Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Dave69]

Ciao, premetto che mi sono beccato il rogue in oggetto il 26/05 e dopo essere risucito a scaricare Malwarebytes dopo decine di tentativi ed essere riuscito a eliminare un po' di roba, ecco che mi sono accorto della guida fantastica postata da voi!
Di seguito i miei log

http://wikisend.com/download/563558/mbam-log-2010-05-29 (10-02-50).txt
http://wikisend.com/download/477136/...529-101446.txt
http://wikisend.com/download/797370/cureit filtrato.txt
http://wikisend.com/download/453134/hijackthis.log

sperando che finalmente il pc torni pulito :-)

Grazie,
Davide

[Peppe89]

Quote:

Originariamente inviato da Peppe89

Prevx mi segnala questi virus:
csrcs.exe in c:\windows\sistem32\
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\
\REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
\REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

AVG all'accensione del pc mi rileva sempre un PUP con nome:
Adware LoudMo.A in c:\documents and settings\arianna\FLVPro.exe e si apre una finestra di dialogo che non è possibile aprire...

in + mi ha trovato un virus:
I-Worm/Generic.DAM in C:\WINDOWS\system32\kdnydtc.dll


Che faccio?
Comincio ad eseguire la scansione con mbam?

Ho fatto la scansione con mbam. Eccola
http://wikisend.com/download/524394/mbam-log-2010-05-29 (19-50-59).txt

Sembra che ha tolto qualche virus che trovava prevx.

Però adesso ho rifatto la scansione con prevx e alcuni sono spariti, ma ne è uscito un altro:
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\

Che faccio adesso? Continuo con la scansione di A-squared Free? O tolgo manualmente i due file, mettendoli nel cestino e eliminandoli, dato che li ho individuati?

[hotchili]

'

[Chill-Out]

Quote:

Originariamente inviato da Peppe89

Ho fatto la scansione con mbam. Eccola
http://wikisend.com/download/524394/mbam-log-2010-05-29 (19-50-59).txt

Sembra che ha tolto qualche virus che trovava prevx.

Però adesso ho rifatto la scansione con prevx e alcuni sono spariti, ma ne è uscito un altro:
kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe
uxthecer.exe in c:\windows\system32\

Che faccio adesso? Continuo con la scansione di A-squared Free? O tolgo manualmente i due file, mettendoli nel cestino e eliminandoli, dato che li ho individuati?

Segui esattamente la Guida in prima pagina, quindi procedi con A2 - CureIt e HJT, attendiamo i log per il controllo.

[Chill-Out]

Quote:

Originariamente inviato da Dave69

Ciao, premetto che mi sono beccato il rogue in oggetto il 26/05 e dopo essere risucito a scaricare Malwarebytes dopo decine di tentativi ed essere riuscito a eliminare un po' di roba, ecco che mi sono accorto della guida fantastica postata da voi!
Di seguito i miei log

http://wikisend.com/download/563558/mbam-log-2010-05-29 (10-02-50).txt
http://wikisend.com/download/477136/...529-101446.txt
http://wikisend.com/download/797370/cureit filtrato.txt
http://wikisend.com/download/453134/hijackthis.log

sperando che finalmente il pc torni pulito :-)

Grazie,
Davide

Ciao, per scrupolo fai girare questo tool

http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

[Peppe89]

Quote:

Originariamente inviato da Chill-Out

Segui esattamente la Guida in prima pagina, quindi procedi con A2 - CureIt e HJT, attendiamo i log per il controllo.

Ho appena finito la scansione con A-Squared Free. Ecco il log:
http://wikisend.com/download/571540/quarantine.txt

Ci sono cose che dovrei ripristinare, perchè sono del pc. Quali sono?

Ecco il log di HJT prima di tutte le scansioni:
http://wikisend.com/download/500204/loghijack.txt

Ed ecco quello dopo le scansioni di mbam e A-Squared Free:
http://wikisend.com/download/454298/hijackthis2.txt

Il file del virus kprubi.exe in c:\documents and settings\arianna\desktop\giuseppe l'ho tolto manualmente, ho fatto male? Cmq adesso prevx non lo trova + quel virus, adesso è rimasto solo un virus:
uxthecer.exe in c:\windows\system32\ (Meidum Risk Malware)

Cosa devo ripristinare di ciò che ho messo in quarantena con a-squared free? C'è qualcosa da fixare alla scansione di HJT? Poi cosa faccio per togliere il virus uxthecer.exe che mi rileva prevx?

[Chill-Out]

Quote:

Originariamente inviato da Peppe89

Ho appena finita la scansione con A-Squared Free. Ecco il log:
http://wikisend.com/download/571540/quarantine.txt

Ci sono cose che dovrei ripristinare, perchè sono del pc. Quali sono?

Hai usato una versione obsoleta di A2, la versione corrente è la 5.0.0.53 tra l'altro il log non è quello rilasciato da A2 quindi non comprendo se hai aggiornato il database delle firme virali.

Comunque questi elementi li puoi ripristinare

C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe
C:\Programmi\HPQ\Default Settings\CpqsetVer.exe

questo elemento presumo tu lo conosca

C:\Sistema1\consolle.exe

aggiorna A2 e ripeti scansione completa.

[Peppe89]

Quote:

Originariamente inviato da Chill-Out

Hai usato una versione obsoleta di A2, la versione corrente è la 5.0.0.53 tra l'altro il log non è quello rilasciato da A2 quindi non comprendo se hai aggiornato il database delle firme virali.

Comunque questi elementi li puoi ripristinare

C:\Programmi\Servizi in linea\Interfree\HP300sp5.exe
C:\Programmi\HPQ\Default Settings\CpqsetVer.exe

questo elemento presumo tu lo conosca

C:\Sistema1\consolle.exe

aggiorna A2 e ripeti scansione completa.

Hai ragione che non è aggiornato A2 alla versione che dici tu. Eppure quando l'ho scaricato ho fatto gli aggiornamenti. Infatti ho provato a riaggiornarlo adesso e rimane sempre alla versione 4.5.0.27 Ho capito il motivo, il mio non è A2, ma A-squared free 1. Ora per installare la A2, devo disinstallare l'A1 o posso installare subito l'A2?

No, non conosco C:\Sistema1\consolle.exe
Sono andato nella cartella Sistema1 e ho trovato 2 file: tropezsetup e uninstall. Dovrebbe essere qualche programma di casino, ma che io non ho mai installato. Quindi che faccio? Se non mi sbaglio l'ho già messo in quarantena, quindi lo rimango li?

Ma dai log di HJT tutto apposto, non devo fixare niente?

[Chill-Out]

Quote:

Originariamente inviato da Peppe89

Hai ragione che non è aggiornato A2 alla versione che dici tu. Eppure quando l'ho scaricato ho fatto gli aggiornamenti. Infatti ho provato a riaggiornarlo adesso e rimane sempre alla versione 4.5.0.27 Ho capito il motivo, il mio non è A2, ma A-squared free 1. Ora per installare la A2, devo disinstallare l'A1 o posso installare subito l'A2?

No, non conosco C:\Sistema1\consolle.exe
Sono andato nella cartella Sistema1 e ho trovato 2 file: tropezsetup e uninstall. Dovrebbe essere qualche programma di casino, ma che io non ho mai installato. Quindi che faccio? Se non mi sbaglio l'ho già messo in quarantena, quindi lo rimango li?

Ma dai log di HJT tutto apposto, non devo fixare niente?

Per aggiornare A2 alla versione corrente devi andare in Impostazioni - Aggiornamento - metti il segno di spunta in Installa aggiornamenti beta.

Riepilogo log da allegare:
A2
CureIt
Prevx
Nuovo log HJT

C:\Sistema1\consolle.exe -->> mettilo in quarantena

[Peppe89]

Quote:

Originariamente inviato da Chill-Out

Per aggiornare A2 alla versione corrente devi andare in Impostazioni - Aggiornamento - metti il segno di spunta in Installa aggiornamenti beta.

Riepilogo log da allegare:
A2
CureIt
Prevx
Nuovo log HJT

C:\Sistema1\consolle.exe -->> mettilo in quarantena

L'ho fatto come dici tu, ma rimane sempre alla versione vecchia. Quindi mi tocca disinstallare la vers vecchia e installare quella nuova.

[Chill-Out]

Quote:

Originariamente inviato da Peppe89

L'ho fatto come dici tu, ma rimane sempre alla versione vecchia. Quindi mi tocca disinstallare la vers vecchia e installare quella nuova.

Alla luce di quanto dici credo sia la soluzione migliore.

[Dave69]

Quote:

Originariamente inviato da Chill-Out

Ciao, per scrupolo fai girare questo tool

http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

Grazie,
ecco il log, credo comunque di essere ancora infetto visto l'apertura a caso di pop up e l'Avira in fibrillazione!!

http://wikisend.com/download/909322/....30.50_log.txt

[Dave69]

Quote:

Originariamente inviato da Dave69

Grazie,
ecco il log, credo comunque di essere ancora infetto visto l'apertura a caso di pop up e l'Avira in fibrillazione!!

http://wikisend.com/download/909322/....30.50_log.txt

Infatti, appena riavviato il PC ( il TDSSKiller lo richiede) da Task Manager ho trovato due processi molto strani ed appena li ho terminati sono riuscito a connettermi...sono Isusea.exe e Ibe.exe...spero di non dover riprendere la disinfezione da capo...

[Chill-Out]

Quote:

Originariamente inviato da Dave69

Infatti, appena riavviato il PC ( il TDSSKiller lo richiede) da Task Manager ho trovato due processi molto strani ed appena li ho terminati sono riuscito a connettermi...sono Isusea.exe e Ibe.exe...spero di non dover riprendere la disinfezione da capo...

Come sospettavo, a questo punto proseguiamo qui:

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt dopo averlo riscaricato

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt


NB: salta per ovvi motivi il punto 1

[Dave69]

Quote:

Originariamente inviato da Chill-Out

Come sospettavo, a questo punto proseguiamo qui:

Procedi così:

1 Scarica questo file http://support.kaspersky.com/downloa...tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

2 Scarica questo software http://www.surfright.nl/en/hitmanpro lancia la scansione, trovando tracce dell'infezione ti consentirà la rimozione gratutita

3 ComboFix - Download
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su ComboFix.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

4 Fai scansione completa con DrWeb CureIt dopo averlo riscaricato

Riepilogo log da allegare:
TDSSKiller
ComboFix
CureIt


NB: salta per ovvi motivi il punto 1

Eccoli

http://wikisend.com/download/442220/....30.50_log.txt

http://wikisend.com/download/479046/ComboFix.txt


http://wikisend.com/download/513212/cureit filtrato.txt

[Peppe89]

Quote:

Originariamente inviato da Chill-Out

Alla luce di quanto dici credo sia la soluzione migliore.

Ho avuto difficoltà a installare a2, perchè non è gratis, è solo per 30 giorni se ti fai un account, ma non me lo faceva fare, e allora ho scelto i 3 giorni gratis.
Fatta la scansioone, ma niente di nuovo da quella vecchia.
Ecco il log: http://wikisend.com/download/575884/...531-193932.txt

Prevx ancora mi segnala quel virus: uxthecer.exe
Ma è sicuro che è un virus? Perchè cmq a me il computer va benissimo. E poi se è un virus non lo posso togliere manualmente eliminandolo, dato che l'ho trovato? Che dovrei fare adesso?

[Chill-Out]

Quote:

Originariamente inviato da Peppe89

Ho avuto difficoltà a installare a2, perchè non è gratis, è solo per 30 giorni se ti fai un account, ma non me lo faceva fare, e allora ho scelto i 3 giorni gratis.
Fatta la scansioone, ma niente di nuovo da quella vecchia.
Ecco il log: http://wikisend.com/download/575884/...531-193932.txt

Prevx ancora mi segnala quel virus: uxthecer.exe
Ma è sicuro che è un virus? Perchè cmq a me il computer va benissimo. E poi se è un virus non lo posso togliere manualmente eliminandolo, dato che l'ho trovato? Che dovrei fare adesso?

Per quanto concerne A2 esiste la versione Free e la versione a pagamento, comunque sul da farsi i passi te li ho indicati qui http://www.hwupgrade.it/forum/showpo...postcount=1449 senza vedere i log delle scansioni richieste tiriamo ad indovinare.

[Chill-Out]

Quote:

Originariamente inviato da Dave69

Eccoli

http://wikisend.com/download/442220/....30.50_log.txt

http://wikisend.com/download/479046/ComboFix.txt


http://wikisend.com/download/513212/cureit filtrato.txt

Aggiorna Avira e ripeti scansione completa ed aggiornami sul problema.

[Dave69]

Quote:

Originariamente inviato da Chill-Out

Aggiorna Avira e ripeti scansione completa ed aggiornami sul problema.

Ecco il log di Avira,sembrerebbe tutto ok...

http://wikisend.com/download/664772/...8-3B249A6B.LOG

[Peppe89]

Quote:

Originariamente inviato da Chill-Out

Per quanto concerne A2 esiste la versione Free e la versione a pagamento, comunque sul da farsi i passi te li ho indicati qui http://www.hwupgrade.it/forum/showpo...postcount=1449 senza vedere i log delle scansioni richieste tiriamo ad indovinare.

CureIt non ha rilevato nessun virus.

Ecco il log di prevx, che rileva sempre quel virus:
http://wikisend.com/download/957668/log prevx.log

Ed infine ecco il nuovo log di HJT:
http://wikisend.com/download/441796/hijackthis nuovo.txt


Devo fixare niente su HJT? Che faccio adesso?