GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale).

[Riverside]

Quote:

Originariamente inviato da pachel

Grazie lo farò cmq forse ero già riuscita da sola a toglierlo (nn so come) xke mandavo a tutti i cntatti msn un file .zip

Dubito che tu lo abbia fatto da sola: evidentemente hai ripetuto le scansioni con i tool di rimozione, ed hai allegato, poi, i log relativi alle scansione successive che, ovviamente, erano puliti, perchè il virus era già stato rimosso durante le scansioni precedenti.
Fai una cosa: completa, per sicurezza, la terza parte della procedura ed allega i log richiesti.

[Luthien]

Scusami... mi son confusa io! Quello che ho postato è il log di LIVEKILL CLEAN MESSENGER! Questo è richiesto giusto?!

[Riverside]

Quote:

Originariamente inviato da Luthien

Scusami... mi son confusa io! Quello che ho postato è il log di LIVEKILL CLEAN MESSENGER! Questo è richiesto giusto?!

Scusa tu me, Luth (stavo seguendo anche un'altra discussione ed ho fatto un pò di confusione): si quello che hai pubblicato è il log di Livekill.
Però Luth, per favore, i log allegali con le modalità richieste dalla procedura e non con un copia / incolla nel post.
Ora, prosegui con la procedura, ed allega i log richiesti nella SECONDA PARTE – FASE 2 - INDIVIDUAZIONE E RIMOZIONE: li ti fermi ed aspetti che vengano analizzati; dopodiché ti diremo quando procedere con l'ultima parte.

[pachel]

Ecco i log della terza fase.. ma forse non dava niente negli altri xke appena contratto il virus .zip ho scaricato tutti gli antivirus e anti trojan ke ho potuto!

[Chill-Out]

Quote:

Originariamente inviato da pachel

Ecco i log della terza fase.. ma forse non dava niente negli altri xke appena contratto il virus .zip ho scaricato tutti gli antivirus e anti trojan ke ho potuto!

il log l'hai già postato qui quindi non postarlo di là, preferibilmente aggiornato non di 20 minuti fà

[lancetta]

Quote:

Originariamente inviato da pachel

Ecco i log della terza fase.. ma forse non dava niente negli altri xke appena contratto il virus .zip ho scaricato tutti gli antivirus e anti trojan ke ho potuto!

in hijackthis fixa queste voci

Quote:

O4 - HKLM\..\RunServices: [zxsvirtx] C:\WINDOWS\system32\zxsvirtx.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O23 - Service: Print Spooler Service (awsa9uy4aepe6i3) - Unknown owner - C:\WINDOWS\system32\zxsvirtx.exe (file missing)

Scarica Avenger da qua AVENGER
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:

Quote:

Files to delete:
C:\WINDOWS\system32\zxsvirtx.exe

clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt e lo posti qui

nuovo log di hijackthis con altra scansione di Superantispyware

[pachel]

ora metto anke la scansione di superantisp. ma c sta mettendodelle ore!!

[pachel]

eccolo finalmente... e buonanotte in ritardo.

[pachel]

eccolo finalmente... e buonanotte in ritardo.

[murack83pa]

Quote:

Originariamente inviato da pachel

eccolo finalmente... e buonanotte in ritardo.

ok, fixa queste ultime voci e dovresti essere pulita (sono solo alcune voci inutili, oltre quella voce maledetta)

Quote:

O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE /P23 "EPSON Stylus C48 Series" /O6 "USB001" /M "Stylus C48"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE /P23 "EPSON Stylus C48 Series" /M "Stylus C48" /EF "HKCU"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O23 - Service: Print Spooler Service (awsa9uy4aepe6i3) C:\WINDOWS\system32\zxsvirtx.exe (file missing)

quella rossa è riferita a quel file che è stato finalmente debellato
precisazioni:
devi aggiornare internet explorer all'ultima versione, DOWNLOAD
devi aggiornare JAVA, vai LINK
dovresti infine aggiornare acrobat, sei alla 7 ed è arrivata alla 8.1 (l'aggiornamento è gratuito)

[Luthien]

Ecco il secondo... Un problema... Ieri ho fatto eseguire la scansione a Kaspersky ed anche una volta completata, arrivata al 100 % non mi ha attivato i tasti da cliccare per cancellare i file infetti. Probabilmente è colpa mia che non so usarlo... magari mi date qualche delucidazione?! Grazie mille!!!

[lancetta]

Quote:

Originariamente inviato da pachel

eccolo finalmente... e buonanotte in ritardo.

ma potevi lasciarlo anche fare al pc ed andare a letto
vabbè ormai
allora

fai un ultima cosa se la voce 023 non si fixa

dai questo comando in

Start>esegui digita
sc stop awsa9uy4aepe6i3
sc delete awsa9uy4aepe6i3

[Riverside]

Quote:

Originariamente inviato da Luthien

Ecco il secondo... Un problema... Ieri ho fatto eseguire la scansione a Kaspersky ed anche una volta completata, arrivata al 100 % non mi ha attivato i tasti da cliccare per cancellare i file infetti. Probabilmente è colpa mia che non so usarlo... magari mi date qualche delucidazione?! Grazie mille!!!

Luth ti ho già detto che i log non li devi postare uno per volta, ma tutti assieme in unico post (é spiegato, anche nella Guida)
Ora lascia stare Kaspersky (caso mai vediamo dopo): allega un log di Hthis ed aspetta che qualcuno lo controlli e ti dica se puoi proseguire, o meno, con la terza ed ultima parte della procedura.
In ogni caso, per ora, siamo a metà della faccenda:

Quote:

MSNFix 1.639-2
* Eliminazione dei files
.. OK ... C:\DOCUME~1\ANTONE~1\IMPOST~1\Temp\services.exe
.. OK ... C:\DOCUME~1\ANTONE~1\IMPOST~1\Temp\services.exe

* Files sospetti

/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento

[C:\Documents and Settings\Antonella\iexplorer.exe] 1F20BCAAA5811BF7BB560C5A4C3A8474

Il virus è stato rimosso ma c'è quel processo iexplorer.exe che non dice nulla di buono.
Quindi, fammi il santo favore di seguire la procedura e non di fare di testa tua, altrimenti, davvero, qui ci passiamo una settimana.

[lancetta]

Quote:

Originariamente inviato da Riverside

Luth ti ho già detto che i log non li devi postare uno per volta, ma tutti assieme in unico post (é spiegato, anche nella Guida)
Ora lascia stare Kaspersky (caso mai vediamo dopo): allega un log di Hthis ed aspetta che qualcuno lo controlli e ti dica se puoi proseguire, o meno, con la terza ed ultima parte della procedura.
In ogni caso, per ora, siamo a metà della faccenda:

Il virus è stato rimosso ma c'è quel processo iexplorer.exe che non dice nulla di buono.
Quindi, fammi il santo favore di seguire la procedura e non di fare di testa tua, altrimenti, davvero, qui ci passiamo una settimana.

da zompare socio non è quella la sua posizione aspettiamo il log

[Luthien]

Chiedo scusa... Cmq ecco quello che mi hai richiesto. Kaspersky l'ho lasciato stare e questo è Hthis! Spero di aver fatto correttamente quello che dovevo stavolta!

[lancetta]

Quote:

Originariamente inviato da Luthien

Chiedo scusa... Cmq ecco quello che mi hai richiesto. Kaspersky l'ho lasciato stare e questo è Hthis! Spero di aver fatto correttamente quello che dovevo stavolta!

in hijackthis fixa

Quote:

O2 - BHO: (no name) - {25997E08-274A-4217-8F71-C89C754242C1} - (no file)
O2 - BHO: (no name) - {729dc991-40fb-42ea-9f10-439f424acfbe} - (no file)
O2 - BHO: (no name) - {88A303DB-F704-4A2D-B02B-3964B45801EC} - (no file)
O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\lasys32.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c001539F.dat
O20 - Winlogon Notify: nnnoopm - nnnoopm.dll (file missing)
O20 - Winlogon Notify: orfvlqlh - orfvlqlh.dll (file missing)
O20 - Winlogon Notify: wvusrqr - wvusrqr.dll (file missing)

hai tracce di vundo nel log prima di passre all'ultima parte della procedura fai girare Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....
FixVundo http://securityresponse.symantec.com...r/FixVundo.exe
Scarica VirtumundoBeGone http://secured2k.home.comcast.net/to...undoBeGone.exe
(questo tool va avviato in modalità provvisoria, F8 all'avvio del computer)
posta i log che ti rilasciano e dopo nuovo log di hiajackthis

[Luthien]

Perdona l'estrema ignoranza... ma cosa devo fare precisamente per fixare quella roba? Mi basta spuntarli e cliccare su "Fix.." o c'è bisogno di altro? Poi un'altra domanda... man mano che eseguo ciò che voi mi dite, posso disinstallare qualcosa o devo lasciare tutto ciò che ho installato così?

[lancetta]

Quote:

Originariamente inviato da Luthien

Perdona l'estrema ignoranza... ma cosa devo fare precisamente per fixare quella roba? Mi basta spuntarli e cliccare su "Fix.." o c'è bisogno di altro? Poi un'altra domanda... man mano che eseguo ciò che voi mi dite, posso disinstallare qualcosa o devo lasciare tutto ciò che ho installato così?

apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato
la voce...più semplice di così...
per quanto riguarda i tool poi faremo un sunto finale di quello che devi togliere...alcuni si devono semplicemente cancellare ed altri disinstallare tranquilla

[Luthien]

Non so se ho eseguito bene il secondo tool... cmq i risultati sembrano essere questi! Non mi allega fixvundo... perchè?

[pachel]

Grazie veramente di tutto... adesso dovrei essere apposto, vero?
Cmq potete consigliarmi cosa tenere sul pc (di antivirus, spyware...) per la sicurezza?
Grazie ancora... vi bacerei!!!