rimozione virus

moio77 · 16-08-2008, 22:28

Ho un problema molto fastidioso, ogni volta che apro una pagina internet, mi si apre un'altra pagina di un'altro sito

Explorer è sparito dal dextop, ho seguito questa guida http://www.hwupgrade.it/forum/showthread.php?t=1555416, ma niente!
Mi si apre pure questa finestra:

Che devo fare?

Gle89 · 16-08-2008, 23:05

Benvenuto,

inizia con il seguire la Guida alla Disinfestazione passo passo e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione) cosi potremo darti una mano!

moio77 · 18-08-2008, 18:17

Ecco i log richiesti:

Malwarebytes Anti-Malware --> mbam-log-8-17-2008 (12-17-55).txt
A-Squared Free v3.x --> a2scan_080817-130913.txt
F-Secure OnLine --> non ho potuto fare la scansione in quanto explorer è sparito
Dr.Web CureIT --> non si aggiorna
ESET SysInspector --> SysInspector-MILLY-W4FWJR6GZ-080817-1718.xml
HiJackThis --> hijackthis.log
Gmer --> gmer.log
Gmer mi segnala queste voci:
Service C:\Programmi\File comuni\MicrosoftShared\DMheBx.exe (*** hidden *** )[AUTO] NetCmv
Service C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )[AUTO] SysXmc
PrevxCSI --> prevx.log

xcdegasp · 18-08-2008, 22:18

se drweb lo avevi appena scaricato non ènecessario aggiornarlo quindi puoi fare la scansione completa lo stesso

al posto di f-secure puoi usare kaspersky-tool

gmer:

Codice:

Service         C:\Programmi\File comuni\Microsoft Shared\DMheBx.exe (*** hidden *** )           [AUTO] NetCmv <-- ROOTKIT!!!
Service         C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )
[AUTO] SysXmc <-- ROOTKIT !!!

riesegui gmer poi sopra a quelle voci rosse clicka su ognuna di esse con il tasto destro scegliendo la voce selezionabile (DELETE SERVICE).

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {55592251-E65D-959B-DA92-C5FF72174D82} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Programmi\CoreStreet\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Programmi\CoreStreet\SpoofStick\SpoofStick.dll
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\Milly\IMPOST~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [qkmcsai] "c:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe" qkmcsai
O4 - Startup: Deer Hunter 2005 Registration.lnk = G:\Programmi\camion\Deer Hunter 2005\ATR1.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html

fatto questo mi dovresti disisnstallare quella chiavica di AVG che non te ne fai nulla e fa solo casino infatti hai ben due antivirus e nessuno di questi ha risolto prorpio perchè vanno in conflitto tra loro.
senza riavviare poi lanci un aggiornamento di avira e mi fai una scansioe completa del pc e mi pubblichi il log

prevx:

Codice:

C:\Programmi\rooarr502.exe	InMem: 0	Det [u]	PX5: 3C000245B97C3F789CCB1A02418C8C00F434AA46

C:\Programmi\rpatentino\wrpat.exe	InMem: 0	Det [u]	PX5: BB67B2D200230E9980F805812B8541005D79F1D2

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe	InMem: 0	Det [u]	PX5: 14A6205ADA4CA605C7650B313D29DB002BBA7BA9

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe	InMem: 1	Det [b]	PX5: ABEC2EA700853F46E0840421941C8F001E678DCD	Malware Group: Fraudulent Security Program
	REGRUNKEY - \REGISTRY\User\S-1-5-21-57989841-682003330-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run - qkmcsai ["c:\documents and settings\milly\impostazioni locali\dati applic]


Summary:
C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe - [b] >> Fraudulent Security Program (PX5: ABEC2EA700853F46E0840421941C8F001E678DCD)

potresti farmi analizzare questi files su http://virscan.org/ e http://www.virustotal.com/ (basta che pubblichi l'url che compare nel browser a fine di ogni scansione):
C:\Programmi\rooarr502.exe
C:\Programmi\rpatentino\wrpat.exe
C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe
C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe

xcdegasp · 18-08-2008, 23:19

noto ora che sei di trento eppure coscritto

moio77 · 19-08-2008, 17:29

Gà già sono della provincia di trento e pure coscritto

Grazie dei consigli, li sto eseguendo passo per passo

ma ci impieghero un paio di giorni prima di inserire tutti i log da te richiesti

xcdegasp · 19-08-2008, 18:44

le più lente sono le prime 4 e PrevxCSI poi è abbastanza veloce

quindi se può esserti d'aiuto puoi pubblicare subito le prime 4 e poi fare la seconda parte

moio77 · 20-08-2008, 11:17

Dr.Web CureIT --> CureIt.log
kaspersky-tool --> Kaspersky.txt
Gmer --> gmer2.log
Quando tento di eliminare quelle 2 voci rosse, mi esce questa finestra:

hijackthis --> hijackthis2.log
AVG l'ho disinstallato
avira --> AVSCAN-20080820-145955-947A58ED.LOG

C:\Programmi\rooarr502.exe:
http://virscan.org/report/6748b21891...73efc7321.html
http://www.virustotal.com/it/reanali...cbc4b5d744f49b

C:\Programmi\rpatentino\wrpat.exe:
http://virscan.org/report/acec5bad81...cbe9ca091.html
http://www.virustotal.com/it/reanali...d569d0f6588540

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe:
http://virscan.org/report/32decadff8...732fac215.html
http://www.virustotal.com/it/reanali...0a00d357c59a65

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe:
http://virscan.org/report/84f5e014e1...a1b646349.html
http://www.virustotal.com/it/reanali...54160bf344d4e4

xcdegasp · 20-08-2008, 13:32

non mi sembra che tu abbia fatto tutto cio che ti sia stato chiesto, ti ricordo che davanti al monitor ci sei te e il pc è il tuo..
per cortesia potresti ricontrollare quanto suggerito in questo messaggio? http://www.hwupgrade.it/forum/showpo...48&postcount=4

ovviamente trascurando la parte gmer visto che l'hai fatta

grazie

moio77 · 20-08-2008, 13:57

mmm...dal tuo topic se ho capito bene mi manca soltanto la scansione con avira e analizzare quei files

Man mano che esegueo quello che hai scritto, aggiorno il topic

**Chill-Out** · 20-08-2008, 14:48

Il log di Gmer è sostanzialmente cambiato, per eliminare le due voci in rosso ovvero

Quote:

Service C:\Programmi\File comuni\Microsoft Shared\DMheBx.exe (*** hidden *** ) [AUTO] NetCmv <-- ROOTKIT!!!
Service C:\Programmi\File comuni\System\Dcmk.exe (*** hidden *** )
[AUTO] SysXmc <-- ROOTKIT !!!

hai cliccato sulle suddette voci con il tasto dx del mouse e cliccato su DELETE SERVICE

moio77 · 21-08-2008, 21:05

Quote:

Originariamente inviato da moio77

Dr.Web CureIT --> CureIt.log
kaspersky-tool --> Kaspersky.txt
Gmer --> gmer2.log
hijackthis --> hijackthis2.log
AVG l'ho disinstallato
avira --> AVSCAN-20080820-145955-947A58ED.LOG

C:\Programmi\rooarr502.exe:
http://virscan.org/report/6748b21891...73efc7321.html
http://www.virustotal.com/it/reanali...cbc4b5d744f49b

C:\Programmi\rpatentino\wrpat.exe:
http://virscan.org/report/acec5bad81...cbe9ca091.html
http://www.virustotal.com/it/reanali...d569d0f6588540

C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe:
http://virscan.org/report/32decadff8...732fac215.html
http://www.virustotal.com/it/reanali...0a00d357c59a65

C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe:
http://virscan.org/report/84f5e014e1...a1b646349.html
http://www.virustotal.com/it/reanali...54160bf344d4e4

Manca qualcosa?

xcdegasp · 21-08-2008, 22:32

fixa:

Codice:

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

poi quand'è che ti decidi a rimovere avg per lasciare solo avira che è di granlunga superiore? due antivirus ti avevano portato qui e forse è il caso di evitare di continuare a lasciarli che si pestino i piedi, poi vedi tu il pc del resto è il tuo

le scansioni su virustotal sono vuote, sei sicuro d'aver copiato il link corretto?

mi potresti scremare il log di dr.web cureit con il programma parserlog? se lo facevi prima evitvi di tenere impeganta la linea per piùore a inviare un log pesante 73mb

moio77 · 22-08-2008, 09:55

hijackthis3.log

AVG l'ho disinstallato, installazione applicazioni, rimuovi, però sono rimaste ancora le icone sul desktop

http://www.virustotal.com/it/analisi...0db70101449f5a
http://www.virustotal.com/it/analisi...a346011520f1c5
http://www.virustotal.com/it/analisi...2011b435584ca8
http://www.virustotal.com/it/analisi...9912ee9b346568

Non riesco a scaricare il parserlog: mi scarica un file cureit.zip - archivio ZIP, dimensione non-compressa di 87.340 bytes e non riesco ad aprire il file cureit.jar - archivio ZIP, dimensione non-compressa di 28.742 bytes

xcdegasp · 22-08-2008, 14:48

il programma è quello, basta scompattare cureit.zip e poi lanciare il run.bat

io quei 4 programmi li cancellerei per sicurezza.. potresti tenere rpatentino30315a.exe che pare essere l'unico file non infetto

moio77 · 22-08-2008, 19:05

Dr.Web CureIT --> http://www.hwupgrade.helloweb.eu/Par...4969636597.txt

Quei 4 programmi li ho disinstallati e anche avg.
Ma ora dovrei rifare tutte le scansioni?

xcdegasp · 22-08-2008, 19:08

e a cosa serve fare la scansione se poi nellog compare "cura negata dall'utente" ?
rifalla grazie

moio77 · 23-08-2008, 16:50

Ho rifatto la scansione con Dr.Web CureIT, ma è normale che esca "scansione interrotta dall'utente"?

http://www.hwupgrade.helloweb.eu/Par...0294795266.txt

Pensavo di disinstallare pure Spybot, perchè fa soltanto casino e lasciare a-squared free 3 e Malwarebytes Anti-Malware ed eventualmente installare Spyware Terminator

Cosa pensi di questa combinazione?

moio77 · 26-08-2008, 09:12

Devo fare qualche scansione?

16-08-2008, 22:28	#1
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	rimozione virus Ho un problema molto fastidioso, ogni volta che apro una pagina internet, mi si apre un'altra pagina di un'altro sito Explorer è sparito dal dextop, ho seguito questa guida http://www.hwupgrade.it/forum/showthread.php?t=1555416, ma niente! Mi si apre pure questa finestra: Che devo fare? __________________ Ultima modifica di moio77 : 18-08-2008 alle 18:32.

16-08-2008, 23:05	#2
Gle89 Senior Member Iscritto dal: Aug 2007 Città: Lucca Sesso: FEMMINA Messaggi: 2495	Benvenuto, inizia con il seguire la Guida alla Disinfestazione passo passo e alla fine allega tutti i log richiesti (nelle modalità espresse nelle regole di sezione) cosi potremo darti una mano! __________________ Disinfettare da disk knight.exe / Icone desktop sparite? / Guida Rimozione Virus MSN Guida "Impossibile installare alcuni aggiornamenti XP /

18-08-2008, 18:17	#3
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Ecco i log richiesti: Malwarebytes Anti-Malware --> mbam-log-8-17-2008 (12-17-55).txt A-Squared Free v3.x --> a2scan_080817-130913.txt F-Secure OnLine --> non ho potuto fare la scansione in quanto explorer è sparito Dr.Web CureIT --> non si aggiorna ESET SysInspector --> SysInspector-MILLY-W4FWJR6GZ-080817-1718.xml HiJackThis --> hijackthis.log Gmer --> gmer.log Gmer mi segnala queste voci: Service C:\Programmi\File comuni\MicrosoftShared\DMheBx.exe (* hidden * )[AUTO] NetCmv Service C:\Programmi\File comuni\System\Dcmk.exe (* hidden * )[AUTO] SysXmc PrevxCSI --> prevx.log __________________

18-08-2008, 23:19	#5
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	noto ora che sei di trento eppure coscritto __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

19-08-2008, 17:29	#6
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Gà già sono della provincia di trento e pure coscritto Grazie dei consigli, li sto eseguendo passo per passo ma ci impieghero un paio di giorni prima di inserire tutti i log da te richiesti __________________

19-08-2008, 18:44	#7
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	le più lente sono le prime 4 e PrevxCSI poi è abbastanza veloce quindi se può esserti d'aiuto puoi pubblicare subito le prime 4 e poi fare la seconda parte __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

20-08-2008, 11:17	#8
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Dr.Web CureIT --> CureIt.log kaspersky-tool --> Kaspersky.txt Gmer --> gmer2.log Quando tento di eliminare quelle 2 voci rosse, mi esce questa finestra: hijackthis --> hijackthis2.log AVG l'ho disinstallato avira --> AVSCAN-20080820-145955-947A58ED.LOG C:\Programmi\rooarr502.exe: http://virscan.org/report/6748b21891...73efc7321.html http://www.virustotal.com/it/reanali...cbc4b5d744f49b C:\Programmi\rpatentino\wrpat.exe: http://virscan.org/report/acec5bad81...cbe9ca091.html http://www.virustotal.com/it/reanali...d569d0f6588540 C:\Documents and Settings\Milly\Desktop\rpatentino30315a.exe: http://virscan.org/report/32decadff8...732fac215.html http://www.virustotal.com/it/reanali...0a00d357c59a65 C:\documents and settings\milly\impostazioni locali\dati applicazioni\qkmcsai.exe: http://virscan.org/report/84f5e014e1...a1b646349.html http://www.virustotal.com/it/reanali...54160bf344d4e4 __________________ Ultima modifica di moio77 : 21-08-2008 alle 21:00.

20-08-2008, 13:32	#9
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	non mi sembra che tu abbia fatto tutto cio che ti sia stato chiesto, ti ricordo che davanti al monitor ci sei te e il pc è il tuo.. per cortesia potresti ricontrollare quanto suggerito in questo messaggio? http://www.hwupgrade.it/forum/showpo...48&postcount=4 ovviamente trascurando la parte gmer visto che l'hai fatta grazie __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

20-08-2008, 13:57	#10
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	mmm...dal tuo topic se ho capito bene mi manca soltanto la scansione con avira e analizzare quei files Man mano che esegueo quello che hai scritto, aggiorno il topic __________________

21-08-2008, 22:32	#13
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	fixa: Codice: R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe poi quand'è che ti decidi a rimovere avg per lasciare solo avira che è di granlunga superiore? due antivirus ti avevano portato qui e forse è il caso di evitare di continuare a lasciarli che si pestino i piedi, poi vedi tu il pc del resto è il tuo le scansioni su virustotal sono vuote, sei sicuro d'aver copiato il link corretto? mi potresti scremare il log di dr.web cureit con il programma parserlog? se lo facevi prima evitvi di tenere impeganta la linea per piùore a inviare un log pesante 73mb __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

22-08-2008, 09:55	#14
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	hijackthis3.log AVG l'ho disinstallato, installazione applicazioni, rimuovi, però sono rimaste ancora le icone sul desktop http://www.virustotal.com/it/analisi...0db70101449f5a http://www.virustotal.com/it/analisi...a346011520f1c5 http://www.virustotal.com/it/analisi...2011b435584ca8 http://www.virustotal.com/it/analisi...9912ee9b346568 Non riesco a scaricare il parserlog: mi scarica un file cureit.zip - archivio ZIP, dimensione non-compressa di 87.340 bytes e non riesco ad aprire il file cureit.jar - archivio ZIP, dimensione non-compressa di 28.742 bytes __________________ Ultima modifica di moio77 : 22-08-2008 alle 18:55.

22-08-2008, 14:48	#15
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	il programma è quello, basta scompattare cureit.zip e poi lanciare il run.bat io quei 4 programmi li cancellerei per sicurezza.. potresti tenere rpatentino30315a.exe che pare essere l'unico file non infetto __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

22-08-2008, 19:05	#16
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Dr.Web CureIT --> http://www.hwupgrade.helloweb.eu/Par...4969636597.txt Quei 4 programmi li ho disinstallati e anche avg. Ma ora dovrei rifare tutte le scansioni? __________________

22-08-2008, 19:08	#17
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	e a cosa serve fare la scansione se poi nellog compare "cura negata dall'utente" ? rifalla grazie __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

23-08-2008, 16:50	#18
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Ho rifatto la scansione con Dr.Web CureIT, ma è normale che esca "scansione interrotta dall'utente"? http://www.hwupgrade.helloweb.eu/Par...0294795266.txt Pensavo di disinstallare pure Spybot, perchè fa soltanto casino e lasciare a-squared free 3 e Malwarebytes Anti-Malware ed eventualmente installare Spyware Terminator Cosa pensi di questa combinazione? __________________

26-08-2008, 09:12	#19
moio77 Senior Member Iscritto dal: Oct 2006 Città: trento Messaggi: 1133	Devo fare qualche scansione? __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email