Gentili tutti, sono nuovo e chiedo venia se sbaglierò qualcosa nel tread.
Ovviamente scrivo perché ho un problema di virus.
Ieri, di punto in bianco il pc ha iniziato a chiedermi di attivare il centro sicurezza: quando prova ad attivarlo dall'iconcina nella barra di windows (la bandierina, per capirci) mi dice che è impossibile. Se provo ad attivare da pannello di controllo, li per li sembra andare tutto bene, ma dopo poci istanti, si ridisattiva.
Inoltre, sempre da ieri, sono invaso da pubblicità automatiche (e credo che le due cose siano collegate). Senza considerare che anche Firefox, non appena lo apro, smette di funzionare (messaggio: Firefox ha smesso di funzionare).
Ho fatto due scan sia con Spybot Search & Distroy, sia con Avira, trovati un po' di sptware e troyan. Ma il problema si non è risolto.
Cosa mi sono beccato?
E come posso rimuoverlo?
Grazie

AGGIORNAMENTO:
in questo momente Avira mi segnala che in "Windows/Temp/vqve/setup.exe" ha trovato questo "TR/Crypt.ZPACK.Gen"

Ciao. Fai cosi:

Scarica ed installa Malwarebytes' Anti-Malware Free Version: http://www.malwarebytes.org
Nota - durante l'installazione:
● ti verrà richiesto di aggiornare le definizioni virali del programma, e di avviarlo una volta installato: consenti, lasciando la spunta a Aggiorna Malwarebytes' Anti-Malware e Avvia Malwarebytes' Anti-Malware

Una volta installato:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● ti verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● se vengono rilevate infezioni: eliminale, cliccando su Rimuovi elementi selezionati
● se non vengono rilevate infezioni: allega ugualmente il file di testo

Infine:

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e, dal menù contestuale, scegli la voce Esegui come Amministratore

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

Perfetto!

Grazie mille, tra stasera e domani procedo e allego i file.

A dopo

Rieccomi.
Effettuato lo scan con MBAM.
Non è riuscito a rimuovere alcuni elementi.
Il Log è in allegato.
Domattina passo a Hijackthis e non mancherò di allegare anche questo Log.
Grazie

Ecco anche l'altro Log.
Resto in attesa di indicazione.
Grazie davvero!

dal log non si vede l'azione intrapresa e quali oggetti non siano stati rimossi quindi sono un po' alla cieca..
hai più infezioni difefrenti quindi non posso dirottarti sulla guida specifica pertanto prosegui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

- se ti senti magnanimo parti dall'inizio quindi rifacendo una scansione con malwarebytes, se invece vuoi eventualmente riservarla per la fine fai pure la scansione con atf-cleaner e parti da emisoft antimalware :)

ps: è inutile analizzare ora il log di hijackthis perchè il pc è ancora sporco, meglio farlo nel finale così da eliminare residui e concentrarsi su ottimizzazioni del sistema :)



@ himaco: ti avevo chiesto cortesemente di contattarmi in pvt, sei pregato di farlo prima di dare ulteriore assistenza. grazie

Cazzarola, speriamo bene.
Domattina mi metto sotto e seguo tutti i processi della guida.
1000 Grazie

Emisoft mi si blocca la 4% della scansione File. Ho penato per riuscire a chiuderlo.
Cosa faccio? Passo agli altri?

AGGIORNAMENTO
Sto ri-facendo lo scan con Emisoft: il prolema "blocco" sembra risolto.

in ogni caso salva il log se riesci :)

Dunque, finora ho effettuato Atf-Cleaner, MBAM, Emsisoft (che non ha dato più problemi) e Kaspersky Virus Removal (F-Secure nn ne voleva sapere nulla di scansionare il mio pc).
Domani sto fuori casa ma conto di copletare tutto entro domenica/lunedì in modo da postare tutti i Log.
Comunque il pc è già NOTEVOLMENTE migliorato. :eek:
Grazie, grazie
:ave:

Ragazzi, ho lo stesso problema!!
Io comunque credo di essere consapevole del fatto che ho eseguito una patch per Mirc dove, a partire da quel momento, ho cominciato ad avere problemi [finestre di explorer che si aprono da sole (ora non più) e centro sicurezza pc windows non attivabile]

Vi allego i log e confido in voi
Grazie 1000

:help:

Ecco tutti i Log

MBAM:
http://wikisend.com/download/652314/mbam-log-2011-01-28 (13-08-18).txt

EMSISOFT
http://wikisend.com/download/156468/a2scan_110128-155617.txt

KARSPERSKY (sono due log perché, per curare un elemento, mi ha fatto bloccare la scansione e riavviare. Al riavvia ha ricominciato da dove aveva asciato):
http://wikisend.com/download/580402/virus-removal-1.txt
http://wikisend.com/download/674512/virus-removal-2.txt

DR.WEB:
http://wikisend.com/download/939080/CureIt.log

ESET SYSINSPECTOR:
http://wikisend.com/download/574236/SysInspector-DANIELE-PC-110131-1134.xml

HI JACK THIS:
http://wikisend.com/download/557596/hijackthis.log

GMER:
http://wikisend.com/download/466562/Gmer.log

PREVX:
http://wikisend.com/download/602736/prevx.log

Spero di aver fatto tutto per bene. Resto in attesa di risconto.
Grazie

Ecco tutti i Log

MBAM:
http://wikisend.com/download/652314/mbam-log-2011-01-28 (13-08-18).txt

EMSISOFT
http://wikisend.com/download/156468/a2scan_110128-155617.txt

KARSPERSKY (sono due log perché, per curare un elemento, mi ha fatto bloccare la scansione e riavviare. Al riavvia ha ricominciato da dove aveva asciato):
http://wikisend.com/download/580402/virus-removal-1.txt
http://wikisend.com/download/674512/virus-removal-2.txt

DR.WEB:
http://wikisend.com/download/939080/CureIt.log

ESET SYSINSPECTOR:
http://wikisend.com/download/574236/SysInspector-DANIELE-PC-110131-1134.xml

HI JACK THIS:
http://wikisend.com/download/557596/hijackthis.log

GMER:
http://wikisend.com/download/466562/Gmer.log

PREVX:
http://wikisend.com/download/602736/prevx.log

Spero di aver fatto tutto per bene. Resto in attesa di risconto.
Grazie

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: MP3 Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: _uninst_setup_9.0.0.722_28.01.2011_18-48.exe.lnk = Daniele\AppData\Local\Temp\_uninst_setup_9.0.0.722_28.01.2011_18-48.exe.bat
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} (Java Plug-in 1.6.0_18) -
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

ti sto facendo disabilitare delle esecuzioni automatiche inutili che appesantiscono solo il pc, una sola di queste però non è rassicurante:
C:\Users\Daniele\AppData\Local\Temp\_uninst_setup_9.0.0.722_28.01.2011_18-48.exe.bat

puoi per cortesia upparmelo? sempre su uno dei server riportando qui il link..
metti per cortesia l'avviso che si tratta di un oggetto potenzialmente pericoloso :)

dal log di prevx si ha conferma che non è stato debellato tutto:
[BP] c:\program files\webteh\bsplayer\bsplayer.exe [PX5: AADBE9A4006B6D4146EC1E6ADF89540000721347] Malware Group: Medium Risk Malware
[B] c:\windows\system32\clbcatqo.dll [PX5: B2C01C7B00F214E336A90190077591006BDF91FF] Malware Group: High Risk Cloaked Malware
[B] c:\windows\system32\sxstraceq.dll [PX5: B2C01C7B00F214E336A90190077591006BDF91FF] Malware Group: High Risk Cloaked Malware
[B] c:\windows\system32\fastopen3.dll [PX5: 5295183F00F971FE36D301E56756C9002351A4B6] Malware Group: High Risk Cloaked Malware

quindi prosegui nel seguente modo:
ComboFix Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) al termine del download premuratevi di rinominarlo in explorer.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su explorer.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt


poi fai una nuova scansione con malwarebytes, prevx e hijackthis. se tu avessi problemi con l'associazione dei file .exe puoi correggere il problema scaricando ed eseguendo questo tool:
FixExe.zip -> http://www.hwupgrade.it/forum/attachment.php?attachmentid=75273&d=1268411656

Ragazzi, ho lo stesso problema!!
Io comunque credo di essere consapevole del fatto che ho eseguito una patch per Mirc dove, a partire da quel momento, ho cominciato ad avere problemi [finestre di explorer che si aprono da sole (ora non più) e centro sicurezza pc windows non attivabile]

Vi allego i log e confido in voi
Grazie 1000

tu hai un problema differente e pe ril tuo caso esiste una guida specifica! sei quindi invitato a seguire questa guida: http://www.hwupgrade.it/forum/showthread.php?t=1789446
pubblica lì tutti i log richiesti, grazie

puoi per cortesia upparmelo? sempre su uno dei server riportando qui il link..

Ecco il file

!!! ELEMENTO POTENZIALMENTE PERICOLOSO !!!
NON SCARICARE
http://wikisend.com/download/596896/_uninst_setup_9.0.0.722_28.01.2011_18-48.exe.bat


Domani fixo e rifaccio quelle scansioni.

Grazie

ComboFix
Compatibile: Windows XP - Vista


Perdona la "petulanza": io ho Windows Seven, funzionerà?

Ecco il file

!!! ELEMENTO POTENZIALMENTE PERICOLOSO !!!
NON SCARICARE
http://wikisend.com/download/596896/_uninst_setup_9.0.0.722_28.01.2011_18-48.exe.bat


Domani fixo e rifaccio quelle scansioni.

Grazie

ok il file è innocuo, rimuove la cartella in cui è stato scompattato l'archivio autoestraente per dar corso all'installazione. se non trova la directory non fa nulla :)

Perdona la "petulanza": io ho Windows Seven, funzionerà?

al massimo ti dice che non è compatibile con il sistema operativo e in tal caso procediamo in maniera differente :)

Ciao, intanto ho fixato ed effettuato combofix...
C'è solo un piccolo problema: ma ha cancellato automaticamente il file autorun.inf dal disco estreno (in cui tengo tutte le cose)... come rimediare?
Intanto passo a fare le altre scansioni.

Dunque, ho fixato tutti gli elementi che mi avevi segnalato,
tranne
C:\Users\Daniele\AppData\Local\Temp\_uninst_setup_9.0.0.722_28.01.2011_18-48.exe.bat
perché HiJackThis non me lo rileva più, anche se nella cartella c'è... bho...

A tal proposito volevo chiederti:
rimuove la cartella in cui è stato scompattato l'archivio autoestraente per dar corso all'installazione.
perdona l'ottusità ma a quale archivio autoestraente ti riferisci?


Ecco gli ultimi Log

Combofix:
http://wikisend.com/download/411000/combofix.txt
(http://wikisend.com/download/411000/combofix.txt)

Mbam:
http://wikisend.com/download/482090/mbam-log-2011-02-01 (19-11-55).txt

Prevx:
http://wikisend.com/download/416344/prevx.log

HiJackThis:
http://wikisend.com/download/500204/hijackthis.log


Prevx rileva ancora qualcosa, ma il pc va che è una scheggia e il centro sicurezza si è riabilitato da solo dopo combofix.
Mi rimane solo quel problema con il file autorun.inf cancellato da combofix (vedi mess sopra). Qualche consiglio?

Grazie!!!

gli archivi compressi non sono solamente zip e rar, possono essere anche archivi exe che inglobano al loro interno la procedura necessaria per scampattarsi e lanciare il file corretto per un installazione, come appunto nel tuo caso: setup_9.0.0.722_28.01.2011_18-48.exe
infatti la cartella che trovi è quella in cui questo exe si è scompattato, puoi rimuoverla manualmente.

non capisco che problema sia la mancanza di quel autorun.inf

hijackthis non rimuove nessun file bensì disabilita servizi ed esecuzioni automatiche, nulla di più. purtroppo si è diffusa trail popolo la concezione che sia la cura a tutti i mali e maldestramente molti pensano che fixare sia rimuovere fisicamente quelle cose.

bsplayer può essere un falso positivo io comunque lo sostituirei con kmplayer ;)

Ok. Per l'autorun credevo fosse importante per far girare l'HD esterno, ma vedo che funziona lo stesso quindi ciccia!

Ora passo alla guida post disinfezione... non mi avranno più!!!!

Non so come ringraziarti xcdegasp!

Massimo rispetto a voi e al vosrto forum!!
:ave: :ave: :ave:

EDIT
Grazie per la dritta sul player... grazie per tutto.

di nulla :)

@ himaco: ti avevo chiesto cortesemente di contattarmi in pvt, sei pregato di farlo prima di dare ulteriore assistenza. grazie

himaco: da neoiscritto hai subito creato altre due utenze, hai continuato a dare assistenza senza criterio che avrebbe potuto aumentare i problemi anzicchè sanare le problematiche che affliggevano i pc degli utenti. per tutta questa serie di motivi ti riteniamo non idoneo a questa community e ti viene applicato il ban alla persona questo significa che non è tollerata una tua nuova iscrizione, se cio accadesse verrai bannato senza alcun avviso.