CIAO A TUTTI,HO LETTI VARI POST SU QUESTO PROBLEMA MA NN SONO RIUSCITO A RISOLVERLO..
ALLORA..NOTANDO CHE I MIEI FILE NASCOSTI NN SONO PIU VISIBILI PERCHè QUANDO VADO A METTERE LA SPUNTA SU "VISUALIZZARE CARTELLE..."NULLA CAMBIA,HO DECISO DI SCARICARE VIRIT E FARE UNA BELLA SCANSIONE. RISULTATO:MI TROVA SUL REGISTRO IL TROJAN WIN32.AGENT.BEL E DICE DI ELIMINARLO..QUANDO VADO A RIFARLA PERò IL TROJAN SI RIPRESENTA SEMPRE..L'AVRò FATTO 50 VOLTE E OGNI VOLTA RICOMPARE..
COSA DEVO FARE?
SPERO MI POSSIATE AIUTARE ANCHE TRAMITE IL FILE .LOG CHE HO FATTO CON HIJACKTHIS...GRAZIE IN ANTICIPO

Ciao e benvenuto segui Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

PS: il minuscolo và benissimo ;)

ok grazie per le delucidazione visto che è la prima volta che scrivo..il fileqube dice che nn è raggiungibile..come faccio?grazie

ok grazie per le delucidazione visto che è la prima volta che scrivo..il fileqube dice che nn è raggiungibile..come faccio?grazie

http://www.hwupgrade.it/forum/showthread.php?t=1751598

Scusa ma nn ne capisco molto...penso di aver fatto la cosa giusta pero..questo è il link del log...
http://wikisend.com/download/509842/LOG.txt
ora?

Scusa ma nn ne capisco molto...penso di aver fatto la cosa giusta pero..questo è il link del log...
http://wikisend.com/download/509842/LOG.txt
ora?

Si il log è allegato correttamente, ma leggi bene il mio reply http://www.hwupgrade.it/forum/showpost.php?p=25683321&postcount=2

che significa?devo fare tutti i log con gli altri programmi?

che significa?devo fare tutti i log con gli altri programmi?


Si in quanto HJT è un'ottimo tool ma non è certo il rimedio contro tutti i mali :)

Ciao!allora ho fatto i vari log e queste sono le coordinate...premetto con nn ho fatto tutto quello che richiedeva la guida poichè con alcuni programmi nn sono riuscito..spero mi possiate aiutare lo stesso..
http://wikisend.com/download/536944/a2scan_0
http://wikisend.com/download/493936/LOG.txt
http://wikisend.com/download/886646/mbam-log-2009-01-04 (15-56-03).txt
http://wikisend.com/download/597350/SysInspector-USER-1B74BD5049-090104-1750.xml

Non hai disabilitato il Ripristino configurazione sistema, almeno hai fatto pulizia dei file Temp con ATF Cleaner, inoltre i log servono tutti non alcuni e basta.

Ciao..ho fatto l'ultimo log che riesco con Prevx e te lo riporto..
http://wikisend.com/download/540730/prevx.log
Con gmer mi va in crash il sistema,con fsecure si blocca e nn va piu avanti..
Gli altri li hai tutti..aiutami ti prego..

con asquared sembra non sia stato rimosso tutto
Rilevato

Files: 196
Tracce: 16
Cookies: 4
Processi: 0
Chiavi registro: 0

In quarantena

Files: 193
Tracce: 0
Cookies: 0

mancano cureit e kasp removal tool in sostituzione di fsecure

Che significa sembra che nn sia stato rimosso tutto?sto scaricando cureit e quell'altro che mi hai detto ma ho il 56 k e mi ci vuole un po..

gli elementi in quarantena sono meno di quelli rilevati, ma se hai selezionato tutto potrebbe essere un problema di asquared

se hai la 56k puoi scaricarli da un altro pc e portarli sul pc infetto con una chiavetta usb

Sto facendo lo scan con kapersky e già ho visto che ha trovato il solito trojan che si ripresenta ogni volta..vamsoft.exe..ma perchè nn riesco a eliminarlo dopo tutte queste scansioni??

tu finisci queste scansioni e carica anche i nuovi log dei punti successivi, se rimarrà qualcosa ci penseremo dopo

Ecco gli ultimi due log:
http://wikisend.com/download/868074/kaper.txt
http://www.fileqube.com/file/CFtvGfs164292

vi metto anche gli altri cosi sono tutti in questo post..
http://wikisend.com/download/536944/a2scan_0
http://wikisend.com/download/493936/LOG.txt
http://wikisend.com/download/886646/mbam-log-2009-01-04 (15-56-03).txt
http://wikisend.com/download/597350/...90104-1750.xml

incrocio le dita..

per i log di kasp e cureit ci sono delle modalità particolare per renderli più leggeri....
vedo se riesco a scaricarli entrambi


disinstalla Prevx
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log


+ nuovo log di hjt


qui il log di cureit filtrato
http://www.fileqube.com/file/KsxhMI164391

per i log di kasp e cureit ci sono delle modalità particolare per renderli più leggeri....
vedo se riesco a scaricarli entrambi


disinstalla Prevx
riavvia il pc
riscaricalo http://pxnow.prevx.com/zeroL/PREVXCSIFREE_IT.exe
reinstallalo
nuovo scan e nuovo log


+ nuovo log di hjt


qui il log di cureit filtrato
http://www.fileqube.com/file/KsxhMI164391

ecco i nuovi log
Prevx: http://www.fileqube.com/file/XfICOSy164425
Hj: http://www.fileqube.com/file/paUNTFnS164427

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Files to delete:
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\vamsoft.exe
C:\xcisvxl.com
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs1.dll

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Files to delete:
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\vamsoft.exe
C:\xcisvxl.com
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs1.dll


Fatto..ecco il log:
http://www.fileqube.com/file/eyEwkA164482

nuovo log di hjt e prevx reinstallato

nuovo log di hjt e prevx reinstallato

eccoli..
http://www.fileqube.com/file/gexjzS164488
http://www.fileqube.com/file/UnttsnH164489
ci sono ancora!!!!ma perchèèèè!!!

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

eccolo..
http://www.fileqube.com/file/LNWJjvM164498

reinstalla prevx, se ritrovi gli stessi file riesegui di nuovo la procedura con avenger


Da modalità normale
Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fcde0d2-8f5b-11db-ad6e-00e04cd26fc7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a8ec3cf-d682-11dd-95c9-001d0fbaa8ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3002264-378c-11dd-943f-00e04cd26fc7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3002265-378c-11dd-943f-00e04cd26fc7}]



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt



prova anche a lanciare gmer e caricare il suo log

Spero di esserci riuscito..ti posto sia l'utlimo log di prevx che quello di Combo fix..
http://www.fileqube.com/file/XjAiyxtcy164507
http://www.fileqube.com/file/twuGjFWxp164508

Gmer ho riprovato ma appena lo faccio partire mi va tutto in errore di sistema e devo riavviare..

rimani sconnesso da internet

con avenger


Files to delete:
C:\WINDOWS\system32\ciuytr3.dll
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs2.dll
C:\WINDOWS\system32\haozs3.dll
C:\WINDOWS\system32\haozs4.dll
C:\xcisvxl.com
C:\WINDOWS\system32\vamsoft.exe
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\ciuytr2.dll
C:\WINDOWS\system32\ciuytr1.dll


al riavvio fai girare di nuovo combo+ Sdfix (http://www.hwupgrade.it/forum/showpost.php?p=24113148&postcount=20)

solo dopo carichi i log

ecco i nuovi log:
AVENGER:http://www.fileqube.com/file/iDdpTnf16456
COMBO: http://www.fileqube.com/file/MLokckiI164577
La procedura con Sdfix purtroppo nn riesco a completarla:entro i modalità provvisoria e fino a quando si riavvia il pc tutto bene,quando rientro in modalità normale e prosegue con lo scan ad un certo punto si blocca e mi da errore di sistema..ci ho provato un paio di volte ma lo fa sempre..

ecco i nuovi log:
AVENGER:http://www.fileqube.com/file/iDdpTnf16456
COMBO: http://www.fileqube.com/file/MLokckiI164577
La procedura con Sdfix purtroppo nn riesco a completarla:entro i modalità provvisoria e fino a quando si riavvia il pc tutto bene,quando rientro in modalità normale e prosegue con lo scan ad un certo punto si blocca e mi da errore di sistema..ci ho provato un paio di volte ma lo fa sempre..

Verifica il link al log di Avenger http://www.fileqube.com/file/iDdpTnf16456

Per quanto concerne SDFix devi fare tutto da modalità provvisoria F8

Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

http://www.fileqube.com/file/wGlQbHpi164685
questo è il log dell'ultimo avenger..
Per la procedura di Sdfix l'ho eseguita in modalità provvisoria..ora però quando si riavvia il pc,appena entro in windows, si apre la schermata si Sdfix nella quale c'è scritto che sta per finire la scansione..ad un certo punto però scompare tutto e compare la pagina blu a tutto schermo dicendo errore di sistema e devo riavviare..per rifare la procedura di sdfix da capo come devo fare?

prevx segnala ancora gli stessi file?

Per fortuna no..ti allego il log:http://www.fileqube.com/file/DJeaftkZ164687
ti allego anche il log di SDfix che però continua a dare l'errore "BAD POOL HEADER"..http://www.fileqube.com/file/iPyvBjtxz164688

Li abbiamo eliminati?:D

nuovo log di hjt

Fatto...http://www.fileqube.com/file/pevnbl164696

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O15 - Trusted Zone: www.fessuraumida.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab


li hai impostati tu questi?
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D2E273B-4CF7-4574-8F0E-58AA36BDF932}: NameServer = 217.12.181.97 151.1.2.1


con avenger
Files to delete:
C:\WINDOWS\expiorer.exe

Ecco il log di hj, per quanto riguarda quella stringa n 017 non so a cosa si riferisca..penso però che siano le impostazione dell'adsl wifi Alternatyva che ho io..nn ne sono sicuro però..

Ecco il log di hj, per quanto riguarda quella stringa n 017 non so a cosa si riferisca..penso però che siano le impostazione dell'adsl wifi Alternatyva che ho io..nn ne sono sicuro però..

Alega il log di Avenger

Files to delete:
C:\WINDOWS\expiorer.exe


e successivamente nuovo log di HJT in quanto il suddetto file era stato eliminato dal Kaspersky quindi c'è qualcosa che non torna

Ecco i due log..
http://www.fileqube.com/file/tkuwfiY164699

Allega un nuovo log di SysInspector, grazie.

Eccolo..http://www.fileqube.com/file/XnPhIg164706

in avenger

Files to delete:
C:\WINDOWS\system32\vamsoft.exe
C:\WINDOWS\expiorer.exe

poi in hjt fixi
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

e carichi entrambi i nuovi log

Eccoli..http://www.fileqube.com/file/XpAgvUbVD164760

nuovo log di eset poi dovremmo essere ok

Eccolo..http://www.fileqube.com/file/FRDFUHC164773
ho una domanda:ho paura che la mia pennetta usb sia infetta..come posso controllarla prima che il virus eventuale si infetti un'altra volta?

Pulizia generica di chiavette e dischi esterni

Prima di fare pulizia sulla chiavetta/e, hard disk esterni devi assicurarti che al loro inserimento non venga infettato il pc.
Tieni premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento
Una volta collegato il supporto sottoponilo a scansioni antivirus e antispyware con i programmi aggiornati.

Programmmi consigliati:
antivirus: Antivir (http://www.hwupgrade.it/forum/showpost.php?p=24033041&postcount=4) configurato come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

antispyware: Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) + A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8)

Per la pulizia vai su Risorse computer -> tasto destro sul supporto e scansiona con:
Antivir (o il tuo antivirus)
Malwarebytes
A-Squared

Non siamo a posto expiorer.exe è ancora qui bello bello

C:\WINDOWS\expiorer.exe

Fammi questa verifica da Start - Esegui - digita regedit si aprirà l'Editor del Registro di sistema

naviga fino alla seguente chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks selezionala col tasto sx del mouse e dimmi se nel pannello di dx vedi il seguente valore C:\WINDOWS\system32\haozs0.dll

No..quella dicitura nn compare..

No..quella dicitura nn compare..

Sei sicuro allega su Fileqube uno screenshot in formato .jpg del Registro

In quel formato nn sapevo come farlo..spero questo vada bene..

Start -> Esegui -> copia/incolla
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" c:\export.txt
e batti invio
poi carichi c:\export.txt

In Avenger inserisci questo Script

Files to delete:
C:\WINDOWS\expiorer.exe
C:\WINDOWS\system32\haozs0.dll

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09}

Riepilogo log da allegare:
Avenger
Nuovo log HJT

scusa copia incolla di cosa lo devo fare e dove?

scusa copia incolla di cosa lo devo fare e dove?

nella casella di esegui, ma ormai fa niente
procedi con avenger

Start -> Esegui -> copia/incolla
reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" c:\export.txt
e batti invio
poi carichi c:\export.txt

eccolo:http://www.fileqube.com/file/AxmxxhTbF164792

i log chiesti da chill inceve sono questi:
Avenger http://www.fileqube.com/file/qqIwvfhbj164794
Hj http://www.fileqube.com/file/iYCYnhGWC164796

eccolo:http://www.fileqube.com/file/AxmxxhTbF164792

i log chiesti da chill inceve sono questi:
Avenger http://www.fileqube.com/file/qqIwvfhbj164794
Hj http://www.fileqube.com/file/iYCYnhGWC164796

Amen :D finalmente ce lo siamo levato dai piedi, fixa questa voce in HJT

O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

dopodichè passi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 da seguire scrupolosamente

Grazie davvero..a te e al tuo collega wjmat!provvedo subito al trattamento successivo!:D

di nulla ;)

Ragazzi ho un problema con il sp3 di windows..lho scaricato dal vostro link..ad un certo punto però l'installazione si blocca dicendo che è impossibile continuare e dopo aver eliminato i file installati si riavvia il pc..lho fatto un paio di volte ma fa la stessa cosa..come mai?

dovrebbe esserci sul forum un 3d ufficiale

qui alcuni consigli
http://news.wintricks.it/web/patch-prodotti-microsoft/25438/installare-xp-sp3-a-regola-darte/