[Win XP] Doppio processo iexplore.exe

[leone804]

ciao a tutti, credo di essere infettato da un virus... in pratica ogni volta che avvio il pc ed internet explorer 7 mi compaiono due processi iexplore.exe che mi rendono impossibile la navigazione. Per poter utilizzare il programma devo terminare i due processi, riavviare ie ed aspettare (un bel pò) che si carichi... dopo questo ie funziona tranquillamente fino al successivo riavvio del pc. Ho seguito la proceduta indicata nel thread in evidenza, ed allego i relativi log... gmer non ha segnalato nessuna riga in rosso. grazie a tutti

http://www.fileup.itadib.com/downloa...h16wsdaqHSdBM2 -> Scansione online (Panda ActiveScan)
http://www.fileup.itadib.com/downloa...lP9wxOtBcDseVD -> Gmer
http://www.fileup.itadib.com/downloa...44hvk1lxFfFsLm -> Prevxcsi

[murack83pa]

ciao, andiamoci in modo alternativo rispetto alla guida ufficiale (sulla falsa riga della procedura standard di riverside)

1-Disattiva il Ripristino configurazione di sistema:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

4-KASPERSKY VIRUS REMOVAL TOOL: DOWNLOAD
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato e lo posti qui

nb: esiste una procedura particolare x la sua rimozione,che ti dirò dopo

5-BITDEFENDER ONLINE SCANNER: http://www.bitdefender.com/scan8/ie.html
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva il log ed il Report html che verrano rilasciati e li posti qui

RIAVVIA IL SISTEMA

6-PANDA ANTIROOTKIT: DOWNLOAD
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool, che si aggiornerà, automaticamente, ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C. (se rilevati, provvederà a rimuoverli).

7- rilancia Hijackthis e posta un nuovo log

8- nuovo log di Prevx CSI

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post in formato .txt , quindi nn zippateli

[xcdegasp]

@ murack83pa:
senza nemmeno prendere visione dei log?
se è questo l'andazzo che vuoi prendere dillo chiaramente che si prendono provvedimenti perchè di mezzo c'è il pc di un utente che non ha nulla di che spartire con il tuo amico, tra le altre cose avvertito centinaia di volte in pubblico..
anche in passato ho detto come devono stare le cose ossia che se si trasforma in ambiente di caserma sego chi si comporta così..

ora vedi te

PS: visto che lo ha suggerito Riverside ti metto un mes diretto:
altra attività come questa e a te raddoppio la pena e si riparte con nuovo conteggio, mentre a chi la trascrive do i 7 giorni





@ leone804:
gli oggetti trovati malevoli vanno messi in quarantena e a-squared evidenzia che hai il pc sporco da temporanei di internet.

manca la scansione online (bit-defender) e tramite Dr.Web CureIT e VirIT Light Explorer, te li chiedo tramite tutti e tre perchè hai una situazione molto particolare

prevxCSI:

Codice:

C:\WINDOWS\RaidTool\xInsIDE.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\JMB36X IDE Setup	C:\WINDOWS\RaidTool\xInsIDE.exe

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec



C:\WINDOWS\system32\xRaidSetup.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\36X Raid Configurer	C:\WINDOWS\system32\xRaidSetup.exe boot

	Loaded from: FILE

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched	"C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\PCSuiteTrayApplication	C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec



C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\HPDJ Taskbar Utility	C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\Programmi\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

	Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\Corel File Shell Monitor	C:\Programmi\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

	Loaded from: \REGISTRY\User\S-1-5-21-1292428093-220523388-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}	"C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec




C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

	Loaded from: \REGISTRY\User\S-1-5-21-1292428093-220523388-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\swg	C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe

	Loaded from: \REGISTRY\User\S-1-5-21-1292428093-220523388-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run\PcSync	C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

PX5: 7D7B41F71064FEEA28590019D05194000009590E

MD5: 199ed2ce0e46ec3f0267dfa1bb50c350

Determination: BAD

Malware Group: Covert.Sys.Exec


C:\WINDOWS\system32\51696727.old

	Loaded from: FILE

PX5: 1786EADE008A2E20C8E500DF0621D2009EC84B70

MD5: 66d04142ecf064c08c02482e8f659cd5

Determination: BAD

Malware Group: MSNLive-Image:Worm-a


C:\Documents and Settings\Leone\Impostazioni locali\Temporary Internet Files\Content.IE5\EP7KG2WP\daemon4120-lite[1].exe

	Loaded from: FILE

PX5: 51FE1D53C816F9ABCDEE370DCDF52800C6AF8E07

Determination: SUSPICIOUS





C:\Documents and Settings\Leone\Impostazioni locali\Temp\1143372785.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA0700054AF7B7C

MD5: af66f32b86aab269437e1ab4aae1ac2c

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\1275165085.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000CFF86D35

MD5: f59ea37b1b3970dcec68edb42ca69db8

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\1498693260.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000DE178440

MD5: 8721404d4dc615159f277a15d6a211d1

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\1658151740.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA0700097366C2F

MD5: f15fd25b22c54a3f7f87059a48915a43

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\1910303857.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000DA32BA80

MD5: 138aa80e2af8cc726d7ea5c6e615c62d

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\2175994440.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA070000862FB26

MD5: 450f1e325f9846858bb07630f08956d0

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\2361194921.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000C1E134E3

MD5: 23a98b90d95ee2881a5f1269ced7595b

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\3029943519.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000C75EF6F1

MD5: 4b88c5de221cb84bfa8d30dc3bc5033e

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\3551782603.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA070006E5178A6

MD5: 52638f6046c86b323cc633d19e0c4001

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\4111007421.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA070007B813D84

MD5: 1d27fb80ba57774b3e8b54910e912dab

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\4141802574.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000ED0CC985

MD5: 1fe92520e6f00d7cc46b4450973d9259

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\416330856.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA07000B9555FA6

MD5: 13dda220cf47cb9b7d1151f25a92457a

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\458309778.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA070008963F40B

MD5: db0340edfa3d964baa4b5e90ee60e55b

Determination: BAD

Malware Group: Trojan.Agent





C:\Documents and Settings\Leone\Impostazioni locali\Temp\506905268.exe

	Loaded from: FILE

PX5: 72DBE8490CCF67A938090009ACA070009E639992

MD5: b470b7035319ba2ee7f0dcba208997b6

Determination: BAD

Malware Group: Trojan.Agent

devo dire che sei alquanto pieno...


-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

[leone804]

Quote:

Originariamente inviato da xcdegasp

@ murack83pa:

@ leone804:
gli oggetti trovati malevoli vanno messi in quarantena e a-squared evidenzia che hai il pc sporco da temporanei di internet.

manca la scansione online (bit-defender) e tramite Dr.Web CureIT e VirIT Light Explorer, te li chiedo tramite tutti e tre perchè hai una situazione molto particolare

grazie per l'interessamento innanzitutto
allora... ho eseguito la scansione con dr.web e non ha dato risultati. allego invece il log di virIT... per quanto riguarda bit defender ho eseguito due volte la scansione ma ambo le volte la finestra si è chiusa da sola alla fine della scansione senza darmi la possibilità di salvare il risultato
la pulizia con CCleaner l'ho fatta un paio di giorni fa dopo aver seguito la procedura per la rimozione del virus di msn da cui ero infetto, devo rifarla ugualmente? grazie di tutto

[murack83pa]

dovresti essere infetto da obfuscated....scarica findawf: DOWNLOAD

lancia FindAWF premendo il tasto 1 e successivamente posta il log che FindAWF stamperà su un file di testo alla fine della ricerca

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

[lancetta]

Quote:

Originariamente inviato da murack83pa

dovresti essere infetto da obfuscated....scarica findawf: DOWNLOAD

lancia FindAWF premendo il tasto 1 e successivamente posta il log che FindAWF stamperà su un file di testo alla fine della ricerca

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

edit

[leone804]

ecco il log di AWF...

[murack83pa]

Quote:

Originariamente inviato da leone804

ecco il log di AWF...

ok, ben fatto, ora scarica questo tool:

AVENGER: DOWNLOAD

* Aprite avenger
* Selezionate input script manually
* Cliccate sulla lente d'ingrandimento
* Incollare lo script evidenziato giu
* Cliccare su done
* Cliccare sul semaforo
* Rispondere sì 2 volte

NB: ancora prima di scaricarlo, disattiva momentaneamente l'antivirus,che puo rilevare avenger come malevolo

script da inserire:

Quote:

files to move:

C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Analog Devices\Core\bak\smax4pnp.exe | C:\Programmi\Analog Devices\Core\smax4pnp.exe

C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programmi\File comuni\InstallShield\UpdateService\bak\ISUSPM.exe | C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe

al termine del lavoro, riavvia il pc, fai una bella pulizia approdondita con questo programma:
Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

poi posta un nuovo log di findawf e di prevx csi, ok?

[leone804]

ecco i due log...
al primo avvio di internet explorer dopo la procedura che mi avete indicato sembra non essere comparso il doppio processo

http://www.fileup.itadib.com/downloa...Whd25PwedcQxMb

[murack83pa]

Quote:

Originariamente inviato da leone804

ecco i due log...
al primo avvio di internet explorer dopo la procedura che mi avete indicato sembra non essere comparso il doppio processo

http://www.fileup.itadib.com/downloa...Whd25PwedcQxMb

ok perfetto
ora prova a fare la scansione online con bitdefender e posta qui il report

successivamente, posta un log di hijackthis, tanto x essere pignoli

ciao ciao

EDIT: fai un altro giro con findawf e posta qui il log

[leone804]

il doppio processo sembra essere scomparso... in compenso da stamattina internet explorer si è rallentato di nuovo e non solo all'avvio, ogni tanto addirittura si blocca, e in più mi ritrovo con una nuova connessione tra quelle impostate (Internet Connection)
inoltre ho notato che ogni tanto mi tocca riconnettermi... ha tutta l'aria di sembrare un dialer, ma non capisco da dove sia sbucato fuori
ad ogni modo ho fatto lo scan con bitdefender, stavolta sono riuscito a salvare il log. allego anche i nuovi log di hijackthis e findAwf.
ah dimenticavo... da quando ho installato avast ogni tanto mi compare un avviso in cui mi dice "Protezione di rete: bloccato Dcom Exploit", non so se sia normale oppure no. Grazie di tutto

[murack83pa]

Quote:

Originariamente inviato da leone804

........

lo immaginavo: l'obfuscated (quello che avevi e hai ancora) cammina di pari passo con questo dialer (se hai adsl, l'unico effetto negativo è solo la disconnessione. quindi nn ti preoccupare della bolleta del telefono)

ora devo scrivere lo script di avenger e poi ti dico cosa devi fare..


EDIT:

Prima di utilizzare avenger,disinstalla google toolbar (vai in internet explorer,componenti aggiuntivi credo, se nn spunta in "installazione applicazioni")

questo è lo script da inserire in avenger (dopo che disinstalli il toolbar):

Quote:

Files to move:


C:\VEXPLITE\bak\MONLITE.EXE | C:\VEXPLITE\MONLITE.EXE

C:\Programmi\Avast4\bak\ashDisp.exe | C:\Programmi\Avast4\ashDisp.exe

C:\Programmi\DAEMON Tools Lite\bak\daemon.exe | C:\Programmi\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\RaidTool\bak\xInsIDE.exe | C:\WINDOWS\RaidTool\xInsIDE.exe

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\bak\xRaidSetup.exe | C:\WINDOWS\system32\xRaidSetup.exe

C:\Programmi\Analog Devices\Core\bak\smax4pnp.exe | C:\Programmi\Analog Devices\Core\smax4pnp.exe

C:\Programmi\Analog Devices\SoundMAX\bak\Smax4.exe | C:\Programmi\Analog Devices\SoundMAX\Smax4.exe

C:\Programmi\Corel\Corel Paint Shop Pro Photo X2\bak\CorelIOMonitor.exe | C:\Programmi\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe | C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb04.exe | C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

Cancella Internet connection
Successivamente disinstalli Avast, e installi avira antivir, è gratis, è tra i migliori programmi antivirus, lo scarichi da www.free-av.com

accorgimenti x il cambio dell'antivirus: disinstalla Avast, poi fai una pulizia completa del sistema e del registro con CCleaner, riavvia il pc, e installa avira, e fai una scansione completa del sistema e posta qui il report

attendi ulteriori istruzioni

NB: mantieni disattivato il ripristino, nn lo attivare finchè nn te lo diciamo noi

[leone804]

ecco qui il log di avira...

[murack83pa]

Quote:

Originariamente inviato da leone804

ecco qui il log di avira...

mi ero dimenticato: posta un nuovo log di findawf

sei riuscito ad utilizzare avenger? x la cronoca: è normale che avira rilevi avenger come malware...

rifai una scansione con prevx csi e con gmer e posta qui entrambi i log

hai ancora problemi?

[leone804]

no avira non mi ha dato problemi con avenger... però la prima volta che ho applicato lo script mi è comparso un messaggio di errore di avenger; chiudendolo e riavviandolo ho però applicato lo script senza nessun problema. IE sembra essere tornato (almeno per ora) normale. ti allego i log di gmer (nessuna riga rossa), prevxcsi (un elemento trovato) e findAwf

http://www.fileup.itadib.com/downloa...e9ObMANJoiOQ9R -> Prevxcsi

http://www.fileup.itadib.com/downloa...oE6mXVoWzL7G54 -> Gmer

[murack83pa]

Quote:

Originariamente inviato da leone804

.....

inserisci questo scritp in avenger (disattiva momentaneamente avira):

Quote:

Files to move:

C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmi\Java\jre1.6.0_03\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe

c'è traccia d avg.....

disinstalla googletoolbar...sai come fare?se nn spunta in installazione applicazioni, vedi in componenti aggiuntivi di internet explorer

fai una scansione online con bitdefender:
http://www.bitdefender.com/scan8/ie.html

hai traccia di trojan nudos.....forse c'è da fare un giro con un tool....vediamo..

[leone804]

google toolbar l'ho disinstallato tramite installazione applicazioni, ed ho anche fatto una ripulita con ccleaner come mi hai consigliato. in ie non c'è più, anche se ne è rimasta traccia tra i componenti aggiuntivi attivi (ora l'ho disattivato, ma rimane ugualmente in elenco). nel frattempo faccio la scansione con bitdefender... di nuovo grazie per la pazienza

[murack83pa]

Quote:

Originariamente inviato da leone804

google toolbar l'ho disinstallato tramite installazione applicazioni, ed ho anche fatto una ripulita con ccleaner come mi hai consigliato. in ie non c'è più, anche se ne è rimasta traccia tra i componenti aggiuntivi attivi (ora l'ho disattivato, ma rimane ugualmente in elenco). nel frattempo faccio la scansione con bitdefender... di nuovo grazie per la pazienza

posta il report di bitdefender e un nuovo log di hijackthis

[xcdegasp]

Codice:

C:\Documents and Settings\Leone\Impostazioni locali\Temp\2566160052.exe
	Loaded from: FILE
PX5: C1B98A49001A46BD2ABA00F5162DDD00208A9ED7
MD5: ce3e17fa06b8a5251a8ee10ea6253344
Determination: BAD
Malware Group: Trojan.Nudos

prova a fare un log di HiJackThis seguendo le indicazioni descritte di seguito:
1) esegui hijackthis.exe
2) premi "Open the Misc Tool section"
3) metti il segno di spunta nella casellina "List empty sections (complete)
4) premi "GenerateStartupList log"

salva il log e pubblicalo

[leone804]

ecco i log della scansione di bitdifender (ha trovato solo il trojan nudos) e delle due scansioni con hijackthis... grazie

EDIT 26/01/2008:
credo di aver risolto quasi tutti i problemi con internet explorer... la connesione del dialer dopo averla cancellata non è ricomparsa ed ie si avvia normalmente... l'unica cosa che ho notato di "anomalo" è che ogni tanto si chiude qualche finestra di ie all'improvviso. è dovuto al trojan obfuscated di cui parlavate?
grazie per l'info e per l'aiuto