Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[zio-zio]

seconda parte

[wjmat]

Quote:

Originariamente inviato da zio-zio

HOPS mancano allegati ho dovuto dividerli

non devi dividerli ma caricarli sui server remoti indicati nelle regole di sezione, grazie

[Chill-Out]

Quote:

Originariamente inviato da frost11

Ho risolto seguendo la guida, ti ringrazio molto per la disponibilità

Prego

[auc65]

Per sicurezza ho rifatto tutta la sequenza dei controlli e a me, da imbranato, sembra sia tutto ok, non ci sono state segnalazioni, comunque allego tutti i log
mbam-log-2010-05-06 (07-35-27).txt
a2scan_100506-073714.txt
cureit filtrato.txt
hijackthis.log

Se, come spero, è tutto ok non mi resta che riattivare "Ripristino configurazione di sistema" e ringraziare tutti ed in particolare Chill-Out per la competenza e la pazienza

[Chill-Out]

Quote:

Originariamente inviato da auc65

Per sicurezza ho rifatto tutta la sequenza dei controlli e a me, da imbranato, sembra sia tutto ok, non ci sono state segnalazioni, comunque allego tutti i log
mbam-log-2010-05-06 (07-35-27).txt
a2scan_100506-073714.txt
cureit filtrato.txt
hijackthis.log

Se, come spero, è tutto ok non mi resta che riattivare "Ripristino configurazione di sistema" e ringraziare tutti ed in particolare Chill-Out per la competenza e la pazienza

Esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx della sotto indicata voce e clicca su Fix checked

Quote:

O4 - HKCU\..\Run: [o9culvuvw5sq] C:\Documents and Settings\Iancer\Impostazioni locali\Temp\m.26.tmp.exe

per il resto siamo ok, ma devi necessariamente aggionare il SO al SP3 -->> Platform: Windows XP SP2 (WinNT 5.01.2600)

[auc65]

Fatto il lavoro con HjK e ripristinato il settaggio iniziale.
Adesso mi metterò a cercare come scaricare SP3, anche se il pc in questione andrà quasi in disuso perchè passerò ad un altro + recente. Mi serviva comunque spulciarlo per non spostare porcherie.
Ancora grazie

[Chill-Out]

Quote:

Originariamente inviato da auc65

Adesso mi metterò a cercare come scaricare SP3
Ancora grazie

http://www.hwupgrade.it/forum/showthread.php?t=1726383

Prego

[wolakota]

salve a tutti
doverosa premessa: il mio livello di competenza informatica è piuttosto scarso pertanto.... sono nelle vostre mani.
Comincio dall'inizio. Saltuariamente AVG mi segnalava qualche minaccia di virus, prontamente spostata in quarantena......credo. La scorsa settimana, scaricando musica da emule mi è arrivata una mandria di trojan, sempre prontamente rilevati va AVG. 2 giorni fa all'apertura di vista mi sono partiti dei link con intestazione di spyware che non conoscevo. Non ho fatto nulla se non lanciare un aggiornamento del mio AVG ufficiale, dopo di che le finestre "anomale" si sono automaticamente chiuse e tutto sembrava OK. Il giorno successivo, sempre all'apertura di vista arriva un pop-up "impossibile trovare modulo specificato:C:\......AppData\Local\Temp\sshnas21.dll"
Comincio a fare una ricerca in rete....ed eccomi qua.
Ho seguito la procedura indicata all'inizio: disattivato il ripristino config. sistema e lanciato ATF Cleaner e successivamente Malwarebytes' Anti....... Questo è il relativo log. mbam-log-2010-05-06 (23-06-11).txt
NB il programma mi ha segnalato che non tutti i file infetti sono stati quarantenati!
Vista l'ora tarda, ho riattivato il ripristino (e qua, ho letto solo dopo, forse ho fatto una cavolata) e spento il pc. Oggi ho riacceso, disattivato il ripristino, e lanciato A-Squared. questo il log a2scan_100507-191442.txt .
Devo continuare anche con gli altri 2 programmi ? (DrWebCureIt! e Hijack?)
ringrazio anticipatamente per ogni aiuto

[wjmat]

Quote:

Originariamente inviato da wolakota

salve a tutti
doverosa premessa: il mio livello di competenza informatica è piuttosto scarso pertanto.... sono nelle vostre mani.
Comincio dall'inizio. Saltuariamente AVG mi segnalava qualche minaccia di virus, prontamente spostata in quarantena......credo. La scorsa settimana, scaricando musica da emule mi è arrivata una mandria di trojan, sempre prontamente rilevati va AVG. 2 giorni fa all'apertura di vista mi sono partiti dei link con intestazione di spyware che non conoscevo. Non ho fatto nulla se non lanciare un aggiornamento del mio AVG ufficiale, dopo di che le finestre "anomale" si sono automaticamente chiuse e tutto sembrava OK. Il giorno successivo, sempre all'apertura di vista arriva un pop-up "impossibile trovare modulo specificato:C:\......AppData\Local\Temp\sshnas21.dll"
Comincio a fare una ricerca in rete....ed eccomi qua.
Ho seguito la procedura indicata all'inizio: disattivato il ripristino config. sistema e lanciato ATF Cleaner e successivamente Malwarebytes' Anti....... Questo è il relativo log. mbam-log-2010-05-06 (23-06-11).txt
NB il programma mi ha segnalato che non tutti i file infetti sono stati quarantenati!
Vista l'ora tarda, ho riattivato il ripristino (e qua, ho letto solo dopo, forse ho fatto una cavolata) e spento il pc. Oggi ho riacceso, disattivato il ripristino, e lanciato A-Squared. questo il log a2scan_100507-191442.txt .
Devo continuare anche con gli altri 2 programmi ? (DrWebCureIt! e Hijack?)
ringrazio anticipatamente per ogni aiuto

ciao

si prosegui pure e poi segui queste info per la rimozione di TDSS rootkit e posta in questa discussione i log richiesti, in un unico post e secondo le modalità

[wolakota]

eccomi qua!
eseguito DrWebCureIt!
here the log CureIt.log
eseguito HijackThis
..the log hijackthis.log
Tentato di scaricare TDSSkiller.zip ma è stato immediatamente bloccato da
"Plug-in di AVG "Minaccia rilevata"

Nome file: C\User\.......\Local|Temp|tdsskiller.zip
Nome minaccia. Trojan Patched_c.GBU


Che devo fare?

[wolakota]

Spostato in quarantena la minaccia rilevata, alla successiva riapertura del PC mi è uscito un Avviso di protezione di windows che mi segnala che l'antivirus è disattivato!!!!

la finestra del Centro di sicurezza PC windows mi dà:

PROTEZIONE DA MALWARE:

PROTEZIONE DA VIRUS --> DISATTIVATO
SPYWARE E ALTRI TIPI DI PROTEZIONE DA MALWARE --> ATTIVATO

....ma se apro AVG cliccando 2 volte sull'iconcina posta sulla barra sotto dello schermo, mi segnala che tutte le funzioni sono attive!!!!

Come devo procedere?

******************************************************

riaperto il PC stamattina è sparita l'iconcina di allarme e aprendo il "centro sicurezza PC" ora mi segnala che è tutto attivo!!

Cos'è successo? come mai si era disattivato l'antivirus ?

attendo vostre preziose osservazioni e consigli
grazie

[auc65]

Dopo aver disinfettato il mio vecchio portatile, ho pensato di fare un giro di controllo sul "nuovo" passto dal figlio, questi sono i log:
mbam-log-2010-05-10 (07-58-43).txt
a2scan_100510-080630.txt
cureit filtrato.txt
hijackthis.log

Pensavo fosse tutto a posto, ma mi sa che c'è qualcosa da mettere a posto, sì, ma cosa ??
Grazie in anticipo

[wjmat]

Quote:

Originariamente inviato da wolakota

eccomi qua!
eseguito DrWebCureIt!
here the log CureIt.log
eseguito HijackThis
..the log hijackthis.log
Tentato di scaricare TDSSkiller.zip ma è stato immediatamente bloccato da
"Plug-in di AVG "Minaccia rilevata"

Nome file: C\User\.......\Local|Temp|tdsskiller.zip
Nome minaccia. Trojan Patched_c.GBU


Che devo fare?

disattiva avg, scarica tdsskiller, fallo girare e carica il suo log nella discussione indicata sopra

[Chill-Out]

Quote:

Originariamente inviato da auc65

Dopo aver disinfettato il mio vecchio portatile, ho pensato di fare un giro di controllo sul "nuovo" passto dal figlio, questi sono i log:
mbam-log-2010-05-10 (07-58-43).txt
a2scan_100510-080630.txt
cureit filtrato.txt
hijackthis.log

Pensavo fosse tutto a posto, ma mi sa che c'è qualcosa da mettere a posto, sì, ma cosa ??
Grazie in anticipo

Con il Browser chiuso esegui HJT e fixa questa voce

Quote:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSour...ctid=CT2530241

[wolakota]

Quote:

Originariamente inviato da wjmat

disattiva avg, scarica tdsskiller, fallo girare e carica il suo log nella discussione indicata sopra

come faccio a disattivare AVG?
ho disattivato "Resident shield" e "Firewall" (gli unici che sono riuscito a disattivare), ma non riesco a scaricare tdsskiller perchè mi viene sempre bloccato dal plug-in.
Che devo fare ?

PS: devo usare delle accortezze con l'antivirus disattivato (quando e se riuscirò a disattivarlo!! )

grazie mille della pazienza

[wjmat]

Quote:

Originariamente inviato da wolakota

come faccio a disattivare AVG?
ho disattivato "Resident shield" e "Firewall" (gli unici che sono riuscito a disattivare), ma non riesco a scaricare tdsskiller perchè mi viene sempre bloccato dal plug-in.
Che devo fare ?

PS: devo usare delle accortezze con l'antivirus disattivato (quando e se riuscirò a disattivarlo!! )

grazie mille della pazienza

personalmente lo rimpiazzerei con antivir
non conoscendolo bene ti consiglio di chiedere qui
http://www.hwupgrade.it/forum/showthread.php?t=1625201

[aeroxr1]

Si tratta del pc di casa della mia ragazza , appena apre firefox e/o internet explorer e cerca di visitare un sito su cui non è mai stata prima si apre un finto programma di scansione . Purtroppo non ho fatto le scansioni io e si sono dimenticati di salvare il log di asquared .
Spero possiate cmq dirmi cosa fare su quel pc

Purtroppo non mi ricordo come si chiami il finto antivirus e inoltre siccome gli
log cure it
http://wikisend.com/download/534256/cureit filtrato.txt

log mbam
http://wikisend.com/download/961864/...(12-25-39).txt


log HiJackThis
http://wikisend.com/download/612598/hijackthis.log

[wjmat]

Quote:

Originariamente inviato da aeroxr1

Si tratta del pc di casa della mia ragazza , appena apre firefox e/o internet explorer e cerca di visitare un sito su cui non è mai stata prima si apre un finto programma di scansione . Purtroppo non ho fatto le scansioni io e si sono dimenticati di salvare il log di asquared .
Spero possiate cmq dirmi cosa fare su quel pc

Purtroppo non mi ricordo come si chiami il finto antivirus e inoltre siccome gli
log cure it
http://wikisend.com/download/534256/cureit filtrato.txt

log mbam
http://wikisend.com/download/961864/...(12-25-39).txt


log HiJackThis
http://wikisend.com/download/612598/hijackthis.log

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Codice:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {26522409-8BBF-4C5B-A4D3-CF4B1D6F255B} (UMediaPlayer Class) - http://www.umediaserver.net/bin/UMediaControl5.cab
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://www.intellisystem.it/DEMOLIVE/IT3G320-3G320W/RtspVaPgDec.cab
O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} (RtspVaPgCtrlNew Class) - http://78.152.117.140/RtspVaPgDec.cab
O16 - DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} (AxisRTPSrcFilter) - http://webcam.hotelbibionepalace.it/activex/AMC.cab
O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://192.168.100.20/web/NetCam.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuwe b_site.cab?1265757840453
O16 - DPF: {66D393D5-4D80-497C-9F4F-F3839E090202} (PlayerOCX Control) - http://www.pysoft.com/Downloads/WebCamPlayerOCX.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1265757830296
O16 - DPF: {76A2A0AB-38B7-46DB-8E47-F10CDE4D7920} - http://www.neogeo.unisi.it/ecwplugins/NCS.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {96816368-C1E3-414D-A193-63C3CC921990} (MJPEGRender Control) - http://hotelatlantestar-rome.remotemanager.co.uk/common/activex/MJPEGRender.ocx
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://www.intellisystem.it/DEMOLIVE/IT50_50W/Server_h263ctrl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://91.143.205.4/activex/AMC.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://www.ntrconnect.com/main/mod/setup/ntractivex118_24.cab

il pc sembra infetto anche da altro
fai seguire qui la guida per la rimozione di MBR rootkit e postare in quella discussione i log richiesti dalla fase1, in un unico post, secondo le modalità

[raffy85]

Allora sono stata infettata dal falso antivirus security essential, ho usato il programma Dr.Web CureIt! unico problema non sono riuscita a fare il passaggio Disattivare il Ripristino Configurazione Sistema dato che in modalità provvisoria non me lo faceva fare, come già detto in windows non mi faceva proprio entrare, comunque ho fatto la scansione cancellato i file infetti ora quando riavvio continua a non farmi entrare nella schermata di windows devo comunque entrare in modalità provvisoria e non mi escono più i messaggi di prima tipo pc infetto, ... ho cercato di fare un riprisino ma mi dice che non è possibile come devo fare ?? poi un ultima cosa forse molto importante non ho fatto questo passaggio " Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog " come faccio ad allegare se provo qui mi dice che è troppo grande !!

[Chill-Out]

Quote:

Originariamente inviato da raffy85

Allora sono stata infettata dal falso antivirus security essential, ho usato il programma Dr.Web CureIt! unico problema non sono riuscita a fare il passaggio Disattivare il Ripristino Configurazione Sistema dato che in modalità provvisoria non me lo faceva fare, come già detto in windows non mi faceva proprio entrare, comunque ho fatto la scansione cancellato i file infetti ora quando riavvio continua a non farmi entrare nella schermata di windows devo comunque entrare in modalità provvisoria e non mi escono più i messaggi di prima tipo pc infetto, ... ho cercato di fare un riprisino ma mi dice che non è possibile come devo fare ?? poi un ultima cosa forse molto importante non ho fatto questo passaggio " Al termine di questa fase cliccate su Completa scansione e avviate cliccando sul triangolino verde
Gli eventuali malware rilevati è preferibile metterli in quarantena cliccando sul tasto Sposta
Dopo aver terminato la scansione allegare il log per il controllo che trovate in %USERPROFILE%\DoctorWeb\CureIt.log ovvero C:\Documents and Settings\nomeutente\DoctorWeb
Per snellire il log usare ParserLog " come faccio ad allegare se provo qui mi dice che è troppo grande !!

Ciao, leggi la guida in prima pagina, mettila in pratica ed allega i log per il controllo su uno dei server remoti indicati.

Senza vedere i report non possiamo fornirti i suggerimenti del caso.