Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Chill-Out]

Quote:

Originariamente inviato da me

dopo rkill ora mbam parte di nuovo..per ora ne ha trovati 3..speriamo..

Cortesemente allega tutti i log richiesti in unico Post secondo le mdalità indicate in guida.

[me]

trovati 16..
selezionato cancella
riavviato poiche' alcuni non poteva cancellarli
rifatto scan
0 elementi..nessun avviso e nulla relativo a virus o altro..direi meglio..
mamma mia che strizza..

[lucio974]

Salve come già accennato in un post precedente sono stato attaccato dall' xp defender pro ho seguito la guida alla lettera ed ora sembra vada tutto bene, come da guida vi posto i Log:

http://wikisend.com/download/473568/mbam-log-2010-03-16 (01-29-50).txt
http://wikisend.com/download/525032/...316-194629.txt
http://wikisend.com/download/612538/cureit filtrato.txt
http://wikisend.com/download/505486/hijackthis.log

Cortesemente potreste analizzarli e darmi il vostro parere?

Grazie.

[wjmat]

Quote:

Originariamente inviato da Infux

Ecco il log di cureit

http://wikisend.com/download/443282/CureIt.log

CureIt.log

se non hai altri problemi procedi con il trattamento finale

[wjmat]

Quote:

Originariamente inviato da lucio974

Salve come già accennato in un post precedente sono stato attaccato dall' xp defender pro ho seguito la guida alla lettera ed ora sembra vada tutto bene, come da guida vi posto i Log:

http://wikisend.com/download/473568/mbam-log-2010-03-16 (01-29-50).txt
http://wikisend.com/download/525032/...316-194629.txt
http://wikisend.com/download/612538/cureit filtrato.txt
http://wikisend.com/download/505486/hijackthis.log

Cortesemente potreste analizzarli e darmi il vostro parere?

Grazie.

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Codice:

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"
O4 - HKLM\..\Policies\Explorer\Run: [] 

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1226266614765
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10.cab

devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[lucio974]

@wjmat

Ciao, ho eseguito il tutto e come vedrai dal file allegato l'unica riga che si è ripresentata dopo il fix è la seguente:
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"

Dimmi tu come procedere per fixarlo se è il caso oppure lasciarlo li se non da troppi problemi, ho provveduto ad aggiornare tutti i programmi tramite secunia, domani installo un firewall comodo o l'altro che consigliate sul sito.
Solo 2 domande devo aggiornare Internet explorer alla versione 8 anche se ti garantisco non lo uso mai, stanno addirittura le ragnatele sull'icona , navogo solo ed esclusivamente con firefox, seconda domanda mi dici di aggiornare windows all'ultimo service pack ma io ho già la 3 installata ed ho gli aggiornamenti automatici attivati per caso è uscita la 4 e non so niente?

Grazie ancora per le dritte. Ciao

[wjmat]

Quote:

Originariamente inviato da lucio974

@wjmat

Ciao, ho eseguito il tutto e come vedrai dal file allegato l'unica riga che si è ripresentata dopo il fix è la seguente:
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"

Dimmi tu come procedere per fixarlo se è il caso oppure lasciarlo li se non da troppi problemi, ho provveduto ad aggiornare tutti i programmi tramite secunia, domani installo un firewall comodo o l'altro che consigliate sul sito.
Solo 2 domande devo aggiornare Internet explorer alla versione 8 anche se ti garantisco non lo uso mai, stanno addirittura le ragnatele sull'icona , navogo solo ed esclusivamente con firefox, seconda domanda mi dici di aggiornare windows all'ultimo service pack ma io ho già la 3 installata ed ho gli aggiornamenti automatici attivati per caso è uscita la 4 e non so niente?

Grazie ancora per le dritte. Ciao

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

C:\Windows\System32\drivers\setup\manager.exe

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema

sp3 è l'ultimo, quindi sei ok, IE va sempre aggiornato

[gutz_sgm]

ho un pc su cui si è installato xp smart security 2010 al posto del firewall. nei processi riporta ad un ave.exe che però anche rimuovendo non riesco comunque ad installare mbam.exe perchè lo blocca.
inoltre non mi fa eseguire il ripristino e non mi fa vedere i file nascosti.

ho provato con linux live cancellando ave.exe dalle impostazioni locali ma quando riavvio windows è sempre presente.

per di più si è sostituito proprio al firewall di windows.

con hijackthis trova solo l'ave.exe in impostazioni locali, nessun altro processo.

come posso fare?

[wjmat]

Quote:

Originariamente inviato da gutz_sgm

ho un pc su cui si è installato xp smart security 2010 al posto del firewall. nei processi riporta ad un ave.exe che però anche rimuovendo non riesco comunque ad installare mbam.exe perchè lo blocca.
inoltre non mi fa eseguire il ripristino e non mi fa vedere i file nascosti.

ho provato con linux live cancellando ave.exe dalle impostazioni locali ma quando riavvio windows è sempre presente.

per di più si è sostituito proprio al firewall di windows.

con hijackthis trova solo l'ave.exe in impostazioni locali, nessun altro processo.

come posso fare?

ciao

segui il primo post e carica gli allegati richiesti

[gutz_sgm]

fatto ecco il primo log

[gutz_sgm]

ecco il secondo, però è successo che dopo l'utilizzo di a2free il malware non c'è più però ci sono dei problemi:

se clicco sulle applicazioni mi chiede come voglio aprirle...però se faccio destro star partono regolarmente.
se tento di aprire office mi dice applicazione non trovata...

stessa cosa se provo ad andare in installazione applicazioni o centro sicurezza anzi in tutte le applicazioni all'interno del pannello di controllo, appare:

c:\windows\system32\rundll32.exe
Applicazione non trovata

che cavolo è successo?

[wjmat]

Quote:

Originariamente inviato da gutz_sgm

ecco il secondo, però è successo che dopo l'utilizzo di a2free il malware non c'è più però ci sono dei problemi:

se clicco sulle applicazioni mi chiede come voglio aprirle...però se faccio destro star partono regolarmente.
se tento di aprire office mi dice applicazione non trovata...

stessa cosa se provo ad andare in installazione applicazioni o centro sicurezza anzi in tutte le applicazioni all'interno del pannello di controllo, appare:

c:\windows\system32\rundll32.exe
Applicazione non trovata

che cavolo è successo?

se non vanno gli exe, vedi al post3 il fix

[lucio974]

Quote:

Originariamente inviato da wjmat

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

C:\Windows\System32\drivers\setup\manager.exe

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema

sp3 è l'ultimo, quindi sei ok, IE va sempre aggiornato

Ciao wjmat la cosa è strana, se vado nella cartella C:\Windows\System32\drivers\setup\manager.exe il file non c'è ho seguito la procedura per rendere i file visibili cioè modificare le opzioni di visualizzazione cartella ma non me lo fa vedere nonostante gli altri file nascosti o di sistema io li veda che dici procedo con il lanciare il file riparazione menù file nascosti.zip??

P.S. Internet explorer aggiornato alla versione 8.

[wjmat]

Quote:

Originariamente inviato da lucio974

Ciao wjmat la cosa è strana, se vado nella cartella C:\Windows\System32\drivers\setup\manager.exe il file non c'è ho seguito la procedura per rendere i file visibili cioè modificare le opzioni di visualizzazione cartella ma non me lo fa vedere nonostante gli altri file nascosti o di sistema io li veda che dici procedo con il lanciare il file riparazione menù file nascosti.zip??

P.S. Internet explorer aggiornato alla versione 8.

prova a rifixare di nuovo

[lucio974]

Quote:

Originariamente inviato da wjmat

prova a rifixare di nuovo

Niente ho rifixato, le impostazioni di visualizzazione cartelle sono ok ma il file non c'è ho non si vede, vedo tutti i file nascosti e quelli di sistema "quelli trasparenti per capirci" ma non quello.

[wjmat]

Quote:

Originariamente inviato da lucio974

Niente ho rifixato, le impostazioni di visualizzazione cartelle sono ok ma il file non c'è ho non si vede, vedo tutti i file nascosti e quelli di sistema "quelli trasparenti per capirci" ma non quello.

se la voce è sparita ok, il file magari era già stato eliminato

[lucio974]

Quote:

Originariamente inviato da wjmat

se la voce è sparita ok, il file magari era già stato eliminato

Si in effetti ho rifatto una scansione con hijackthis e non c'è più l'ho fatta pochi minuti fa.

Ti allego il log.

[wjmat]

Quote:

Originariamente inviato da lucio974

Si in effetti ho rifatto una scansione con hijackthis e non c'è più l'ho fatta pochi minuti fa.

Ti allego il log.

se non hai altri problemi direi che siamo a posto

[lucio974]

Quote:

Originariamente inviato da wjmat

se non hai altri problemi direi che siamo a posto

Credo di si altri problemi non ce ne sono il PC va meglio di prima l'ho ulteriormente alleggerito da software superfluo.

Un grazie a te in particolare ed a tutto lo staff di questo forum bello e utile che comunque ora che l'ho scoperto continuerò a frequentare anche in altre sezioni di discussione.

Ciao.

[wjmat]

Quote:

Originariamente inviato da lucio974

Credo di si altri problemi non ce ne sono il PC va meglio di prima l'ho ulteriormente alleggerito da software superfluo.

Un grazie a te in particolare ed a tutto lo staff di questo forum bello e utile che comunque ora che l'ho scoperto continuerò a frequentare anche in altre sezioni di discussione.

Ciao.

du nulla
ciao