Sono infetto help

[Chill-Out]

Quote:

Originariamente inviato da Druiser

Una volta scaricato lascio tutte le impostazioni come sono e scansiono se trova qualcosa che faccio?
Grazie

Lasci i settagi di default, scansioni e rimuovi

[Druiser]

tutto ok non ha trovato nulla ora cosa faccio?

[Chill-Out]

Quote:

Originariamente inviato da Druiser

tutto ok non ha trovato nulla ora cosa faccio?

possibile che abbia già finito

segui qui http://www.hwupgrade.it/forum/showpo...8&postcount=20

[Chill-Out]

Successivamente ai passaggi indicati sopra, controllando il log di ComboFix sarebbe opportuno che tu verificassi su http://www.virustotal.com/it/ e http://virscan.org/ questo eseguibile C:\Windows\System32\acovcnt.exe
copia ed incolla nel prossimo post il risultato dell'analisi

Abilita prima la visualizzazione dei file nascosti:

Pannello di controllo-->Aspetto e personalizzazione-->Opzioni cartella-->visualizza cartelle e file nascosti

[xcdegasp]

Quote:

Originariamente inviato da xcdegasp

fixa:

Codice:

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O23 - Service: AFinding  Service (AFinding) - Unknown owner - C:\Windows\system32\afinding.exe
O23 - Service: afisicx  Manages  messages (afisicx) - Unknown owner - C:\Windows\system32\afisicx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: mabidwe  Service (mabidwe) - Unknown owner - C:\Windows\system32\mabidwe.exe
O23 - Service: macidwe Service (macidwe) - Unknown owner - C:\Windows\system32\macidwe.exe
O23 - Service: NOBICYT Service (NOBICYT) - Unknown owner - C:\Windows\system32\Nobicyt.exe
O23 - Service: noxtcyr  Manages  messages (noxtcyr) - Unknown owner - C:\Windows\system32\noxtcyr.exe
O23 - Service: noytcyr  Service (noytcyr) - Unknown owner - C:\Windows\system32\noytcyr.exe
O23 - Service: perfmons - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: perfs Service (perfs) - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: routing Service (routing) - Unknown owner - C:\Windows\system32\routing.exe
O23 - Service: roxtctm  Manages  messages (roxtctm) - Unknown owner - C:\Windows\system32\roxtctm.exe
O23 - Service: roytctm  Service (roytctm) - Unknown owner - C:\Windows\system32\roytctm.exe
O23 - Service: sobicyt Service (sobicyt) - Unknown owner - C:\Windows\system32\sobicyt.exe
O23 - Service: sotpeca  Co. Ltd. (sotpeca) - Unknown owner - C:\Windows\system32\sotpeca.exe
O23 - Service: soxpeca  Service (soxpeca) - Unknown owner - C:\Windows\system32\soxpeca.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: tdxdowkc Service (tdxdowkc) - Unknown owner - C:\Windows\system32\tdxdowkc.exe
O23 - Service: tdydowkc  Service (tdydowkc) - Unknown owner - C:\Windows\system32\tdydowkc.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\Windows\system32\wserving.exe
O23 - Service: wsldoekd  Event propagation service (wsldoekd) - Unknown owner - C:\Windows\system32\wsldoekd.exe

hai un pc non incasinato ma inbordellato!!
dovresti spiegarmi come hai disinstallato nod32 e norton internet security perchè almeno nod32 non lo hai per nulla disinstallato!

per eliminare i residui del NortonInternetSecurity segui questa semplice procedura:
http://www.hwupgrade.it/forum/showthread.php?t=1630445

poi riavvia e rifai la scansione con hijackthis, prevxcsi e gmer

non dimenticate questo

[Druiser]

Quote:

Originariamente inviato da Chill-Out

Successivamente ai passaggi indicati sopra, controllando il log di ComboFix sarebbe opportuno che tu verificassi su http://www.virustotal.com/it/ e http://virscan.org/ questo eseguibile C:\Windows\System32\acovcnt.exe
copia ed incolla nel prossimo post il risultato dell'analisi

Abilita prima la visualizzazione dei file nascosti:

Pannello di controllo-->Aspetto e personalizzazione-->Opzioni cartella-->visualizza cartelle e file nascosti

link alla scansione: http://virscan.org/report/e7d17c1e90...91e50f68e.html

[Druiser]

sto levando del tutto il norton come nella guida sono al regSeeker (ho spuntato soltanto Servizi Non Validi)
sta cercando almeno credo visto che lo schermo del programma e bianco ad eccezione del lato sinistro dove c'e il menu e sotto c'è lo stop

[murack83pa]

Quote:

Originariamente inviato da Druiser

sto levando del tutto il norton come nella guida sono al regSeeker (ho spuntato soltanto Servizi Non Validi)
sta cercando almeno credo visto che lo schermo del programma e bianco ad eccezione del lato sinistro dove c'e il menu e sotto c'è lo stop

stai molto attento all'uso di regseeker

una volta eliminato il Norton e riavviato il pc come da guida, devi procedere alla disinstallazione completa di NOD, in quanto nn ha fatto il suo lavoro e in quanto mi era sembrato avessi installato Avira....

in conclusione: devi lasciare Avira Antivir ed eliminare gli altri Antivirus

una volta disinstallato anche nod32, riavvia il pc e fai una pulizia di registro solo con ccleaner

una volta fatto, fixa in hijackthis le voci gia indicate, riavvia il pc e rifai nuovamente un nuovo log e lo posti qui

PS: leggendo meglio il log, alcuni di quei servizi sono legittimi, altri sono rootkit che prevx avrebbe dovuto rilevare......strano...

[Druiser]

ragazzi e + di un ora che regseeker non da segni di vita ma e normale?

[Chill-Out]

Quote:

Originariamente inviato da Druiser

ragazzi e + di un ora che regseeker non da segni di vita ma e normale?

no non è normale, per quanto riguarda il file adesso siamo sicuri che non è di provenienza cinese

[Druiser]

ecco il nuovo log visto che non e grandissimo lo posto direttamente se ci sono problemi ditemelo


hijackthis3.txt

[Druiser]

con regseeker niente sta li fermo e non fa nulla alla fine ho lasciato perdere e ho chiesto all'interno del post dov'era la guida una soluzione alternativa a questo programma

[Chill-Out]

I log vanno allegati seconde le Regole di sezione, grazie per la collaborazione http://www.hwupgrade.it/forum/showthread.php?t=1751598

[Druiser]

basta solo il log hijackthis o volete anche altri log?

http://wikisend.com/download/540270/hijackthis3.txt

[Chill-Out]

Quote:

Originariamente inviato da Druiser

basta solo il log hijackthis o volete anche altri log?

http://wikisend.com/download/540270/hijackthis3.txt

Sarebbe meglio allegare anche gli altri log richiesti

[Druiser]

metto anche questo gmer:
gmer3.log

se vi serve qualche altro log chiedetemelo e ve lo mettero il prima possibile

[Druiser]

metto anche il log di antiVir
http://www.fileqube.com/shared/LnIKyBH95280

[xcdegasp]

Quote:

Originariamente inviato da Druiser

ecco il nuovo log visto che non e grandissimo lo posto direttamente se ci sono problemi ditemelo


hijackthis3.txt

fixa:

Codice:

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

io eprò fossi in te toglierei anche i seguenti inutili startup:

Codice:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

i programmi continueranno a funzionare solo che non sprecheranno risorse


dal log di Avira:

Codice:

C:\System Volume Information\_restore{0B1F0279-B7F2-4C59-8D88-ECDD71B8C385}\RP146\A0064366.exe

ma hai disabilitato il "ripristino di sistema" ?

[Chill-Out]

Mi raccomando il system restore non disattiviamolo mai

[Druiser]

il ripristino di sistema e la prima cosa che ho disattivato su vista
quello dovrebbe essere quello del secondo sistema operativo xp che cmq ho proveduto a disattivare appena dopo letto il log di antiVir

Ho seguito passo passo quello che c'era nella guida:

Per attivare o disattivare Protezione sistema
Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.

Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.

Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.

Una volta fixato quelle voci che cosa faccio, vi servono altri log se si quali?
Grazie