Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Andreawrx]

Ciao a tutti
mi hanno dato un pc da guardare dicendomi che aveva dei problemi e infatti si era beccato un bel rouge(antispy non mi ricordo cosa)
allora ovviamente ho subito cercarto il rimedio su questo stupendo forum.
ho seguito passo passo la guida e alla pagina qui sotto ci sono i risultati dei vari log.
Ora Aspetto vostre istruzione se c'è e quindi cosa fixare/fare.
Edit

Grazie
Andrea

[Chill-Out]

Quote:

Originariamente inviato da Andreawrx

Ciao a tutti
mi hanno dato un pc da guardare dicendomi che aveva dei problemi e infatti si era beccato un bel rouge(antispy non mi ricordo cosa)
allora ovviamente ho subito cercarto il rimedio su questo stupendo forum.
ho seguito passo passo la guida e alla pagina qui sotto ci sono i risultati dei vari log.
Ora Aspetto vostre istruzione se c'è e quindi cosa fixare/fare.
Edit

Grazie
Andrea

Ciao Andrea, i log su uno dei Server remoti come indicato in guida, grazie.

[Andreawrx]

ops scusa pensavo fosse la stessa cosa se caricavo i file in un mio sito.. bhe niente problema eccoli qui caricati in uno dei server:

mbam-log.txt

rkill Log.txt

Combofix log.txt

antimalware emisoft log.txt

DrWeb.csv

hijackthis log.txt

ora attendo le vostre indicazioni su come procedere

[Chill-Out]

Quote:

Originariamente inviato da Andreawrx

ops scusa pensavo fosse la stessa cosa se caricavo i file in un mio sito.. bhe niente problema eccoli qui caricati in uno dei server:

mbam-log.txt

rkill Log.txt

Combofix log.txt

antimalware emisoft log.txt

DrWeb.csv

hijackthis log.txt

ora attendo le vostre indicazioni su come procedere

Quote:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4052

Il database delle firme virali non è aggiornato, aggiorna e ripeti scansione completa.

Mi indichi inoltre il SO in uso e relativi SP installati? Dai log emergono dati stranamente diversi

[Andreawrx]

il SO è windows XP

Le stranezze sono dovute al fatto che la prima scansione ho dovuto farla con l'SP2 (il proprietario a quanto pare non l'aveva ancora aggiornato ) perchè il rouge non mi consentiva di connettermi a internet e far l'update a SP3 che ho fatto appena mi era possibile..

Quindi faccio la scansione con la versione aggiornata e riposto il log o devo rifare anche tutte le altre scansioni?

[Chill-Out]

Quote:

Originariamente inviato da Andreawrx

il SO è windows XP

Le stranezze sono dovute al fatto che la prima scansione ho dovuto farla con l'SP2 (il proprietario a quanto pare non l'aveva ancora aggiornato ) perchè il rouge non mi consentiva di connettermi a internet e far l'update a SP3 che ho fatto appena mi era possibile..

Quindi faccio la scansione con la versione aggiornata e riposto il log o devo rifare anche tutte le altre scansioni?

Aggiorna MBAM e ripeti scansione completa, attendo il log.

[Andreawrx]

ecco la scansione fatta aggiornando MBAM

Scansione MBAM agg

[Chill-Out]

Quote:

Originariamente inviato da Andreawrx

ecco la scansione fatta aggiornando MBAM

Scansione MBAM agg

A posto

[Andreawrx]

Grazie millissime per l'aiuto chill out

[Chill-Out]

Quote:

Originariamente inviato da Andreawrx

Grazie millissime per l'aiuto chill out

Prego

[spolka93]

Buongiorno a tutto il forum.

Mi chiamo Luca, vi scrivo dalla provincia di Pordenone.

Ho beccato un rogue che non riesco a debellare, mi succede questo: in pratica i link che compaiono -in seguito ad una ricerca- dal browser di Google Chrome mi trasportano su pagine anomale e preoccupanti. Ho seguito le disinfestazioni come da guida. Da quanto ne capisco risultano essere "infette" le applicazioni:

explorer.exe
Process.exe
winiinit.exe

non posso metterle in quarantena pena il non funzionamento del sistema.

S.O. Windows Vista service pack 2

ecco i log:
mbam-log-2010-10-01 (14-07-20).txt
a2scan_101001-144104.txt
CureIt.log
hijackthis.log

Vi ringrazio in anticipo per eventuali suggerimenti.
Luca

[Chill-Out]

Quote:

Originariamente inviato da spolka93

Buongiorno a tutto il forum.

Mi chiamo Luca, vi scrivo dalla provincia di Pordenone.

Ho beccato un rogue che non riesco a debellare, mi succede questo: in pratica i link che compaiono -in seguito ad una ricerca- dal browser di Google Chrome mi trasportano su pagine anomale e preoccupanti. Ho seguito le disinfestazioni come da guida. Da quanto ne capisco risultano essere "infette" le applicazioni:

explorer.exe
Process.exe
winiinit.exe

non posso metterle in quarantena pena il non funzionamento del sistema.

S.O. Windows Vista service pack 2

ecco i log:
mbam-log-2010-10-01 (14-07-20).txt
a2scan_101001-144104.txt
CureIt.log
hijackthis.log

Vi ringrazio in anticipo per eventuali suggerimenti.
Luca

Ciao Luca, al momento Wikisend è irraggiungibile, se vuoi puoi hostare i log su un altro Server.

[Chill-Out]

Quote:

Originariamente inviato da Chill-Out

Ciao Luca, al momento Wikisend è irraggiungibile, se vuoi puoi hostare i log su un altro Server.

Controllati, fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665

[spolka93]

Quote:

Originariamente inviato da Chill-Out

Controllati, fai girare Combofix esattamente come qui indicato http://www.hwupgrade.it/forum/showthread.php?t=1984665

ComboFix, l'antiparassitario che cercavo! Ora credo e spero di aver eliminato i problemi al mio pc. Questo il contenuto del log:

ComboFix 10-11-05.05 - User 06/11/2010 13:44:09.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.3070.1847 [GMT 1:00]
Eseguito da: C:\Users\User\Downloads\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

Chill-Out, ti sono grato per le preziose indicazioni che mi hai offerto.
Ora mettero in sicurezza il sistema come da guida.

Un caro saluto.
Luca

[12379]

ho disattivato il ripristino
eseguito ATFcleaner
malware non funziona quindi ho sseguito il post3: ho eseguito rkill di cui allego il log e combofix che però non mi ha creato il log non so perchè

malwarebytes continua a non funzionare

Mentre sono collegata è uscito scritto http:\\212.xxxx (non ricordo i numeri)e mi dice di essere infetta da alcuni troyan e mi viene richiesto di installare il programma inst.exe ed io ovviamente annullo ma riesco ad annullare l'operazione solo dopo aver staccato il cavo di rete.

Altro problema che ho notato è che collegandomi ad alcuni siti tra cui hwupgrade, mi esce scritto che sta trasferendo qualcosa a google analytics e non mi carica null'altro.

ed ora che fare? la situazione sta peggiorando

ecco il log di rkill
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Giovanni on 07/11/10 at 22.24.29.


Services Stopped:


Processes terminated by Rkill or while it was running:


H:\iExplore.exe


Rkill completed on 07/11/10 at 22.24.39.

dopo ciò, per evitare problemi, ho staccato il cavo di rete e, dopo aver fatto altre scansioni (mlawarebyte's ancora non mi funziona), ora è sparita la visualizzazione in stile win XP (mi compare per pochi secondi e poi sparisce) e non c'è neanche nella scelta dei temi delle finestre.

ho notato poi che c'è una cartella autorun.ing in c:\ e, appena aperta, avira mi ha rilevato un virus

ho provato a rimuoverla con avenger tramite il comando
Folders to delete:
c:\antorun.inf

fatto e mi è sparita la cartella che però ora è presente in c:\avenger

non ci capisco + nulla!!!!!!!!!!!!!!!

[Chill-Out]

Quote:

Originariamente inviato da spolka93

ComboFix, l'antiparassitario che cercavo! Ora credo e spero di aver eliminato i problemi al mio pc. Questo il contenuto del log:

ComboFix 10-11-05.05 - User 06/11/2010 13:44:09.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.39.1040.18.3070.1847 [GMT 1:00]
Eseguito da: C:\Users\User\Downloads\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

Chill-Out, ti sono grato per le preziose indicazioni che mi hai offerto.
Ora mettero in sicurezza il sistema come da guida.

Un caro saluto.
Luca

Ciao, la parte che hai allegato è solo l'intestazione del log, comunque se sei ok procedi pure col trattamento post infezione.

[Badmotorfinger]

Mi scuso per il ritardo ma ho finito le varie scansioni solo ieri notte

Ecco i log:

http://wikisend.com/download/598842/mbam-log-2010-11-08 (00-42-48).txt
http://wikisend.com/download/539952/...108-112340.txt
http://wikisend.com/download/630442/cureit filtrato.txt
http://wikisend.com/download/459970/hijackthis9.txt

Pare che TDSSKiller abbia risolto il problema dal riavvio del computer tutto è tornato a funzionare correttamente

Devo fare ancora qualche scansione o non è necessario? Se è così grazie infinite, ora è tutto a posto!!!

[Chill-Out]

Quote:

Originariamente inviato da Badmotorfinger

Mi scuso per il ritardo ma ho finito le varie scansioni solo ieri notte

Ecco i log:

http://wikisend.com/download/598842/mbam-log-2010-11-08 (00-42-48).txt
http://wikisend.com/download/539952/...108-112340.txt
http://wikisend.com/download/630442/cureit filtrato.txt
http://wikisend.com/download/459970/hijackthis9.txt

Pare che TDSSKiller abbia risolto il problema dal riavvio del computer tutto è tornato a funzionare correttamente

Devo fare ancora qualche scansione o non è necessario? Se è così grazie infinite, ora è tutto a posto!!!

Sei a posto, segui il trattamento post infezione come indicato in Guida.

[12379]

Quote:

Originariamente inviato da 12379

ho disattivato il ripristino
eseguito ATFcleaner
malware non funziona quindi ho sseguito il post3: ho eseguito rkill di cui allego il log e combofix che però non mi ha creato il log non so perchè

malwarebytes continua a non funzionare

Mentre sono collegata è uscito scritto http:\\212.xxxx (non ricordo i numeri)e mi dice di essere infetta da alcuni troyan e mi viene richiesto di installare il programma inst.exe ed io ovviamente annullo ma riesco ad annullare l'operazione solo dopo aver staccato il cavo di rete.

Altro problema che ho notato è che collegandomi ad alcuni siti tra cui hwupgrade, mi esce scritto che sta trasferendo qualcosa a google analytics e non mi carica null'altro.

ed ora che fare? la situazione sta peggiorando

ecco il log di rkill
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Giovanni on 07/11/10 at 22.24.29.


Services Stopped:


Processes terminated by Rkill or while it was running:


H:\iExplore.exe


Rkill completed on 07/11/10 at 22.24.39.

dopo ciò, per evitare problemi, ho staccato il cavo di rete e, dopo aver fatto altre scansioni (mlawarebyte's ancora non mi funziona), ora è sparita la visualizzazione in stile win XP (mi compare per pochi secondi e poi sparisce) e non c'è neanche nella scelta dei temi delle finestre.

ho notato poi che c'è una cartella autorun.ing in c:\ e, appena aperta, avira mi ha rilevato un virus

ho provato a rimuoverla con avenger tramite il comando
Folders to delete:
c:\antorun.inf

fatto e mi è sparita la cartella che però ora è presente in c:\avenger

non ci capisco + nulla!!!!!!!!!!!!!!!

La mia situazione è un po' cambiata:
appena accendo il pc compare la scritta di errore GENERIC HOST PROCESS FOR WIN32 SERVICES
Ho eseguito sia atfcleaner che ccleaner poi iexplore (allego log rkill) dopodichè mi scompare il desktop e per farrlo riapparire devo andare nel task manager e avviarlo
Passo successivo: EMISOFT (allego log) che mi ha trovato 13 file infetti messi in quarantena
Poi Drweb curiet che mi ha trovato altri file infetti e a quanto dice me li avrebbe eradicati
Malwarebyte continua a non funzionare
A questo punto l'ultimo che resta è hijackthis che non trova nulla di anomalo

Ho provato a collegarmi ma permane il problema del reindirizzamento indirizzo ed il tentativo di farmi scaricare tale inst.exe che io ovviamente ignoro

cosa faccio????


http://wikisend.com/download/460536/cureit filtrato.txt
http://wikisend.com/download/460620/hijackthis.log
http://wikisend.com/download/567492/rkill.log

[sky_dea]

Salve ragazzi,

sono infetta da spyware doctor.
Vi linko i miei logs:
http://wikisend.com/download/486380/...112-200259.txt
http://wikisend.com/download/421140/a2cmd_readme.txt
http://wikisend.com/download/420946/hijackthis.log
La scansione di Dr.Web CureIt! non l'ho completata, perchè dopo 9 ore di scansione, ancora aveva analizzato circa il 5% dei files, e mi sembrava anomalo.