?? speriam :) faccio immediatamente e ti aggiorno.

quel file non c'è. facendo un dir *.bak mi è comparso solo mgxlhpb.dll.bak.
se non ricordo male, anche quello o la sola dll ra infetta. ma il .bak lo crea uno degli antivirus o il virus stesso?

quel file non c'è. facendo un dir *.bak mi è comparso solo mgxlhpb.dll.bak.
se non ricordo male, anche quello o la sola dll ra infetta. ma il .bak lo crea uno degli antivirus o il virus stesso?

sono da eliminare entrambi, digita:

del dxpzqsa.dll.bak

del mgxlhpb.dll.bak

li crea quel maledetto Vundo

il dxpzqsa.dll.bak non c'è.
l'altro cancellato
riavvio e faccio scansioni?

ho cancellato l'unico bak che c'era. l'altro è un mistero.

cmq adesso riavviato. fatta scansione rapida e trovate le solite 4 chiavi che non cancella

invece prevx finalmente mi segnala il sitema pulito. come da log

cosa devo far per essere sicuro di averlo sconfitto?
e le 4 chiavi che non si cancellano sono preoccupanti?

ho cancellato l'unico bak che c'era. l'altro è un mistero.

cmq adesso riavviato. fatta scansione rapida e trovate le solite 4 chiavi che non cancella

invece prevx finalmente mi segnala il sitema pulito. come da log

cosa devo far per essere sicuro di averlo sconfitto?
e le 4 chiavi che non si cancellano sono preoccupanti?

Lo trovo veramente strano mi alleghi i log, inoltre hai provato a cancellarle manualmente?

ero convinto di aver allegato i log. adesso sto rifacendo scansione completa con mbam. appena termina ti allego questo log (dove immagino troverà le 4 chavi) e il log di prevx.

cmq come ti avevo scritto, ho cancellato il file mgxlhpb.dll.bak mentre l'altro non esisteva.

al riavvio ho fatto scansione rapida di mbam e ha trovato le 4 chiavi. che se non sbaglio trova alla fine con l'euristica. solita storia: dice che per cancellarle deve riavviare, ma non riavvia. riavvio io, ma le 4 chiavi son sempre li.

prevx disinstallato e reinstallato come sempre, invece mi dice che il sistema è pulito. non trova più il file dxpzqsa.dll.bak. che io non ho potuto cancellare, perchè non c'era. mi sa di strano anche a me.

ecco i log :

-di malwarebytes
http://www.mediafire.com/?zosjtnn2tn2

- di prevx:
http://www.mediafire.com/?1lfnmbl9j3q

- di highjackthis (c'è un riferimemento alla dll che ho cancellato e un altro che lascio al vostro giudizio)
http://www.mediafire.com/?nuy1wttjnnt

Da fixare

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A8A2BB49-31BD-45EB-A79E-F7D12552378D} - c:\windows\system32\mgxlhpb.dll (file missing)

Perchè No Action Taken?

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

no action taken perchè probabilmente come un idiota mi son dimenticato di far rimuovere. :muro: però sono un pò scusato perchè sarà la centesima volta che faccio la scansione e quindi è un errore di 1 su 100. cmq anche facendoglielo rimuovere, temo mi direbbe "delete on reboot" e poi non si riavvierebbe. allora farei riavviare io e le chiavi rimarrebbero li cmq. :cry:

cosa dici che son dannose se non si riescono a togliere??
ho provato manualmente ma non mi lascia

No problem, fixa le voci sopra indicate poi apri IE - Strumenti - Opzioni Internet - Avanzate - Reimposta IE - Reimposta - Applica - OK

In Avenger

files to delete:
c:\windows\system32\mgxlhpb.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8A2BB49-31BD-45EB-A79E-F7D12552378D}

mi ha fixato solo una voce. quela relativa al file mancante è ancora li

mi ha fixato solo una voce. quela relativa al file mancante è ancora li

Ho modificato lo script da inserie in Avenger

niente da fare. avenger dice che la cancellazione è fallita per tutti gli elementi.
ACCES_DENIED per tutti :muro:

Il log per favore

non ti fidi? :)

ecco il log.

non ti fidi? :)

ecco il log.

No è che no mi fido desidero vedere i log, temo che ti tocca la trafila del Console per eliminare mgxlhpb.dll, hai rempostato ie come indicato sopra

sulla fiducia scherzavo.
si IE reimpostato.
per la trafila non c'è prblema, ma io non scommetterei troppi soldi sul fatto che il file ci sia. ho come l'impressione che l'abbiam già cancellato.
cmq adesso faccio con cd di windows e ti so a dire

come immaginavo il file non esiste. ho visto da console di ripristino. (anche in highjackthis alla voce che non fixa dice file missing).
cosa si può far ? ma adesso come adessoson infetto? o son rimasugli innoqui?

posso arrischiarmi ad aggiornara windows e i programmi?

quando hai fatto il fix il browser era chiuso?

si internet explorer sicuro. perchè ho installato firefox e sto usando quello. penso fosse chiuso anche firefox ma non posso giurarci

provo a fasre fix da modalità provvisoria. non si sa mai che abbiamo fortuna

anche il fix da modalità provvisoria non ha dato risultati.
che mi dici? spero non di formattare... dopo tutta questa faticaccia :muro:

In questo momento sono un pò a corto di idee :coffee: ma sei sicuro che da Console quel file non esista hai digitato il comando del

si sicurissimo. il del mi diceva che non c'era
anzi adesso vedo nella quarantena di avira. penso sia li.

mi ricordavo bene. è lì in quarantena. devo "liberarlo"??? :D

certo che non ho mai faticato così tanto per eliminare un virus.
neanche in situazioni che sembravan ben peggiori.

oltre a highjack cosa si può usare per cancellare quella voce?
e invece di avenger per rimuovere le chiavi?

dai daiii ideeee!!! :help:

ma secondo te l'infezione è ancora viva e vegeta? o son rimasugli inermi?
prima non ti sei espresso e ciò non mi lascia ottimista

E' evidente che c'è qualcosa che non funziona come dovrebbe, io farei un nuovo giro di Combofix - SysInspector e HJT :)

fatto 30, facciam 31. speriam di venirne fuori :muro:
vi tengo aggiornati.

ecco i log richiesti. a voi l'ardua sentenza

http://www.mediafire.com/?201xd1jmuxn

http://www.mediafire.com/?jmpz00it1dm

http://www.mediafire.com/?omuzixyi2jz


ho notato una cosa strana che non so se può essere d'aiuto. andando in installazione applicazioni per disinstallare un programma, ho notato che nell'elenco c'è uno spazio vuoto gigante tra a-squared e avira. cosa mai vista. ma magari succede. bho

ecco i log richiesti. a voi l'ardua sentenza

http://www.mediafire.com/?201xd1jmuxn

http://www.mediafire.com/?jmpz00it1dm

http://www.mediafire.com/?omuzixyi2jz


ho notato una cosa strana che non so se può essere d'aiuto. andando in installazione applicazioni per disinstallare un programma, ho notato che nell'elenco c'è uno spazio vuoto gigante tra a-squared e avira. cosa mai vista. ma magari succede. bho

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O2 - BHO: (no name) - {A8A2BB49-31BD-45EB-A79E-F7D12552378D} - c:\windows\system32\mgxlhpb.dll (file missing)
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?

grazie, ma come suggeritomi avevo già provato a fixare la voce con il file missing. purtroppo highjackthis non la cancella.
le altre 3 le ha rimosse, ma penso sia più per alleggerire il carico al pc che per risolvere problemi. giusto?
come potrei fare per eliminare quella voce e le 4 chiavi di registro che non vogliono cancellarsi?
che ci sia qualche processo attivo che le blocca? son nelle vostre mani :help:

Questa .dll è ancora li e non dovrebbe esserci più :mbe:

c:\windows\system32\mgxlhpb.dll

Start - Esegui - Regedit e naviga fino alla seguente chiave:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

nel pannello di dx trovi c:\windows\system32\mgxlhpb.dll eliminalo

ho capito che qulla dll non dovrebbe esserci. il problema che non so come cancellarla.
il file sembra non esistere. deve essere in quaantena con avira.
nel registro come da immagine, non c'è riferimento al file. provo a cancellare la chiave {A8A2BB49-31BD-45EB-A79E-F7D12552378D} che è quella legata alla dll da quanto dice highjackthis? però ho i miei dubbi che me la lasci cancellare
il fatto che highjack non riesca a cancellare la voce, che malware non riesca a cancellare le 4 chieavi può dipendere da qualche "processo maligno" che lo impedisce? come si può far a scoprire il colpevole?
o non potrebbe essere avira ad esempio che ha messo in quarantena la dll che blocca qualsiasi attività legata a quel file? sto delirando??? :help:

http://www.mediafire.com/?foms5qyxygd

il vostro silenzio mi fa temere abbiate esaurito le idee. :cry:

vi ringrazio per la collaborazione: il pc cmq sembra reattivo.
spero che quanto non siam riusciti a eliminare siano solo rimasugli innoqui: o almeno così voglio credere.
se dovessero notarsi peggioramenti, la prox volta prevedo un bel format purificatore. (dopo tutti questi tentativi non ho voglia di formattare adesso, anche perchè non son sicuro di aver fatto il backup di tutto e il pc non è mio)

grazie ancora

hai provato anche con UnDLL (http://www.nod32.it/tools/undll.php) ? :D

il mio silenzio era derivante dalla mancanza di tempo :p

ah ma allora ditelo che siete una fonte inesauribile di idee.
ne serve un'altra, perchè la dll a cui fa riferimento la chiave in highjackthis è in quarantena con avira e di coneguenza non posso selezionarla e eliminarla con undll. devo vermanete liberarla dalla quarantena?? io l'altro giorno scherzavo, ma io inizio a pensare che sia un'idea....

la mancanza di risposte dipende dall'esaurimento di idee o dal w-e? :)

ah ma allora ditelo che siete una fonte inesauribile di idee.
ne serve un'altra, perchè la dll a cui fa riferimento la chiave in highjackthis è in quarantena con avira e di coneguenza non posso selezionarla e eliminarla con undll. devo vermanete liberarla dalla quarantena?? io l'altro giorno scherzavo, ma io inizio a pensare che sia un'idea....

allora è già stata tolta dall'uso...

ok. speriam sia pulito così. altrimenti formatterò se sorgeranno problemi.
vi ringrazio per l'aiuto e l'assistenza.
grazie e ciao