Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Fabryzio76]

ragazzi anche io ho beccato windows recovery

ho utilizzato MBAM due volte eccovi il sunto della prima...nella seconda non ha rilevato nulla...

mi scuso per le domande scontate o alquanto sciocche...ma ora che devo fare?

come posso ripristinare la situazione nel PC? ho cartelle invisibili e il desktop vuoto...

grazie per l'aiuto.

Fabrizio

[rafpro]

Quote:

Originariamente inviato da Fabryzio76

ragazzi anche io ho beccato windows recovery

ho utilizzato MBAM due volte eccovi il sunto della prima...nella seconda non ha rilevato nulla...

mi scuso per le domande scontate o alquanto sciocche...ma ora che devo fare?

come posso ripristinare la situazione nel PC? ho cartelle invisibili e il desktop vuoto...

grazie per l'aiuto.

Fabrizio

segui la guida ....lo rimuove

[Fabryzio76]

scusatemi nuovamente...

ho seguito tutta la guida...la situazione è la seguente:

dopo aver utilizzato tutti i programmi in guida, (premetto che nel mio PC ci sono 4 account.)..3 di questi account funzionano correttamente e hanno tutti i dati giusti.

vi è un solo account che presente queste problematiche:

schermata blu

ed esce il seguente messaggio task manager disabilitato dall'amministratore.

ho provato a fare REGEDIT e GPEDIT, dà sempre lo stesso problema

in alleagto vi posto quanto esce fuori da HiJackthis.

spero in un Vs. aiuto.

grazie

Log rimosso, non conforme alla Regole di sezione.

[FulValBot]

il log va fatto usando l'ultima versione di quel programma, cmq vedo che probabilmente c'è un falso antivirus oltre a 2 antivirus...

serve quindi una scansione in modalità provvisoria di rete usando malwarebytes free.

ne consiglio una anche con superantispyware free

http://www.superantispyware.com/ (casomai prendi la versione portable così non devi nemmeno installarla e funziona anche sui sistemi infetti xkè è un file .com e non .exe)

dopodiché rimuovi badoo desktop e usalo direttamente nel browser.

[Chill-Out]

Quote:

Originariamente inviato da Fabryzio76

scusatemi nuovamente...

ho seguito tutta la guida...la situazione è la seguente:

dopo aver utilizzato tutti i programmi in guida, (premetto che nel mio PC ci sono 4 account.)..3 di questi account funzionano correttamente e hanno tutti i dati giusti.

vi è un solo account che presente queste problematiche:

schermata blu

ed esce il seguente messaggio task manager disabilitato dall'amministratore.

ho provato a fare REGEDIT e GPEDIT, dà sempre lo stesso problema

in alleagto vi posto quanto esce fuori da HiJackthis.

spero in un Vs. aiuto.

grazie

Log rimosso, non conforme alla Regole di sezione.

Segui la Guida in prima pagina ed allega i log esattamente come richiesto, grazie.

Quote:

Originariamente inviato da FulValBot

il log va fatto usando l'ultima versione di quel programma, cmq vedo che probabilmente c'è un falso antivirus oltre a 2 antivirus...

serve quindi una scansione in modalità provvisoria di rete usando malwarebytes free.

ne consiglio una anche con superantispyware free

http://www.superantispyware.com/ (casomai prendi la versione portable così non devi nemmeno installarla e funziona anche sui sistemi infetti xkè è un file .com e non .exe)

dopodiché rimuovi badoo desktop e usalo direttamente nel browser.

Esiste una Guida, la trovi in prima pagina.

[Fabryzio76]

scusatemi nuovamente...

dopo aver seguito la guida ed utilizzato i relativi programmi, ho riavviato nuovamente il PC in modalità provvisoria:

dall'account amministratore ho fatto la SCANSIONE COMPLETA CON L'APPORTO DEI SEGUENTI PROGRAMMI:

- malwarebytes (in allegato il Log),
- superantispyware

ho riavviato il PC.

la situazione è la seguente:

3 su 4 ACCOUNT funzionano come a prima.

l'account che non funziona correttamente presenta le seguenti anomalie:

- Schermata Blu
_ mancano tutte le Icone/Programmi/file del Desktop e di "C"
- in Start i programmi risultano vuoti
- in Start manca Risorse del Computer,risorse di rete

ho provato tutti i programmi, fatte le scansioni, ma nonostante tutto ciò quell'account presenti gli stessi problemi di quando si è infettato

[Gizmo1982]

Quote:

Originariamente inviato da Chill-Out

Può succedere che alcuni AV rilevino il file come Virus



Hai usato una versione obsoleta di HJT



Manca la parte finale inerente Rilevazione/Rimozione, ma è così difficile leggere la Guida?

Dopo aver installato Varestorepolicies devi riavviare la macchina, successivamente fai girare questo tool

http://download.bleepingcomputer.com/grinler/unhide.exe

Ok...
allora ho cercato la versione aggiornata di hijck this e qui c'è il log:
http://wikisend.com/download/157782/
(ps spero funzioni, dopo averlo caricato mi ha indirizzato su una schermata bianca... comunque per quel che può valere l'ho analizzato su questo sito http://www.hijackthis.de/ e non c'erano apparentemente problemi)

varestorepolicies l'avevo già fatto girare, ho riprovato seguendo le tue indicazioni ma nn succede nulla: schermo sempre nero senza la foto che prima faceva da sfondo e menu start sempre bianco.

sdfix l'ho cercato su quattro siti diversi ma mi dice "impossibile contattare la pagina" per il server downloads.andymanchesta.com e errore 404 per bleepingcomputer.... magari è ciò che è rimasto del virus che me lo impedisce... non saprei.

per il resto il pc va bene.. non sono visibili segnali strani o avvisi tipo virus solo che come ho detto non è tornato come prima.

la guida l'ho seguita tutta. due volte. solo che emisoft non me lo fa installare mi da dei problemi quando ci provo (non riesce a creare delle cartelle all'inizio dell'installazione)...

spero che qualcuno possa aiutarmi

[Chill-Out]

Quote:

Originariamente inviato da Fabryzio76

scusatemi nuovamente...

dopo aver seguito la guida ed utilizzato i relativi programmi, ho riavviato nuovamente il PC in modalità provvisoria:

dall'account amministratore ho fatto la SCANSIONE COMPLETA CON L'APPORTO DEI SEGUENTI PROGRAMMI:

- malwarebytes (in allegato il Log),
- superantispyware

ho riavviato il PC.

la situazione è la seguente:

3 su 4 ACCOUNT funzionano come a prima.

l'account che non funziona correttamente presenta le seguenti anomalie:

- Schermata Blu
_ mancano tutte le Icone/Programmi/file del Desktop e di "C"
- in Start i programmi risultano vuoti
- in Start manca Risorse del Computer,risorse di rete

ho provato tutti i programmi, fatte le scansioni, ma nonostante tutto ciò quell'account presenti gli stessi problemi di quando si è infettato

Quote:

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Dal log di MBAM si evince No action taken che non hai corretto i problemi rilevati. E' possibile vedere tutti i log, grazie.

[Chill-Out]

Quote:

Originariamente inviato da Gizmo1982

Ok...
allora ho cercato la versione aggiornata di hijck this e qui c'è il log:
http://wikisend.com/download/157782/
(ps spero funzioni, dopo averlo caricato mi ha indirizzato su una schermata bianca... comunque per quel che può valere l'ho analizzato su questo sito http://www.hijackthis.de/ e non c'erano apparentemente problemi)

varestorepolicies l'avevo già fatto girare, ho riprovato seguendo le tue indicazioni ma nn succede nulla: schermo sempre nero senza la foto che prima faceva da sfondo e menu start sempre bianco.

sdfix l'ho cercato su quattro siti diversi ma mi dice "impossibile contattare la pagina" per il server downloads.andymanchesta.com e errore 404 per bleepingcomputer.... magari è ciò che è rimasto del virus che me lo impedisce... non saprei.

per il resto il pc va bene.. non sono visibili segnali strani o avvisi tipo virus solo che come ho detto non è tornato come prima.

la guida l'ho seguita tutta. due volte. solo che emisoft non me lo fa installare mi da dei problemi quando ci provo (non riesce a creare delle cartelle all'inizio dell'installazione)...

spero che qualcuno possa aiutarmi

Questo tool l'hai fatto girare?

http://download.bleepingcomputer.com/grinler/unhide.exe

Manca come richiesto il log di CureIt, inoltre aggiorna MBAM e ripeti scansione completa.

[Fabryzio76]

Quote:

Originariamente inviato da Chill-Out

Dal log di MBAM si evince No action taken che non hai corretto i problemi rilevati. E' possibile vedere tutti i log, grazie.

Devo rifare le scansioni? (a parte MBAM) e se si, di quali programmi?

Grazie nuovamente per la disponibilità

[Chill-Out]

Quote:

Originariamente inviato da Fabryzio76

Devo rifare le scansioni? (a parte MBAM) e se si, di quali programmi?

Grazie nuovamente per la disponibilità

Quelli indicati qui http://www.hwupgrade.it/forum/showpo...93&postcount=1

[Gizmo1982]

Quote:

Originariamente inviato da Chill-Out

Questo tool l'hai fatto girare?

http://download.bleepingcomputer.com/grinler/unhide.exe

Manca come richiesto il log di CureIt, inoltre aggiorna MBAM e ripeti scansione completa.

il tool si l'ho già fatto girare e dallo schermo completamente nero sono "emerse" quasi tutte le icone per alcune andando su proprietà le ho fatte tornaree visibili manualmente.

Rimane il desktop senza sfondo e il menu start bianco.

qui i log di cureit filtrato:
http://wikisend.com/download/498874/cureit filtrato.txt

grazie per la pazienza!

[Chill-Out]

Quote:

Originariamente inviato da Gizmo1982

il tool si l'ho già fatto girare e dallo schermo completamente nero sono "emerse" quasi tutte le icone per alcune andando su proprietà le ho fatte tornaree visibili manualmente.

Rimane il desktop senza sfondo e il menu start bianco.

qui i log di cureit filtrato:
http://wikisend.com/download/498874/cureit filtrato.txt

grazie per la pazienza!

Fammi capire, spiegami questa incongruenza

- Estratto dal log di CureIt (incompleto)

Sistema operativo: Windows Vista Premium x86 (Build 6001), Service Pack 1

- Estratto dal log di HJT

Platform: Windows Vista SP2 (WinNT 6.00.1906)

[Gizmo1982]

non saprei perchè sono abbastanza analfabeta.. non so cosa siano queste diciture che mi fau vedere.

l'unica cosa che potrebbe essere è che il log di hjt l'ho rifatto con la versione aggiornata dopo cure it (qualche giorno) e nel frattempo ho installato una versione di linux sul pc...

può essere dovuta a questo l'incongruenza? altrimenti non saprei.

in che senso è incompleto il log di cure it? lo devo rifare?

[Chill-Out]

Quote:

Originariamente inviato da Gizmo1982

non saprei perchè sono abbastanza analfabeta.. non so cosa siano queste diciture che mi fau vedere.

l'unica cosa che potrebbe essere è che il log di hjt l'ho rifatto con la versione aggiornata dopo cure it (qualche giorno) e nel frattempo ho installato una versione di linux sul pc...

può essere dovuta a questo l'incongruenza? altrimenti non saprei.

in che senso è incompleto il log di cure it? lo devo rifare?

Su uno è installato il SP1 sull'altro il SP2, quindi sono due PC diversi.

[HoldenCaulfield]

allora, se questo è il 3D giusto, posto il log di Malaware appena fatto.
Ricordo che il problema è il ripristino dei programmi, che funzioano comunque, dal menu di avvio.

[Gizmo1982]

Cavoli se mi dici così mi viene da preoccuparmi.
Il pc è lo stesso e il sistema vista pure.
Sia hjt che cure it sono installati nella partizione di vista e fatti girare su vista...

POtrebbe essere dovuto a un virus questo problema?
Devo rifare tutta la procedura?

forse è per questo che non riesco a installare emisoft...o forse sto delirando ma come detto non ci capisco molto.

Che fare?

[Chill-Out]

Quote:

Originariamente inviato da HoldenCaulfield

allora, se questo è il 3D giusto, posto il log di Malaware appena fatto.
Ricordo che il problema è il ripristino dei programmi, che funzioano comunque, dal menu di avvio.

Scarica il file compresso (Varestorepolicies.zip) in allegato sul Desktop, scompattatelo, tasto dx del mouse su Varestorepolicies e cliccate su installa

http://www.hwupgrade.it/forum/showpo...82&postcount=2

riavvia la macchina.

[Chill-Out]

Quote:

Originariamente inviato da Gizmo1982

Cavoli se mi dici così mi viene da preoccuparmi.
Il pc è lo stesso e il sistema vista pure.
Sia hjt che cure it sono installati nella partizione di vista e fatti girare su vista...

Impossibile

[HoldenCaulfield]

Quote:

Originariamente inviato da Chill-Out

Scarica il file compresso (Varestorepolicies.zip) in allegato sul Desktop, scompattatelo, tasto dx del mouse su Varestorepolicies e cliccate su installa

http://www.hwupgrade.it/forum/showpo...82&postcount=2

riavvia la macchina.

Fatto, Non è cambiato niente