Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Oresthe]

La scansione con Malwarebytes mi ha rilevato 600 oggetti che ho provveduto ad eliminare, tra cui un Rogue (Malware Doctor).
Log Malwarebytes : http://wikisend.com/download/527740/...3-31-26%29.txt

La scansione con TDSSkiller non mi ha rilevato alcun oggetto.
Log TDSSkiller : TDSSKiller.2.4.14.0_21.01.2011_23.42.11_log.txt

Anche il log di Stealth MBR.exe è pulito.

Credo che l'originale rootkit fosse il file rimosso manualmente tramite Ubuntu in System32/Drivers...

Comunque vi sarei davvero grato se tramite i seguenti LOG potreste dirmi se sono presenti altre INFEZIONI attive!!

HijackThis Log : http://wikisend.com/download/433894/hijackthis.log

PrevX Log : http://wikisend.com/download/422856/aa.log

SystemScan : http://wikisend.com/download/433976/report.txt

[Oresthe]

Ho fatto anche una scansione con Eset Sys-Inspector,
ecco il log : SysInspector-USER-8EA38D33D3-110122-1136.xml

Ragazzi aiutatemi a RIPULIRE per bene il computer,
thanx!!

[Chill-Out]

Quote:

Originariamente inviato da Oresthe

La scansione con Malwarebytes mi ha rilevato 600 oggetti che ho provveduto ad eliminare, tra cui un Rogue (Malware Doctor).
Log Malwarebytes : http://wikisend.com/download/527740/...3-31-26%29.txt

La scansione con TDSSkiller non mi ha rilevato alcun oggetto.
Log TDSSkiller : TDSSKiller.2.4.14.0_21.01.2011_23.42.11_log.txt

Anche il log di Stealth MBR.exe è pulito.

Credo che l'originale rootkit fosse il file rimosso manualmente tramite Ubuntu in System32/Drivers...

Comunque vi sarei davvero grato se tramite i seguenti LOG potreste dirmi se sono presenti altre INFEZIONI attive!!

HijackThis Log : http://wikisend.com/download/433894/hijackthis.log

PrevX Log : http://wikisend.com/download/422856/aa.log

SystemScan : http://wikisend.com/download/433976/report.txt

Quote:

Originariamente inviato da Oresthe

Ho fatto anche una scansione con Eset Sys-Inspector,
ecco il log : SysInspector-USER-8EA38D33D3-110122-1136.xml

Ragazzi aiutatemi a RIPULIRE per bene il computer,
thanx!!

Ciao, leggi la Guida in prima pagina ed allega i log richesti, ovvero:
MBAM
Emsi
CureIt
HJT

Dal log di MBAM si evince che non hai eliminato nulla >> No action taken

Quote:

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\iexplorer (Backdoor.Agent) -> Value: iexplorer -> No action taken.

pertanto aggiorna il database delle firme virali e ripeti scansione completa.

[Oresthe]

Possibile che ho salvato il log di MBAM prima di rimuovere i file ?
Ricordo di aver cliccato su rimuovi tutto!

La scansione con Emsisoft Anti-Malware mi ha rilevato solo 4 tracking cookie, ecco il log: a2scan_110122-143647.txt

Comunque ora vado in scansione con CureIt e dopo ripeto MBAM.
Gli altri log dovrebbero esserci tutti, se c'è qualcosa che devo FIXARE aiutatemi!
Thanx

[sacabugr]

Quote:

Originariamente inviato da Chill-Out

Da Pannello di controllo disinstalla la Ask Toolbar successivamente con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segna di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix checked



fatto il Fix imposta i DNS come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737

attendo tuo riscontro.

ciao chill-out, ho provato fedelmente la guida da te consigliata,ma niente! sempre lo stesso,mi dice connesso ma non mi permette di navigare!!!uff non ci capisco più nient...

[Chill-Out]

Quote:

Originariamente inviato da sacabugr

ciao chill-out, ho provato fedelmente la guida da te consigliata,ma niente! sempre lo stesso,mi dice connesso ma non mi permette di navigare!!!uff non ci capisco più nient...

Sono passati alcuni giorni, pensavo avessi risolto, comunque allega un log di SysInspector per farlo segui le istruzioni qui riportate http://www.hwupgrade.it/forum/showthread.php?t=1599737

[sacabugr]

Quote:

Originariamente inviato da Chill-Out

Sono passati alcuni giorni, pensavo avessi risolto, comunque allega un log di SysInspector per farlo segui le istruzioni qui riportate http://www.hwupgrade.it/forum/showthread.php?t=1599737

beh ti avrei ringraziato... cmq eccolo http://wikisend.com/download/503410/...10123-2205.xml

[Chill-Out]

Quote:

Originariamente inviato da sacabugr

beh ti avrei ringraziato... cmq eccolo http://wikisend.com/download/503410/...10123-2205.xml

Quote:

Originariamente inviato da sacabugr

ciao chill-out, ho provato fedelmente la guida da te consigliata,ma niente! sempre lo stesso,mi dice connesso ma non mi permette di navigare!!!uff non ci capisco più nient...

Ma anche no, i DNS non sono quelli suggeriti, indipentemente da questo non ci sono evidenze, controlla le impostazioni di rete, router etc.....

[sacabugr]

Quote:

Originariamente inviato da Chill-Out

Ma anche no, i DNS non sono quelli suggeriti, indipentemente da questo non ci sono evidenze, controlla le impostazioni di rete, router etc.....

io uso per scaricare file jdownloader e attraverso questo cambio l'indirizzo ip ogni qual volta finisce un file...attraverso la riconnessione automatica!come faccio per ripristinare il vecchio ip?!così vedo se è questo il problema!!!anche se mi sembra strano che sia questo il problema perchè fin ora non mi ha dato mai problemi...solo dopo aver preso i virus, con disabilitazione anche del firewall

[sacabugr]

Quote:

Originariamente inviato da sacabugr

io uso per scaricare file jdownloader e attraverso questo cambio l'indirizzo ip ogni qual volta finisce un file...attraverso la riconnessione automatica!come faccio per ripristinare il vecchio ip?!così vedo se è questo il problema!!!anche se mi sembra strano che sia questo il problema perchè fin ora non mi ha dato mai problemi...solo dopo aver preso i virus, con disabilitazione anche del firewall

ciao, sono riuscito ad attivare il firewall e ad entrare nel sito del modem alice "192.168.1.1", ma non riesco a navigare!!!che può essere secondo te????

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

Anche per te vale lo stesso suggerimento http://www.hwupgrade.it/forum/showpo...postcount=3191

Ciao
ho fatto tutto quello che mi hai suggerito e questi sono i vari log:
http://wikisend.com/download/453094/....30.17_log.txt
mbam: http://wikisend.com/download/443272/mbam-log-2011-01-23 (20-54-53).txt
a2anti: http://wikisend.com/download/410324/...123-211812.txt
Dotr.web filtrato: http://wikisend.com/download/457758/cureit filtrato.txt
HijackThis : http://wikisend.com/download/431072/hijackthis.log

Hora riesco a vedere in gestione computer, gestione disco le due partizioni, ma quando cerco di far partire l'installazione di XP da CD questo non parte mi da un errore, "una serie di numeri e codici".
Cosa è quella partizione , che vedo, senza letterea e che si chiama "Integrego Congifurazione EISA? ho capito è la partizione di ripristino.
Aggiungo altri dettagli il pc ci avvia sempre con utente Guest e non mi da la possibbilità di creare altri utente "mi dice che i caratteri usati per l'untente non sono validi". NOn mi fa partite neanche il tools, di acer, per il ripristino "utente cliente" non abilitato.
Grazie e sicuro del vs aiuto vi saluto.

[Chill-Out]

Quote:

Originariamente inviato da alfonsog

Ciao
ho fatto tutto quello che mi hai suggerito e questi sono i vari log:
http://wikisend.com/download/453094/....30.17_log.txt
mbam: http://wikisend.com/download/443272/mbam-log-2011-01-23 (20-54-53).txt
a2anti: http://wikisend.com/download/410324/...123-211812.txt
Dotr.web filtrato: http://wikisend.com/download/457758/cureit filtrato.txt
HijackThis : http://wikisend.com/download/431072/hijackthis.log

Hora riesco a vedere in gestione computer, gestione disco le due partizioni, ma quando cerco di far partire l'installazione di XP da CD questo non parte mi da un errore, "una serie di numeri e codici".
Cosa è quella partizione , che vedo, senza letterea e che si chiama "Integrego Congifurazione EISA? ho capito è la partizione di ripristino.
Aggiungo altri dettagli il pc ci avvia sempre con utente Guest e non mi da la possibbilità di creare altri utente "mi dice che i caratteri usati per l'untente non sono validi". NOn mi fa partite neanche il tools, di acer, per il ripristino "utente cliente" non abilitato.
Grazie e sicuro del vs aiuto vi saluto.

Come sospettavo Alureon

Quote:

Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Cure

dettaglio a parte ed appurato che quella è la partizione di ripristino, non ho capito perchè devi instalare XP, per il discorso Account prova ad accedere in modalità provvisoria.

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

Come sospettavo Alureon



dettaglio a parte ed appurato che quella è la partizione di ripristino, non ho capito perchè devi instalare XP, per il discorso Account prova ad accedere in modalità provvisoria.

Ciao re grazie.
scusa per l'ignoranza, ma l'ho rimosso Alureon?

Volevo installare XP perchè non mi piace vista e voevo sostituirlo.
Perchè all'avvio del pc con il cd di xp inserito e cliccando su "esegui da cd", dopo qualche minuto mi restituisce l'errore e non parte l'installazione?
Se metto l'hd su di un case esterno e lo formatto risolvo il problema?

Sono entrato in modalità provvisoria ma non mi fa creare nessun tipo di account Continua a dirmi che i caratteri usati per l'account non sono validi e ti assicuro che non uso nessun carattere particolare.
All'avvio mi viene fuori il messaggio che non posso utilizzare il programma di ripristino dell'acer in quanto l'utente client non ha le autoirzzazioni.
Il pc si avvia sempre con l'utente guest (client) quindi non mi permette di fare nulla.
Sicuro del tuo aiuto ti ringrazio e ti sauto
edit:
ti aggiungo un immagine di un errore che mi appare all'avvio.
http://img833.imageshack.us/i/erroreh.jpg/
grazie

[Chill-Out]

Start - Tutti i programmi - Accessori - tasto dx del mouse su Prompt dei comandi - Esegui come amministratore e digita

net user administrator /active:yes

digita exit per uscire e riavvia la macchina.

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

Start - Tutti i programmi - Accessori - tasto dx del mouse su Prompt dei comandi - Esegui come amministratore e digita

net user administrator /active:yes

digita exit per uscire e riavvia la macchina.

Ci ho già provato,
ma mi da errore n°5
riavviando non cambia la situazione.
Grazie ancora.

[Chill-Out]

Quote:

Originariamente inviato da alfonsog

Ci ho già provato,
ma mi da errore n°5
riavviando non cambia la situazione.
Grazie ancora.

Sicuro di aver digitato correttamente il comando?

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

Sicuro di aver digitato correttamente il comando?

Ci riprovo, al limite ti posto l'immagine
Grazie ancora per il supporto.

[alfonsog]

Quote:

Originariamente inviato da alfonsog

Ci riprovo, al limite ti posto l'immagine
Grazie ancora per il supporto.

questa è la risposta:
Errore di sistema 5.
accesso negato.
spero che l'immagine sia leggibile.
grazie

[Chill-Out]

Quote:

Originariamente inviato da alfonsog

questa è la risposta:
Errore di sistema 5.
accesso negato.
spero che l'immagine sia leggibile.
grazie

Start - nel box bianco digita secpol.msc e batti invio

Criteri di protezione locali - Criteri Locali - Opzioni di protezione - Account: stato account Administrator

Dopppio click su account Administrator - metti il segno di spunta su Attivato - applica - Ok

Riavvia il PC

[alfonsog]

Quote:

Originariamente inviato da Chill-Out

Start - nel box bianco digita secpol.msc e batti invio

Criteri di protezione locali - Criteri Locali - Opzioni di protezione - Account: stato account Administrator

Dopppio click su account Administrator - metti il segno di spunta su Attivato - applica - Ok

Riavvia il PC

Ci ho provato ma non mi trova nulla, mi apre la videata delle ricerce e mi dice che non ha trovato nulla
inizio a perdere le speranze.
grazie