aiuto non ne posso più!!

[par84]

Salve,
potreste aiutare anche me? Ho lo stesso problema! Ho individuato il processo che faceva visualizzare i messaggi FIREWALL e l'ho rimosso.Adesso infatti niente più messaggi. Solo che nella cartella System 32 vedo ancora dei files sospetti, uno di questi con lo stesso nome del processo terminato. Vorrei ripulire il registro..ho provato con tutti i software consigliati ma quei files non vogliono andare via. Posto il resoconto di combofix? Grazie

[Luke57]

QUESTO FUNZIONA..

hijackthis.TXT.log

Ciao, scarica questi programmi

Ccleaner http://www.pc-facile.com/download/pulizia/ccleaner/
(cerca l'ultima versione disponibile)
ATF Cleaner http://www.atribune.org/ccount/click.php?id=1

avenger
http://swandog46.geekstogo.com/avenger2/download.php

1)Installa Ccleaner (deseleziona l'opzione per installare la barra di yahoo, se non la vuoi), avvialo, premi opzioni>avanzate, togli la spunta a "elimine file temp di windows solo se più vecchi di 48 ore".


2)Avvia Ccleaner, seleziona "Analizza" e poi clicca su "Avvia cleaner".

3) Avvia ATF Cleaner, seleziona "Select all" e poi premi "Empty selected". Aspetta il messaggio "done cleaning"!
Ripeti la stessa operazione per le schede Firefox ed Opera (se li hai).

5)avvia hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:
O4 - HKCU\..\Run: [FiveThat] "C:\ProgramData\messmpegmpeg.ivbyf"
O4 - HKCU\..\Run: [InfoSrvCom] C:\ProgramData\InfoSrvCom\tefkhwhi.exe

premi fix checked.

6)scompatta il file.zip, estrai avenger.exe sul desktop, avvialo, lascia selezionata solamente l'opzione "scan for rootkits", nello spazio bianco copie e incolla il seguente scritp:

Files to delete:
C:\ProgramData\messmpegmpeg.ivbyf

Folders to delete:
C:\ProgramData\InfoSrvCom

Premi il tasto Execute.
Il computer si riavvierà, al riavvio riesegui nuovamente Ccleaner e posta il report C:\avenger.txt.

[Luke57]

Salve,
potreste aiutare anche me? Ho lo stesso problema! Ho individuato il processo che faceva visualizzare i messaggi FIREWALL e l'ho rimosso.Adesso infatti niente più messaggi. Solo che nella cartella System 32 vedo ancora dei files sospetti, uno di questi con lo stesso nome del processo terminato. Vorrei ripulire il registro..ho provato con tutti i software consigliati ma quei files non vogliono andare via. Posto il resoconto di combofix? Grazie

Ciao, è meglio se lo alleghi a un post con l'apposita funzione del forum.

[desdemonia]

fatto...responso??

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\ProgramData\messmpegmpeg.ivbyf" deleted successfully.

Error: folder "C:\ProgramData\InfoSrvCom" not found!
Deletion of folder "C:\ProgramData\InfoSrvCom" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[par84]

Ho avviato come mi hai chiesto HIJACKthis ma non vedo le voci che hai chiesto di spuntare!Come faccio?

[Luke57]

Ho avviato come mi hai chiesto HIJACKthis ma non vedo le voci che hai chiesto di spuntare!Come faccio?

Ciao, a te avevo detto di allegare il report di combofix....

[Luke57]

fatto...responso??

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\ProgramData\messmpegmpeg.ivbyf" deleted successfully.

Error: folder "C:\ProgramData\InfoSrvCom" not found!
Deletion of folder "C:\ProgramData\InfoSrvCom" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Ciao, hai sempre problemi? Altrimenti fai uno scan on line con kaspersky:
http://www.kaspersky.com/service?chapter=161739400
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e allega il rapporto nella tua prossima risposta
La scansione è lunga, ma ne vale la pena.

[par84]

Ecco in allegato il resoconto di combofix richiesto!

[Luke57]

Ecco in allegato il resoconto di combofix richiesto!

Ciao, dal blocco note di windows, apri un file di testo. copia e incolla il seguente script nel file:

Codice: Seleziona tutto

KILLALL::

File::
C:\Windows\System32\rurqbmvc.exe
C:\[u]0[/u]1.grf
F:\autorun.exe

Folder::
C:\Users\All Users\zytelyzq
C:\ProgramData\zytelyzq
C:\Program Files\zptftkc

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f27edc41-f123-11dc-8b31-b339797fc94c}]

salva il file di testo, chiamandolo obbligatoriamente CFScript.txt nella stessa direzione di combofix, trascinalo con il puntatore del mouse sull'icona di combofix per una nuova scansione e riavvio del computer. Allega nuovo report se prodotto.

[par84]

ecco il nuovo report!fammi sapere..grazie

[par84]

ho notato nel registro che i files "indiziati" non ci sono più!allora è stato risolto?

[littlewood]

Purtroppo mi sono trovato anche io nella stessa situazione. Ho scaricato Malwarebytes e fatto uno scan, alla fine il log è il seguente:

Malwarebytes' Anti-Malware 1.26
Versione del database: 1125
Windows 5.1.2600 Service Pack 2

08/09/2008 0.34.45
mbam-log-2008-09-08 (00-34-40).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 134148
Tempo trascorso: 50 minute(s), 14 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 20
Valori di registro infetti: 1
Elementi dato del registro infetti: 1
Cartelle infette: 5
File infetti: 69

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\Programmi\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcantispy (Rogue.PCAntispy) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programmi\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\PC-Antispy (Rogue.PCAntispy) -> No action taken.

File infetti:
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programmi\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\drivers\etc\.security (Rogue.Multiple) -> No action taken.
C:\.security (Rogue.Multiple) -> No action taken.
C:\WINDOWS\.security (Rogue.Multiple) -> No action taken.

Grazie!


A qu

[Luke57]

Ciao, magari procedi con l'eliminazione delle infezioni trovate.

[desdemonia]

ciao luke...appena riesco a finire per la terza volta la scansione e a salvare il report te lo posto...comunque aveva trovato 9 voci almeno...solo che ho cliccato male e ha cancellato tutto...a dopo!!

[desdemonia]

visto che non riesco a salvare il report da nessuna parte te lo trascrivo con le mia manine..

C:\ProgramData\Bags loud rect corn\Dart setup.exe
C:\ProgramData\Ref city new\qrgvhtio.exe
C:\Users\All Users\Bags loud rect corn\Dart setup.exe
C:\Users\All Users\Ref city new\qrgvhtio.exe
C:\QooBox\Quarantine\C\ProgramData\ChkProc\hatgredg.exe.vir
C:\QooBox\Quarantine\C\ProgramData\fqhclwta\jkxmnilw.exe.vir
C:\QooBox\Quarantine\C\ProgramData\InfoMnt\uzqpcbyz.exe.vir
C:\QooBox\Quarantine\C\ProgramData\InfoSrvCom\tefkhwhi.exe.tmp.vir
C:\QooBox\Quarantine\C\ProgramData\shstr\xijizste.exe.vir

[Luke57]

Ciao, allora stampa l'elenco dei file infetti, poi riavvia il computer in modalità provvisoria, premendo ripetutamente il tasto f8 all'accensione, prima che si carichi windows; nella schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e confermando con Invio.
Poi visualizza file e cartelle nascosti (pannello di controllo/visualizzazione classica/opzioni cartella/visualizzazione/visualizza cartelle e file nascosti), cancella i file seguenti:
:\ProgramData\Bags loud rect corn\Dart setup.exe
C:\ProgramData\Ref city new\qrgvhtio.exe
C:\Users\All Users\Bags loud rect corn\Dart setup.exe
C:\Users\All Users\Ref city new\qrgvhtio.exe

elimina la cartella:
C:\QooBox\Quarantine

fatto ciò utilizza CClenar per la ripulituta dei file temp e del cestino; riavvia in modalità normale.

[Luke57]

Ciao, anzi elimina le cartelle in cui sono i file infetti vale a dire:
C:\ProgramData\Bags loud rect corn
C:\ProgramData\Ref city new

[desdemonia]

una volta attivata la visualizzazione dei file nascosti da dove li elimino?

[Luke57]

una volta attivata la visualizzazione dei file nascosti da dove li elimino?

Ciao, cerchi le cartelle:
C:\ProgramData\Bags loud rect corn
C:\ProgramData\Ref city new
C:\Users\All Users\Bags loud rect corn
C:\Users\All Users\Ref city new

click tasto dx su di esse e scegli Elimina.

[desdemonia]

ho fatto come mi hai detto......ora sono salva o c'è ancora qualcosa da fare?