Salve a tutti, ieri l'antivirus che utilizzo (AVG) mi ha segnalato la presenza di 2 trojan che però non è riuscito a rimuover. Il loro nome è BHO. non mi ricordo l'estensione. In ogni caso ho Scaricato Trojan Killer che mi li ha beccati al volo ma che per toglierli vuole il numero seriale. Va beh.... Mi domandavo se esiste qualche altro software in grado di fare al caso mio, naturalmente gratuito.
Altrimenti cosa posso fare.

Un grazie in anticipo

usa spybot, trovi qui (http://www.safer-networking.org/it/spybotsd/index.html)

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► fileqube.com (http://fileqube.com/) ■ wikisend.com (http://wikisend.com/)
link caricamento immagini ► fileqube.com (http://fileqube.com/) ■ picoodle.com (http://www.picoodle.com/) ■ imageshack.us (http://imageshack.us/)

usa spybot, trovi qui (http://www.safer-networking.org/it/spybotsd/index.html)

Ciao, ti ringrazio del consiglio che seguirò. Scusa però, Spybot non è solo per gli spyware? Come avrai letto il mio è un trojan.

ciao

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)
qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► fileqube.com (http://fileqube.com/) ■ wikisend.com (http://wikisend.com/)
link caricamento immagini ► fileqube.com (http://fileqube.com/) ■ picoodle.com (http://www.picoodle.com/) ■ imageshack.us (http://imageshack.us/)


Grazie anche a te per il consiglio......certo che c'è un bel malloppo di cose da sapere!!!!!

si,ma avevo anche io un troian e ho risolto con una scansione con spybot e poi una scansione con combofix

si,ma avevo anche io un troian e ho risolto con una scansione con spybot e poi una scansione con combofix

Non mi rimane che provare!!! grazie

prego

Grazie anche a te per il consiglio......certo che c'è un bel malloppo di cose da sapere!!!!!

non si sa mai quanti ospiti si hanno nel pc, con la guida linkata possiamo rimuovere tutto

usa spybot, trovi qui (http://www.safer-networking.org/it/spybotsd/index.html)

Ciao, volevo aggiornarti sulla vicenda...........
Ho passato spybot come mi avevi consigliate ed effettivamente ho risolto in parte il problema. Dico in parte perchè adesso quando avvio il pc (con so vista sp2) mi dice che esplora risorse ha smesso di funzionare e quindi si blocca. La videata rimane azzurra. Una volta premto ctrl-alt.canc scelgo quindi di disconnettermi ed il risultato è che si avvia normalemente. E' questo forse il risultato dei diversi trojan che mi son beccato?
Ho fatto anche 138 mega di aggiornamenti attraverso windows update, per la serie non si sa mai.......... ma non è cambiato niente.

saluti

Salve a tutti,
mi attacco qui perché la causa di tutto il problema sembrerebbe proprio trojan.bho .
Su un notebook Acer 5738G appena acquistato (ahi) ho iniziato a fare gli aggiornamenti di windows vista (con una certa lentezza ), ho installato Online Armor ed Avast! , Firefox , ho eliminato McAfee preinstallato...Poi ho installato Malwarebytes e mi ha trovato esattamente la situazione descritta in questo post (http://www.malwarebytes.org/forums/index.php?showtopic=33815&pid=171646&st=0&#entry171646)del forum malwarebytes.org, come nel primo log (al momento i miei log non li posso postare poi spiego) .
Dopo qualche incertezza ho iniziato la procedura della Guida alla Disinfezione .Malwarebytes mi ha messo in quarantena il trojan ma quando si trattava di eliminarlo si chiudeva con :
" Runtime error ...
Program : c:\program files\Malwarebytes Anti Malware\mbam.exe
this application has requested the Runtime to terminate it in an unusual way.
Please contact the application support team for more information."

Poi però Mbam non mi rilevava più il trojan (almeno per un pò).
Ho inviato partner.exe a virustotal.com ma ho avuto 0/40 (?).
ASquared mi ha trovato invece il trojan agent!IK ma sono riusciuto a rimuoverlo o almeno non mi ha chiuso il programma e ripassandolo non ha trovato altro.
Ho proseguito con i vari passaggi della guida fino a Dr.CureIt senza trovare altro ...
finche mi è venuta la cattiva idea di avviare in safe mode per poter ripulire a fondo .
Ho settato msconfig - con F8 mi sembrava di non riuscire: safe boot minimo e allora ... un loop di riavvii.
Da quanto ho capito il malware maledetto ha modificato il file boot.ini e ora non riesco a uscirne .
Ho i dvd di ripristino e con quelli sono riuscito a riavviare da dvd , ma poi
ho di fronte ( più tardi ) la schermata dell'Acer recovery che mi propone solo ripristino totale o con salvataggio dati. Vorrei riuscire a modificare il boot.ini
come descritto ad esempio qui su bleepingcomputer (http://www.bleepingcomputer.com/tutorials/tutorial61.html), per poter avviare dal mio Vista già aggiornato e cercare ancora di sradicare quello che c'è :muro:
Ma come avrete capito ho una certa inesperienza con il system e quindi spero in qualche consiglio anche perchè il notebook dovrebbe essere il regalo di natale per la mia compagna !
grazie in anticipo a chi vorrà aiutarmi

Salve a tutti,
mi attacco qui perché la causa di tutto il problema sembrerebbe proprio trojan.bho .
Su un notebook Acer 5738G appena acquistato (ahi) ho iniziato a fare gli aggiornamenti di windows vista (con una certa lentezza ), ho installato Online Armor ed Avast! , Firefox , ho eliminato McAfee preinstallato...Poi ho installato Malwarebytes e mi ha trovato esattamente la situazione descritta in questo post (http://www.malwarebytes.org/forums/index.php?showtopic=33815&pid=171646&st=0&#entry171646)del forum malwarebytes.org, come nel primo log (al momento i miei log non li posso postare poi spiego) .
Dopo qualche incertezza ho iniziato la procedura della Guida alla Disinfezione .Malwarebytes mi ha messo in quarantena il trojan ma quando si trattava di eliminarlo si chiudeva con :
" Runtime error ...
Program : c:\program files\Malwarebytes Anti Malware\mbam.exe
this application has requested the Runtime to terminate it in an unusual way.
Please contact the application support team for more information."

Poi però Mbam non mi rilevava più il trojan (almeno per un pò).
Ho inviato partner.exe a virustotal.com ma ho avuto 0/40 (?).
ASquared mi ha trovato invece il trojan agent!IK ma sono riusciuto a rimuoverlo o almeno non mi ha chiuso il programma e ripassandolo non ha trovato altro.
Ho proseguito con i vari passaggi della guida fino a Dr.CureIt senza trovare altro ...
finche mi è venuta la cattiva idea di avviare in safe mode per poter ripulire a fondo .
Ho settato msconfig - con F8 mi sembrava di non riuscire: safe boot minimo e allora ... un loop di riavvii.
Da quanto ho capito il malware maledetto ha modificato il file boot.ini e ora non riesco a uscirne .
Ho i dvd di ripristino e con quelli sono riuscito a riavviare da dvd , ma poi
ho di fronte ( più tardi ) la schermata dell'Acer recovery che mi propone solo ripristino totale o con salvataggio dati. Vorrei riuscire a modificare il boot.ini
come descritto ad esempio qui su bleepingcomputer (http://www.bleepingcomputer.com/tutorials/tutorial61.html), per poter avviare dal mio Vista già aggiornato e cercare ancora di sradicare quello che c'è :muro:
Ma come avrete capito ho una certa inesperienza con il system e quindi spero in qualche consiglio anche perchè il notebook dovrebbe essere il regalo di natale per la mia compagna !
grazie in anticipo a chi vorrà aiutarmi

ciao

in pratica ora hai vista che continua a riavviarsi?

in pratica ora hai vista che continua a riavviarsi?

Esatto .
Con F8 ho provato " riavvia da configurazione funzionante" ma si riavvia...
Premendo F12 ieri sera ho avviato da dvd di ripristino che funziona,
sono arrivato alla schermata dell'Acer per il ripristino e mi sono fermato.
Posso rimediare alla cavolata fatta più velocemente che con ripristino+aggiornamenti etc. ?
E poi un ripristino completo mi sradicherebbe il malware ?

Esatto .
Con F8 ho provato " riavvia da configurazione funzionante" ma si riavvia...
Premendo F12 ieri sera ho avviato da dvd di ripristino che funziona,
sono arrivato alla schermata dell'Acer per il ripristino e mi sono fermato.
Posso rimediare alla cavolata fatta più velocemente che con ripristino+aggiornamenti etc. ?
E poi un ripristino completo mi sradicherebbe il malware ?

si riavvia prima o dopo la schemata di caricamento di win?
dalle opzioni di avvio prova a disabilitare il riavvio automatico

si riavvia prima o dopo la schemata di caricamento di win?
dalle opzioni di avvio prova a disabilitare il riavvio automatico

Si riavvia appena dopo la schermata di caricamento . Si avvia anche in safe mode ma dopo aver caricato i driver si riavvia di nuovo.

Ho disabilitato il riavvio automatico dalle opzioni di avvio ma continua a riavviarsi . Ho provato a farlo anche avviando dal dvd ma niente.

Riesco però ad arrivare alla schermata di ripristino dal dvd dell'Acer eRecovery Management 7.0.1.3 che propone : ripristino completo o con conservazione dati utente.

leggendo qui: http://www.bleepingcomputer.com/tutorials/tutorial61.html

verso il fondo pagina , l'unica via d'uscita sembra essere un disco di avvio di Vista che consenta l'accesso alla Windows Recovery Console, per arrivare al command prompt per poter rinominare il file boot.ini. Per quello che ho visto questi dischi di ripristino dell'acer che per fortuna avevo preparato, non consentono di arrivare al command prompt .

Il trucco del trojan ( Bho o l'altro il W32Agent.IK o chissà) sarebbe di non permettere il safe boot cancellando certe chiavi del registro .
Il safe boot infatti parte poi riavvia di nuovo .

alla fine mi toccherà ripristinare tutto... come mi suggerisce il supporto acer che ha risposto ad una mia richiesta.

Ho ripreso il controllo !
Ho provato ad avviare dalla partizione nascosta con Alt+F10 , l'acer recovery é identico a quello del dvd di ripristino con solo due opzioni.
Quindi ho riavviato.
Ma dopo un paio di prove ha funzionato una delle opzioni di avvio avanzate e miracolosamente si é avviata la modalità provvisoria !!
Per primo ho rimesso a posto msconfig , poi ho fatto uno scan quick con Malwarebytes : zero problemi .
Ho riprovato a riavviare in modalità provvisoria con F8 ma ancora non funziona. Dovrei sistemare boot.ini . Quali comandi utilizzare ?
Ora accedo normalmente a Vista.

Grazie per l'assistenza

Leggo che sei più incasinato di me mybytes!!!!!!

io invece spazzato i trojan contino ad avere il messaggio iniziale "esplora risorse ha smesso di funzionare" e mi tocca premere ctrl-alt-canc e disconettermi. Solo a quel punto appare la schermata degli utenti.

Ho letto in questo forum che fra le varie soluzioni si propone di usare ShellExView. Lo quindi scaricato ma non ho capito cosa fare di preciso.

Avevo già disinstallato una serie di programmi che avevo giusto installato prima che apparisse il trojan. Ho anche passato regclener ma il problema non è stato risolto.
saluti

Ho ripreso il controllo !
Ho provato ad avviare dalla partizione nascosta con Alt+F10 , l'acer recovery é identico a quello del dvd di ripristino con solo due opzioni.
Quindi ho riavviato.
Ma dopo un paio di prove ha funzionato una delle opzioni di avvio avanzate e miracolosamente si é avviata la modalità provvisoria !!
Per primo ho rimesso a posto msconfig , poi ho fatto uno scan quick con Malwarebytes : zero problemi .
Ho riprovato a riavviare in modalità provvisoria con F8 ma ancora non funziona. Dovrei sistemare boot.ini . Quali comandi utilizzare ?
Ora accedo normalmente a Vista.

Grazie per l'assistenza
ma su vista il boot.ini non esiste, e viene gestito tutto dal bootloader di vista che puoi gestire tramite GUI da easybcd
http://neosmart.net/dl.php?id=1

Leggo che sei più incasinato di me mybytes!!!!!!

io invece spazzato i trojan contino ad avere il messaggio iniziale "esplora risorse ha smesso di funzionare" e mi tocca premere ctrl-alt-canc e disconettermi. Solo a quel punto appare la schermata degli utenti.

Ho letto in questo forum che fra le varie soluzioni si propone di usare ShellExView. Lo quindi scaricato ma non ho capito cosa fare di preciso.

Avevo già disinstallato una serie di programmi che avevo giusto installato prima che apparisse il trojan. Ho anche passato regclener ma il problema non è stato risolto.
saluti
non abbiamo visto i tuoi log o sbaglio?

non abbiamo visto i tuoi log o sbaglio?

E no che non l'ho messo! :muro:
Scusa, lancio HijackThis e poi posto il log, vero?

stasera provvederò sicuramente, grazie

E no che non l'ho messo! :muro:
Scusa, lancio HijackThis e poi posto il log, vero?

stasera provvederò sicuramente, grazie

tutti i log della guida alla disinfezione
http://www.hwupgrade.it/forum/showpost.php?p=30131348&postcount=9

ma su vista il boot.ini non esiste, e viene gestito tutto dal bootloader di vista che puoi gestire tramite GUI da easybcd
http://neosmart.net/dl.php?id=1

Grazie !!!!! Provvedo appena possibile !

Posterò i log , ma riepilogando fra questi che avevo trovato :

Partner.exe (Trojan.BHO) con Malwarebytes
Partner.dll (Trojan.BHO) con Malwarebytes

Trojan.W32.Agent!IK con ASquared

possono avermi bloccato la modalità provvisoria o sarà stato qualche altro : Bagle ? E penso che sia venuto tutto da una pennetta. Proverò anche con Combofix e con la guida per Bagle

ciao


ciao

Grazie !!!!! Provvedo appena possibile !

Posterò i log , ma riepilogando fra questi che avevo trovato :

Partner.exe (Trojan.BHO) con Malwarebytes
Partner.dll (Trojan.BHO) con Malwarebytes

Trojan.W32.Agent!IK con ASquared

possono avermi bloccato la modalità provvisoria o sarà stato qualche altro : Bagle ? E penso che sia venuto tutto da una pennetta. Proverò anche con Combofix e con la guida per Bagle

ciao


ciao
se aftcleaner o l'antivirus funzionano non hai bagle e devi seguire la guida alla disinfezione

Ciao, volevo aggiornarti sulla vicenda...........
Ho passato spybot come mi avevi consigliate ed effettivamente ho risolto in parte il problema. Dico in parte perchè adesso quando avvio il pc (con so vista sp2) mi dice che esplora risorse ha smesso di funzionare e quindi si blocca. La videata rimane azzurra. Una volta premto ctrl-alt.canc scelgo quindi di disconnettermi ed il risultato è che si avvia normalemente. E' questo forse il risultato dei diversi trojan che mi son beccato?
Ho fatto anche 138 mega di aggiornamenti attraverso windows update, per la serie non si sa mai.......... ma non è cambiato niente.

saluti

uhm,hai usato poi combofix?

Salve a tutti....anzi buone feste a tutti. Posto il log di heyjackthis dove si vedono i famigerati BHO. Li ho già fixxati. Sicuramente bisognerà fixxare ancora qualcosa ma prima di far disastri, ditemi voi.


per michelemsn: non l'avevo passatp combofix

Salve a tutti....anzi buone feste a tutti. Posto il log di heyjackthis dove si vedono i famigerati BHO. Li ho già fixxati. Sicuramente bisognerà fixxare ancora qualcosa ma prima di far disastri, ditemi voi.


per michelemsn: non l'avevo passatp combofix

Per il controllo del log di HJT esiste un 3D dedicato, sul come procedere leggere Post #3 http://www.hwupgrade.it/forum/showpost.php?p=30125992&postcount=3

Buon Anno a tutti !!

Per cominciare vorrei postare i log delle scansioni precedenti alla esecuzione della guida , con Malwarebytes con files malevoli :
- trojan.bho ( di cui ho già parlato )
- Rootkit.Agent.H

mbam-log-2009-12-24 (3 log).txt (http://wikisend.com/download/488952/mbam-log-2009-12-24 (3 log).txt)

Altro positivo precedente con A-Squared :
a2scan_091220-012928.txt (http://wikisend.com/download/856186/a2scan_091220-012928.txt) .


-Appena avuto il tempo ho proseguito la Guida alla Disinfezione per Infetti con ordine .
-Ho connesso il notebook infetto il meno possibile , scaricando i programmi altrove ma tenendoli aggiornati etc.
-Fatto un controllo del disco .

1- Eseguiti preliminari ( No ripristino, DNS ) e ATF-Cleaner , che funziona.

2- Malwarebytes :
Come ho già detto i risultati non sono stati costanti , spesso non trova niente , come all'inizio della procedura .Ma eseguendo un controllo dopo il crash di Gmer : mbam-log-2010-01-02 (12-27-32).txt (http://wikisend.com/download/614160/mbam-log-2010-01-02 (12-27-32).txt)

3- A-Squared Free :
Rilevato un trojan , ma sembrerebbe un falso positivo trattandosi dell'installer di SysInspector ,
comunque cancellato e reinstallato dopo download:
a2scan_091230-222624.txt (http://wikisend.com/download/932108/a2scan_091230-222624.txt)
Ho visto che si può aumentare il livello di completezza del test nella impostazione personalizzata .

4- Kaspersky Virus Removal Tool :
Ho avuto difficoltà prima a installare il tool (online armor lo bloccava comunque e non mi funziona la modalità provvisoria ) , poi a salvare il report , e alla fine copiando ho ricavato questo .
kasp filtrato.txt (http://wikisend.com/download/932100/kasp filtrato.txt)

5- Dr.Web CureIt : negativo

cureit filtrato.txt (http://wikisend.com/download/592664/cureit filtrato.txt)

6- SysInspector :

SysInspector091231-1708.xml (http://wikisend.com/download/578938/SysInspector091231-1708.xml)

7- HiJack This : non accede al file ' hosts '.
hijackthis.txt (http://wikisend.com/download/903066/hijackthis.txt)

8- Gmer : mi ha crashato con blue screen e ho rifatto il test con MBM di cui ho postato il log sopra al punto 2. Ma poi disabilitando Online Armor e Avast ha completato il test.
Questa sotto è la prima schermata ma non ci sono elementi in rosso.
gmer.txt (http://wikisend.com/download/191722/gmer.txt)
Anche qui non ho visto elementi in rosso.
gmerlarge.txt (http://wikisend.com/download/461676/gmerlarge.txt)

9- Prevcsi :negativo
Prevx.txt (http://wikisend.com/download/790912/Prevx.txt)




- Qui sotto immagine del momento in cui si blocca ancora durante il safe boot , ho provato anche con EasyBCD :

http://img230.imageshack.us/img230/9250/safeboot02012010.th.jpg (http://img230.imageshack.us/i/safeboot02012010.jpg/)
Grazie

salve a tutti ,

Il log di hijackthis risulta pulito ( grazie Chill ), a questo punto come procedere ?
Adesso sto facendo girare di nuovo Gmer ( Vista ) e ho avuto un blue screen.
Chiudendo Online Armor invece va .

Può essere utile il Rescue CD di Avira , anche per risolvere il problema del safe boot ? L'ho scaricato e ho visto anche l'Avira Antirootkit Tool.

ciao

salve a tutti ,

Il log di hijackthis risulta pulito ( grazie Chill ), a questo punto come procedere ?
Adesso sto facendo girare di nuovo Gmer ( Vista ) e ho avuto un blue screen.
Chiudendo Online Armor invece va .

Può essere utile il Rescue CD di Avira , anche per risolvere il problema del safe boot ? L'ho scaricato e ho visto anche l'Avira Antirootkit Tool.

ciao

Sei ok, a volte Gmer crasha quindi è inutile insistere.

Sei ok, a volte Gmer crasha quindi è inutile insistere.


Mi servirebbe ancora il vostro aiuto :
non riesco ancora ad avviare in safe mode. L'avvio di Windows si ferma qui ( ho fatto una foto ) :
http://img230.imageshack.us/img230/9250/safeboot02012010.th.jpg (http://img230.imageshack.us/i/safeboot02012010.jpg/)

potrebbe essere un problema di installazione di windows ?

... e devo dire che questo forum é veramente ben fatto , questa sezione é utilissima , piena di informazioni dettagliate, e non mi sembra si trovi qualcosa del genere , almeno in italiano !

Mi servirebbe ancora il vostro aiuto :
non riesco ancora ad avviare in safe mode. L'avvio di Windows si ferma qui ( ho fatto una foto ) :
http://img230.imageshack.us/img230/9250/safeboot02012010.th.jpg (http://img230.imageshack.us/i/safeboot02012010.jpg/)

potrebbe essere un problema di installazione di windows ?

... e devo dire che questo forum é veramente ben fatto , questa sezione é utilissima , piena di informazioni dettagliate, e non mi sembra si trovi qualcosa del genere , almeno in italiano !

Chiedi in sezione Microsoft Windows (http://www.hwupgrade.it/forum/forumdisplay.php?f=126)