Vi chiedo, per favore, un aiuto. Da quache tempo, navigando, si aprono in continuazione finestre di explorer con pubblicità di ogni genere (ebay, antivirus, antispyware, incontri on-line, virs removal 2008, ecc.). Poi è comparsa la scritta VIRUS ALERT! affianco all'orologio di sistema e nelle date di ripristino di configurazione di sistema. Facendo tutte le scansioni che il Vs. sito consiglia (Malwarebytes, A-squared, F-secure ecc.), alla fine pare risolto il problema di VIRUS ALERT!, ma continuano comparire le pubblicità. Inoltre, il mio antivirus spesso mi sgnala minacce di dialer e trojan backdoor.
Nei log che ho allegato, non troverete quello di Gmer, perchè, mentre fa la scansione, all'improvviso si riavvia il PC. Ho provato per 2 volte.
Grazie infinite per l'aiuto,

mbam-log-2008-10-20 (15-45-40).txt (http://wikisend.com/download/568632/mbam-log-2008-10-20 (15-45-40).txt)

a2scan_081020-155952.txt (http://wikisend.com/download/889656/a2scan_081020-155952.txt)

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt (http://wikisend.com/download/617016/F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt)

CureIt.log (http://wikisend.com/download/540474/CureIt.log)

SysInspector-WORK-72EE0C4F51-081021-2333.xml (http://wikisend.com/download/643128/SysInspector-WORK-72EE0C4F51-081021-2333.xml)

hijackthis.log (http://wikisend.com/download/540472/hijackthis.log)

PrevxCSI.log (http://wikisend.com/download/517432/PrevxCSI.log)

Vi chiedo, per favore, un aiuto. Da quache tempo, navigando, si aprono in continuazione finestre di explorer con pubblicità di ogni genere (ebay, antivirus, antispyware, incontri on-line, virs removal 2008, ecc.). Poi è comparsa la scritta VIRUS ALERT! affianco all'orologio di sistema e nelle date di ripristino di configurazione di sistema. Facendo tutte le scansioni che il Vs. sito consiglia (Malwarebytes, A-squared, F-secure ecc.), alla fine pare risolto il problema di VIRUS ALERT!, ma continuano comparire le pubblicità. Inoltre, il mio antivirus spesso mi sgnala minacce di dialer e trojan backdoor.
Nei log che ho allegato, non troverete quello di Gmer, perchè, mentre fa la scansione, all'improvviso si riavvia il PC. Ho provato per 2 volte.
Grazie infinite per l'aiuto,

mbam-log-2008-10-20 (15-45-40).txt (http://wikisend.com/download/568632/mbam-log-2008-10-20 (15-45-40).txt)

a2scan_081020-155952.txt (http://wikisend.com/download/889656/a2scan_081020-155952.txt)

F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt (http://wikisend.com/download/617016/F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, October 21, 2008 004155.txt)

CureIt.log (http://wikisend.com/download/540474/CureIt.log)

SysInspector-WORK-72EE0C4F51-081021-2333.xml (http://wikisend.com/download/643128/SysInspector-WORK-72EE0C4F51-081021-2333.xml)

hijackthis.log (http://wikisend.com/download/540472/hijackthis.log)

PrevxCSI.log (http://wikisend.com/download/517432/PrevxCSI.log)
per il tuo problema c'era una guida specifica che prevedeva meno scansioni ma son contento che tu abbia seguito quella generale perchè in questo modo ci sono più certezze di disinfestare completamente il pc :)

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ismsaom] "c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe" ismsaom
O4 - HKCU\..\Run: [EA Core] C:\Programmi\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [Player] C:\Documents and Settings\work\Dati applicazioni\Adobe\Player.exe
O4 - HKCU\..\Run: [NetworkService] C:\DOCUME~1\work\IMPOST~1\Temp\IXP000.TMP\svchost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present



dal log di prevx:

[U] C:\Programmi\vixy.net\vixy.exe [PX5: E4904B520084F290104101C500F9E300EB259AD8]

[B] C:\WINDOWS\system32\kkehqwfddcr.exe [PX5: 1621C7E239EB5D623342019BCF607A0037B7537C] Malware Group: Malware Dropper


mi potresti far analizzare i due files su www.viruscan.org e www.virusttotal.com ?

C:\Programmi\vixy.net\vixy.exe
C:\WINDOWS\system32\kkehqwfddcr.exe
a fine di ogni scansione basta che copi (e incolli qui nel forum) l'url che mostra il browser :)

manca il log di gmer e credo possa essere molto utile :)

Innanzitutto, grazie infinite per la pronta risposta e per i consigli.
Ho fixato con HiJack This le righe che mi hai indicato. Dopo, navigando un pò, mi sembra che per ora non si aprano le pubblicità che tanto mi tormentavano. Tuttavia, PrevxCSI, che prima mi segnalava 2 infezioni (C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe) adesso mi segnala ancora la prima.
Questo è proprio uno dei 2 file che mi hai chiesto di far analizzare su www.viruscan.org e www.virusttotal.com. Ecco l'url delle scansioni:

http://www.virustotal.com/it/analisis/20222762ae616367f1fd714cb4c0d027

http://www.virustotal.com/it/analisis/1a98b6306483050fe969a25018eca08a.

Infine, per quanto riguarda gmer, come ti ho scritto nel primo messaggio, quando avvio la scansione con gmer, dopo un pò il PC si spegne e si riavvia senza completare la scansione. Però sono riuscito a copiare una riga che compare scritta in rosso:Service system32\drivers\TDSSpqlt.sys(***hidden***) [SYSTEM] TDSSserv.
Ti allego i log di PrevxCSI e HiJack This rifatti dopo aver fixato come mi hai detto. Attendo tue istruzioni. Grazie.

PrevxCSI2.log (http://wikisend.com/download/689578/PrevxCSI2.log)

hijackthis2.txt (http://wikisend.com/download/525130/hijackthis2.txt)

Scarica SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) sul Desktop
Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

Fatto! Ho lanciato SDFix di cui ti allego il report.
Navigando, pare risolto il problema dei popup pubblicitari.
Tuttavia PrevxCSI mi continua a segnalare i 2 file infetti che ti avevo già segnalato (anzi, il secondo che era sparito dopo i fix di HiJackThis, ora è ricomparso): C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe.
Che faccio? Grazie.

Report.txt (http://wikisend.com/download/581504/Report.txt)

P.S. Ti allego anche i logs di PrevxCSI e HiJackThis fatti dopo SDFix

PrevxCSI3.log (http://wikisend.com/download/604904/PrevxCSI3.log)

hijackthis3.txt (http://wikisend.com/download/965606/hijackthis3.txt)

Fatto! Ho lanciato SDFix di cui ti allego il report.
Navigando, pare risolto il problema dei popup pubblicitari.
Tuttavia PrevxCSI mi continua a segnalare i 2 file infetti che ti avevo già segnalato (anzi, il secondo che era sparito dopo i fix di HiJackThis, ora è ricomparso): C:\windows\system32\kkehqwfddcr.exe e C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe.
Che faccio? Grazie.

Report.txt (http://wikisend.com/download/581504/Report.txt)

P.S. Ti allego anche i logs di PrevxCSI e HiJackThis fatti dopo SDFix

PrevxCSI3.log (http://wikisend.com/download/604904/PrevxCSI3.log)

hijackthis3.txt (http://wikisend.com/download/965606/hijackthis3.txt)

dal log prevx ora risulta:

[B] C:\WINDOWS\system32\kkehqwfddcr.exe [PX5: 1621C7E239EB5D623342019BCF607A0037B7537C] Malware Group: Malware Dropper


[BPN] c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe [PX5: 8714505600C533A920AE0403312E75005F6ABC24] Malware Group: Fraudulent Security Program



fixa:

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher 2.lnk = ?




su viruscan.org e virustotal.com potresti scansionarmi anche questo:
c:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe

poi prova a rifare un log con gmer :)

Ho fixato le righe che mi hai indicato. Ti allego la scansione del file con virustotal, oltre ai log aggiornati di PrevxCSI e HiJackThis.

http://www.virustotal.com/it/analisis/50c55a395d66e786c6e37576444b7b94

PrevxCSI4.log (http://wikisend.com/download/506994/PrevxCSI4.log)

hijackthis4.txt (http://wikisend.com/download/500850/hijackthis4.txt)

Come ti ho detto, appena lancio gmer si riavvia il PC.

Prima di procedere fammi questa controllo:

Abilita la visualizzazione dei file e cartelle nascosti* e dimmi se all'interno della cartella Dati Applicazioni C:\documents and settings\work\impostazioni locali\dati applicazioni\ismsaom.exe trovi anche i seguenti file:

ismsaom File DAT
ismsaom_nav
ismsaom_navps

NB: potrebbere avere anche un nome random (a caso)

*Clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

E' proprio come dici: nella cartella dati applicazioni, oltre a ismsaom.exe, ci solo anche ismsaom.dat, ismsaom_nav e ismsaom_navps.

E' proprio come dici: nella cartella dati applicazioni, oltre a ismsaom.exe, ci solo anche ismsaom.dat, ismsaom_nav e ismsaom_navps.

Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

Riepilogo log da allegare:
Combofix
Nuovo log prevx CSI
Nuovo log HJT

Ciao

Dopo aver seguito le tue ultime istruzioni, Prevx CSI mi segnala solo 1 file infetto: C:\windows\system32\kkehqwfddcr.exe.
Ti allego i logs che mi hai chiesto:

ComboFix.txt (http://wikisend.com/download/945468/ComboFix.txt)

PrevxCSI5.log (http://wikisend.com/download/497724/PrevxCSI5.log)

hijackthis5.txt (http://wikisend.com/download/595518/hijackthis5.txt).

E ora?

Dopo aver seguito le tue ultime istruzioni, Prevx CSI mi segnala solo 1 file infetto: C:\windows\system32\kkehqwfddcr.exe.
Ti allego i logs che mi hai chiesto:

ComboFix.txt (http://wikisend.com/download/945468/ComboFix.txt)

PrevxCSI5.log (http://wikisend.com/download/497724/PrevxCSI5.log)

hijackthis5.txt (http://wikisend.com/download/595518/hijackthis5.txt).

E ora?

Hai fatto girare Combo 2 volte mi serve il primo log :)

Sì, perchè la 1° volta sembrava si fosse bloccato. Il 1° log è questo:

log combofix.txt (http://wikisend.com/download/552244/log combofix.txt)

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
C:\WINDOWS\system32\kkehqwfddcr.exe

clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

Penso che ce l'abbiamo fatta!!! PrevxCSI non ha rilevato infezioni!!

SIETE MITICI!!!!!

GRAZIE INFINITE.

Penso che ce l'abbiamo fatta!!! PrevxCSI non ha rilevato infezioni!!

SIETE MITICI!!!!!

GRAZIE INFINITE.

Allega il log di Avenger che trovi in C:\Avenger.txt e il log di Prevx ciao.

Anch'io ho lo stesso problema. su 2 pc.

Uno con Vista Home Premium.
Uno con XP SP3.

Mi sa che è una falla di IE7.
Perchè usando ASUS eee900 con IE6... Questi POPUP nn ci sono.
Cmq oggi provo la guida. Speriamo di risolvere. :D

Ecco i logs che mi hai chiesto. Ti allego anche il log di HiJackThis perchè, nel frattempo, sto eseguendo tutto il trattamento posti infezione. Gli puoi dare un'occhiata per vedere se è tutto a posto? Grazie.
Ciao.

avenger.txt (http://wikisend.com/download/885616/avenger.txt)

PrevxCSI6.log (http://wikisend.com/download/494504/PrevxCSI6.log)

hijackthis6.txt (http://wikisend.com/download/856470/hijackthis6.txt)

e tutto il giorno che provo a scaricare il programma.
Ma nn ci riesco.

Succede solo a me??? :muro:

Quale programma??

Quale programma??


Combofix

Non lo riesco a scaricare. Neanche Adesso. :cry:

Ecco i logs che mi hai chiesto. Ti allego anche il log di HiJackThis perchè, nel frattempo, sto eseguendo tutto il trattamento posti infezione. Gli puoi dare un'occhiata per vedere se è tutto a posto? Grazie.
Ciao.

avenger.txt (http://wikisend.com/download/885616/avenger.txt)

PrevxCSI6.log (http://wikisend.com/download/494504/PrevxCSI6.log)

hijackthis6.txt (http://wikisend.com/download/856470/hijackthis6.txt)

Tutto ok, ciao.

Ecco i logs che mi hai chiesto. Ti allego anche il log di HiJackThis perchè, nel frattempo, sto eseguendo tutto il trattamento posti infezione. Gli puoi dare un'occhiata per vedere se è tutto a posto? Grazie.
Ciao.

avenger.txt (http://wikisend.com/download/885616/avenger.txt)

PrevxCSI6.log (http://wikisend.com/download/494504/PrevxCSI6.log)

hijackthis6.txt (http://wikisend.com/download/856470/hijackthis6.txt)

Sei ok avevo dimenticato di rispondere, ma adesso vedo che hai un altro problema :rolleyes:

Scusatemi...
Io sono in una situazione ASSURDA.

Con sto TROIA !!!!! :D
Il nod 32 si è impazzito :muro:
Ad ogni avvio... Mi dice che nn riesce a configurare il firewall.
Poi esce errore... non riesco ad aggiornare il DB dei VIRUS.

Cmq... Ho usato SDFIX. Sembra che ho risolto.
Vi posto il report. ;)

Ma ora il mio NOD32 perchè continua a NON funzionare???
Ma poi... Come ha fatto STA TROIA ad entrare nel mio pc??? Con NOD32 Smart Security ????

Scusatemi...
Io sono in una situazione ASSURDA.

Con sto TROIA !!!!! :D
Il nod 32 si è impazzito :muro:
Ad ogni avvio... Mi dice che nn riesce a configurare il firewall.
Poi esce errore... non riesco ad aggiornare il DB dei VIRUS.

Cmq... Ho usato SDFIX. Sembra che ho risolto.
Vi posto il report. ;)

Ma ora il mio NOD32 perchè continua a NON funzionare???
Ma poi... Come ha fatto STA TROIA ad entrare nel mio pc??? Con NOD32 Smart Security ????

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

Dopo aver prodotto tutti i log apri una discussione tutta tua in Sezione aiuto sono infetto! (http://www.hwupgrade.it/forum/forumdisplay.php?f=125)