|
|||||||
|
|
|
 |
|
|
Strumenti |
14-02-2009, 02:46
|
#1 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Universal 101
Salve a tutti,
sono nuovo del forum e ho preso uno spyware o malware (?) insopportabile che non riesco a eliminare. Non posso più aprire Task manager e mi si aprono in continuazione delle finestre di IE7 con www universal 101. Non riesco a toglierlo! Ho provato con Ad-aware, Avg, Windows Defender, Webroot, SuperAntispyware, Malwarebytes... non c'è niente da fare! Ho anche disistallato IE7 ma non è servito a niente. Avete per caso qualche consiglio ?! ... ci spero  ciao marco |
|
|
|
14-02-2009, 08:13
|
#2 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
Ciao
carica un log classico di HiJackThis che cominciamo a recuperare qualche informazione sul tuo pc Per mostrarci il log lo rinomini in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (  )
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
14-02-2009, 21:03
|
#3 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Ciao,
grazie per la risposta, allego lo hijackthis. Ho installato SpyBot S&D, mi sembra che il ritmo delle finestre di IE che si aprono sia un pò diminuito... ma il problema resta. PS: da quando il pc è infetto ho collegato sia una chiave USB che un hard disk esterno... Ultima modifica di kreisky2009 : 15-02-2009 alle 00:46. Motivo: precisazione |
|
|
|
|
15-02-2009, 15:28
|
#4 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Salve!
secondo me le cose vanno sempre peggio, non so se per colpa dei vari antivirus che ho passato ed hanno bloccato o fatto confusione... ma Outlook Express, Outlook, PDFcreator non si avviano più. Tra i vari file segnalati dal'ultima scansione di SpyBot c'era Hupigon13... Allego un nuovo log di HijackThis. |
|
|
|
|
15-02-2009, 21:38
|
#5 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Con il Browser chiuso esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked
Quote:
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download *** REGOLE di SEZIONE - obbligatoria la lettura!! ***
__________________
Try again and you will be luckier.
|
|
|
|
|
|
16-02-2009, 10:47
|
#6 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Ciao,
grazie per l'aiuto! Avevo cominciato ieri sera a seguire tutta la guida che mi hai indicato. A questo punto vado avanti e quando arrivo a HJT fixo le voci che mi hai indicato (se le ritrovo tali e quali). Ho appena fatto lo scan con Kaspersky, e mi ritrovo con due reports, uno piccolo con il nome del virus che ha rimosso,l'altro invece è 65Mb! Nella guida c'è scritto di alleggerirlo con ParserLog... il link non funziona, ho trovato Log Parser Microsoft, va bene lo stesso? E' complicato da usare? marco |
|
|
|
|
16-02-2009, 11:01
|
#7 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
per i log di kasp e cureit vedi modalità in firma
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
16-02-2009, 18:01
|
#8 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
... allora, spero d'aver fatto tutto !
Ho cancellato però per sbaglio qualcuno dei file infetti... non mi ricordo, forse con CureIt. Ecco i log: Mbam http://www.mediafire.com/?sharekey=8...4e75f6e8ebb871 A-square http://www.mediafire.com/?sharekey=8...e6ba49b5870170 Kasp http://www.mediafire.com/file/j2cedjicztl/kasp filtrato.txt Cureit http://www.mediafire.com/file/nlmfitydbzn/cureit filtrato.txt SysInspector: http://www.mediafire.com/file/mmyyg5...sInspector.xml HJT: http://www.mediafire.com/file/dgy2im...hijackthis.txt Gmer: http://www.mediafire.com/file/uqtxegfiytz/gmer.txt Prevx: http://www.mediafire.com/file/tmvmttmdkmt/prevxcsi.jpg  Aggiungo che quando riavvio il sistema ottengo sempre lo stesso avviso di Prevx. Dopo avere fixato (mi era sfuggito!): O4 - HKLM\..\Run: [Printspooler] C:\Programmi\spooler.exe quando riavvio ottengo il seguente di Avg: http://www.mediafire.com/file/qzzqkmzi1zn/avg.jpg Prima di iniziare tutta la procedura avevo fatto un passaggio Spybot, questo è quello che ho nel backup: http://www.mediafire.com/file/ndhyytwu2y3/SpybotB.jpg ciao! Ultima modifica di kreisky2009 : 16-02-2009 alle 21:51. |
|
|
|
|
16-02-2009, 23:11
|
#9 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
ciao
Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ( )_________________________________________________________________________________________ Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema. Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli. Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico. Le eventuali voci O16 dovranno essere fixate con IE chiuso. Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Logfile of Trend Micro HijackThis v2.0.2 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Codice:
O4 - HKLM\..\Run: [CognizanceTS] "C:\WINDOWS\system32\rundll32.exe" C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Scheduler] "C:\WINDOWS\SMINST\Scheduler.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UpdReg] "C:\WINDOWS\UpdReg.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft netswitch] C:\WINDOWS\system32\jwtch32.exe
O4 - HKLM\..\Run: [MsmqIntCert] "C:\WINDOWS\system32\regsvr32.exe" /s mqrt.dll
O4 - HKLM\..\Run: [Printspooler] C:\Programmi\spooler.exe
O4 - HKLM\..\Run: [Reminder] "C:\WINDOWS\Creator\Remind_XP.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1227431648015
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1227431787375
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • Ultima modifica di wjmat : 16-02-2009 alle 23:48. |
|
|
|
|
17-02-2009, 22:17
|
#10 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
ciao,
ho fatto come hai detto, ecco il risultato di HJT http://www.mediafire.com/file/5mmt2m...kthis17-02.txt Per Prevx ... se non ho capito male per avere la possibilità di salvare il LOG bisogna comprare la licenza. In un primo momento leggendo guida mi sembrava che la licenza fosse gratuita per 1 mese. Io ho provato ma non è gratis... Stasera prima di lanciare HJT e fixare ho spento e riacceso il computer; schermata blu con scritto qualcosa sul Subsystem windows (se ho letto bene) STOP: c000021a 0x0000005 ... poi non ho fatto in tempo a scrivere e il computer si è riacceso. Grazie ancora per la pazienza ! marco |
|
|
|
|
17-02-2009, 22:43
|
#11 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Per ottenere il log di Prevx CSI teminata la scansione clicca su:
Tools and Settings Save Scan Results Inoltre dal log di A-Squared si evince che gli elementi infetti non sono stati messi in quarantena
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 17-02-2009 alle 22:45. |
|
|
|
|
18-02-2009, 21:46
|
#12 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
ciao,
le finestre con le pubblicità sono sparite e questo è un buon segno! Però non funziona Taskmanager e ogni tanto mi dà messaggi strani. Spero di sbagliarmi ma credo dentro che ci sia un pò di casino. Stasera ad un certo punto mi è apparso un messaggio tipo "impossibile accedere (un file di ATI)eseguire chkdsk". Ho lanciato chkdsk e mi ha eliminato un sacco di file, poi ha cominciato a reinstallare i driver ATI ma non è arrivato alla fine perché non trovava alcuni file... Ho rifatto oggi un passaggio con A-squared, non ha trovato niente: http://www.mediafire.com/file/3zgodw...218-161140.txt qui la lista della quarantena di A-squared : http://www.mediafire.com/?m1zelzw1ntn Prevx continua a trovarne uno: http://www.mediafire.com/?ylmwycnmz0m Ultima modifica di kreisky2009 : 18-02-2009 alle 21:48. |
|
|
|
|
18-02-2009, 21:52
|
#13 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco
Quote:
clicca su Execute, al termine il Pc si dovrebbe riavviare se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt + nuovo log di Prevx CSI + nuovo log di HJT
__________________
Try again and you will be luckier.
|
|
|
|
|
|
18-02-2009, 23:03
|
#14 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
eccoci... sembra pulito...
avenger http://www.mediafire.com/file/tmmrmmzitjj/avenger.txt prevx http://www.mediafire.com/file/gzquml...vx18022250.txt HJT http://www.mediafire.com/file/i2mgzt...is18022255.txt |
|
|
|
|
18-02-2009, 23:47
|
#15 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Dovremmo essere a posto, ti suggerisco la lettura di questa Guida relativa al trattamento post infezione http://www.hwupgrade.it/forum/showthread.php?t=1726383
Ciao 
__________________
Try again and you will be luckier.
|
|
|
|
|
19-02-2009, 21:08
|
#16 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
ciao!
ho letto la guida  ci sono davvero un sacco di informazioni, complimenti ! Credo che installerò: Antivir, Commodo, A-squared, Spywareterminator. Proverò anche Opera, adesso uso Chrome e a parte qualche pecca mi sta simpatico.Avrei ancora un paio di domande... anzi tre: -Posso rimettere in funzione Taskmanager? -Per controllare Harddisk esterno e chiavetta, Shift+chiavetta e poi lancio Prevx ? -Vorrei disinstallare MBAM e Spybot, allego due immagini della Quarantena, secondo voi posso eliminare tutto ? http://www.mediafire.com/file/xydnzh...tSpybot.pg.jpg http://www.mediafire.com/file/zmyrym...bamQuarant.jpg |
|
|
|
|
19-02-2009, 21:14
|
#17 | ||||
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
Quote:
Quote:
__________________
Try again and you will be luckier.
|
||||
|
|
|
|
19-02-2009, 23:28
|
#18 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Taskmanager non si apre. Se clicco col destro sulla barra in basso dello schermo>Taskmanager... niente! CRTL+ALT+DEL nessun segno.
AV residente, significa "l'antivirus che ho"? Quando vado per disintallare Sybot mi chiede cosa voglio fare degli oggetti in quarentena... A questo punto aspetto, uso il computer per un pò poi semmai lo disinstallo. |
|
|
|
|
19-02-2009, 23:37
|
#19 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
http://www.hwupgrade.it/forum/showpo...82&postcount=2 Av residente significa il tuo Antivirus Per SpyBot disinstallalo tra qualche giorno
__________________
Try again and you will be luckier.
|
|
|
|
|
|
20-02-2009, 10:58
|
#20 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 20
|
Ho seguito la procedura ma non riesce a portarla a termine, mi appare quasi subito questo messaggio:
Impossibile caricare supporto VDM IPX/SPX 
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:23.
