Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Composition86]

Ho provato con il programma SDfix: ho usato il file "catchme.exe" per lo scan, non riuscendo a far partire il computer in modalità provvisoria (cliccando F8 venivano saltate le varie schermate iniziali).
Il succo del log è (se serve lo posto intero):

hidden processes: 0
hidden services: 0
hidden files: 0

Ma comunque, dopo i vari scan subiti con diversi programmi non dovrebbe esserci più nulla, a parte la simpatica icona vicino all'orologio, anche se ho cliccato col destro sul file .inf relativo al mio SO, installato e riavviato il pc. Ditemi voi.

[Chill-Out]

Quote:

Originariamente inviato da Composition86

Ho provato con il programma SDfix: ho usato il file "catchme.exe" per lo scan, non riuscendo a far partire il computer in modalità provvisoria (cliccando F8 venivano saltate le varie schermate iniziali).
Il succo del log è (se serve lo posto intero):

hidden processes: 0
hidden services: 0
hidden files: 0

Ma comunque, dopo i vari scan subiti con diversi programmi non dovrebbe esserci più nulla, a parte la simpatica icona vicino all'orologio, anche se ho cliccato col destro sul file .inf relativo al mio SO, installato e riavviato il pc. Ditemi voi.

Credo che tu abbia letto male le istruzioni:

Quote:

Doppio click su SDFix.exe il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Aprire la cartella SDFix in C:\ e fare doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premere un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovreste visualizzare il messaggio "Finished"
Premere un tasto per terminare lo script e ricaricare le icone del desktop
Il log da allegare per il controllo sarà visualizzato automaticamente, altrimenti potrete trovarlo in C:\SDFix\Report.txt

da modalità provvisoria devi fare doppio click su RunThis.bat a parte questo discorso io eseguirei la procedura indicata in prima pagina non sono tanto convinto che il Rogue sia stato eliminato

PS: ricorda di allegare i log

[wjmat]

doppio

[Composition86]

Si, avevo letto, ma non riuscivo ad accedere alla modalità provvisoria. Ho dovuto usare un programmino apposito: ho fatto lo scan ed ho ripetuto l'operazione di installazione del file inf. Nessun risultato.

Ecco il log:
Link eliminato.

[wjmat]

Quote:

Originariamente inviato da Composition86

Si, avevo letto, ma non riuscivo ad accedere alla modalità provvisoria. Ho dovuto usare un programmino apposito: ho fatto lo scan ed ho ripetuto l'operazione di installazione del file inf. Nessun risultato.

Ecco il log:
http://www.divshare.com/download/5579083-94d

su uno dei server consigliati please

[Composition86]

Ho editato il link.

[wjmat]

il virus alert è rimasto?

[Composition86]

Stranamente si. Forse dovrei ripetere qualche operazione? Ad esempio il ripristino della configurazione di sistema l'ho trovato riattivato al riavvio del pc, forse anche precedentemente a tutte le operazioni fatte. E' l'unico dubbio che ho.

[wjmat]

Quote:

Originariamente inviato da Composition86

Stranamente si. Forse dovrei ripetere qualche operazione? Ad esempio il ripristino della configurazione di sistema l'ho trovato riattivato al riavvio del pc, forse anche precedentemente a tutte le operazioni fatte. E' l'unico dubbio che ho.

disattivalo di nuovo

Quote:

Terminata la fase di rimozione aprire la cartella SDFix tasto dx del mouse su XP_VirusAlert_Repair.inf o W2K VirusAlert_Repair.inf (in funzione del sistema operativo) e cliccare su installa

dal report
Files with Hidden Attributes :
Wed 10 Oct 2007 921,600 A..H. --- "C:\Documents and Settings\ALFREDO\Impostazioni locali\Temporary Internet Files\ijjistarter2FxB.exe"

Apri IE7 -> Strumenti -> Elimina cronologia esplorazioni...
Elimina File... -> SI
Elimina Cookie... -> SI
Elimina Cronologia... -> SI

[Composition86]

Ho eliminato tutto ma il problema non si è risolto. Però mi hai fatto capire come dovrei usare il log, quindi tento di sistemare da solo, se proprio non riesco torno. Intanto ti ringrazio per l'aiuto.

[wjmat]

Quote:

Originariamente inviato da Composition86

Ho eliminato tutto ma il problema non si è risolto. Però mi hai fatto capire come dovrei usare il log, quindi tento di sistemare da solo, se proprio non riesco torno. Intanto ti ringrazio per l'aiuto.

che problemi sono rimasti?

[Composition86]

La cartella Temporary Internet files è vuota, ma è rimasta l'icona vicino l'orologio. Però devo riprovare l'intero procedimento con ripristino disattivato, farò sapere.

[alzavara]

ciao a tutti
penso di essere stato infettato dal rogue XP AntiSpyware 2009, mi compariva in basso a destra nel systray il messaggio che il computer era stato infettato da uno spyware, inoltre risultava installato il programmma XP AntiSpyware 2009 con relativi collegamenti sul desktop e nel menu avvio.
inoltre, sempre sul desktop era ed è ancora presente il file delself.bat
ho seguito la procedura descritta nel primo post e questi sono i log:
Malwarebytes' Anti-Malware:
http://www.fileqube.com/shared/mFXxirH134731

A-Squared:
http://www.fileqube.com/shared/FaxjFsgn134733

Cure It
http://www.hwupgrade.helloweb.eu/Par...t284798395.txt

Hijackthis:
http://www.fileqube.com/shared/xTtvF134740

ora pare tutto a posto, è rimasto solo il file delself.bat sul desktop, lo posso cancellare a mano?
grazie per l'aiuto e la disponibilita'

[wjmat]

Quote:

Originariamente inviato da alzavara

ciao a tutti
penso di essere stato infettato dal rogue XP AntiSpyware 2009, mi compariva in basso a destra nel systray il messaggio che il computer era stato infettato da uno spyware, inoltre risultava installato il programmma XP AntiSpyware 2009 con relativi collegamenti sul desktop e nel menu avvio.
inoltre, sempre sul desktop era ed è ancora presente il file delself.bat
ho seguito la procedura descritta nel primo post e questi sono i log:
Malwarebytes' Anti-Malware:
http://www.fileqube.com/shared/mFXxirH134731

A-Squared:
http://www.fileqube.com/shared/FaxjFsgn134733

Cure It
http://www.hwupgrade.helloweb.eu/Par...t284798395.txt

Hijackthis:
http://www.fileqube.com/shared/xTtvF134740

ora pare tutto a posto, è rimasto solo il file delself.bat sul desktop, lo posso cancellare a mano?
grazie per l'aiuto e la disponibilita'

Ciao benvenuto nel pronto soccorso di HU.

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
O4 - HKLM\..\Run: [NeroFilterCheck] //~c:\windows\system32\nerocheck.exe
O4 - HKLM\..\Run: [RemoteControl] //~c:\programmi\cyberlink\powerdvd\pdvdserv.exe
O4 - HKLM\..\Run: [ISUSPM Startup] //~c:\progra~1\fileco~1\instal~1\update~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] //~c:\programmi\file comuni\installshield\updateservice\issch.exe -start
O4 - HKCU\..\Run: [MSMSGS] //~c:\programmi\messenger\msmsgs.exe /background
O20 - AppInit_DLLs: karna.dat
O16  - tutte le voci

hai installato 2 antivirus? il norton fallo fuori subito
il file sul desktop cancellalo pure

[alzavara]

ciao
ecco il nuovo log di hijackthis:
http://www.fileqube.com/shared/JvDnhs134766

non ho nessuna voce 016
ora disinstallo norton
grazie

[wjmat]

Quote:

Originariamente inviato da alzavara

ciao
ecco il nuovo log di hijackthis:
http://www.fileqube.com/shared/JvDnhs134766

non ho nessuna voce 016
ora disinstallo norton
grazie

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

di cui importanti
win va aggiornato a sp3
ie va aggiornato alla 7

[alzavara]

Quote:

Originariamente inviato da wjmat

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

di cui importanti
win va aggiornato a sp3
ie va aggiornato alla 7

grazie ancora, provvedero'.
secondo te, avendo Malwarebytes' Anti-Malware e A-Squared, posso levare ad-aware?

[wjmat]

Quote:

Originariamente inviato da alzavara

grazie ancora, provvedero'.
secondo te, avendo Malwarebytes' Anti-Malware e A-Squared, posso levare ad-aware?

certo, mi sono dimenticato di scrivertelo

[corteluc]

Preciso che non ho letto tutto il thead ma ho seguito solo la prima pagina, ho provato quanto era scritto al primo thread ma non ha funzionato.
Dunque, pure io mi sono beccato sto maledetto virus, win vista ultimate, nessuna scritta in basso a sinistra ma non mi permetteva di usare il browser, mi usciva sempre la pagina che rimandava solo al sito del finto antivirus e mi aveva installato la toolbar;
ho risolto con spybot s&d scansione semplice e per la toolbar l' ho rimossa con toolbarcop, il pc ora funziona e non da piu alcun problema di sorta.
Spero possa servire a qualcuno.

[wjmat]

Quote:

Originariamente inviato da corteluc

Preciso che non ho letto tutto il thead ma ho seguito solo la prima pagina, ho provato quanto era scritto al primo thread ma non ha funzionato.
Dunque, pure io mi sono beccato sto maledetto virus, win vista ultimate, nessuna scritta in basso a sinistra ma non mi permetteva di usare il browser, mi usciva sempre la pagina che rimandava solo al sito del finto antivirus e mi aveva installato la toolbar;
ho risolto con spybot s&d scansione semplice e per la toolbar l' ho rimossa con toolbarcop, il pc ora funziona e non da piu alcun problema di sorta.
Spero possa servire a qualcuno.

ciao
per me se fai girare ora i tool della guida troviamo altro....