Salve,sono nuovo di questo bel forum.
Da un po di tempo il mio portatile è un po lento.
Ho eseguito quasi tutti i test postati nel tread "Guida alla disinfezione x infetti",tranne Gmer in quanto il link x il download non mi funziona.

Questo è il log di Malwarebytes Anti-Malware:

Questo è il log di a-squared Command Line Scanner - Version 4.0

I tre TrackingCookie me li ha messi in una cartella in documenti,denominata quarantena.
Che devo fare?Li devo eliminare? E inoltre sono pericolosi?

ciao

lascia pure tutto in quarantena
i log caricali su uno dei server remoti che trovi nelle modalità in firma, cosi fai tutto in un post

ok, grazie wjmat domani posto gli altri log.
ma il link x il downoad di gmer solo a me non va o a tutti?

http://www.gmer.net/gmer.zip
a me va

a me esce questo:

Not Found
The requested URL /suspended.page/ was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.


--------------------------------------------------------------------------------

Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.7a mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at whmadm.fuzzy.lunarbreeze.com Port 80

te l'ho caricato qui
http://www.fileqube.com/file/fWSolkk160051

grazie wjmat,ora finisco i test e posto tutto.:)

ma il malware che mi ha trovato Malwarebytes Anti-Malware è un falso positivo?

no è solo unA stringa di registro
con asquared vedo ora che non hai fatto deep scan

no è solo unA stringa di registro
ma il programma mi sa che l'ha eliminata,non fa niente o puo creare problemi?

con asquared vedo ora che non hai fatto deep scan
cioè?

questo è il log di F-secure online

log di DR WEB
mi da un sospetto in C:\SWSetup\BrandIt\Disk1\brandit.exe probabile infezione da STPAGE.Trojan
ma questo invece è un file di HP,che faccio?
http://www.fileqube.com/file/paSkLG160137


Log di ESET SysInspector
http://www.fileqube.com/file/OYrEETz160129


Log di HiJackThis

il log di cureit caricalo filtrato, vedi ounto 4 modalità in firma


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1225960036109
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E460C525-1FB6-40C8-A309-669BF787DDB3} (McciMTEvent Class) - http://aiuto.alice.it/ata/static/installers/WebflowActiveXInstaller_4-1-5.cab

grazie wjmat x l'attenzione che mi dai ;)
il log di cureit l'ho filtrato e l'ho postato al posto del vecchio

qui posto il secondo log di HiJackThis,come mi dai detto

p.s. scusa la mia ignoranza in materia,ma quei programmi fixati li ha messi in una cartella backup dove ho il programma HiJackThis.Li conservo o li cancello?
inoltre il programma Superantispyware pro in questo modo conserva la protezione real-time?

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\SWSetup\BrandIt\Disk1\brandit.exe


Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
Alla fine della verifica rimetti le impostazioni originali

superanti lo lanci e gli reimposti l'avvio allo startup, visto che hai la pro

backup e quarantene si lasciano dove sono

Log GMER
nessuna scritta rossa dovrebbe essere buono da quello che ho capito?

superanti lo lanci e gli reimposti l'avvio allo startup, visto che hai la pro
mi spieghi gentilmente come faccio?:)

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:
C:\SWSetup\BrandIt\Disk1\brandit.exeUna volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

http://www.virustotal.com/it/reanalisis.html?5fb22ab83936a92e1610f49a162f7ff2

virscan non me lo fa :(

http://www.hwupgrade.it/forum/showthread.php?t=1567399

quindi x superantispyware devo mettere la spunta a "inizia superantispyware all'avvio di windows"?

si ;)

Log PrevxCSI
http://www.fileqube.com/file/bRVHPQBP160167

Con questo spero di aver fatto correttamente tutta la procedura,aspetto consigli:)

rifai la scansione con asquared ma deep scan questa volta

Ecco la stampa della finestra di PrevxCSI,che prima mi ero dimenticato di postare ;)

http://www.fileqube.com/file/efeHLT160213

mi segnala come infezione il programma "alice ti aiuta"del mio abbonamento alice 7 mega.
che faccio? èun falso positivo?

ho fatto la scansione con asquared ma deep scan,mi sono usciti 17 tracking cookie e un riskware tutti rischio basso.I 17 tracking cookie li ho eliminati,mentre il riskware l'ho controllato con Virus total in quando è la patch di superantspyware
ecco il log della scansione deep di asquared e il link della scansione del file sospetto con virustotal
http://www.virustotal.com/it/analisis/f6bf61c499fa36d27c876467dd2ed83f

ci avrei scommesso le palle che sauperanti non fosse regolare :D
la patch va eliminata e lo tieni senza realtime

il log di prevx caricalo informato testuale come da bigino in firma

il log di prevx caricalo informato testuale come da bigino in firma

se non sbaglio gia l'ho postato sopra come file txt

ci avrei scommesso le palle che sauperanti non fosse regolare :D
la patch va eliminata e lo tieni senza realtime
Tu cosa mi consigli, disistallo superantispyware pro e carico il free?
Oppure lo disistallo e metto A-squared free?

il file segnalato da prevx lo controlli sui due siti di prima e ci segnali i link
i software da tenere sono quelli che ti abbiamo fatto utilizzare, per dettagli vedi trattamento in firma

il file segnalato da prevx lo controlli sui due siti di prima e ci segnali i link
http://www.virustotal.com/it/analisis/7fb478917fdaacd9facae80a1776141a

http://virscan.org/report/d38db8d250ceb4805442e1162ec7d9eb.html

Ho fatto tutto?
E se si cosa devo fare ora?

mi sembra un falso positivo
se non riscontri altri problemi metti al sicuro il pc leggendo il trattamento che ti ho indicato prima

mi sembra un falso positivo
se non riscontri altri problemi metti al sicuro il pc leggendo il trattamento che ti ho indicato prima

quale tratamento?

quello in firma

ricapitolando:

1) ma il malware che mi ha trovato Malwarebytes Anti-Malware,che mi hai detto che è una stringa di registro,il programma l'ha eliminata.Non fa niente o ci possono essere problemi?

2) I tre TrackingCookie che mi ha trovato a-squared Command Line Scanner - Version 4.0 ,che ora sono in quarantena,li elimino?

3) Il sospetto che mi da DOCTOR WEB (C:\SWSetup\BrandIt\Disk1\brandit.exe), è un falso positivo? è quindi non lo cancello?

4) Il Log di ESET SysInspector è nella norma?

5) Il Log GMER è nella norma?Non c'era nessuna scritta in rosso.

6) Allora quello che segnala PrevxCSI è un falso positivo? Ora ogni volta che accendo o spengo il pc, mi esce la finestra di PrevxCSI che me lo segnala. Che devo fare?Ma quello che mi segnala come malware,mica lo ha messo in quarantena?

7) la patch di superantispyware che asquared deep scan mi da malware,la cancello? MI conviene disistallare questa versione e mettere quella free del programma?
:confused: grazie dei tanti consigli che mi stai dando;) e scusami se ti assillo con tutte queste domande:D

tutta la roba in quarantena lasciala dove stà

di C:\SWSetup\BrandIt\Disk1\brandit.exe non visualizzo più l'esito, fallo controllare anche su virscan, dove non eri riuscito

i log che non citiamo è perchè sono ok

hai già asquared e mbam, superanti non è indispensabile

ecco il risultato x quel file su virscan
http://virscan.org/report/4734b4cd5a01fa8f5ec0cd5c98f32bbc.html

ciao,se disinstallo uno tra superantispyware o a-adware free, basta la disistallazione normale oppure dopo devo eliminare qualche altro file o cartella manualmente?
Inoltre ho fatto anche la scansione online con Housecall 6.6,ma ho notato che c'è una cartella con tale nome nell'hard disk. Come è possibile se la scansione era online?

per rimuovere i programmi lo fai normalmente

housecall non so dove lasci residui sinceramente....

ecco lo screen della cartella col contenuto :)
http://www.fileqube.com/file/fCWncFTg160637

rimuovi pure tutta la cartella

in hjt potresti avere una voce 016 da rimuovere relativa ad housecall

Ciao,ho installato entrambi gli Adobe flash player10 sia x IE7 che firefox,ma ho notato che da ieri sera i browser non aprono alcune pagine oppure sono lenti nell'aprirle.Stamattina li ho disistallati e senza fp mi aprono tutto.
p.s nella cartella installazione\applicazione ho notato che c'è anche un Macromedia flash player8 che il tool di rimozione ha anche eliminato.

Ciao,ho installato entrambi gli Adobe flash player10 sia x IE7 che firefox,ma ho notato che da ieri sera i browser non aprono alcune pagine oppure sono lenti nell'aprirle.Stamattina li ho disistallati e senza fp mi aprono tutto.
p.s nella cartella installazione\applicazione ho notato che c'è anche un Macromedia flash player8 che il tool di rimozione ha anche eliminato.
quali pagine?

ieri firefox non mi apriva la home di google e entrambi non mi aprivano un sito di streaming
p.s. ma se ho installato flash player,posso installare anche adobe Shockwave11?
ciao

si che puoi installarlo
se hai installato anche l'ottimo noscript avrai anche altre restrizioni da sbloccare al primo accesso ad alcuni siti

Si wjmat x firefox ho installato no script,mentre da hippo ho scaricato adobe Shockwave11 che va bene sia x IE7 che x firefox.

p.s. una curiosita,in installazioni\appl c'è anche un altro Shockwave11(ma non adobe,bensi macromedia),come accadeva x flash player,come mai? e devo cancellarlo?
ti allego l'immagine
http://www.fileqube.com/file/YBJTlyK161090

Ciao luigi

Si wjmat x firefox ho installato no script,mentre da hippo ho scaricato adobe Shockwave11 che va bene sia x IE7 che x firefox.

p.s. una curiosita,in installazioni\appl c'è anche un altro Shockwave11(ma non adobe,bensi macromedia),come accadeva x flash player,come mai? e devo cancellarlo?
ti allego l'immagine
http://www.fileqube.com/file/YBJTlyK161090

Ciao luigi
si è normale ;)

ok grazie ;) dopo aver disistallato e reistallato flash player oggi va molto meglio,mi fa andare su tutti i siti. :D

L'unica cosa che ho notato che il pc è un po lento all'apertura e alla chiusura,forse dipende dai tanti processi che si avviano allapertura di windows.

carica un nuovo log di hjt

eccolo

io ti avevo consigliato di fixare un pò di roba inutile ma la vedo ancora
http://www.hwupgrade.it/forum/showpost.php?p=25495341&postcount=14

ho fixato i 16 e daemon tool,tu cosa fixeresti considerando che superantispyware ha la funzione di potezione in tempo reale e anche avira?
I messenger cosa succede se li fixo?
Dimmi tu tutto il superfluo che devo fixare x snellire il sistema ;)

era scritto in piccolo cosa succede a fixare le 04 ;)
semplicemente evita che partano inutilamente all'avvio alcuni programmi inutili

superanti abbiamo già visto che è illegale e mi sono già espresso...

la patch di superanti l'ho eliminata,ora ho il prodotto trial x 30 giorni ;)

allora fixa le restanti che ti avevo indicato ;)

un'altra cosa,gli altri due(Malwarebytes' Anti-Malware e a-squared Free) partono anche all'avvio di windows? Perchè io li vorrei usare solo x fare scansioni di tanto in tanto.
x ora x la protezione in tempo reale uso superanti,quando scade la licenza metto spiwareterminator come consigliato in guida.Secondo te faccio bene?

si va bene

intanto fixa queste

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe

Fatto ;)
una curiosita,cosa sono queste?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

Fatto ;)
una curiosita,cosa sono queste?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

La prima fà riferimento a Windows Live Messenger, la seconda alla toolbar di Yahoo

Grazie chill,ma io la toolbar di yahoo l'ho disistallata,come mai esce quella cosa?

residui...

Ciao wjmat,quello che mi hai suggerito l'ho fixato ;)
Una curiosità cosa sono queste voci che ho fixato?

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

Inoltre fixare significa cancellare il programma?

Comunque il pc ora gia è + veloce,devo fixare anche questi?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

p.s. auguri di buon Natale :)

Ho fatto un account limitato come spiegato nella guida microsoft del link in postinfezione.
Ora volevo sapere se tutte quelle cose memorizzate in account di amministratore(siti preferiti,configurazioni di programmi,ecc) posso trasferirli automaticamente in account limitato,oppure devo rifare tutto manualmente.
Grazie ;)

Ciao wjmat,quello che mi hai suggerito l'ho fixato ;)
Una curiosità cosa sono queste voci che ho fixato?

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

Inoltre fixare significa cancellare il programma?

Comunque il pc ora gia è + veloce,devo fixare anche questi?
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

p.s. auguri di buon Natale :)

Questa si

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

ciao x l'account come posso fare?:mc:

per queste cose puoi chiedere in sezioni più specifiche ;)
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

ciao ma x fare l'account limitato come specificato nella sezione "Post Infezione",che guida devo usare,quella di microsoft o quella con alcuni script scaricabili, preparati da Sisupoika? perchè in quest'ultima non funziona il link x scaricarli
Ciao ;)

ciao ma x fare l'account limitato come specificato nella sezione "Post Infezione",che guida devo usare,quella di microsoft o quella con alcuni script scaricabili, preparati da Sisupoika? perchè in quest'ultima non funziona il link x scaricarli
Ciao ;)

Microsoft

ciao,mi è scaduto il periodo di prova di superantispyware pro, cosa mi consigliate x sostituirlo come real time?
spyware terminator, spyware blaster o qualche altro?

p.s. superantispyware devo disinstallarlo e mettere il free oppure una volta scaduto il periodo di prova diventa automaticamente free?
Ciao e grazie ;)

i consigli li hai nel trattamento post disinfezione ;)

per dubbi sull'utilizzo dei programmi, esiste un 3d specifico per ognuno di loro
http://www.hwupgrade.it/forum/showthread.php?t=1567399