Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[_panik]

Buonasera!
Avevo postato un intervento qualche giorno fa riguardo al problema creatomi da XP Antispyware 2009. Mi è successo un guaio al computer in questi giorni, poichè non accedeva più al sistema operativo. L'ho portato da un tecnico, ed ora il mio ex disco locale C (quello che si era infettato) è divenuto un disco secondario poichè mi sono fatto montare un nuovo hardisk. Penso che ora sia tutto apposto, però per sicurezza ho preferito scansionare il pc per vedere se c'erano ancora tracce della minaccia. Vi allego qui i file di log. Ringrazio nuovamente!!

http://www.fileqube.com/file/SegHmYGFd140307
http://www.fileqube.com/file/oJXvOuid140309
http://www.fileqube.com/file/EAAkGnzU140310
http://www.mediafire.com/?sharekey=7...db6fb9a8902bda

[Chill-Out]

Quote:

Originariamente inviato da _panik

Buonasera!
Avevo postato un intervento qualche giorno fa riguardo al problema creatomi da XP Antispyware 2009. Mi è successo un guaio al computer in questi giorni, poichè non accedeva più al sistema operativo. L'ho portato da un tecnico, ed ora il mio ex disco locale C (quello che si era infettato) è divenuto un disco secondario poichè mi sono fatto montare un nuovo hardisk. Penso che ora sia tutto apposto, però per sicurezza ho preferito scansionare il pc per vedere se c'erano ancora tracce della minaccia. Vi allego qui i file di log. Ringrazio nuovamente!!

http://www.fileqube.com/file/SegHmYGFd140307
http://www.fileqube.com/file/oJXvOuid140309
http://www.fileqube.com/file/EAAkGnzU140310
http://www.mediafire.com/?sharekey=7...db6fb9a8902bda

Sei ok, ma il ripristino conf.sistema avresti dovuto disabilitarlo ad inizio procedura di disinfezione.

[Marcodonto]

www.hwupgrade.helloweb.eu/ParserLog/log/output43736250521.txt
http://www.mediafire.com/?yjybdzjgwwy
http://www.mediafire.com/?qk0jzlfyknk
http://www.mediafire.com/?yznzm5tdmet

ecco ora dovrebbe essere parsato

[Chill-Out]

Quote:

Originariamente inviato da Marcodonto

www.hwupgrade.helloweb.eu/ParserLog/log/output43736250521.txt
http://www.mediafire.com/?yjybdzjgwwy
http://www.mediafire.com/?qk0jzlfyknk
http://www.mediafire.com/?yznzm5tdmet

ecco ora dovrebbe essere parsato

Dal log di MBAM

Quote:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx (Rootkit.Rustock) -> No action taken.

ripeti la scansione completa ed elimina la chaive infetta

Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicate voci

Quote:

O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\winsys.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe

clicca su fix checked

Allega nuvo log di MBAM e HJT e dimmi come và il PC

[addedde]

...ho fatto disinfezione seguendo procedura di "Chill Out"
Disattivare il Ripristino Configurazione Sistema
ATF Cleaner / Pulizia dei file temporanei
1)mbam / scansione / "rimozione" / log file
2)a2Free / scansione / Metti in quarantena gli oggetti selezionati / log file
3)CureIt / controllo / Completa scansione / Sposta / log file
4)HijackThis / Do a system scan and save a log file

...il link del log mbam é http://www.fileqube.com/file/sFgsdp145636

...il link del log a2Free è http://www.fileqube.com/file/CvfdNEV145626

...il link del log CureIt è http://www.fileqube.com/file/tQeDdm145656

...il link del log HijackThis è http://www.fileqube.com/file/mFrDwmBS145642

....AIUTATEMI....!!!

[wjmat]

Quote:

Originariamente inviato da addedde

...ho fatto disinfezione seguendo procedura di "Chill Out"
Disattivare il Ripristino Configurazione Sistema
ATF Cleaner / Pulizia dei file temporanei
1)mbam / scansione / "rimozione" / log file
2)a2Free / scansione / Metti in quarantena gli oggetti selezionati / log file
3)CureIt / controllo / Completa scansione / Sposta / log file
4)HijackThis / Do a system scan and save a log file

...il link del log mbam é http://www.fileqube.com/file/sFgsdp145636

...il link del log a2Free è http://www.fileqube.com/file/CvfdNEV145626

...il link del log CureIt è http://www.fileqube.com/file/tQeDdm145656

...il link del log HijackThis è http://www.fileqube.com/file/mFrDwmBS145642

....AIUTATEMI....!!!

ciao

con asquared non hai eliminato questi

Codice:

C:\Documents and Settings\Andrea&Giulia\Desktop\Giochi\Zuma Deluxe\Zuma.exe 	rilevati: Worm.Win32.Trafaret.a!A2
C:\Programmi\VirtuallTek\nLite Add-On Maker\nlaom.exe 	rilevati: Trojan-Spy.Win32.Banker.mjh!A2

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [wixpo] "C:\Documents and Settings\Andrea&Giuliamupd1_2_645698.exe"
O4 - HKCU\..\Run: [uaqaaoi] "c:\documents and settings\andrea&giulia\impostazioni locali\dati applicazioni\uaqaaoi.exe" uaqaaoi
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O16  - tutte le voci se ce ne sono

per curiosità antivir era configurato come da guida di HU?

[Chill-Out]

Successivamente a quanto detto sopra:

1 Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA


2 http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Riepilogo log da allegare:
Combofix
Nuovo log HJT

[addedde]

...ciao a tutti, ho eseguito tutte le procedure della Guida alla rimozione ROGUE (Falsi) ANTISPYWARE - ANTIVIRUS - UTILITY,ho eliminato e rimosso in quarantene molti elementi infetti, ma ora non sò che fare...!!!
i link dei log sono:

1) mbam / http://www.fileqube.com/file/sFgsdp145636

2) a2scan / http://www.fileqube.com/file/CvfdNEV145626

3) CureIt / http://www.fileqube.com/file/dRwkPhefA146025

4) hijackthis / http://www.fileqube.com/file/QGIwHAm146024

...AIUTO....!!!

[wjmat]

Quote:

Originariamente inviato da addedde

...ciao a tutti, ho eseguito tutte le procedure della Guida alla rimozione ROGUE (Falsi) ANTISPYWARE - ANTIVIRUS - UTILITY,ho eliminato e rimosso in quarantene molti elementi infetti, ma ora non sò che fare...!!!
i link dei log sono:

1) mbam / http://www.fileqube.com/file/sFgsdp145636

2) a2scan / http://www.fileqube.com/file/CvfdNEV145626

3) CureIt / http://www.fileqube.com/file/dRwkPhefA146025

4) hijackthis / http://www.fileqube.com/file/QGIwHAm146024

...AIUTO....!!!

mi sembra che ti abbiamo risposto sopra

[Diegus]

Buongiorno a tutti... sono stato "attaccato" dall'Antivirus ResponseLab 2009...

Ho già ripulito il pc con SpyBot... poi ho fatto una scansione sia con Avast! che con AdAware e non mi ha trovato niente...

Allego log di JiJackThis...

[Chill-Out]

Quote:

Originariamente inviato da Diegus

Buongiorno a tutti... sono stato "attaccato" dall'Antivirus ResponseLab 2009...

Ho già ripulito il pc con SpyBot... poi ho fatto una scansione sia con Avast! che con AdAware e non mi ha trovato niente...

Allego log di JiJackThis...

Se desideri il solo controllo del log di HJT lo devi allegare nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=937676, altrimenti seguire la Guida in prima pagina ed allegare secondo le modalità i log per il controllo.

[Diegus]

Quote:

Originariamente inviato da Chill-Out

Se desideri il solo controllo del log di HJT lo devi allegare nel 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=937676, altrimenti seguire la Guida in prima pagina ed allegare secondo le modalità i log per il controllo.

Scusa ma avevo letto male

Cmq ho iniziato a fare quello che è scritto nel primo post... il "virus" è stato debellato perchè non mi vengono più fuori iconcine lampeggianti e quant'altro...

In ogni caso vi posto il link dove ho postato 2 log (cureit e mbam)... stanotte faccio la scansione anche con asquared e domani posto il log (anche quello di HiJackThis )...

Ditemi se è tutto apposto...

http://www.mediafire.com/?sharekey=a...db6fb9a8902bda

[Chill-Out]

Quote:

Originariamente inviato da Diegus

Scusa ma avevo letto male

Cmq ho iniziato a fare quello che è scritto nel primo post... il "virus" è stato debellato perchè non mi vengono più fuori iconcine lampeggianti e quant'altro...

In ogni caso vi posto il link dove ho postato 2 log (cureit e mbam)... stanotte faccio la scansione anche con asquared e domani posto il log (anche quello di HiJackThis )...

Ditemi se è tutto apposto...

http://www.mediafire.com/?sharekey=a...db6fb9a8902bda

Per il momento si attendiamo i log mancanti

[Diegus]

Ecco i log rimanenti...

http://www.fileqube.com/file/xelrRMkK146897

http://www.fileqube.com/file/OboeBs146898

PS: in qualche topic qui su questo forum ho leggo (velocemente) che su HiJackThis ci sono delle stringhe che se fixate rendono più veloce l'avvio... ho letto male o esiste davvero questa possibilità?

[wjmat]

Quote:

Originariamente inviato da Diegus

Ecco i log rimanenti...

http://www.fileqube.com/file/xelrRMkK146897

http://www.fileqube.com/file/OboeBs146898

PS: in qualche topic qui su questo forum ho leggo (velocemente) che su HiJackThis ci sono delle stringhe che se fixate rendono più veloce l'avvio... ho letto male o esiste davvero questa possibilità?

si con Hjt si può velocizzare leggermente lo startup eliminando programmi inutili all'avvio

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8710DF42-3171-4A3B-9079-3F7D7101552B} - C:\Programmi\Applications\iebt.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programmi\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O16  - tutte le voci se ce ne sono

[Diegus]

Quote:

Originariamente inviato da wjmat

si con Hjt si può velocizzare leggermente lo startup eliminando programmi inutili all'avvio

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log secondo le modalità

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Codice:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8710DF42-3171-4A3B-9079-3F7D7101552B} - C:\Programmi\Applications\iebt.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programmi\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O16  - tutte le voci se ce ne sono

Grazie mille... ho seguito tutto quello che hai detto anche se ho deciso di tenere un paio di O4 in più

In ogni caso allego il log dopo il fix...

[wjmat]

Quote:

Originariamente inviato da Diegus

Grazie mille... ho seguito tutto quello che hai detto anche se ho deciso di tenere un paio di O4 in più

In ogni caso allego il log dopo il fix...

riscontri altri problemi?

[Diegus]

Quote:

Originariamente inviato da wjmat

riscontri altri problemi?

No... direi che è tornato tutto alla normalità... grazie mille a tutti

PS: un'ultima domanda che mi sono dimenticato di farla prima... i programmi che ho installato per debellare il finto antivirus, mi consigliate di tenerli installati oppure sono inutili in momenti di "pace"?

[wjmat]

Quote:

Originariamente inviato da Diegus

No... direi che è tornato tutto alla normalità... grazie mille a tutti

PS: un'ultima domanda che mi sono dimenticato di farla prima... i programmi che ho installato per debellare il finto antivirus, mi consigliate di tenerli installati oppure sono inutili in momenti di "pace"?

dai un occhio al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante
aggiornare Windows va al service pack 3

[addedde]

Quote:

Originariamente inviato da wjmat

mi sembra che ti abbiamo risposto sopra

ciao Chill Out, ecco i link dei log di combofix e HijackThis, comunque da quando ho eliminato i file dalla cartella Perfect e eseguito combofix, è piu di un'ora che non compare più Windows Security Alert, e prima compariva ogni 15 minuti circa, un saluto e per ora GRAZIE....!!!

http://www.fileqube.com/file/FhMtmK147223

http://www.fileqube.com/file/WIPwRaP147224