Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[fed3rico]

questi sono i file .txt che ho salvato seguendo la guida al post #1

MALAWAREBYTES

[fed3rico]

Emsisoft Anti-Malware

Log rimosso leggere la Guida in prima pagina

[il falco di luce]

eccomi i nuovo qui allora opo il primo log in scansione veloce passo alla scansione completa:



adesso nn sò cosa era da eliminare effettivamente e cosa no cmq il firewall nn è mai tornato aspetto notizie

Log rimosso leggere la Guida in prima pagina

[Chill-Out]

Quote:

Originariamente inviato da il falco di luce

eccomi i nuovo qui allora opo il primo log in scansione veloce passo alla scansione completa:



adesso nn sò cosa era da eliminare effettivamente e cosa no cmq il firewall nn è mai tornato aspetto notizie

Log rimosso leggere la Guida in prima pagina

Se desideri essere aiutato, segui passo passo la Guida in prima pagina ed allega tutti i log come richiesto, grazie per la collaborazione.

[il falco di luce]

rieccomi ecco il link dei log(penso intendevi questo)
scansione completa Emsisoft Anti-Malware

http://www.mediafire.com/?4ft9kijl87f2n5s

prima scansione veloce dr web

http://www.mediafire.com/?nkd9t2nw5h760na

seconda scansione completa dr web

http://www.mediafire.com/?7ka7b17mmnwv2b8

visto che c siamo ecco il danno di combo fix

http://www.mediafire.com/?bk80w6m5d84pd6z

spero di avere a breve una risposta visto il grave stato del pc e che nn sò davvero che fare grz

[Chill-Out]

Quote:

Originariamente inviato da il falco di luce

rieccomi ecco il link dei log(penso intendevi questo)
scansione completa Emsisoft Anti-Malware

http://www.mediafire.com/?4ft9kijl87f2n5s

prima scansione veloce dr web

http://www.mediafire.com/?nkd9t2nw5h760na

seconda scansione completa dr web

http://www.mediafire.com/?7ka7b17mmnwv2b8

visto che c siamo ecco il danno di combo fix

http://www.mediafire.com/?bk80w6m5d84pd6z

spero di avere a breve una risposta visto il grave stato del pc e che nn sò davvero che fare grz

L'unico modo è ripristinare i file quarantenati ComboFix-quarantined-files.txt

[il falco di luce]

ok ma adesso c sono 2 domande...1)i file in quarantena sò in che cartella sono e sono tutti con estensione .vir c'è una opzione x rimetterli o devo fare un lavoro seriamente certosino file x file(rimetterli nella identica posizione dove erano ecc...)?
2)cmq da i log che avevo postato penso di aver capito che il rouge in questione è windows repair cmq ancora prima dell danno con combofix avevo provato con hijack ma arrivato al file del firewall si bloccava quindi credo che ancora il problema nn sia risolto
spero di aver presto una risposta x questi 2 quesiti almeno finalmente sistemo il pc grz

[Chill-Out]

Quote:

Originariamente inviato da il falco di luce

ok ma adesso c sono 2 domande...1)i file in quarantena sò in che cartella sono e sono tutti con estensione .vir c'è una opzione x rimetterli o devo fare un lavoro seriamente certosino file x file(rimetterli nella identica posizione dove erano ecc...)?

L'opzione ci sarebbe ma è meglio che fai il lavoro a mano, premurandoti di togliere l'estensione.

Quote:

Originariamente inviato da il falco di luce

2)cmq da i log che avevo postato penso di aver capito che il rouge in questione è windows repair cmq ancora prima dell danno con combofix avevo provato con hijack ma arrivato al file del firewall si bloccava quindi credo che ancora il problema nn sia risolto
spero di aver presto una risposta x questi 2 quesiti almeno finalmente sistemo il pc grz

Questo lo vediamo dopo.

[ambulanza]

yoyo ecco qui i log:

casIno.rar

ho avuto dei problemi a scaricare ATF cleaner (non va il link in prima pagina) e quindi ho usato ncleaner, spero vada bene uguale.
non sono riuscito a snellire il log di DRwebcureIT, perchè il link di riferimento non funziona, e su google trovo solo versione del 2005.

il malawere si chiama "system check" e nonostante ora abbia mollato un po il colpo (non mi parte la scansione ogni volta che riavvio), c'è sempre la sua icona sul desktop e in basso a sinistra sulla barra dove di solito ci sono i link ai browser.
in più tutte le voci di "tutti i programmi" dal menu di start, sono "vuote" (cioè se ci passo il mouse sopra mi viene fuori "vuoto" invece che il contenuto del programma).
aituoooo



UPDATE: facendo la scansione con spyhunter4 mi escono ancora 45 infezioni, tutte relative a "Messenger plus", una addirittura si chiama "rouge.messengerplus". io msn non lo uso da una vita e il plus l'ho installato a suo tempo (forse due anni fa)...?????

[Chill-Out]

Quote:

Originariamente inviato da ambulanza

yoyo ecco qui i log:

Log in formato .txt, esattamente come indicato in prima pagina.

[ambulanza]

Quote:

Originariamente inviato da Chill-Out

Log in formato .txt, esattamente come indicato in prima pagina.

credevo fose più comodo averli tutt insieme
comunque:

mbam
mbam-log-2012-02-22 (12-07-15).txt

emisoft
a2scan_120222-142916.txt


cureIT
CureIt.log

hijack
hijackthis.log


grassssie

[Chill-Out]

Quote:

Originariamente inviato da ambulanza

credevo fose più comodo averli tutt insieme
comunque:

mbam
mbam-log-2012-02-22 (12-07-15).txt

emisoft
a2scan_120222-142916.txt


cureIT
CureIt.log

hijack
hijackthis.log


grassssie

Direi che siamo ok, quali probemi riscontri?

[Kal]

Salve ragazzi,
ho il pc fisso in firma con la seguente configurazione:

Win7 aggiornato
Mozilla Firefox 10.0.2 con AdBlockPlus,BetterPrivacy,CookieCuller e KeyScambler.
Norton Internet Security 2011 aggiornato a pochi minuti fa
Spybot

Praticamente,accedendo al programma APC PowerChute per il controllo del mio gruppo di continuità,invece che accedere al Server "Susanoo" (che sarebbe il nome del mio pc),accede al Server "www.007guard.com".....

Mai successa una cose del genere in anni di pc.....

Norton e Spybot non mi trovano nulla.....

In rete ho letto che si tratta della protezione dei file host da parte del programma Spybot....
Ne sapete qualcosa?

[Chill-Out]

Quote:

Originariamente inviato da Kal

Salve ragazzi,
ho il pc fisso in firma con la seguente configurazione:

Win7 aggiornato
Mozilla Firefox 10.0.2 con AdBlockPlus,BetterPrivacy,CookieCuller e KeyScambler.
Norton Internet Security 2011 aggiornato a pochi minuti fa
Spybot

Praticamente,accedendo al programma APC PowerChute per il controllo del mio gruppo di continuità,invece che accedere al Server "Susanoo" (che sarebbe il nome del mio pc),accede al Server "www.007guard.com".....

Mai successa una cose del genere in anni di pc.....

Norton e Spybot non mi trovano nulla.....

In rete ho letto che si tratta della protezione dei file host da parte del programma Spybot....
Ne sapete qualcosa?

Fai scansione con MBAM ed allega il log, vedi guida in prima pagina

[Kal]

Quote:

Originariamente inviato da Chill-Out

Fai scansione con MBAM ed allega il log, vedi guida in prima pagina

Ho formattato,ma MBAM mi trova sempre e comunque 4 spyware.
Allego il log.

http://wikisend.com/download/947682/mbam-log-2012-02-26 (16-09-56).txt

[Chill-Out]

Quote:

Originariamente inviato da Kal

Ho formattato,ma MBAM mi trova sempre e comunque 4 spyware.
Allego il log.

http://wikisend.com/download/947682/mbam-log-2012-02-26 (16-09-56).txt

Quote:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\csc (Spyware.Password) -> No action taken.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Windows\System32\drivers\csc.sys (Spyware.Password) -> No action taken.
C:\Windows\winsxs\Backup\x86_microsoft-windows-offlinefiles-core_31bf3856ad364e35_6.1.7601.17514_none_a04fb2d2ba296321_csc.sys_06be9334 (Spyware.Password) -> No action taken.
C:\Windows\winsxs\x86_microsoft-windows-offlinefiles-core_31bf3856ad364e35_6.1.7601.17514_none_a04fb2d2ba296321\csc.sys (Spyware.Password) -> No action taken.

No action taken >>> significa che non li hai eliminati

[Kal]

Quote:

Originariamente inviato da Chill-Out

No action taken >>> significa che non li hai eliminati

Lo so,adesso li ho eliminati.
Tu sai dove potrei averli presi?
Calcola che ho riformattato da zero il pc con una copia autentica di Win7 Professional....

[Chill-Out]

Quote:

Originariamente inviato da Kal

Lo so,adesso li ho eliminati.
Tu sai dove potrei averli presi?
Calcola che ho riformattato da zero il pc con una copia autentica di Win7 Professional....

Presumo navigando, dimenticavo aggiorna MBAM alla versione corrente 1.60.1 + il DB delle firme virali e ripeti scansione.

[Kal]

Quote:

Originariamente inviato da Chill-Out

Presumo navigando, dimenticavo aggiorna MBAM alla versione corrente 1.60.1 + il DB delle firme virali e ripeti scansione.

Ok,fatto.
Non mi ha trovato nulla adesso.
Grazie per l'aiuto!

[ambulanza]

Quote:

Originariamente inviato da Chill-Out

Direi che siamo ok, quali probemi riscontri?

allora è scomparso lo sfondo e ora è tutto blu, le icone sono tornate al loro posto, ma nel menù di START non hanno contenuto (cioè ad esempio se passo il muose su un programma qualunque mi dice "vuoto")... forse sono solo nascosti ma non so.
sono scomparse le icone dei browser e le altre che avevo sulla barra strumenti in basso (vicino al tasto START per indenderci), mentre invece resta l'icona sia su desktop che sulla barra del "system check", che è il malaware che mi ha rovinato in sti giorni :/.

ho dei problemi alla rete, nel senso che sul modem non si connette al DSL (da 192.168.1.1 mi dice modem connected e DSL disconnected), possibile che tiscali mi abbia tagliato fuori perchè infetto? (domanda da cybertonto, ma negli ultimi 3 giorni, tra i possibili motivi di assenza della rete, mi è stato detto anceh questo).

che faccio?
grassssie.