problema con IE7, colpa di un virus?

[antocri]

Salve a tutti.
Da alcuni giorni ho problemi con IE.
Fino a ieri, quando uscivo da IE, mi appariva una finestra di errore con questa dicitura: "L'istruzione a 0x2e746e65 ha fatto riferimento alla memoria a 0x2e746e65. La memoria non poteva essere read"

Ho fatto una scansione on line con Bitdefender (di recente l'avevo fatta con AVG), c'erano un paio di virus che dovrebbero essere stati eliminati.
Dopo questa operazione non mi è apparsa più quella finestra di errore.

Ma oggi, mentre navigo, IE si chiude all'improvviso.

Su consiglio ricevuto da Angelus8B (in altra sezione), ho scaricato Combofix e fatto la scansione, ma non in modalità provvisoria.

Non sono riuscita a farla in modalità provvisoria perchè avevo scaricato il programma in modalità normale.
Poi ho riavviato il pc in modalità provvisoria, ma quando sono andata a cercare combofix laddove l'avevo salvato, non l'ho trovato.
Con la funzione "cerca" l'ho trovato nella cartella Prefecht all'interno di WINDOWS, ma non mi consentiva di eseguire il programma perchè non riconosceva l'estensione.
Ho provato a riscaricarlo - sempre mentre stavo in modalità provvisoria - ma non ci sono riuscita in quanto risultava già presente sul pc.
Sono tornata in modalità normale, ho riscaricato il programma (chiamandolo Combofix2) e l'ho eseguito direttamente.

Se è necessario eseguire Combofix in modalità provvisoria posso riprovare a scaricare il programma (ma bisogna scaricarlo ogni volta?!?) e a chiamarlo "combofix3" in modo da non riavere il problema di prima.

Che mi dite?
Grazie

[wjmat]

Ciao benvenuta nel pronto soccorso di HU.

segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema , fatto la pulizia dei file inutili con ATFCleaner , vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.

Se pensi che l'infezione possa essere partita da una chiavetta usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Qui e qui esempi precisi ed ordinati di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube.com

[antocri]

per la cronaca, da stamattina sto eseguendo tutti i passaggi indicati da wjmat, ma... che faticaccia
e sono ancora al n. 4

comunque grazie, spero di risolvere.
Al più presto posterò i log

[wjmat]

dal 5 in avanti sono velocissimi, tranquilla

[wjmat]

http://www.hwupgrade.it/forum/showpo...7&postcount=28
non rispondere nel bigino, vai avanti qui...
non puoi selezionarli singolarmente e "spostarli"
se il programma è bloccato riesci a prender nota dei percorsi di questi files?

[antocri]

Quote:

Originariamente inviato da wjmat

http://www.hwupgrade.it/forum/showpo...7&postcount=28
non rispondere nel bigino, vai avanti qui...
non puoi selezionarli singolarmente e "spostarli"
se il programma è bloccato riesci a prender nota dei percorsi di questi files?

ti ringrazio (e chiedo scusa per la risposta nel bigino )
ho visto che dal log risulta spostato 1 file (quindi deve essere l'unico infetto trovato).
Forse non è bloccato il programma, ma semplicemente non risulta nulla da spostare.
Comunque prendo nota dei percorsi di quei files.
E procedo con le altre operazioni.
A dopo

[antocri]

Eccomi qua con tutti i log richiesti
Attendo fiduciosa qualche risposta...
ciao ciao
Antonella

1. log di Malwarebytes Anti-Malware mbam-log-2008-09-29 (13-14-26).txt
2. log di A-squared scansione deep a2scan_080929-133030.txt
3. log di Kaspersky Virus Removal Tool report Kaspersky.txt
4. log di Dr.Web CureIT CureIt.log
5. log di ESET SysInspector SysInspector-ALEX-080930-1000.xml
6. log di HiJackThis hijackthis 39.09.08.log
7. log di Gmer gmer.log
8. log di PrevxCSI prevx.log

[xcdegasp]

il log di malwarebytes è pulito, quello di a-squared ha trovato grossomodo solo cookies, quello di kaspersky-tool e dr.web Cureit sono troppo grandi per poterli scaricare (almeno per me) sarebbero dovuti venir scremati con il parserLog che oltre ad agevolarti per l'upload agevolava anche noi nell'analisi..

hijackthis:
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

sono due voci completamente marginali e non relative ad un infezione, il fixarle non compromette l'utilizzo di tali programmi ma rende più snello l'avvio del pce abbassa il consumo di risorse.

Quanto tempo è passato da quando hai scansionato online con bitdefender? se è stato recente potrebbe essere utile avere il suo log..


gmer:
sicura d'aver clickato su scan dopo acer lanciato il programma?

[xcdegasp]

il log di malwarebytes è pulito, quello di a-squared ha trovato grossomodo solo cookies, quello di kaspersky-tool e dr.web Cureit sono troppo grandi per poterli scaricare sarebbero dovuti venir scremati con il parserLog che oltre ad agevolarti per l'upload agevolava anche noi nell'analisi..

hijackthis:
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

sono due voci completamente marginali e non relative ad un infezione, il fixarle non compromette l'utilizzo di tali programmi ma rende più snello l'avvio del pce abbassa il consumo di risorse.

Quanto tempo è passato da quando hai scansionato online con bitdefender? se è stato recente potrebbe essere utile avere il suo log..


gmer:
sicura d'aver clickato su scan dopo acer lanciato il programma?

[antocri]

Quote:

Originariamente inviato da xcdegasp

il log di malwarebytes è pulito, quello di a-squared ha trovato grossomodo solo cookies, quello di kaspersky-tool e dr.web Cureit sono troppo grandi per poterli scaricare (almeno per me) sarebbero dovuti venir scremati con il parserLog che oltre ad agevolarti per l'upload agevolava anche noi nell'analisi..

lo so, ho provato a scaricare il programma indicato nella guida per postare i log, ma mi dava errore.

Quote:

hijackthis:
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

sono due voci completamente marginali e non relative ad un infezione, il fixarle non compromette l'utilizzo di tali programmi ma rende più snello l'avvio del pce abbassa il consumo di risorse.

Fatto.

Quote:

Quanto tempo è passato da quando hai scansionato online con bitdefender? se è stato recente potrebbe essere utile avere il suo log..

la scansione con bitdefender l'avevo fatta 4 giorni fa, ma non ho salvato il log, dici che devo ripeterla?

Quote:

gmer:
sicura d'aver clickato su scan dopo acer lanciato il programma?

beh, ho seguito le istruzioni e sono abbastanza sicura. Comunque lo rifaccio per sicurezza.
Ecco il nuovo log: gmer2.log

Grazie.
Antonella

[wjmat]

il punto4 delle modalità di pubblicazione prevedeva in caso di errore di inviarli zippati, si riducevano a pochi kb e facevi meno fatica tu e noi a caricarli/scaricarli

li sto scaricando io per la cronaca e poi metto i link

in gmer mi sembra ancora che sia solo la scansione veloce iniziale...
quando cliccli su scan impiega diversi minuti ed il log e
è molto + lungo

no bitdefender non serve + ora

con hjt puoi fixare anche

Quote:

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab

il problema iniziale è rimasto?

[wjmat]

kasp

Codice:

Scan
----
Scanned:	566735
Detected:	2
Untreated:	0
Start time:	29/09/2008 16.30.35
Duration:	02.41.13
Finish time:	29/09/2008 19.11.48


Detected
--------
Status	Object
------	------
disinfected: Trojan program Trojan-Spy.HTML.Fraud.gen (modification)	File: D:\A. CRISAFULLI\e-mail al 10 agosto 2008\mail.posta.  9a\Deleted Items\56F33102-000000FC.eml
deleted: Trojan program Trojan-Spy.HTML.Fraud.gen (modification)	Email message body: d:\a. crisafulli\e-mail al 10 agosto 2008\mail.posta.  9a\deleted items\56f33102-000000fc.eml/text/html

[Chill-Out]

CureIt l'ho già scaricato io

Quote:

H:\autorun.inf infettato da Win32.HLLW.Autoruner.2132 - cancellato

[wjmat]

cureit
http://www.hwupgrade.helloweb.eu/Par...2360089829.txt

[antocri]

Quote:

Originariamente inviato da wjmat

il punto4 delle modalità di pubblicazione prevedeva in caso di errore di inviarli zippati, si riducevano a pochi kb e facevi meno fatica tu e noi a caricarli/scaricarli

forse ti conviene rettificare il punto 4, perchè in realtà dice

Quote:

Se proprio non dovessi riuscire a effetturare questa operazione, carica il log zippato o normalmente su uno dei server remoti indicati come nel punto 2

Comunque grazie per la pazienza.

Quote:

in gmer mi sembra ancora che sia solo la scansione veloce iniziale...
quando cliccli su scan impiega diversi minuti ed il log e
è molto + lungo

non so che dirti, stavolta sono sicura di aver cliccato su scan, ci ha messo pure 10 minuti a fare la scansione. Non saprei...

Quote:

il problema iniziale è rimasto?

il problema iniziale era che mi si chiudeva IE all'improvviso e no, non è più successo.
Inoltre adesso tutto il pc va una bellezza, molto più veloce. la pulizia è comunque servita e vi ringrazio.
Volendo adesso ripulire il tutto, dei vari programmi scaricati cosa mi conviene lasciare e cosa rimuovere?
Dovrei deframmentare?
I logs salvati mi servono ancora?
Grazie, grazie, grazie

[Chill-Out]

Quote:

Originariamente inviato da antocri

il problema iniziale era che mi si chiudeva IE all'improvviso e no, non è più successo.
Inoltre adesso tutto il pc va una bellezza, molto più veloce. la pulizia è comunque servita e vi ringrazio.
Grazie, grazie, grazie

ah ecco perchè il Pc è lindo

[antocri]

Quote:

Originariamente inviato da Chill-Out

ah ecco perchè il Pc è lindo

non ho capito la battuta
alle altre mie domande non rispondete?
sono nella sezione sbagliata?

[wjmat]

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[Chill-Out]

Quote:

Originariamente inviato da antocri

non ho capito la battuta
alle altre mie domande non rispondete?
sono nella sezione sbagliata?

Non è una battuta, ma una affermazione nel senso che il PC è pulito

[antocri]

Quote:

Originariamente inviato da wjmat

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

ok, dovrei aver fatto tutto. Ho pure installato il firewall che non avevo e firefox che dovrebbe dare meno problemi di IE.
Un'ultima domanda: dopo tutti 'sti pasticci, mi conviene deframmentare o è un'operazione superflua?
grazie ancora per tutto
Antonella