Macello di virus

[scacco matto]

windows xp professional service pack 3
CSI:
http://www.fileqube.com/file/WLCFaUjVs176465
Malvarebytes:
http://www.fileqube.com/file/mqdhfU176466
A-Squared:
http://www.fileqube.com/file/XjHHkAH176467
F-Secure OnLine:
http://www.fileqube.com/file/NKmcpvB176468
Dr.Web CureIT:
http://www.fileqube.com/file/eIaGCqiD176469
ESET SysInspector:
http://www.fileqube.com/file/kvLlUj176470
HiJackThis:
http://www.fileqube.com/file/xvVVnyYJ176471
Gmer:
http://www.fileqube.com/file/gzcGOVLzh176472

[wjmat]

ciao

non possiamo capire che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware
se li hai eliminati dopo aver salvato il log fai
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo

altrimenti riesegui la scansione completa, elimina tutto e carica il nuovo log

per asquared idem, se hai salvato il log prima di quarantenare tutto ok, altrimenti ripeti la scansione completa


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Codice:

R3 - URLSearchHook: Alawar.com Toolbar - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Programmi\Alawar.com\tbAla1.dll
R3 - URLSearchHook: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrecf.dll
O2 - BHO: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrecf.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Alawar.com Toolbar - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Programmi\Alawar.com\tbAla1.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Alawar.com Toolbar - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - C:\Programmi\Alawar.com\tbAla1.dll
O3 - Toolbar: recfree Toolbar - {15c93148-34fe-47e6-88e5-37607a3002f3} - C:\Programmi\recfree\tbrecf.dll
O4 - HKLM\..\Run: [SiteVacuum] C:\Programmi\EasySearch\SiteVacuumClient.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Programmi\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Comrade.exe] C:\Programmi\GameSpy\Comrade\Comrade.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1229619891062
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O24 - Desktop Component 0: (no name) - http://www.tortellini.it/onmouseout=

• disinstalla Prevx
• riavvia il pc
• riscaricalo http://info.prevx.com/downloadcsi.asp
• reinstallalo
• nuovo scan e nuovo log

[scacco matto]

Ho fissato gli elementi che mi hai detto e ho fatto una nuova scansione con csi,tutto pulito,grazie dell'aiuto,se ci sono altre cose che devo fare fammi sapere

[wjmat]

non abbiamo capito se hai rimosso le infezioni trovate da mbam e asquared...
comunque se non riscontri altri problemi dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[miluttina]

ciao ragazzi/e..su consiglio di un amico,mi sono appena iscritta a questo forum con la speranza che qualcuno riesca a darmi una grossa mano..
Come vedrete dal titolo della discussione,ho lo stesso indentico problema.Il mio pc è lentissimo e suppongo sia pieno di virus.
Dopo aver letto attentamente le regole di sezione,ho seguito la guida alla disinfezione,impossibilitata nelproseguirne la procedura vista la ripetuta presenza di errori di ogni genere.
Cerco di riportare almento quel poco che son riuscita a fare con la guida:
-malwarebytes anti-malwarehttp://wikisend.com/download/230770/mbam-log-2009-03-02 (20-19-25).txt
-a-squared free v 3.xhttp://wikisend.com/download/106228/a2scan_090302-211337.txt
ecco..qui,a programma eseguito, mi si son presentate due strane schermate:
1)http://www.fileqube.com/file/IVMlnc177111
2)http://www.fileqube.com/file/fuMPiYX177112
Ho deciso di andare avanti lo stesso e pure con f-secure online,per salvare il rapporto, mi è apparsa una schermata così:
http://www.fileqube.com/file/noLfPTUY177113
lo stesso vale per l'aggionamento del programma Dr.web Cureit e da li hanno iniziato a generarsi errori su errori..vi riporto un semplice esempio:
http://www.fileqube.com/file/OCbOwTCx177114
stufa di questa situazione,ho deciso di disinstallare mozilla,sperando fosse il problema di tutto..ho riavviato e,ciliegina sulla torta,mi si è presentata un altro errore che non ho fatto a tempo stamparne la schermata..parlava di "iniziallizzazione DLL" mi sembra..mi appello a voi..

[miluttina]

ciao ragazzi/e..su consiglio di un amico,mi sono appena iscritta a questo forum con la speranza che qualcuno riesca a darmi una grossa mano..
Come vedrete dal titolo della discussione,ho lo stesso indentico problema.Il mio pc è lentissimo e suppongo sia pieno di virus.
Dopo aver letto attentamente le regole di sezione,ho seguito la guida alla disinfezione e purtroppo sono stata impossibilitata nel proseguirne la procedura viste le ripetute presenze di errori del sistema operativo.
Cerco di riportare almeno quel poco che son riuscita a fare con la guida:
-malwarebytes anti-malware http://wikisend.com/download/230770/mbam-log-2009-03-02 (20-19-25).txt
-a-squared free v 3.x http://wikisend.com/download/106228/...302-211337.txt
ecco..qui,a programma eseguito, mi si son presentate due strane schermate:
1)http://www.fileqube.com/file/IVMlnc177111
2)http://www.fileqube.com/file/fuMPiYX177112
Ho deciso di andare avanti lo stesso e pure con f-secure online,per salvare il rapporto, mi è apparsa una schermata così:
http://www.fileqube.com/file/noLfPTUY177113
lo stesso vale per l'aggionamento del programma Dr.web Cureit e da li hanno iniziato a generarsi errori su errori..vi riporto un semplice esempio:
http://www.fileqube.com/file/OCbOwTCx177114
stufa di questa situazione,ho deciso di disinstallare mozilla,sperando fosse il problema di tutto..ho riavviato e,ciliegina sulla torta,mi si è presentata un altro errore che non ho fatto a tempo stamparne la schermata..parlava di "iniziallizzazione DLL" ..mi appello a voi..

[miluttina]

...oopss.. ho postato 2 volte..scusate..non ne posso più di questo pc..nemmeno una discussione non riesce a caricare...

[wjmat]

ciao

continua con i restanti punti per il momento

[miluttina]

eccomi.. ho appena finito.Allora,riprendiamo da dove eravamo rimasti:
-Doctorweb http://wikisend.com/download/512854/cureit
Tanto per cambiare,durante la scansione,mi son comparse delle schermate che mi chiedevano se volevo spostare gli oggetti individuati..non so se ho fatto bene o male,io ho risposto di si.
Comunque,una volta terminata la scansione,il programma non mi ha lasciato "curare" gli oggetti selezionati.Sono stata costretta a chiudere il programma a causa di windows che mi ha obbligata a riavviare.Al successivo avvio,mi è comparsa questa finestra:
http://www.fileqube.com/file/EVLcLp177552
-Eset sysinspector http://wikisend.com/download/617016/...90304-2322.xml
-Hijackthis http://wikisend.com/download/552244/hijackthis.txt
-Gmer http://wikisend.com/download/470046/gmer.txt
ho riscontrato un pò di problemini.Innanzitutto,durante la scansione,mi è comparso questo avviso,http://www.fileqube.com/file/khIcES177556, che mi ha impedito di proseguire.Ho chiuso il programma e l'ho rilanciato per vedere se mi ricompariva la schermata e mi è andata bene
A differenza,però,di quanto scritto nella guida,ho atteso più di 10 minuti perchè si aprisse il log da salvare..passati i 10 minuti,ho deciso di salvarlo con il tasto "save".Va bene lo stesso?nessuna voce rossa segnalata..
-PrevxCsi stampa del monitor:http://www.fileqube.com/file/zfgUCWbmo177558
log:http://wikisend.com/download/572952/prevx csi.txt
Non sono andata su "options-save a log file",ma bensì su "tools-save scan results"..stessa cosa,vero?

[miluttina]

scusate di nuovo.. vi ridò il link esatto per il log di prevx:http://wikisend.com/download/886780/prevxcsi.txt

[miluttina]

qualcuno mi può dare una dritta,x favore?

[wjmat]

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Codice:

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

Panda Antivirus + Firewall 2007 mi da tanto l'idea di software illegale o mi sbaglio?
nel caso lo fosse, rimuovi tutto
poi se non riscontri altri problemi procedi con il trattamento post disinfezione
hai da aggiornare win al sp3 e adobe all'ultima versione o rimpiazarlo con alternative free migliori (foxit)


questi mi pare siano stati spostati da cureit, puoi rimetterli al loro posto (info nel bigino in firma)

Quote:

>C:\Programmi\Microsoft Office\OFFICE11\1040\JSCRIPT5.CHM/htm/jstextwriteln.htm infetto da una versione modificata di VBS.Generic.94
>C:\Programmi\Microsoft Office\OFFICE11\1040\VBAOL11.CHM/html/olobjAddressEntries.htm infetto da una versione modificata di VBS.Generic.205

[miluttina]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Codice:

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

Panda Antivirus + Firewall 2007 mi da tanto l'idea di software illegale o mi sbaglio?
nel caso lo fosse, rimuovi tutto
poi se non riscontri altri problemi procedi con il trattamento post disinfezione
hai da aggiornare win al sp3 e adobe all'ultima versione o rimpiazarlo con alternative free migliori (foxit)


questi mi pare siano stati spostati da cureit, puoi rimetterli al loro posto (info nel bigino in firma)

ciao..mi scuso per il ritardo del reply e ti ringrazio per avermi risposto.. ..ho seguito la procedura di hijackthis..fixato e riavviato..tutto ok! mi sorgono dei dubbi però..mettiamo da una parte per un attimo,anche se di grandissima importanza, il discorso antivirus e aggiornamento del sistema operativo..ma tutto ciò che mi hanno trovato i programmi elencati nella guida,cosa ne devo fare? e tutti gli errori causati da windows con il suo relativo e assurdo rallentamento durante l'esecuzione dei vari punti sarebbero causati solamente dalle voci che ho selezionato con hijackthis?mi suona strano.. scusami ma non si tratta di esser sfiduciosi o arroganti,è solo una semplice curiosità,dettata forse dalla mia inesperienza..

[miluttina]

Non so se son riuscita a farmi vedere o sentire.. comunque ho ascoltato i tuoi consigli,wjmat.Ho disinstallato Panda antivirus e ho installato Avira.Inoltre,ho eseguito gli aggiornamenti di windows..sono stata brava,vero?
Però sono un pò rammaricata.. il pc è lento come prima,a volte pure peggio.. come posso dare una svolta a questo problema?

[wjmat]

disinstalla tutti i programmi inutili + controllo del disco + deframmentazione
tutte le info nel bigino in firma

[xcdegasp]

Quote:

Originariamente inviato da miluttina

Non so se son riuscita a farmi vedere o sentire.. comunque ho ascoltato i tuoi consigli,wjmat.Ho disinstallato Panda antivirus e ho installato Avira.Inoltre,ho eseguito gli aggiornamenti di windows..sono stata brava,vero?
Però sono un pò rammaricata.. il pc è lento come prima,a volte pure peggio.. come posso dare una svolta a questo problema?

sicura che ci sia spazio libero sul hd?

[miluttina]

Quote:

Originariamente inviato da wjmat

disinstalla tutti i programmi inutili + controllo del disco + deframmentazione
tutte le info nel bigino in firma

ciao wjmat.. per la disinstallazione ho installato revouninstaller,però prima di procedere,volevo chiedere consiglio,senza riguardi,su cosa posso disinstallare.
Ti do il link dell'immagine dei vari programmi:
http://www.fileqube.com/file/iNUMOD179601
passiamo al controllo del disco..ho seguito il punto 1 e,sinceramente,non ho capito cosa dovevo annotarmi..cioè,prima dell'avvio di wndows,mi è risultata una schermata blu che analizzava in 5 fasi il disco fisso e tutto è andato liscio..sul punto 2 non riesco a trovare la utility.. mi sa che il mio disco fisso non appartiene ad una marca in particolare..se si,come faccio a verificarlo?
riguardo la deframmentaione ho scaricato e installato jkdefrag.Come scritto da bigino,ho analizzato le partizioni e ho deframmentato la parte che aveva 89 di percentuale..ora questa è la situazione in cui mi trovo:
http://www.fileqube.com/file/iNUMOD179601
procedo alla riframmentazione della parte C?

[miluttina]

Quote:

Originariamente inviato da xcdegasp

sicura che ci sia spazio libero sul hd?

questa è la situazione delle partizioni:
C:http://www.fileqube.com/file/eVSivN179678
D:http://www.fileqube.com/file/aLPYquJgv179682
grazie anche a te,xcdegasp,per l'aiuto.. posso chiederti come si fa a dare una risposta con un solo reply,citando con il tasto "quote",i post di 2 utenti?guardiamo se riesco a farmi capire.. ora,se volessi rispondere sia a te che a wjmat,citando con l'opzione "quote" il vostro post ,in un solo reply,come dovrei fare?non so se mi son spiegata..

[wjmat]

puoi disinstallare adobe reader in favore di foxit reader o pdf xchange e poi prevx
per mostrare programmi installati e spazio libero sui dischi è sufficiente un nuovo log di eset sysinspector

per il multiquote clicchi sul pulsante con le virgolette di tutti i post a cui vuoi rispondere e poi clicchi su rispondi

[miluttina]

Quote:

Originariamente inviato da wjmat

puoi disinstallare adobe reader in favore di foxit reader o pdf xchange e poi prevx
per mostrare programmi installati e spazio libero sui dischi è sufficiente un nuovo log di eset sysinspector

per il multiquote clicchi sul pulsante con le virgolette di tutti i post a cui vuoi rispondere e poi clicchi su rispondi

ecco il log:
http://wikisend.com/download/251908/...90313-1256.xml
che cosa faccio con la partizione C?continuo a frammentarla fino a che non scendo al di sotto del 10%?
cavolo,mi son accorta adesso..ho riportato la stessa immagine 2 volte nel post precedente..eccoti la percentuale attuale del disco C:
http://www.fileqube.com/file/WdUkOcM179934