Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[JillKelly]

Salve
anch'io stanotte mi sono imbattuto in un rogue
ad un tratto è partito
Smart antivirus 2009
sintomi :
modifica del desktop
virus alert accanto orologio
accesso impedito dall admin al registro
scomparsa d qualunque link a risorse del computer dei collegamenti ai dischi sul desktop, l'intero start dei programmi

Per fortuna ho trovato voi , ho seguito la procedura
vi posto i link ai log

Malwarebytes:

http://www.fileqube.com/shared/DhJtc103962

A-squared:
http://www.fileqube.com/shared/YrQVcBn103963

Cure iT ha evidenziato

MCCWrapper.dll probabile DLOADER.Trojan
l'ho spostato in quarantena

hijack:
http://www.fileqube.com/shared/EHQQK104056

IL pc nn manifesta + alcuni problemi
ma nn so se tutto è ok , spero ke qualcuno possa darmi una mano
tra l'altro dopo l'esecuzione di malwarebytes lo sfondo del desktop
è diventato bianco ( + ke altro è come se sto sfondo bianko fosse sovrapposto allo sfondo originale) da proprietà nn s riesce a modificarlo

[wjmat]

Quote:

Originariamente inviato da JillKelly

Salve
anch'io stanotte mi sono imbattuto in un rogue
ad un tratto è partito
Smart antivirus 2009
sintomi :
modifica del desktop
virus alert accanto orologio
accesso impedito dall admin al registro
scomparsa d qualunque link a risorse del computer dei collegamenti ai dischi sul desktop, l'intero start dei programmi

Per fortuna ho trovato voi , ho seguito la procedura
vi posto i link ai log

Malwarebytes:

http://www.fileqube.com/shared/DhJtc103962

A-squared:
http://www.fileqube.com/shared/YrQVcBn103963

Cure iT ha evidenziato

MCCWrapper.dll probabile DLOADER.Trojan
l'ho spostato in quarantena

hijack:
http://www.fileqube.com/shared/EHQQK104056

IL pc nn manifesta + alcuni problemi
ma nn so se tutto è ok , spero ke qualcuno possa darmi una mano
tra l'altro dopo l'esecuzione di malwarebytes lo sfondo del desktop
è diventato bianco ( + ke altro è come se sto sfondo bianko fosse sovrapposto allo sfondo originale) da proprietà nn s riesce a modificarlo

Ciao benvenuto nel pronto soccorso di HU.

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log con la funzione gestisci allegati

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) disinstallale pure se non le usi.
Le voci O16 non le segnalo, ma vanno fixate tutte, con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EverioService] "C:\Programmi\CyberLink\PCM4Everio\EverioService.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM..Run: [MsUpdate] C:DOCUME~1ADMINIMPOST~1Temp\Setup_ver1.1427.0.exe
O4 - HKLM\..\Run: [OpenDNS Update] "C:\Programmi\OpenDNS Updater\OpenDNS Updater.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O24 - Desktop Component 0: (no name) - about:Home
O24 - Desktop Component 1: Privacy Protection - (no file)

Fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

C:\WINDOWS\system32\drivers\svchost.exe

Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

[JillKelly]

http://www.fileqube.com/shared/wTFRODk104085

http://www.virustotal.com/it/analisi...b72dc402bdcd6e
http://virscan.org/report/099637ad9e...78533e29b.html


Purtroppo il desktop rimane ankora con lo sfondo bianco..

[wjmat]

con hjt devi fixate tutte le voci O16

segui qui http://www.hwupgrade.it/forum/showpo...&postcount=251

quindi log di smit + nuovo hjt dopo smit e fixaggio delle O16

[JillKelly]

smitfix
Nod32 me lo segnala come virato e mi blocca il process.exe al 99%
ho terminato nod32 ma cmq il doenload viene terminato in modo anomalo all'ultimo secondo

[wjmat]

Quote:

Originariamente inviato da JillKelly

smitfix
Nod32 me lo segnala come virato e mi blocca il process.exe al 99%
ho terminato nod32 ma cmq il doenload viene terminato in modo anomalo all'ultimo secondo

disabilita nod e prova a riscaricarlo, se non va riavvia,disabilita subito nod e riscarica smit

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

smitfix
Nod32 me lo segnala come virato e mi blocca il process.exe al 99%
ho terminato nod32 ma cmq il doenload viene terminato in modo anomalo all'ultimo secondo

Disattiva la protezione del Nod32 momentaneamente e procedi col download

[JillKelly]

hitjack
http://www.fileqube.com/shared/DcVyryiHn104229

rapport
http://www.fileqube.com/shared/rhJXECLc104233

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

hitjack
http://www.fileqube.com/shared/DcVyryiHn104229

rapport
http://www.fileqube.com/shared/rhJXECLc104233

Riesegui HijackThis e fixa le seguenti voci:

Quote:

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - blank (file missing)

per il resto dovremmo essere ok.

[JillKelly]

Fatto
l'ultimo tool inoltre ha risolto tutto anke il problema del desktop
grazie ankora x l'aiuto

[wjmat]

Quote:

Originariamente inviato da JillKelly

Fatto
l'ultimo tool inoltre ha risolto tutto anke il problema del desktop
grazie ankora x l'aiuto

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante aggiornare win con SP3 e IE7

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

Fatto
l'ultimo tool inoltre ha risolto tutto anke il problema del desktop
grazie ankora x l'aiuto

Bene problema risolto per il resto segui i suggerimenti di wj

[JillKelly]

volevo aggiornare a sp3 ma se nn sbaglio installa IE7
purtroppo a causa d'incompatibilità con un software ke vuole IE6
nn l'ho installato

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

volevo aggiornare a sp3 ma se nn sbaglio installa IE7
purtroppo a causa d'incompatibilità con un software ke vuole IE6
nn l'ho installato

Male e quale sarebbe questo software incompatibile?

[JillKelly]

software della vodafone

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

software della vodafone

Quale nello specifico se me lo indico evito di andare a spulciare i log

[JillKelly]

è l'open vodafone x la gestione dei servizi vodafone

[Chill-Out]

Quote:

Originariamente inviato da JillKelly

è l'open vodafone x la gestione dei servizi vodafone

open.vodafone è il sito per la gestione dei servizi

[JillKelly]

ho cantato vittoria troppo presto
mi sono accorto ke se m assento x un pò il pc si blocca
esce la schermata d Xp ke m dice preparazione allo stend by

[wjmat]

possiamo escludere errate impostazioni di opzioni risparmio energetico?