Guida alla rimozione Rogue (Falsi) Antispyware - Antivirus - Utility

[Tizzy88]

ciao ho provato a seguire la guida per la disinfezione ma sto avendo dei problemi relativi ad a-squared.. tutto succede a scansione finita.. io sposto tutti i file in quarantena ma poi compaiono dei messaggi che mi dicono che è impossibile svolgere l'operazione perchè bisogna "rimuovere l'attributo di sola lettura", una cosa del genere, e poi mi crasha a-squared
ora sto riprovando con una seconda scansione, vorrei chiedervi a voi come devo comportarmi a scansione terminata per fare tutto correttamente

grazie in anticipo

[wjmat]

Quote:

Originariamente inviato da Tizzy88

ciao ho provato a seguire la guida per la disinfezione ma sto avendo dei problemi relativi ad a-squared.. tutto succede a scansione finita.. io sposto tutti i file in quarantena ma poi compaiono dei messaggi che mi dicono che è impossibile svolgere l'operazione perchè bisogna "rimuovere l'attributo di sola lettura", una cosa del genere, e poi mi crasha a-squared
ora sto riprovando con una seconda scansione, vorrei chiedervi a voi come devo comportarmi a scansione terminata per fare tutto correttamente

grazie in anticipo

lascia perdere asquared e fai le altre scansioni

[Tizzy88]

ecco i log son riuscito, spero, anche a far quello di asquared:

malwarebytes:http://www.mediafire.com/file/mnjolz...-27-24%29c.txt
asquared:http://www.mediafire.com/file/qy5l3f...06-222039-.txt
drweb-cureit:http://www.mediafire.com/file/yn3wcy...20filtrato.txt
hijackthis:http://www.mediafire.com/file/ymngje...ijackthisw.txt

io non ho ancora riabilitato il ripristino configurazione di sistema.. quando posso farlo? e se sì, devo solo spuntare l'icona precedentemente spuntata? nel mio caso:VISTA (C (Sistema)

grazie per l'attenzione

[wjmat]

Quote:

Originariamente inviato da Tizzy88

ecco i log son riuscito, spero, anche a far quello di asquared:

malwarebytes:http://www.mediafire.com/file/mnjolz...-27-24%29c.txt
asquared:http://www.mediafire.com/file/qy5l3f...06-222039-.txt
drweb-cureit:http://www.mediafire.com/file/yn3wcy...20filtrato.txt
hijackthis:http://www.mediafire.com/file/ymngje...ijackthisw.txt

io non ho ancora riabilitato il ripristino configurazione di sistema.. quando posso farlo? e se sì, devo solo spuntare l'icona precedentemente spuntata? nel mio caso:VISTA (C (Sistema)

grazie per l'attenzione

non si capisce se hai eliminato le voci trovate da asquared
il ripristino non è necessario riattivarlo

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O16 - DPF: {C186F386-6FC6-414C-AB53-975FB0EB15C1} (Photo Uploader Control) - http://v.netlogstatic.com/v5.00/2833//s/e/Aurigma/ImageUploaderPHP/PhotoUploader .cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} (VodClient Control Class) - http://vexcast.com/download/vexcast.cab

non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[Tizzy88]

-ho fixato le voci di hijackthis da te suggerite e ho controllato con una nuova scansione che non ci fossero più
-per quanto riguarda asquared il problema era quello che ti avevo esposto nel mio post antecedente le scansioni.. ovvero che le tracce non potevano essere eliminate perchè bisognava rimuovere l'attributo di sola lettura.. avevo provato anche a cercare i percorsi ma strano ma vero alcuni elencati da asquared non esistevano nel mio pc
-per il firewall imposterò comodo
-ora leggo il link per l'aggiornamento dei programmi

grazie ancora per il supporto

[Chill-Out]

Quote:

Originariamente inviato da Tizzy88

-ho fixato le voci di hijackthis da te suggerite e ho controllato con una nuova scansione che non ci fossero più
-per quanto riguarda asquared il problema era quello che ti avevo esposto nel mio post antecedente le scansioni.. ovvero che le tracce non potevano essere eliminate perchè bisognava rimuovere l'attributo di sola lettura.. avevo provato anche a cercare i percorsi ma strano ma vero alcuni elencati da asquared non esistevano nel mio pc
-per il firewall imposterò comodo
-ora leggo il link per l'aggiornamento dei programmi

grazie ancora per il supporto

Aggiorna A2 e ripeti scansione completa.

[Tizzy88]

ecco il nuovo log di asquared: http://www.mediafire.com/file/kwlnzo...408-130638.txt

[Chill-Out]

Quote:

Originariamente inviato da Tizzy88

ecco il nuovo log di asquared: http://www.mediafire.com/file/kwlnzo...408-130638.txt

A posto

[xcdegasp]

thread ripulito

[domev]

Ho seguito passo passo la guida dopo essermi infettato con un virus che simulava un software antivirus Digital Protection per cercare di risolvere il problema

allego i file log

mbam-log-2010-04-11 (18-11-26).txt

a2scan_100411-191154.txt

CureIt.log

hijackthis.log

Ditemi cos'altro devo fare...grazie mille

[Chill-Out]

Quote:

Originariamente inviato da domev

Ho seguito passo passo la guida dopo essermi infettato con un virus che simulava un software antivirus Digital Protection per cercare di risolvere il problema

allego i file log

mbam-log-2010-04-11 (18-11-26).txt

a2scan_100411-191154.txt

CureIt.log

hijackthis.log

Ditemi cos'altro devo fare...grazie mille

Ciao, devi aggiornare MBAM la versione corrente è la 1.45, aggiornare il database dell firme virali e ripetere scansione completa, hai fatto scansione rapida

Anche per quanto concerne A2 a-squared devi ripetere scansione completa e passare in quarantena tutti gli elementi infetti, tranne:

Quote:

Value: HKEY_USERS\S-1-5-21-817792519-4254311928-4063872163-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Value: HKEY_CLASSES_ROOT\AppID\TVUAx.DLL --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TVUAx.DLL --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel rilevati: Trace.Registry.dl.tvunetworks.com!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TVUPlayer --> NSIS:Language rilevati: Trace.Registry.dl.tvunetworks.com!A2

Riepilogo log da allegare:
MBAM
A2
Nuovo log HJT

[domev]

ciao...ho rifatto i log e te li allego...diimi cos'altro!!! e grazie mille

mbam-log-2010-04-12 (12-53-09).txt

a2scan_100412-101904.txt

hjt1204.txt

[Chill-Out]

Quote:

Originariamente inviato da domev

ciao...ho rifatto i log e te li allego...diimi cos'altro!!! e grazie mille

mbam-log-2010-04-12 (12-53-09).txt

a2scan_100412-101904.txt

hjt1204.txt

Dal log di MBAM si evince che non hai eliminato (No action taken.) le seguenti Chiavi di registro

Quote:

Chiavi di registro infette:
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

per eliminarle devi ripetere la scansione.

- Con il Browser chiuso esegui HJT, clicca su Do a system scan only, metti il segno di spunta nella casella bianca sx delle sottoindicate voci e clicca su Fix checked

Quote:

O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

NB: devi aggiornare IE alla versione 8

[domev]

Ho fatto anche gli ultimi passaggi che mi hai indicato..manca solo di aggiornare IE..sto a posto così??? ti ringrazio molto per l'aiuto

[Chill-Out]

Quote:

Originariamente inviato da domev

Ho fatto anche gli ultimi passaggi che mi hai indicato..manca solo di aggiornare IE..sto a posto così??? ti ringrazio molto per l'aiuto

Se non riscontri problemi sei a posto.

[KyuShinKenpo]

Salve a tutti, mi sono imbattuto in questa discussione cercando di capire qualcosa su questo rogue e ho seguito quello che la guida consigliava di fare, allego il log di hijackthis e vi ringrazio anticipatamente!

Mi scuso se lo riporto per esteso ma (forse proprio a causa del rogue?) non riesco ad utilizzare nessun sevizio di hosting!

__________________________________________________

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.20.10, on 12/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DNA\btdna.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\ave.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\AVG\AVG8\avgui.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\AVG\AVG8\avgscanx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Marco\IMPOST~1\Temp\Rar$EX00.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programmi\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programmi\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Unforgiven Organizer#Autostart] "C:\Programmi\Unforgiven Organizer\UnOrg.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {051D0E35-F4E3-4C8D-B411-AB0875F4C683} (Anark Client 4.0 ActiveX Control) - http://install.anark.com/client/vers...n/AMClient.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://marcoinmacro.spaces.live.com/...d/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...17/mcfscan.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programmi\File comuni\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10395 bytes

[fab77]

il mio virus è digital protection:
hijackthis.log

a2scan_100412-094730.txt

appena finisce posto doctorweb

[Chill-Out]

Quote:

Originariamente inviato da KyuShinKenpo

Salve a tutti, mi sono imbattuto in questa discussione cercando di capire qualcosa su questo rogue e ho seguito quello che la guida consigliava di fare, allego il log di hijackthis e vi ringrazio anticipatamente!

Si sei infetto

Quote:

C:\Documents and Settings\Marco\Impostazioni locali\Dati applicazioni\ave.exe

ma è necessario seguire la Guida in prima pagina per rimuovere il Virus, che non impedisce l'hosting dei log sui Server Remoti indicati.

[Chill-Out]

Quote:

Originariamente inviato da fab77

il mio virus è digital protection:
hijackthis.log

a2scan_100412-094730.txt

appena finisce posto doctorweb

Serve anche il log di MBAM

[shawn89]

ciao a tutti. oggi sul mio pc/muletto è scoppiato il finimondo. Mi sono beccato il virus Digital Protection e adesso è comparso un Antivirus Suite ed è tutto bloccato.
Ad ogni programma che provo a lanciare, esce il messaggio del rogue che me lo impedisce dicendo che è infetto ecc...

Oltre a chiedermi che ceppa ci stava a fare AntiVir installato e sempre aggiornato il problema è che non so che fare, come disinfettare, a questo punto. Non riesco a lanciare eseguire eseguibile...