Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[wjmat]

Quote:

Originariamente inviato da greypilgrim85

Gli ho detto di riparare tutto e lui li ha eliminati.

ok, prima elimina e poi crei il log altrimenti noi non sappiamo che hai fatto

[Black celebration]

Buongiorno,ultima fase questo e' Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.37.56, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\antonio\Documenti\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O22 - SharedTaskScheduler: altigraph - {c96395b8-ab09-46a4-b539-7ddf6e061808} - (no file)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 2830 bytes
scusate se riporto l'intero file log ma non me lo faceva caricare(invalid file)
spero di trovare una soluzione





Per quanto riguarda DrWeb-cure.it dopo circa tre ore di scansione completa
non ha trovato virus
Ora come procedo?

[Black celebration]

Eseguito pulizia ATFcleaner(tasto empty?)
dopo aver selezionato tutto..........poi?

[Chill-Out]

Riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce

Quote:

O22 - SharedTaskScheduler: altigraph - {c96395b8-ab09-46a4-b539-7ddf6e061808} - (no file)

clicca su Fix checked

Per ATF Cleaner se hai seguito le istruzioni e cliccato su EMPTY SELECT sei a posto

A questo punto dimmi se riscontri ancora problemi

[greypilgrim85]

Allora malware ecco il nuovo log. Però non trovo quello di a-squared, nella cartella log c'è un file .db3 ma niente txt :S Cmq ho fatto due scansioni e nella seconda ha proprio trovato "antivir 2008" e gli ho detto di cancellarlo. Hijackthis invece dà questo (ve lo copio e incollo perchè non mi allega più di un file!):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.00.24, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Prioritario\Desktop\HiJackThis.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 3471 bytes



Come da guida io ho usato questi tre: malware, a-squared e hijackthis. Ora FINALMENTE antivir2008 sembra sparito, non dà più avvisi di virus e sia il desktop sia lo screensaver sono tornati gestibili!

[Chill-Out]

Il log di HijackThis non è allegato secondo le modalità indicate, manca il log di A2 (A-Squared) le specifiche le trovi in Guida in prima pagina, grazie per la collaborazione.

[Black celebration]

Quote:

Originariamente inviato da Chill-Out

Riesegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx della sottoindicata voce



clicca su Fix checked

Per ATF Cleaner se hai seguito le istruzioni e cliccato su EMPTY SELECT sei a posto

A questo punto dimmi se riscontri ancora problemi

Fatto,devo ripetere la procedura per verificare se sono ancora infetto?
Devo dire che prima di leggere il vostro forum malwarebytes da un analisi mi dava piu' di duecento fra trojan virus etc,ma fatto un po' di pulizia con cccleaner mi rimanevano 7 trojan.BHO che non volevano saperne,ora spero di essere pulito,grazie forum sono diventato meno impedito di prima

[Chill-Out]

Quote:

Originariamente inviato da Black celebration

Fatto,devo ripetere la procedura per verificare se sono ancora infetto?
Devo dire che prima di leggere il vostro forum malwarebytes da un analisi mi dava piu' di duecento fra trojan virus etc,ma fatto un po' di pulizia con cccleaner mi rimanevano 7 trojan.BHO che non volevano saperne,ora spero di essere pulito,grazie forum sono diventato meno impedito di prima

Ripeti la scansione con MBAM ed allega il log

[Black celebration]

Ecco il MABM dopo la pulizia:





Allora?sonopulito? a chi mando i cioccolatini?

[wjmat]

Quote:

Originariamente inviato da Black celebration

Ecco il MABM dopo la pulizia:
Allora?sonopulito? a chi mando i cioccolatini?

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

[said]

ciao ragazzi,
anch'io sono incappato in questa maledizione. Ho seguito la guida passo a passo; non sono riuscito a ad avviare il Dr.Web...

cerco di allegarvi i log di controllo degli altri tre programmi usati:

Malwarebytes: http://www.fileqube.com/shared/jHEHCXuV88816

A-squared: http://www.fileqube.com/shared/uHlck88818

HijackThis: http://www.fileqube.com/shared/ezbpUeHlL88819

Il grosso del problema l'ho risolto grazie alle indicazione della guida, ma, quando connesso, si aprono periodicamente finestre di explorer random.

grazie per l'aiuto

PS sul PC ho installato il CCleaner, per cui non ho usato l'ATF cleaner.

[wjmat]

Quote:

Originariamente inviato da said

ciao ragazzi,
anch'io sono incappato in questa maledizione. Ho seguito la guida passo a passo; non sono riuscito a ad avviare il Dr.Web...

cerco di allegarvi i log di controllo degli altri tre programmi usati:

Malwarebytes: http://www.fileqube.com/shared/jHEHCXuV88816

A-squared: http://www.fileqube.com/shared/uHlck88818

HijackThis: http://www.fileqube.com/shared/ezbpUeHlL88819

Il grosso del problema l'ho risolto grazie alle indicazione della guida, ma, quando connesso, si aprono periodicamente finestre di explorer random.

grazie per l'aiuto

PS sul PC ho installato il CCleaner, per cui non ho usato l'ATF cleaner.

Fai Start → Esegui → digita regedit (invio)
naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nel pannello di destra doppio click su Userinit ed elimini C:\Programmi\Common Files\Microsoft Shared\syscts.exe, (invio)
Deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,



poi riprova con cureit

[said]

fatto,
ma cure.it non parte; mi dà finestra di errore che allego:

http://www.fileqube.com/shared/nyWZN88865

allego anche log di hijackthis dopo modifica nel regedit:

http://www.fileqube.com/shared/NoHoKpNDx88866

grazie
ciao

[wjmat]

Quote:

Originariamente inviato da said

fatto,
ma cure.it non parte; mi dà finestra di errore che allego:

http://www.fileqube.com/shared/nyWZN88865

allego anche log di hijackthis dopo modifica nel regedit:

http://www.fileqube.com/shared/NoHoKpNDx88866

grazie
ciao

segui qui http://www.hwupgrade.it/forum/showthread.php?t=1751772

[said]

ciao, "sono nuovamente sul pezzo"

ora provo scansione con F-Secure, poi posto qui i risultati...

grazie per la dedizione

[said]

...son qui!

brutte notizie, quando lancio la scansione con F-Secure ho un crash del computer, rapida schermata blu, riavvio.
Una finestra mi avvisa che il "sistema è stato ripristinato in seguito a un grave errore".

Inoltro log di hijackthis nella speranza che possa essere d'aiuto.

Ripeto che l'unico problema che permane è, durante la navigazione in internet con explorer 7, l'apertura periodica di pagine web (ho notato che sono sempre gli stessi 5-6 siti)

http://www.fileqube.com/shared/GDpLCL89417

[Chill-Out]

Quote:

Originariamente inviato da said

...son qui!

brutte notizie, quando lancio la scansione con F-Secure ho un crash del computer, rapida schermata blu, riavvio.
Una finestra mi avvisa che il "sistema è stato ripristinato in seguito a un grave errore".

Inoltro log di hijackthis nella speranza che possa essere d'aiuto.

Ripeto che l'unico problema che permane è, durante la navigazione in internet con explorer 7, l'apertura periodica di pagine web (ho notato che sono sempre gli stessi 5-6 siti)

http://www.fileqube.com/shared/GDpLCL89417

Reisegui HijackThis clicca su Do a system scan only e metti il segno di spunta nella caella bianca sx della sottoindicata voce

Quote:

O24 - Desktop Component 0: Privacy Protection - (no file)

clicca su Fix checked

Dopodichè ripeti la scansione completa con MBAM

NB: Terminata la scansione rimuovete gli eventuali malware rilevati, di default MBAM provvederà a mettere in quarantena i files e le chiavi di registro identificate come infette

[Chill-Out]

Quote:

Originariamente inviato da Black celebration

Ecco il MABM dopo la pulizia:





Allora?sonopulito? a chi mando i cioccolatini?

Dovresti essere finalmente Ok, per i cioccolatini a tutta la sezione Antivirus e Sicurezza

[said]

ho fixato il processo che mi hai indicato (024) e rilanciato MBAM, che ha rilevato 16 malware.

allego il log della scansione: http://www.fileqube.com/shared/FvXuhscG89456

e quello di hijackthis: http://www.fileqube.com/shared/zNUIdfTE89457


...come vado?

[wjmat]

Quote:

Originariamente inviato da said

ho fixato il processo che mi hai indicato (024) e rilanciato MBAM, che ha rilevato 16 malware.

allego il log della scansione: http://www.fileqube.com/shared/FvXuhscG89456

e quello di hijackthis: http://www.fileqube.com/shared/zNUIdfTE89457


...come vado?

riscarica e riprova cureit