Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Chill-Out]

Quote:

Originariamente inviato da holsen1982

ecco i log richiesti:
Combofix:http://www.fileqube.com/file/pdfbvrtRv165006
Nuovo log HJT:http://www.fileqube.com/file/CjAjlUzad165008

anomalia:durante l'esecuzione di combofix,mi è comparsa questa schermata:
http://www.fileqube.com/file/JGfNqnFdM165009
alla quale ho risposto di no,dato che ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza ..è meglio averlo quel discorso di ripristino di emergenza oppure non è necessario?

Ok aggiornami sullo stato di salute del Pc

Per quanto concerne Combo và bene come hai fatto, ti chiedeva l'eventuale installazione della Console di Ripristino ma se hai il Cd di installazione di Win non ci sono problemi.

[holsen1982]

grazie per la disponibilità,chill.. mah..adesso che ci penso..malwarebyte e a-squared mi avevano trovato rispettivamente 2 e 5 oggetti infetti..cosa faccio?li elimino o lascio stare cosi com'è?

[Chill-Out]

Quote:

Originariamente inviato da holsen1982

grazie per la disponibilità,chill.. mah..adesso che ci penso..malwarebyte e a-squared mi avevano trovato rispettivamente 2 e 5 oggetti infetti..cosa faccio?li elimino o lascio stare cosi com'è?

Sono in quarantena teoricamente li puoi lascare lì in eterno, eliminali definitivamente dopo un uso massivo del Pc questa è la prassi da seguire per essere oltremo tranquilli

[holsen1982]

ok chill.. finisco con delle domande e poi chiudo:
-posso disattivare il ripristino configurazione di sistema?
-posso disinstallare,esculo atf cleaner, tutti i programmi installati per la rimozione dei rogue?ti faccio questa domanda perchè avira continua ad assilarmi con degli avvisi(se vai indietro nella discussione,gli ho postati),e,da quanto ho capito,sono causati da combofix,del quale non vedo l'unistall,e ogni volta devo fare tasto destro sull'ombrello in basso a destra togli la spunta ad antivir guard enabled come suggeritomi da wj mat..
-devo operare con internet banking..ora che teoricamente sono pulito,posso fidarmi?
ringrazio in anticipo te e wjmat per la gentile disponibilità...

[Chill-Out]

Quote:

Originariamente inviato da holsen1982

ok chill.. finisco con delle domande e poi chiudo:
-posso disattivare il ripristino configurazione di sistema?
-posso disinstallare,esculo atf cleaner, tutti i programmi installati per la rimozione dei rogue?ti faccio questa domanda perchè avira continua ad assilarmi con degli avvisi(se vai indietro nella discussione,gli ho postati),e,da quanto ho capito,sono causati da combofix,del quale non vedo l'unistall,e ogni volta devo fare tasto destro sull'ombrello in basso a destra togli la spunta ad antivir guard enabled come suggeritomi da wj mat..
-devo operare con internet banking..ora che teoricamente sono pulito,posso fidarmi?
ringrazio in anticipo te e wjmat per la gentile disponibilità...

Riattivare il Ripristino non disattivare? Si lo puoi riattivare

Per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ciao

[holsen1982]

Quote:

Originariamente inviato da wjmat

tasto destro sull'ombrello in basso a destra togli la spunta ad antivir guard enabled

wjmat,sebbene abbia disinstallato combofix,mi vengono fuori ancora quei falsi positivi(almeno da quanto ho letto) di avira..cosa faccio?

[wjmat]

Quote:

Originariamente inviato da holsen1982

wjmat,sebbene abbia disinstallato combofix,mi vengono fuori ancora quei falsi positivi(almeno da quanto ho letto) di avira..cosa faccio?

scansione completa con antivir configurato da guida e carica il log

[ispanico79]

ieri mi sa ke ho preso un virus, bestantiviruscanner.com....
ho come anitivirus avast e spybot,ogni tanto sotto mi esce una finestra di avast ke mi dice ke ha bloccato la connessione alle rete al sito bestantiviruscanner.com.....come posso fare per eliminarlo?cosa mi consigliate?

[wjmat]

Quote:

Originariamente inviato da ispanico79

ieri mi sa ke ho preso un virus, bestantiviruscanner.com....
ho come anitivirus avast e spybot,ogni tanto sotto mi esce una finestra di avast ke mi dice ke ha bloccato la connessione alle rete al sito bestantiviruscanner.com.....come posso fare per eliminarlo?cosa mi consigliate?

ciao

segui la guida del primo post, e carichi tutti i log richiesti secondo le modalità in un unico post

[ispanico79]

questo è il log di mban.....

http://www.fileqube.com/file/TjOAIxge165388

allora cosa dite?e ke devo fare?

un altra cosa,quando provo con cureIt mi esce errore,e non me l fa partire....e poi mi esce lo scudetto di avviso di protezione di windows....xkè?

[xcdegasp]

Quote:

Originariamente inviato da ispanico79

questo è il log di mban.....

http://www.fileqube.com/file/TjOAIxge165388

allora cosa dite?e ke devo fare?

un altra cosa,quando provo con cureIt mi esce errore,e non me l fa partire....e poi mi esce lo scudetto di avviso di protezione di windows....xkè?

tu sei infetto da vundo quindi devi seguire la guida specifica per tale infezione:
http://www.hwupgrade.it/forum/showthread.php?t=1603273

[holsen1982]

Quote:

Originariamente inviato da wjmat

scansione completa con antivir configurato da guida e carica il log

ecco il log,in formato log(non son riuscito a convertirlo in txt)
http://www.fileqube.com/file/XrpRawE165442

[holsen1982]

wjmat..scusami se sono impaziente,ma durante l'attesa di una tua risposta al log di avira,ho girovagato per il forum è ho trovato questa discussione:
http://www.hwupgrade.it/forum/showthread.php?p=23957660
nella quale,murack83pa,riguardo combofix,scrive:

Quote:
Originariamente inviato da Druiser Guarda i messaggi
nuovo log
ComboFix3.txt

Quando riavvio antivir rileva 2 cose c:\Windows\Nircmd.exe
e il combofix e normale giusto?(io metto ignore)
hai fatto bene: quei due file sono creati da combofix

procedi alla disinstallazione di combofix cosi:

start, esegui e digita:

combofix /u

premi invio

NB: prima di fare ciò, disattiva Avira, altrimenti ti blocca il processo di disinstallazione in quanto rileva quel eseguibile, nircmd.exe

dopo aver disinstallato combofix, procedi ad una pulizia del sistema e anche del registro con CCleaner: è molto importante

devo dire che se faccio mente locale,durante la disinstallazione di combofix,l'antivir guard,al 95%,era selezionato e perciò attivo..potrebbe essere questa la possibile causa di un continuo avviso di avira?

[wjmat]

Quote:

Originariamente inviato da holsen1982

wjmat..scusami se sono impaziente,ma durante l'attesa di una tua risposta al log di avira,ho girovagato per il forum è ho trovato questa discussione:
http://www.hwupgrade.it/forum/showthread.php?p=23957660
nella quale,murack83pa,riguardo combofix,scrive:

Quote:
Originariamente inviato da Druiser Guarda i messaggi
nuovo log
ComboFix3.txt

Quando riavvio antivir rileva 2 cose c:\Windows\Nircmd.exe
e il combofix e normale giusto?(io metto ignore)
hai fatto bene: quei due file sono creati da combofix

procedi alla disinstallazione di combofix cosi:

start, esegui e digita:

combofix /u

premi invio

NB: prima di fare ciò, disattiva Avira, altrimenti ti blocca il processo di disinstallazione in quanto rileva quel eseguibile, nircmd.exe

dopo aver disinstallato combofix, procedi ad una pulizia del sistema e anche del registro con CCleaner: è molto importante

devo dire che se faccio mente locale,durante la disinstallazione di combofix,l'antivir guard,al 95%,era selezionato e perciò attivo..potrebbe essere questa la possibile causa di un continuo avviso di avira?

si disattiva antivir durante la rimozione di combo

[holsen1982]

Quote:

Originariamente inviato da wjmat

si disattiva antivir durante la rimozione di combo

niente da fare,mi da questo messaggio:
http://www.fileqube.com/file/iPAHfEvRE165464

forse credevi che questa parte fosse del messaggio di murack,invece è mia:
"devo dire che se faccio mente locale,durante la disinstallazione di combofix,l'antivir guard,al 95%,era selezionato e perciò attivo..potrebbe essere questa la possibile causa di un continuo avviso di avira?"

[Chill-Out]

Quote:

Originariamente inviato da holsen1982

niente da fare,mi da questo messaggio:
http://www.fileqube.com/file/iPAHfEvRE165464

forse credevi che questa parte fosse del messaggio di murack,invece è mia:
"devo dire che se faccio mente locale,durante la disinstallazione di combofix,l'antivir guard,al 95%,era selezionato e perciò attivo..potrebbe essere questa la possibile causa di un continuo avviso di avira?"

Quote:

C:\ComboFix\nircmd.com

eliminalo a manina

Quote:

C:\WINDOWS\NIRCMD.exe

l'eseguibile non viene solo ed esclusivamente usato da Combofix, puoi metterlo nelle esclusioni di Avira

[holsen1982]

Quote:

Originariamente inviato da Chill-Out

eliminalo a manina



l'eseguibile non viene solo ed esclusivamente usato da Combofix, puoi metterlo nelle esclusioni di Avira

1)C:\ComboFix\nircmd.com non riesco a trovarlo..ho eliminato la cartella(che era vuota) e il file di log(che l'avevo già eliminato e non so perchè fosse ancora presente)..ho fatto una ricerca e riguardo a nircmd ho trovato questo:
http://www.fileqube.com/file/VNJXlLGx165467
posso cancellarli?

2)C:\WINDOWS\NIRCMD.exe
scusate l'ignoranza,come si fa a metterlo nelle esclusioni di avira?

3)ultima e chiudo male mi sa..da cosa nasce cosa..
http://www.fileqube.com/file/HhzMoI165468
e a riguardo ho trovato questo:
http://www.virustotal.com/it/analisi...cfb91bf5d69258

[Chill-Out]

Quote:

Originariamente inviato da holsen1982

1)C:\ComboFix\nircmd.com non riesco a trovarlo..ho eliminato la cartella(che era vuota) e il file di log(che l'avevo già eliminato e non so perchè fosse ancora presente)..ho fatto una ricerca e riguardo a nircmd ho trovato questo:
http://www.fileqube.com/file/VNJXlLGx165467
posso cancellarli?

2)C:\WINDOWS\NIRCMD.exe
scusate l'ignoranza,come si fa a metterlo nelle esclusioni di avira?

3)ultima e chiudo male mi sa..da cosa nasce cosa..
http://www.fileqube.com/file/HhzMoI165468
e a riguardo ho trovato questo:
http://www.virustotal.com/it/analisi...cfb91bf5d69258

1 Si

2 Leggi il 3D dedicato ad Avira trovi le istruzioni in prima pagina http://www.hwupgrade.it/forum/showthread.php?t=1514684

3 Disabilita il Ripristino conf.sistema su tutti i dischi, dopodichè lo riattivi

4 Ripeto è assolutamente normale che Combofix venga rilevato dagli Antivirus

[Hail and Kill]

Qui ci sono i log delle scansioni. Penso di avere trovato anche altri virus che non c'entrano con i rogue ma non saprei dire. Sapreste dirmi se così è a posto o se devo fare altro?
http://www.fileqube.com/file/MKjDpfCXz167047
http://www.fileqube.com/file/UUFvnkW167048
http://www.fileqube.com/file/YQvfXgG167050
http://www.fileqube.com/file/MfCmBrUK167051
http://www.fileqube.com/file/oNURehTXQ167052
http://www.fileqube.com/file/QNEcZxlf167053

[wjmat]

Quote:

Originariamente inviato da Hail and Kill

Qui ci sono i log delle scansioni. Penso di avere trovato anche altri virus che non c'entrano con i rogue ma non saprei dire. Sapreste dirmi se così è a posto o se devo fare altro?
http://www.fileqube.com/file/MKjDpfCXz167047
http://www.fileqube.com/file/UUFvnkW167048
http://www.fileqube.com/file/YQvfXgG167050
http://www.fileqube.com/file/MfCmBrUK167051
http://www.fileqube.com/file/oNURehTXQ167052
http://www.fileqube.com/file/QNEcZxlf167053

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lospaziodelgadano.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O24 - Desktop Component 0: (no name) - file:///D:/DOCUME~1/DONATA~1.104/IMPOST~1/Temp/msohtmlclip1/01/clip_image002.jpg

carica il log di Prevx