Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Chill-Out]

Quote:

Originariamente inviato da Masterino

Rieccomi Ecco i log...

http://www.fileqube.com/file/NDcDHLZIX201793

http://www.fileqube.com/file/CficMPWx201791

http://www.fileqube.com/file/PIBAWPdY201792

http://www.fileqube.com/file/tCRmMdXWm201790

Log puliti, non emerge nulla

[bozzato]

Quote:

Originariamente inviato da valentsnl

Ciao! vi dico quale e' il problema.Ho beccato l ANTIVIRUS 2008 PRO......

scusa, ma hai anche la versione PRO! E ti lamenti?

[Chill-Out]

Quote:

Originariamente inviato da bozzato

scusa, ma hai anche la versione PRO! E ti lamenti?

Hai replicato ad un Post del 27.07.08, presta attenzione.

[lady_dony]

Grz di tutto chill mi sei stato veramente d'aiuto ... sono riuscita finalmente ad eliminare il maledetto system security dal mio pc.... solo che alcuni programmi che si collegano via internet hanno perso il collegamento... spero che qualcuno mi aiuti a risolvere anche questo di problema altrimenti devo disinstallarli e installarli di nuovo spero proprio di no!!!! ...

[Elikrotupos]

Salve a tutti. Ho un problema con questi rogue antivirus e ovviamente m'è preso il panico, soprattutto considerando che ho formattato il pc l'altro ieri (a causa di un altro chissàcosavirus invalidante su cui non ho nemmeno indagato).
Ho seguito l'ottima guida per la disinfezione alla lettera, producendo una quantità considerevole di log (osservando solo dopo che nel caso dei rogue potevo limitarmi a utilizzare quattro tool invece di otto :P). Ho incontrato degli inceppamenti, che ho aggirato. Ma ogni volta che si aggira qualcosa c'è qualcosa che non va... è come quando monti un mobile Ikea e ti avanza qualche vite...
Comunque alla fine gli ultimi programmi (HijackThis, Gmer e Prevx) non hanno più rilevato nulla. Se questo risultato è soddisfacente, allora sono a posto. Altrimenti ecco la mia storia:

Prima di approdare su questo forum, ho provato a far da me uno scan con HijackThis. Il risultato è stato questo log, in seguito al quale non ho fixato niente poichè non conosco le conseguenze di tale azione.

Poi sono arrivato su HwUpgrade:
0) Ho disattivato ripristino configurazione di sistema, configurato i DNS di OpenDNS e eseguito ATF-Cleaner.
1) Ho eseguito Malwarebytes, che mi ha rilevato 31 "cosi" infetti. Al momento di eliminarle ne ha lasciate 6, proponendosi di eliminarle in seguito a riavvio del sistema. Ma avevo paura a riavviare, così non l'ho fatto, e sono andato avanti. In compenso ho fatto due log, uno sulle 31 infezioni e uno sulle 6 rimaste.
2) Poi ho eseguito A-Squared: log
3) F-Secure OnLine mi ha prodotto una pagina html e non sono riuscito a trovare il modo di ottenere il log testuale, ergo ho salvato la pagina html, eccola qui.
4) Dr. Web CureIt ha fatto il cattivo. Poco dopo aver iniziato a scansionare ha generato un errore che ha portato Windows a riavviare il sistema forzatamente (non so che errore fosse, mi ha dato un countdown di 30 secondi che non potevo fermare, e poi si è arrestato). Ho riprovato, stesso errore. Ergo ho saltato CureIt.
5) ESET SysInspector: un log xml abbastanza corposo (900kb). Se è davvero necessario pubblicarlo ve lo pubblico, cmq non ha rilevato niente di che. Le alte criticità erano software che in teoria dovrebbero essere sicuri (Gimp, per esempio).
6) HiJackThis: Tornando ad HijackThis ho prodotto un nuovo log da cui sono scomparsi tutti i sospetti che c'erano nel primo log.
7) Gmer ha prodotto questo log, e nulla è uscito in rosso.
8) Prevx non ha trovato niente. Questo è lo screenshot finale. Non sono riuscito a trovare il modo di ottenere un log.

I due intoppi di cui dicevo sopra sono stati il riavvio suggeritomi da Malwarebytes (riavvio che non ho fatto) e l'errore causato da CureIt.

Come sto messo? Posso passare al trattamento post-disinfezione e ricominciare a lavorare, esigenza che sento abbastanza urgente? Grazie dell'aiuto!

[Chill-Out]

Ripeti scansione completa con MBAM ed allega il log

[wjmat]

Quote:

Originariamente inviato da Elikrotupos

Salve a tutti. Ho un problema con questi
.
.
.
.

Ciao

oltra alla nuova scansione di mbam

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://bancopostaimpresaonline.poste.it/RBWeb/
O4 - HKLM\..\Run: [cftm] C:\WINDOWS\system32\cftm.exe
O4 - HKLM\..\RunServices: [cftm] C:\WINDOWS\system32\cftm.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Centro Revisioni\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [cftm] C:\WINDOWS\system32\cftm.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab

[Elikrotupos]

Grazie delle pronte risposte!
Ho fatto prima lo scan con MBAM (log) e poi l'operazione con HijackThis (log allegato)

[Chill-Out]

Quote:

Originariamente inviato da Elikrotupos

Grazie delle pronte risposte!
Ho fatto prima lo scan con MBAM (log) e poi l'operazione con HijackThis (log)

Quote:

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.

No action taken -> significa che non hai eliminato nulla

[Elikrotupos]

Ehm, quindi? come si eliminano? Devo andare a toglierle a mano dal registro di sistema? (cosa che non posso fare, dacché non le trovo)

[Chill-Out]

Quote:

Originariamente inviato da Elikrotupos

Ehm, quindi? come si eliminano? Devo andare a toglierle a mano dal registro di sistema? (cosa che non posso fare, dacché non le trovo)

In prima pagina è spiegato, comunque nulla di più di quello che hai già fatto nelle precedenti scansioni.

[Elikrotupos]

Uhm, da quello che ho capito praticamente li avevo solo messi in quarantena ma non eliminati.
Comunque, avendo riavviato come previsto dal procedimento suggeritomi da wjmat, ho ripetuto di nuovo la scansione con MBAM, e stavolta non ha trovato niente.
Posso dichiararmi pulito adesso?

[I soliti sospetti]

Quote:

Originariamente inviato da Elikrotupos

Uhm, da quello che ho capito praticamente li avevo solo messi in quarantena ma non eliminati.
Comunque, avendo riavviato come previsto dal procedimento suggeritomi da wjmat, ho ripetuto di nuovo la scansione con MBAM, e stavolta non ha trovato niente.
Posso dichiararmi pulito adesso?

Credo non ti veda nulla perché sono in quarantena... dovresti aprirla ed eliminare i file se non sono file importanti che si possono riparare.

[Elikrotupos]

Hai ragione. Ho svuotato la quarantena ora.

Una domanda: come si disinstalla la roba che ha installato F-Secure? Perché stavo provando a installare l'antivirus e mi dice che va in conflitto.

[Chill-Out]

No action taken -> significa che non hai eliminato nulla, eliminandoli di default MBAM li mette in quarantena. Ma per eliminarli devi necessariamente ripetere la scansione, non c'è altro modo.

[Elikrotupos]

Ripeteròlla ancora, allora.
Intanto ho trovato le istruzioni per eliminare F-Secure e le altre robette usate.

[Supermiky86]

ciao grazie, per prima cosa a tutti coloro che hanno creato questa guida. xho volevo chiedere: dopo aver scansionato con A-Squared Free mi ha trovato tra i file infetti non riparabili explorer.exe il quale xho è stato cancellato... dunque quando accendo il resto solo con lo sfondo?

rimedi?

[wjmat]

ciao

ctrl+alt+canc per il task manager
file - nuova operazione - digita explorer invio

e dicci come va

[Supermiky86]

ora non so dirti che tipo di errore mi dava poiché l'ho sul pc del lavoro ma mi dava un errore del tipo comando non trovato

[wjmat]

se davvero è stato cancellato devi copiarlo dalla console di ripristino oppure tramite un live cd copiandolo da un pd con identico so e sp