Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[xcdegasp]

Quote:

Originariamente inviato da mrkone

log
mbam-log-2008-10-18 (19-49-32).txt

log
a2scan_081019-121051.txt

log
hijackthis2.log

Ho fatto l'update di windows installato un nuovo firewall (online armor)
installato superantispyware.

Il mouse e stabile senza clessidra pare funzioni tutto bene anche se all'avvio
il messaggio di PrevxCSI esce sempre.

le scansioni ti hanno tolto parecchia roba

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O3 - Toolbar: rosqxvmn - {69C9C6AD-8E5C-47F8-8ABF-ACB45D8B770A} - C:\WINDOWS\TEMP\ac8zt2\rosqxvmn.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [Java Update] C:\DOCUME~1\VALERIO\IMPOST~1\Temp\firefox.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

ti manca dr.web cureIT

[xcdegasp]

Quote:

Originariamente inviato da _panik

Salve a tutti!!!
Sono stato recentemente attaccato dal falso antispyware
XPAntispyware2009.
Dopo una giornata intera di scapoccio (oggi) tra tentativi di rimozione manuale e tramite programmi antispyware, sono riuscito ad eliminarlo, poichè adesso non compare più nella barra degli strumenti.
Purtroppo però mi sono rimaste ancora parecchie tracce dell'attacco di questo spyware: infatti, anche se ora riesco di nuovo a navigare senza l'apparizione di pop-up a buffo, il browser (sia mozilla firefox che internet explorer) funziona diversamente rispetto a prima (ad esempio c'è difficolta nel caricare alcuni link, google è lentissimo ecc.) ed inoltre anche il sistema operativo (ho windows xp) mi sembra lievemente danneggiato, visto che ora mostra una diversa visualizzazione dei caratteri e talvolta, dopo l'accensione del pc, può capitare che non carichi.
Vi ringrazio in anticipo per l'interessamento e spero che possiate aiutarmi.

segui le indicazioni scritte nel primo messaggio di questo thread e pubblica tutti i log

[trokij]

Quote:

Originariamente inviato da wjmat

finisci a-squared + log
rifaimbam scansione completa + log
nuovo hjt aggiornato +log

Come prima scansione ho fatto mbam veloce ed ha cancellato un sacco di roba.
Quindi ho fatto queste:
a-squared
a2scan_081019-131922.txt
mbam
mbam-log-2008-10-19 (13-10-47).txt
Dr.Web
DrWeb.csv
Hjthis
hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da trokij

Come prima scansione ho fatto mbam veloce ed ha cancellato un sacco di roba.
Quindi ho fatto queste:
a-squared
a2scan_081019-131922.txt
mbam
mbam-log-2008-10-19 (13-10-47).txt
Dr.Web
DrWeb.csv
Hjthis
hijackthis.log

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
puoi fixare:

Codice:

O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: karna.dat
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

[Jovanny]

Allego il log da voi richiesti tranne quello di "DrWeb CureIt" che è ancore in fase di scannerizzazione:

http://www.mediafire.com/?m0ymtotzjzk
http://www.mediafire.com/?i3wn2izmlyz
http://www.mediafire.com/?mminjj5zowm

[Jovanny]

Allego l'ulteriore log

[wjmat]

Quote:

Originariamente inviato da Jovanny

Allego il log da voi richiesti tranne quello di "DrWeb CureIt" che è ancore in fase di scannerizzazione:

http://www.mediafire.com/?m0ymtotzjzk
http://www.mediafire.com/?i3wn2izmlyz
http://www.mediafire.com/?mminjj5zowm

ciao
manca a-squared

[wjmat]

edit

[crazy1_it]

Quando ho scaricato AVIRA RESCUE DISK con il file .exe che faccio???? Lo copio direttamente su un cd o lo lancio mi crea un rescue CD???

Grazie.

[wjmat]

Quote:

Originariamente inviato da crazy1_it

Quando ho scaricato AVIRA RESCUE DISK con il file .exe che faccio???? Lo copio direttamente su un cd o lo lancio mi crea un rescue CD???

Grazie.

hai letto le info che ti ho linkato?
lo lanci e ti crea il cd, oppure se esci ti può salvare la iso che masterizzi con i relativi programmi

[Chill-Out]

Quote:

Originariamente inviato da crazy1_it

Quando ho scaricato AVIRA RESCUE DISK con il file .exe che faccio???? Lo copio direttamente su un cd o lo lancio mi crea un rescue CD???

Grazie.

Lanci l'eseguibile e credi il CD/DVD

[Marcodonto]

Allego i miei risultati(intanto grazie per la guida):

Malware:http://www.mediafire.com/?mxfnyjtwn3c

A-squared: http://www.mediafire.com/?dzodngdnhcu

Cure-it:http://www.mediafire.com/?qnm1rdhmm35

HiJackthis: http://www.mediafire.com/?2wyyz55fkay

Grazie.

[wjmat]

Quote:

Originariamente inviato da Marcodonto

Allego i miei risultati(intanto grazie per la guida):

Malware:http://www.fileqube.com/file/gFJbVoGB136927

A-squared: http://www.fileqube.com/file/fSCskqM136928

Cure-it:http://www.fileqube.com/file/iebkszSwF136930

HiJackthis: http://www.fileqube.com/file/hlomLlt136938
Grazie.

ciao
dovresti cortesemente ricaricare i log messi su fileqube (che ha problemi) su www.mediafire.com o www.wikisend.com

[Marcodonto]

Modificato....grazie!

[wjmat]

Quote:

Originariamente inviato da Marcodonto

Modificato....grazie!

che hai fatto con le infezioni trovate da Malwarebytes' Anti-Malware?
Start -> Esegui -> Copia ed incolla %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs (invio)
e carica l'ultimo log in ordine di tempo

[Jovanny]

Allego tutti i log da voi richiesti:

http://www.mediafire.com/?zd3ezmtmxen
http://www.mediafire.com/?joeqdtgzwm1
http://www.mediafire.com/?umymywyayjn
http://www.mediafire.com/?xzrk0jngog0
http://www.mediafire.com/?z2nyy2qzjjc


Ora vedo che qualcosina si è risolto, ovvero:

-scritta "VIRUS ALERT!" accanto all'orologio-->scomparsa!!!
-menu di avvio-->funzionante!!!

[Marcodonto]

Allora, le infezioni le ho eliminate...
http://www.mediafire.com/?axj2wyommhf
il messaggio che mi dava in continuazione è sparito...

[Jovanny]

Quindi??? Secondo voi abbiamo finito?

[Chill-Out]

Quote:

Originariamente inviato da Jovanny

Quindi??? Secondo voi abbiamo finito?

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

Quote:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Disinstalla Prevx - riscaricalo - procedi con una nuova scansione

Riepilogo log da allegare
Nuovo log HJT
Nuovo log Prevx

[Chill-Out]

Quote:

Originariamente inviato da Marcodonto

Allora, le infezioni le ho eliminate...
http://www.mediafire.com/?axj2wyommhf
il messaggio che mi dava in continuazione è sparito...

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix cheked

Quote:

O4 - HKLM\..\Run: [NI.UERST_0001_N93S0111] "c:\documents and settings\serena\dati applicazioni\errorsafeitaliannewreleaseinstall[1].exe" -nag

Ripeti la scansione completa con MBAM
Ripeti la Scansione con DrWeb CureIt hai fatto la scansione veloce sarebbe opportuno fare la scansione cpmpleta come indicato in Guida

Riepilogo log da allegare
Nuovo log HJT
MBAM
DrWeb