Eliminazione scorie indesiderate

Ultron5 · 30-12-2008, 01:06

Piccola premessa per iniziare come browser uso Firefox qualche giorno fa improvvisamente mi si apre ie con un avviso di infezione e la proposta di una scansione chiudo ie e lo blocco con il firewall
Faccio un primo giro con Malwarebytes
mbam-log-2008-12-28 (13-45-21).txt
Dopo la pulizia rimane qualche scoria che non riesce ad eliminare
mbam-log-2008-12-28 (14-45-03).txt
Passo quindi a Combofix che trova altra roba
ComboFix prima.txt
Sembra tutto a posto
ComboFix dopo.txt
ma al chiave di registro HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} è ancora presente
Passo quindi a SUPERAntiSpyware che mi trova la solita chiave
Che non riesce ad eliminare
SUPERAntiSpyware Scan Log - 12-29-2008 - 00-36-53.log
Ho provato ad eliminare la chiave incriminata con Regedit senza successo, stesso risultato con RegAssassin utilizzando Combofix ed il seguente script

Registry::
[-HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}]

Al reboot ho ottenuto una bella schermata blu (forse è sbagliato lo script) ed alla successiva accensione la chiave era ancora presente
Faccio anche le altre scansioni ma a parte qualche altra porcheria non cambia nulla
Allego anche il log di a-squared
a2scan_081229-003935.txt
Cureit
CureIt.log
GMER
Gmer.log
SysInspector
SysInspector-DCJHNQ2J-081229-1156.zip
Prevxcsi
Prevxcsi.log
HijackThis
hijackthis.log
Avete qualche idea su come eliminare definitivamente quella maledetta chiave?

Grazie Ciao

**Chill-Out** · 30-12-2008, 01:25

Ciao ripeti la scansione completa con MBAM

Ultron5 · 30-12-2008, 09:38

Fatto ma non cambia niente chiave riconosciuta ma non cancellata

Quote:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

30/12/2008 9.21.16
mbam-log-2008-12-30 (09-21-10).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 169600
Tempo trascorso: 1 hour(s), 16 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

**Chill-Out** · 30-12-2008, 09:39

Per cortesia edita il post, i log vanno allegati non copiati ed incollati

Il log per questa volta l'ho sistemato io

**Chill-Out** · 30-12-2008, 10:07

Apri il blocco note copia ed incolla il seguente codice:

Quote:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}]

salva il file sul Desktop col nome di Fix.reg

doppio click sul file Fix.reg ed accetta tutte le modifiche, riavvia il Pc e procedi con un'altra scansione completa con MBAM

Hai percaso fixato delle voci in HJT? Se si quali?

Ultron5 · 30-12-2008, 15:04

Fatto ma non cambia niente

Codice:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

30/12/2008 13.13.25
mbam-log-2008-12-30 (13-13-25).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 169842
Tempo trascorso: 1 hour(s), 18 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Delete on reboot.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

No non ho fixato nulla

**Chill-Out** · 30-12-2008, 16:13

Allega un nuovo log di SysInspector in formato .xml come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 6

Ultron5 · 30-12-2008, 16:24

eccolo

SysInspector-DCJHNQ2J-081230-1617.xml

**Chill-Out** · 30-12-2008, 16:38

Quote:

Originariamente inviato da Ultron5

eccolo

SysInspector-DCJHNQ2J-081230-1617.xml

Ok, hai riavviato il Pc dopo aver effettuato l'ultima scansione con MBAM? Se si mi alleghi uno screenshot su http://fileqube.com/ dell'Editor del Registro

Start - Esegui - digita regedit e naviga fino alla seguente chiave

HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}

espandila vorrei vedere anche il contenuto del Pannelle di dx dell'Editor, grazie.

Liuk00 · 30-12-2008, 17:02

Posso risponderti io visto che ho lo stesso identico problema:

Ho riavviato dopo la scansione (2 volte)

Parte sinistra:
ImprocServer32

Parte destra:
Nome
(predefinito)
Tipo
REG_SZ
Dati
(valore non impostato)

Ultron5 · 30-12-2008, 17:33

http://www.fileqube.com/file/FLlMIG163409

uguale a quello di Liuk00

**Chill-Out** · 30-12-2008, 17:42

Ok la selezioni col tasto dx del mouse e clicchi su Elimina, se ti dovesse negare l'eliminazione, clicca con il tasto destro del mouse e seleziona Autorizzazioni e dai al tuo account l'autorizzazione per la cancellazione della chiave in questione

Ultron5 · 30-12-2008, 22:29

Ok grazie è andata

**Chill-Out** · 30-12-2008, 22:30

Quote:

Originariamente inviato da Ultron5

Ok grazie è andata

Prego se ne hai voglia un'altra scansione con MBAM sarebbe perfetta

Ultron5 · 31-12-2008, 01:35

Tutto lindo e pulito

Quote:

Malwarebytes' Anti-Malware 1.31
Versione del database: 1550
Windows 5.1.2600 Service Pack 3

31/12/2008 1.34.13
mbam-log-2008-12-31 (01-34-13).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
Elementi scansionati: 170000
Tempo trascorso: 1 hour(s), 20 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

**Chill-Out** · 31-12-2008, 09:33

Perfetto, ciao

30-12-2008, 01:06	#1
Ultron5 Member Iscritto dal: Dec 2003 Messaggi: 35	Eliminazione scorie indesiderate Piccola premessa per iniziare come browser uso Firefox qualche giorno fa improvvisamente mi si apre ie con un avviso di infezione e la proposta di una scansione chiudo ie e lo blocco con il firewall Faccio un primo giro con Malwarebytes mbam-log-2008-12-28 (13-45-21).txt Dopo la pulizia rimane qualche scoria che non riesce ad eliminare mbam-log-2008-12-28 (14-45-03).txt Passo quindi a Combofix che trova altra roba ComboFix prima.txt Sembra tutto a posto ComboFix dopo.txt ma al chiave di registro HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} è ancora presente Passo quindi a SUPERAntiSpyware che mi trova la solita chiave Che non riesce ad eliminare SUPERAntiSpyware Scan Log - 12-29-2008 - 00-36-53.log Ho provato ad eliminare la chiave incriminata con Regedit senza successo, stesso risultato con RegAssassin utilizzando Combofix ed il seguente script Registry:: [-HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}] Al reboot ho ottenuto una bella schermata blu (forse è sbagliato lo script) ed alla successiva accensione la chiave era ancora presente Faccio anche le altre scansioni ma a parte qualche altra porcheria non cambia nulla Allego anche il log di a-squared a2scan_081229-003935.txt Cureit CureIt.log GMER Gmer.log SysInspector SysInspector-DCJHNQ2J-081229-1156.zip Prevxcsi Prevxcsi.log HijackThis hijackthis.log Avete qualche idea su come eliminare definitivamente quella maledetta chiave? Grazie Ciao

30-12-2008, 01:25	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao ripeti la scansione completa con MBAM __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

30-12-2008, 09:39	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Per cortesia edita il post, i log vanno allegati non copiati ed incollati Il log per questa volta l'ho sistemato io __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 30-12-2008 alle 09:54.

30-12-2008, 16:13	#7
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Allega un nuovo log di SysInspector in formato .xml come indicato qui http://www.hwupgrade.it/forum/showthread.php?t=1599737 al Punto 6 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

30-12-2008, 17:02	#10
Liuk00 Member Iscritto dal: May 2003 Messaggi: 157	Posso risponderti io visto che ho lo stesso identico problema: Ho riavviato dopo la scansione (2 volte) Parte sinistra: ImprocServer32 Parte destra: Nome (predefinito) Tipo REG_SZ Dati (valore non impostato) __________________ Ho concluso positivamente con: SM_MORGAN, DANMAR, GODO70, GIVDYX, Necromachine, B\|g\|o

30-12-2008, 16:24	#8
Ultron5 Member Iscritto dal: Dec 2003 Messaggi: 35	eccolo SysInspector-DCJHNQ2J-081230-1617.xml

30-12-2008, 17:33	#11
Ultron5 Member Iscritto dal: Dec 2003 Messaggi: 35	http://www.fileqube.com/file/FLlMIG163409 uguale a quello di Liuk00

30-12-2008, 17:42	#12
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ok la selezioni col tasto dx del mouse e clicchi su *Elimina, se ti dovesse negare l'eliminazione, clicca con il tasto destro del mouse e seleziona Autorizzazioni* e dai al tuo account l'autorizzazione per la cancellazione della chiave in questione __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

30-12-2008, 22:29	#13
Ultron5 Member Iscritto dal: Dec 2003 Messaggi: 35	Ok grazie è andata

31-12-2008, 09:33	#16
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Perfetto, ciao __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email