Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Chill-Out]

Il SO deve essere regolarmente licenziato, altrimenti si incappa in queste problematiche.

[Chill-Out]

Quote:

Originariamente inviato da BananaJager

http://wikisend.com/download/480938/hijackthis.log eccolo

Direi che siamo a posto, segui il trattamento post infezione che trovi sempre nella Guida in prima pagina.

NB: aggiornare IE alla versione 8

[El Matador 79]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1235227923031
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jinstall-6u13-windows-i586-j c.cab?e=1241868071253&h=0f01a20c677b7cc701e2061258a4ebe1/&filename=jinstall-6u13 -windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

devi aggiornare
Windows all'ultimo service pack
non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

Grazie mille di nuovo.
Il firewall di Windows è attivo. Non so perché non si vede...

[fabioss]

avevo aperto qui ( http://www.hwupgrade.it/forum/showthread.php?t=2114621 ) una discussione relativa ad un problema che avevo avuto ma giustamente mi è stata linkata questa discussione.
ho cominciato a fare i vari controlli e per ora ho fatto quello con a-squared (scansione "intelligente"). dico "per ora" perchè poi andando ad aprire Malwarebytes' Anti-Malware non mi permette di farlo, cioè io clicco per aprirlo ma è come se non cliccassi proprio.

cioè prima antivir che non ne vuole sapere di partire e non mi mostra neanche l'icona dell'ombrellino in basso a destra. ora Malwarebytes' Anti-Malware che fa la stessa cosa, e cioè che non parte anche se cerco di avviarlo.

ma che sta succedendo?

[Chill-Out]

Quote:

Originariamente inviato da fabioss

avevo aperto qui ( http://www.hwupgrade.it/forum/showthread.php?t=2114621 ) una discussione relativa ad un problema che avevo avuto ma giustamente mi è stata linkata questa discussione.
ho cominciato a fare i vari controlli e per ora ho fatto quello con a-squared (scansione "intelligente"). dico "per ora" perchè poi andando ad aprire Malwarebytes' Anti-Malware non mi permette di farlo, cioè io clicco per aprirlo ma è come se non cliccassi proprio.

cioè prima antivir che non ne vuole sapere di partire e non mi mostra neanche l'icona dell'ombrellino in basso a destra. ora Malwarebytes' Anti-Malware che fa la stessa cosa, e cioè che non parte anche se cerco di avviarlo.

ma che sta succedendo?

1 ComboFix - Download - premurati di rinominalrlo in pippo.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su pippo.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

successivamente dovresti essere in grado di far girare anche MBAM (eventualmente rinomina anche MBAM)

[fabioss]

ho scaricato ComboFix e l'ho rinominato in pippo.exe ma neanche lui parte. ci clicco sopra ma non succede niente.

[Chill-Out]

Quote:

Originariamente inviato da fabioss

ho scaricato ComboFix e l'ho rinominato in pippo.exe ma neanche lui parte. ci clicco sopra ma non succede niente.

Scarica mbam e rinominalo, se non dovesse funzionare procediamo diversamente.

[fabioss]

mbam ce l'avevo già installato ma non parte lo stesso, ho provato a rinominarlo in pippo.exe ma niente.

che si fa?

[Chill-Out]

Quote:

Originariamente inviato da fabioss

mbam ce l'avevo già installato ma non parte lo stesso, ho provato a rinominarlo in pippo.exe ma niente.

che si fa?

Non ha senso rinominare MBAM in pippo.exe dal momento che è già installato (quindi compromesso), avresti dovuto dirmelo, procedi così:

1 Scarica rkill sul Desktop http://download.bleepingcomputer.com/grinler/rkill.com

eseguilo, dovrebbe aprirsi una finestra nera, attendi pazientemente che il tool faccia il suo lavoro (potrebbe impiegare anche diversi minuti)

NB: potrebbero aprirsi una o più finestre indicanti che rkill è un virus, ignoratele, ignorarle significa non chiudere le finestre indicanti che rkill è un malware, al termine la finestra nera si dovrebbe chiudere, ripeti l'operazione con rkill 2 volte.

2 Elimina l'eseguibile di Combofix precedentemente scaricato, riscaricalo, rinominalo in explorer.exe e fallo girare

[EWK]

Scusate se mi infilo pure io... questo è il mio problema:

L'olmarik trojan horse è entrato nel mio computer, quando avevo un windows firewall e come antivirus avira antivir. Il mio sistema operativo è windows vista home premium. Questo olmarik si è presentato sottoforma di wscsvc32.exe, inserendosi nella cartella C:\Users\(mio utente)\AppData\Local\Temp e ha disattivato il centro sicurezza pc, sostituendosi ad esso, in modo che all'avvio di windows, appariva il falso centro sicurezza pc (apparantemente uguale ad esso, ma in realtà era il virus) fra le icone in basso a destra, e ingrandendosi, consigliava di istallare un software antivirus. Io mi sono accorto che era un virus, perchè dal pannello di controllo non mi faceva partire il vero centro sicurezza pc, e le 2 icone in basso a destra (il virus) (molte volte naturalmente invadenti) erano totalmente in inglese.
Quindi, questo virus mi ha rovinato avira antivir, che praticamente l'ha reso inutilizzabile.
La prima cosa che ho fatto è stato reistallare avira, cioè, c'ho provato. Infatti, al termine delle tentate istallazioni, appariva la schermata blu, e dovevo far ripartire il computer. Tutto ciò avveniva mentre il virus era in esecuzione.
Così sono andata alla ricerca manuale del virus, pensando che essendo in esecuzione, dovesse essere nel task manager. Una volta individuato, col task manager ho terminato il processo, e in una questione di 5 secondi (altrimenti il processo sarebbe automaticamente ripartito) ho eliminato definitivamente il file wscsvc32.exe.
A questo punto ho pensato: che bello! ho tolto il virus! e invece no, perchè, anche se il virus non c'è più, il centro sicurezza pc non lo fa cmq partire, quando provo ad istallare antivir l'istallazione non finisce mai bene e il programma non funziona come dovrebbe. Così ho dovuto istallare nod32, che ha rilevato il l'olmarik trojan, ma ha detto "impossibile da disinfettare" (grazie eh, se l'ho cacciato manualmente!!!)... insomma... sono senza centro sicurezza e senza avira...
ho fatto la scansione con a-squared, con Malwarebytes' Anti-Malware, con hijack this e con dr.web, ma nonostante individuano altri virus/trojan/malware, non riescon a risolvere il problema di windows.
ho anche provano con combofix, ma il problema non viene risolto. ora posto i i log delle scansioni

ComboFix.txt

a-squared.txt

HijackThis

Malwarebytes' Anti-Malware.txt

CureIt.log (sbagliato - vedi dopo)

[Chill-Out]

Quote:

Originariamente inviato da EWK

Scusate se mi infilo pure io... questo è il mio problema:

Questo è il 3D corretto dove allegare i log, cortesemente snellisci come indicato in Guida il log di DrWeb Cureit, inoltre ripiloga brevemente i problemi rimasti.

[EWK]

Scusa Chill... Per tutto... Comunque, i 2 problemi sono:
1 non funziona più Centro Sicurezza PC di Windows con le relative funzioni allegate (gli aggiornamenti automatici e windows firewall, però, funzionano);
2 non viene completata l'istallazione di antivir, e la versione che ho istallata dà tanti problemi ed è quindi inutilizzabile.
Non è detto che non ci siano altri problemi gravi relativi ad eventuali ulteriori istallazioni di software o funziona di windows vista, ma io per ora non ne ho riscontrate.

Allego la versione allegerita del log di Dr.Web
cureit filtrato.txt

[Chill-Out]

Quote:

Originariamente inviato da EWK

Scusa Chill... Per tutto... Comunque, i 2 problemi sono:
1 non funziona più Centro Sicurezza PC di Windows con le relative funzioni allegate (gli aggiornamenti automatici e windows firewall, però, funzionano);
2 non viene completata l'istallazione di antivir, e la versione che ho istallata dà tanti problemi ed è quindi inutilizzabile.
Non è detto che non ci siano altri problemi gravi relativi ad eventuali ulteriori istallazioni di software o funziona di windows vista, ma io per ora non ne ho riscontrate.

Allego la versione allegerita del log di Dr.Web
cureit filtrato.txt

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

[EWK]

Quote:

Originariamente inviato da Chill-Out

Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovarlo in C:\TDSSKiller..................log.txt

TDSSKiller.2.1.1_01.01.2010_21.12.14_log.txt

[Chill-Out]

Quote:

Originariamente inviato da EWK

TDSSKiller.2.1.1_01.01.2010_21.12.14_log.txt

L'infezione è stata debellata, segui questa guida per reinstallare Avira http://www.hwupgrade.it/forum/showthread.php?t=1514684

PS: il centro sicurezza PC risulta monitorato da McAfee, quando è stato disinstallato?

[EWK]

Quote:

Originariamente inviato da Chill-Out

L'infezione è stata debellata, segui questa guida per reinstallare Avira http://www.hwupgrade.it/forum/showthread.php?t=1514684

PS: il centro sicurezza PC risulta monitorato da McAfee, quando è stato disinstallato?

McAfee me l'avevano dato insieme al pc ma l'ho disinstallato appena sono finiti i giorni di prova...
Per Antivir, ho seguito la guida, il problema persiste, l'errore sta già nell'istallazione... Nella "rimozione dell'istallazione precedente" dice "Setup could not determine the feature control file or was not able to read it correctly"... Poi mi chiede di riavviare, ma al riavvio punto e accapo. La cosa brutta è che l'antivir istallato male non appare nemmeno fra le applicazioni istallate, nemmeno se lo cerco fra le applicazioni monitorate da ccleaner per esempio...

[Chill-Out]

Quote:

Originariamente inviato da EWK

McAfee me l'avevano dato insieme al pc ma l'ho disinstallato appena sono finiti i giorni di prova...
Per Antivir, ho seguito la guida, il problema persiste, l'errore sta già nell'istallazione... Nella "rimozione dell'istallazione precedente" dice "Setup could not determine the feature control file or was not able to read it correctly"... Poi mi chiede di riavviare, ma al riavvio punto e accapo. La cosa brutta è che l'antivir istallato male non appare nemmeno fra le applicazioni istallate, nemmeno se lo cerco fra le applicazioni monitorate da ccleaner per esempio...

Fai girare il removal tool

http://www.avira.com/en/documents/ut...ninstXPeng.zip

[EWK]

Quote:

Originariamente inviato da Chill-Out

Fai girare il removal tool

http://www.avira.com/en/documents/ut...ninstXPeng.zip

Allora... l'ho fatto partire anche in modalità provvisoria, senza nessun programma in esecuzione... ma mi dice che non può eliminare tutti i file e che devo chiudere tutti i programmi... quindi, anche se la disinstallazione procede, ci dev'essere sempre qualche file (o anche qualcosa in più) che non riesce ad eliminare, perchè se riavvio il pc l'antivir che non funziona parte comunque insieme al computer...

[Chill-Out]

Quote:

Originariamente inviato da EWK

Allora... l'ho fatto partire anche in modalità provvisoria, senza nessun programma in esecuzione... ma mi dice che non può eliminare tutti i file e che devo chiudere tutti i programmi... quindi, anche se la disinstallazione procede, ci dev'essere sempre qualche file che non riesce ad eliminare, perchè quando ritento l'istallazione, mi dà sempre lo stesso problema nella rimozione dell'istallazione precedente...

In modalità normale

[EWK]

Quote:

Originariamente inviato da Chill-Out

In modalità normale

in modalità normale identico problema... e addirittura se riavvio il pc parte comunque lo stesso antivir corrotto di prima in basso a destra!!!