Oggi facendo una scansione regolare con hijackthis mi trovo la bellezza di 8 X rosse così mi dico...quel programma che ho provato l'altra volta,live player, mi ha fregato...pazienza ora fixo questi elementi e finisce lì...ma hijackthis non riesce a sbarazzarsene...così provo con spybot che non li vede neanche...quindi provo da modalità provvisoria...e niente...provo altri programmi tra cui combofix ma sfortunatamente non funziona su vista 64bit...un certo OTS e ancora niente...non riesco a sbarazzermene in nessun modo....così formatto e ricarico il mio backup tramite Acronis ma ora sono andato a controllare e quelle f@ttutissimè X rosse sono ancora lì!!!!!!!!!!! :muro:

1)Qualcuno mi sa dire cosa devo fare per sbarazarmene??
2)Ma sopratutto è possibile che abbia infettato anche gli altri dischi e che si sia ricaricato da lì?
3)Possibile che si sia caricato sulla traccia 000 dell'HDD?

Questo è il log di Hijackthis:

hijackthis.log (http://wikisend.com/download/684008/hijackthis.log)

Le elenco anche qui:
Netlogon
psbase
locator
samsrv
SLsvc
spolsv
vds
vssvc

Credo di essermi fregato quando ho scaricato un certo LivePlayer per vedere tv straniere...poi però il file mi puzzava perchè era grande circa 400Kb e così non l'ho mai installato,da quel giorno quando accedevo a questo forum Avira mi sergnalava un virus che voleva accedere e gli negavo l'acceso,da qui la scoperta con hijackthis.

Uso Windows Vista Ultimate SP1 64bit
Avira Antivir Classic
COMODO Firewall
SPybot
spywareblaster

Grazie mille a chiunque mi sappia aiutare.

Oggi facendo una scansione regolare con hijackthis mi trovo la bellezza di 8 X rosse
....
Credo di essermi fregato quando ho scaricato un certo LivePlayer per vedere tv straniere...poi però il file mi puzzava perchè era grande circa 400Kb e così non l'ho mai installato,da quel giorno quando accedevo a questo forum Avira mi sergnalava un virus che voleva accedere e gli negavo l'acceso,da qui la scoperta con hijackthis.

Grazie mille a chiunque mi sappia aiutare.

Lifeplayer si porta dietro un Trojan particolarmente ostico da rimuovere.
In realtà sembra tutto perfettamente legale visto che
all'atto dell'installazione pare che tale cosa sia spiegata tra le condizioni
d'uso che solitamente si accettano ad occhi chiusi.

Tanto e vero che si aprono finestre pubblicitarie di primari marchi e
non i classici siti osè....:oink:

Prova a scansionare il sistema con Malwarebytes... che sembra riusice a ripulire tutto.

Segui esattamente nell'ordine indicato la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

innanzitutto grazie per le risposte,
Non vi ho risposto prima perchè ho dovuto aspettare una scansione di a-sqared completa (estremamente lenta) durata quasi 4 ore ora provo un attimo questo malwareblaster...se non funziona provo a fare come dici Chill-Out

a dopo...

Ho lo stesso problema con lo stesso sistema operativo vista 64 e mi trovo dalla scansione online di kaspersky su tutti gli exe del pc virus w32 tenga.

Una cosa da non credere!!!
Ho formattato con il sistema Guttman (35 sovrascrizioni!) e con un altro programma che rende l'HHD senza partizioni (come uscito nuovo di fabbrica) e niente sono ancora lì!!!!! :doh:

Ma come è possibile??
Possibile che si sia innestato nel bios o nella cache della cpu?? Non so più che pensare...:muro:

Ora provo riformattare senza nessun altro disco fisso collegato eccetto il principale e a formattare da boot...se qualcuno ha idee sono ben accette!

Una cosa da non credere!!!
Ho formattato con il sistema Guttman (35 sovrascrizioni!) e con un altro programma che rende l'HHD senza partizioni (come uscito nuovo di fabbrica) e niente sono ancora lì!!!!! :doh:

Ma come è possibile??
Possibile che si sia innestato nel bios o nella cache della cpu?? Non so più che pensare...:muro:

Ora provo riformattare senza nessun altro disco fisso collegato eccetto il principale e a formattare da boot...se qualcuno ha idee sono ben accette!

A me quando elimino gli exe corrotti via virt corrompe alcune cartelle di una partizione...
Bah che roba è?

A me quando elimino gli exe corrotti via virt corrompe alcune cartelle di una partizione...
Bah che roba è?

Ciao non so te,ma io ho preferito formatttare con malware del genere non c'è da stare al sicuro, ma tu se fai una scansione con hijackthis ti compaiono esattamente quei mawlare oppure altri?

Hai scaricato anche tu LivePlayer?

Ti faccio queste domande giusto per comparare le due situazioni e magari trovare una soluzione comune.

consiglio oltre a Malwarebytes di provare SuperAntispyware, che è fenomenale, ti raschia proprio il fondo del barile, da dei pc di alcuni clienti mi ha rimosso delle robe che l'altro nemmeno rilevava

consiglio oltre a Malwarebytes di provare SuperAntispyware, che è fenomenale, ti raschia proprio il fondo del barile, da dei pc di alcuni clienti mi ha rimosso delle robe che l'altro nemmeno rilevava

Ciao ho provato:

Hijackthis
Spybot
a-sqaured malware
a-squared hijackthis
a-squared
Malwarebytes
Prevx

Nessuno di questi è riuscito a risolvere il problema di fondo(hanno tolto solo qualche malware ma non quelli sopra elencati)

Ora sto eseguendo una nuova formattazione a basso livello da boot (con Active@ Kill Disk) senza però aver collegato gli altri hard disk,se resiste anche a questo prendo l'HDD e lo lancio dalla finestra...

A dire la verità credo di averlo preso scaricando da un sito spyware doctor full..
Ha incominciato dandomi questo messaggio:

http://img225.imageshack.us/img225/7616/pct.th.png (http://img225.imageshack.us/i/pct.png/)

Ciao ho provato:

Hijackthis
Spybot
a-sqaured malware
a-squared hijackthis
a-squared
Malwarebytes
Prevx

Nessuno di questi è riuscito a risolvere il problema di fondo(hanno tolto solo qualche malware ma non quelli sopra elencati)

Ora sto eseguendo una nuova formattazione a basso livello da boot (con Active@ Kill Disk) senza però aver collegato gli altri hard disk,se resiste anche a questo prendo l'HDD e lo lancio dalla finestra...
mi togli uno sfizio prova con questo http://www.surfright.nl/nl/downloads
e' hitman 3.5 che include database gdata,nod32,avira,asquared e prevx:D

Ciao ho provato:

Hijackthis
Spybot
a-sqaured malware
a-squared hijackthis
a-squared
Malwarebytes
Prevx

Nessuno di questi è riuscito a risolvere il problema di fondo(hanno tolto solo qualche malware ma non quelli sopra elencati)

Ora sto eseguendo una nuova formattazione a basso livello da boot (con Active@ Kill Disk) senza però aver collegato gli altri hard disk,se resiste anche a questo prendo l'HDD e lo lancio dalla finestra...

mi togli uno sfizio prova con questo http://www.surfright.nl/nl/downloads
e' hitman 3.5 che include database gdata,nod32,avira,asquared e prevx:D

La Guida da seguire è la seguente

http://www.hwupgrade.it/forum/showpost.php?p=29094220&postcount=3

ben strutturata ed apiamente collaudata, non si procede per tentativi a dimostrazione di quanto dico i tentivi al momento non hanno prodotto nessun risultato.

OK chillout posto tutti qui i log dei vari programmi

Malwarebytes
mbam-log-2009-10-03 (15-46-30).txt (http://wikisend.com/download/462512/mbam-log-2009-10-03 (15-46-30).txt)

mbr
mbr.log (http://wikisend.com/download/486554/mbr.log)

Prevx
prevx.log (http://wikisend.com/download/485712/prevx.log)

Hijackthis
hijackthis.log (http://wikisend.com/download/910332/hijackthis.log)

Karpesky da modalità provvisoria
klog.txt (http://wikisend.com/download/616584/klog.txt)

Immagine.jpg (http://wikisend.com/download/464302/Immagine.jpg)

SysInspector
SysInspector-PC-Rhawk-091004-1127.xml (http://wikisend.com/download/405662/SysInspector-PC-Rhawk-091004-1127.xml)

Gmer
gmerlog.txt (http://wikisend.com/download/939972/gmerlog.txt)

a-sqaured
a2scan_091005-162315.txt (http://wikisend.com/download/491606/a2scan_091005-162315.txt)

mi togli uno sfizio prova con questo http://www.surfright.nl/nl/downloads
e' hitman 3.5 che include database gdata,nod32,avira,asquared e prevx:D
è sicuro questo software?
se ha il database di gdata,nod32,avira,a-squared e prevx direi che è ottimo
però mi sembra un pò sospetto...

è sicuro questo software?
se ha il database di gdata,nod32,avira,a-squared e prevx direi che è ottimo
però mi sembra un pò sospetto...

se ne e' parlato gia' in altre discussioni..e' sicuro,ma non e' un antivirus ...e un pulitore...per 30 giorni e gratuito:D

Allega i log mancanti, grazie.

@$Raf$ - arnyreny

Siete OT

a-sqaured e ESET non trovano niente perciò non li ho postati,di questi log mi sai dire qualcosa in più?

Ora riscrivo il bios...non so più cosa pensare...a dopo...

a-sqaured e ESET non trovano niente perciò non li ho postati,di questi log mi sai dire qualcosa in più?

Ora riscrivo il bios...non so più cosa pensare...a dopo...

I log servoni tutti per avere una visione di insieme, in ogni caso mancano anche Gmer e SysInspector, vedi tu.

OK ora ce li ho messi tutti...qualuno mi sa dire di quale rootkit si tratta e come rimuoverlo?

OK chillout posto tutti qui i log dei vari programmi

Malwarebytes
mbam-log-2009-10-03 (15-46-30).txt (http://wikisend.com/download/462512/mbam-log-2009-10-03 (15-46-30).txt)

mbr
mbr.log (http://wikisend.com/download/486554/mbr.log)

Prevx
prevx.log (http://wikisend.com/download/485712/prevx.log)

Hijackthis
hijackthis.log (http://wikisend.com/download/910332/hijackthis.log)

Karpesky da modalità provvisoria
klog.txt (http://wikisend.com/download/616584/klog.txt)

Immagine.jpg (http://wikisend.com/download/464302/Immagine.jpg)

SysInspector
SysInspector-PC-Rhawk-091004-1127.xml (http://wikisend.com/download/405662/SysInspector-PC-Rhawk-091004-1127.xml)

Gmer
gmerlog.txt (http://wikisend.com/download/939972/gmerlog.txt)

manca ancora a-squared come scansione..

dal log di kaspersky:
deleted: Trojan program Trojan.Win32.Vapsup.vjp File: C:\Users\Rhawk\Downloads\eMule AdunanzA\Incoming\Original version Prevx 3.0.165 serial.rar/Setup.exe/Setup_01.exe/Setup_00.exe/LinkOpener.exe


deleted: Trojan program Trojan.Win32.C4DLMedia.c File: C:\Users\Rhawk\Downloads\eMule AdunanzA\Incoming\Original version Prevx 3.0.165 serial.rar/Setup.exe/Setup_01.exe/TorrentSpeederInstaller.exe//TorentSilentInstall.exe//TorrentSpeeder-1.0.0.1-setup.exe


deleted: Trojan program Trojan.Win32.Autoit.uu File: C:\Users\Rhawk\Downloads\eMule AdunanzA\Temp\001.part/Installer.exe//data0000.cab/LUCKY1~1.EXE//data0005//PE_Patch.UPX//UPX//script.au3
prevx usa la verifica della licenza tramite server quindi è inutile cercare un crack per lui.. :rolleyes:

manca ancora a-squared come scansione..

dal log di kaspersky:

prevx usa la verifica della licenza tramite server quindi è inutile cercare un crack per lui.. :rolleyes:

adesso arriva...comunque non l'ho scaricato dal mirror ma da emule ,l'ho scaricato per avere un'analisi più completa perchè la versione linkata dal mirror non prevede una protezione completa... ad ogni modo quell'archivio non l'ho manco aperto...si è fritto nella formattazione a BL.

edit log di asquared caricato...adesso qualcuno mi sa dire di che si tratta?
Nel frattempo sono riuscito ad eliminare due malware degli 8 iniziali.

adesso arriva...comunque non l'ho scaricato dal mirror ma da emule ,l'ho scaricato per avere un'analisi più completa perchè la versione linkata dal mirror non prevede una protezione completa... ad ogni modo quell'archivio non l'ho manco aperto...si è fritto nella formattazione a BL.

edit log di asquared caricato...adesso qualcuno mi sa dire di che si tratta?
Nel frattempo sono riuscito ad eliminare due malware degli 8 iniziali.

mnon è un problema di pacchetto installante ma di licenza, se alla trial tu immettessi una licenza valida si trasformerebbe magicamente in prodtto che rimuove le infezioni che trova.

il log di a-squared riguarda l'aggiornamento dell'enciclopedia virale.

la prossima volta che aggiungi un log inseriscilo in un nuovo messaggio, grazie :)

Sì certo è per la licenza.
Azz ho fatto confusione si vede che proprio non ho tempo...aspetta ora lo rifaccio e ve lo riposto...lo avevo messo in un unico post perchè nelle linee guida stava indicato di fare così :)

ora lo rifaccio...

Sì certo è per la licenza.
Azz ho fatto confusione si vede che proprio non ho tempo...aspetta ora lo rifaccio e ve lo riposto...lo avevo messo in un unico post perchè nelle linee guida stava indicato di fare così :)

ora lo rifaccio...

sì perchè altrimenti c'erano utenti che anche a trhread iniziale pubblicavano i log in mes separati e si avevano così thread con 9 mes iniziali fatti di link..
a thread in corso d'opera come questo è consigliabile, quando aggiungi un nuovo log riservargli un messaggio nuovo, puoi sia quotare il messaggio con i link ai log precedenti oppure pubblicarlo in un mes nuovo senza riferimenti ai precedenti log..

vabbè ok non è un problema per me...
basta che qualcuno mi sappia dire di che si tratta e come rimuoverlo...

OK chillout posto tutti qui i log dei vari programmi

Malwarebytes
mbam-log-2009-10-03 (15-46-30).txt (http://wikisend.com/download/462512/mbam-log-2009-10-03 (15-46-30).txt)

mbr
mbr.log (http://wikisend.com/download/486554/mbr.log)

Prevx
prevx.log (http://wikisend.com/download/485712/prevx.log)

Hijackthis
hijackthis.log (http://wikisend.com/download/910332/hijackthis.log)

Karpesky da modalità provvisoria
klog.txt (http://wikisend.com/download/616584/klog.txt)

Immagine.jpg (http://wikisend.com/download/464302/Immagine.jpg)

SysInspector
SysInspector-PC-Rhawk-091004-1127.xml (http://wikisend.com/download/405662/SysInspector-PC-Rhawk-091004-1127.xml)

Gmer
gmerlog.txt (http://wikisend.com/download/939972/gmerlog.txt)

a-sqaured
a2scan_091005-162315.txt (http://wikisend.com/download/491606/a2scan_091005-162315.txt)

ecco asquared
a2scan_091005-162315.txt (http://wikisend.com/download/491606/a2scan_091005-162315.txt)

Per chi ha Vista o Windows 7:
Potreste dirmi se, dopo una scansione con il programma Hijackthis, i seguenti servizi di sistema:

http://www.pctunerup.com/up/results/_200910/th_20091005220551_Immagine.jpg (http://www.pctunerup.com/up/image.php?src=_200910/20091005220551_Immagine.jpg)

il programma ve li rileva come malware?

Grazie. :)

Per chi ha Vista o Windows 7:
Potreste dirmi se, dopo una scansione con il programma Hijackthis, i seguenti servizi di sistema:

http://www.pctunerup.com/up/results/_200910/th_20091005220551_Immagine.jpg (http://www.pctunerup.com/up/image.php?src=_200910/20091005220551_Immagine.jpg)

il programma ve li rileva come malware?

Grazie. :)

si su seven e' normale;)

OK grazie mille e quindi con te sono già 4 computer con gli stessi falsi positivi. :)

Se qualcun altro vuole postare o dirmi i risultati delle proprie analisi mi fa un favore,grazie. :)

Per chi ha Vista o Windows 7:
Potreste dirmi se, dopo una scansione con il programma Hijackthis, i seguenti servizi di sistema:

http://www.pctunerup.com/up/results/_200910/th_20091005220551_Immagine.jpg (http://www.pctunerup.com/up/image.php?src=_200910/20091005220551_Immagine.jpg)

il programma ve li rileva come malware?

Grazie. :)
semplice incompatibilità

Sì infatti stavo uscendo pazzo...erano solo falsi positivi,credo del resto che sia impossibile che qualsivoglia forma di software possa resistere a una formattazione low level fatta con il sistema Gutmann.

Pensavo che qualche malware coperto da rootkit avesse sotituito i file di registro di Wvista ma confrontando le analisi di altri computer sono arrivato alla conclusione di cui sopra.

Ok caso risolto,grazie...