Salve a tutti,

sono nuovo del forum e ho preso uno spyware o malware (?) insopportabile che non riesco a eliminare. Non posso più aprire Task manager e mi si aprono in continuazione delle finestre di IE7 con www universal 101. Non riesco a toglierlo!
Ho provato con Ad-aware, Avg, Windows Defender, Webroot, SuperAntispyware, Malwarebytes... non c'è niente da fare! Ho anche disistallato IE7 ma non è servito a niente.
Avete per caso qualche consiglio ?!

... ci spero :muro:

ciao


marco

Ciao
carica un log classico di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13) che cominciamo a recuperare qualche informazione sul tuo pc
Per mostrarci il log lo rinomini in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

Ciao,

grazie per la risposta, allego lo hijackthis. Ho installato SpyBot S&D, mi sembra che il ritmo delle finestre di IE che si aprono sia un pò diminuito... ma il problema resta.

PS: da quando il pc è infetto ho collegato sia una chiave USB che un hard disk esterno...

Salve!

secondo me le cose vanno sempre peggio, non so se per colpa dei vari antivirus che ho passato ed hanno bloccato o fatto confusione... ma Outlook Express, Outlook, PDFcreator non si avviano più. Tra i vari file segnalati dal'ultima scansione di SpyBot c'era Hupigon13...

Allego un nuovo log di HijackThis.

Con il Browser chiuso esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Microsoft netswitch] C:\WINDOWS\system32\jwtch32.exe
O4 - HKLM\..\Run: [Printspooler] C:\Programmi\spooler.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)


successivamente segui passo passo la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ciao,

grazie per l'aiuto! Avevo cominciato ieri sera a seguire tutta la guida che mi hai indicato. A questo punto vado avanti e quando arrivo a HJT fixo le voci che mi hai indicato (se le ritrovo tali e quali).
Ho appena fatto lo scan con Kaspersky, e mi ritrovo con due reports, uno piccolo con il nome del virus che ha rimosso,l'altro invece è 65Mb! Nella guida c'è scritto di alleggerirlo con ParserLog... il link non funziona, ho trovato Log Parser Microsoft, va bene lo stesso? E' complicato da usare?


marco

per i log di kasp e cureit vedi modalità in firma

... allora, spero d'aver fatto tutto !
Ho cancellato però per sbaglio qualcuno dei file infetti... non mi ricordo, forse con CureIt.
Ecco i log:

Mbam
http://www.mediafire.com/?sharekey=87808f168dc98f7aaaca48175a79d1c3e04e75f6e8ebb871

A-square
http://www.mediafire.com/?sharekey=87808f168dc98f7aaaca48175a79d1c39cdbd6e5eb5ed36d5be6ba49b5870170

Kasp
http://www.mediafire.com/file/j2cedjicztl/kasp filtrato.txt

Cureit
http://www.mediafire.com/file/nlmfitydbzn/cureit filtrato.txt

SysInspector:
http://www.mediafire.com/file/mmyyg5immwz/SysInspector.xml

HJT:
http://www.mediafire.com/file/dgy2immzqm3/hijackthis.txt

Gmer:
http://www.mediafire.com/file/uqtxegfiytz/gmer.txt

Prevx:
http://www.mediafire.com/file/tmvmttmdkmt/prevxcsi.jpg

:coffee:

Aggiungo che quando riavvio il sistema ottengo sempre lo stesso avviso di Prevx.

Dopo avere fixato (mi era sfuggito!): O4 - HKLM\..\Run: [Printspooler] C:\Programmi\spooler.exe
quando riavvio ottengo il seguente di Avg:

http://www.mediafire.com/file/qzzqkmzi1zn/avg.jpg

Prima di iniziare tutta la procedura avevo fatto un passaggio Spybot,
questo è quello che ho nel backup:
http://www.mediafire.com/file/ndhyytwu2y3/SpybotB.jpg

ciao!

ciao


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)


O4 - HKLM\..\Run: [CognizanceTS] "C:\WINDOWS\system32\rundll32.exe" C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Scheduler] "C:\WINDOWS\SMINST\Scheduler.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UpdReg] "C:\WINDOWS\UpdReg.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft netswitch] C:\WINDOWS\system32\jwtch32.exe
O4 - HKLM\..\Run: [MsmqIntCert] "C:\WINDOWS\system32\regsvr32.exe" /s mqrt.dll
O4 - HKLM\..\Run: [Printspooler] C:\Programmi\spooler.exe
O4 - HKLM\..\Run: [Reminder] "C:\WINDOWS\Creator\Remind_XP.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1227431648015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1227431787375
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab


il log di prevx in txt please

ciao,

ho fatto come hai detto, ecco il risultato di HJT
http://www.mediafire.com/file/5mmt2mnymz2/hijackthis17-02.txt

Per Prevx ... se non ho capito male per avere la possibilità di salvare il LOG bisogna comprare la licenza. In un primo momento leggendo guida mi sembrava che la licenza fosse gratuita per 1 mese. Io ho provato ma non è gratis...

Stasera prima di lanciare HJT e fixare ho spento e riacceso il computer; schermata blu con scritto qualcosa sul Subsystem windows (se ho letto bene)
STOP: c000021a
0x0000005
... poi non ho fatto in tempo a scrivere e il computer si è riacceso.

Grazie ancora per la pazienza !

marco

Per ottenere il log di Prevx CSI teminata la scansione clicca su:

Tools and Settings
Save Scan Results

Inoltre dal log di A-Squared si evince che gli elementi infetti non sono stati messi in quarantena

ciao,

le finestre con le pubblicità sono sparite e questo è un buon segno! Però non funziona Taskmanager e ogni tanto mi dà messaggi strani. Spero di sbagliarmi ma credo dentro che ci sia un pò di casino. Stasera ad un certo punto mi è apparso un messaggio tipo "impossibile accedere (un file di ATI)eseguire chkdsk". Ho lanciato chkdsk e mi ha eliminato un sacco di file, poi ha cominciato a reinstallare i driver ATI ma non è arrivato alla fine perché non trovava alcuni file...

Ho rifatto oggi un passaggio con A-squared, non ha trovato niente:
http://www.mediafire.com/file/3zgodwgn2mn/a2scan_090218-161140.txt

qui la lista della quarantena di A-squared :
http://www.mediafire.com/?m1zelzw1ntn

Prevx continua a trovarne uno:
http://www.mediafire.com/?ylmwycnmz0m

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Files to delete:
c:\windows\system32\jwtch32.exe



clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx CSI + nuovo log di HJT

eccoci... sembra pulito...

avenger
http://www.mediafire.com/file/tmmrmmzitjj/avenger.txt

prevx
http://www.mediafire.com/file/gzqumlynwk2/Prevx18022250.txt

HJT
http://www.mediafire.com/file/i2mgztt0tat/hijackthis18022255.txt

Dovremmo essere a posto, ti suggerisco la lettura di questa Guida relativa al trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao :)

ciao!
ho letto la guida;) ci sono davvero un sacco di informazioni, complimenti ! Credo che installerò: Antivir, Commodo, A-squared, Spywareterminator. Proverò anche Opera, adesso uso Chrome e a parte qualche pecca mi sta simpatico.

Avrei ancora un paio di domande... anzi tre:

-Posso rimettere in funzione Taskmanager?
-Per controllare Harddisk esterno e chiavetta, Shift+chiavetta e poi lancio Prevx ?
-Vorrei disinstallare MBAM e Spybot, allego due immagini della Quarantena,
secondo voi posso eliminare tutto ?

http://www.mediafire.com/file/xydnzhijxlw/QuarantSpybot.pg.jpg

http://www.mediafire.com/file/zmyrymw3fgz/mbamQuarant.jpg

ciao!
ho letto la guida;) ci sono davvero un sacco di informazioni, complimenti ! Credo che installerò: Antivir, Commodo, A-squared, Spywareterminator. Proverò anche Opera, adesso uso Chrome e a parte qualche pecca mi sta simpatico.

Avrei ancora un paio di domande... anzi tre:

-Posso rimettere in funzione Taskmanager?
-Per controllare Harddisk esterno e chiavetta, Shift+chiavetta e poi lancio Prevx ?
-Vorrei disinstallare MBAM e Spybot, allego due immagini della Quarantena,
secondo voi posso eliminare tutto ?

http://www.mediafire.com/file/xydnzhijxlw/QuarantSpybot.pg.jpg

http://www.mediafire.com/file/zmyrymw3fgz/mbamQuarant.jpg

-Posso rimettere in funzione Taskmanager?

Cosa vuoi dire?

-Per controllare Harddisk esterno e chiavetta, Shift+chiavetta e poi lancio Prevx ?

Esatto tasto SHIFT poi controlla il supporto removibile con MBAM - A2 - CureIT + l'AV residente

-Vorrei disinstallare MBAM e Spybot, allego due immagini della Quarantena,
secondo voi posso eliminare tutto ?

Disinstalla SpyBot praticamente inutile, per quanto concerne i files in quarantena teoricamente potresti lasciarli li a vita, eliminali solo dopo un uso massivo del PC

Taskmanager non si apre. Se clicco col destro sulla barra in basso dello schermo>Taskmanager... niente! CRTL+ALT+DEL nessun segno.

AV residente, significa "l'antivirus che ho"?

Quando vado per disintallare Sybot mi chiede cosa voglio fare degli oggetti in quarentena... A questo punto aspetto, uso il computer per un pò poi semmai lo disinstallo.

Taskmanager non si apre. Se clicco col destro sulla barra in basso dello schermo>Taskmanager... niente! CRTL+ALT+DEL nessun segno.

AV residente, significa "l'antivirus che ho"?

Quando vado per disintallare Sybot mi chiede cosa voglio fare degli oggetti in quarentena... A questo punto aspetto, uso il computer per un pò poi semmai lo disinstallo.

Segui le istruzioni qui indicate PROCEDURA AUTOMATIZZATA
http://www.hwupgrade.it/forum/showpost.php?p=23818282&postcount=2

Av residente significa il tuo Antivirus

Per SpyBot disinstallalo tra qualche giorno

Ho seguito la procedura ma non riesce a portarla a termine, mi appare quasi subito questo messaggio:

Impossibile caricare supporto VDM IPX/SPX
:mad:

fixa queste che avevo scordato
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
e carica un nuovo log di hjt

Dopodichè ripeti quanto indicato qui

http://www.hwupgrade.it/forum/showpost.php?p=26373131&postcount=19

eventualmente in alternativa scarica questo file sul Desktop http://wikisend.com/download/961030/VArestorepolicies.inf tasto dx del mouse su Varestorepolicies e cliccate su installa

:) :) :)

sembra che funzioni tutto !

qui l'ultimo HJT:
http://www.mediafire.com/?4yynnvwthjw

SDfix ha continuato a darmi "impossibile caricare supporto VDM IPX/SPX", però non si è fermato.
log di SDfix:
http://www.mediafire.com/file/uo2y3ymnz2z/SDfixreport.txt

Negli ultimi passaggi il pc non riusciva a spegnersi a causa di asghost.exe; poi ho guardato sul sito della Hp... si consiglia di togliere la batteria e rimetterla, così ho fatto e adesso non ci sono problemi.

che ne dite ?! ce l'abbiamo fatta ?!

PS: come si disinstalla SDfix?

:) :) :)

sembra che funzioni tutto !

qui l'ultimo HJT:
http://www.mediafire.com/?4yynnvwthjw

SDfix ha continuato a darmi "impossibile caricare supporto VDM IPX/SPX", però non si è fermato.
log di SDfix:
http://www.mediafire.com/file/uo2y3ymnz2z/SDfixreport.txt

Negli ultimi passaggi il pc non riusciva a spegnersi a causa di asghost.exe; poi ho guardato sul sito della Hp... si consiglia di togliere la batteria e rimetterla, così ho fatto e adesso non ci sono problemi.

che ne dite ?! ce l'abbiamo fatta ?!

PS: come si disinstalla SDfix?

A posto, cestina ed elimina il tool e relativa cartella C:\SDFix

Ciao!

ho aspettato una settimana e tutto funziona! Grazie per l'aiuto !


ciao

marco

Ciao!

ho aspettato una settimana e tutto funziona! Grazie per l'aiuto !


ciao

marco

Perfetto, ciao e buon proseguimento sul Forum ;)