Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

aiuto non ne posso più!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Re: aiuto non ne posso più!!

Postdi par84 » 07/09/08 17:15

Salve,
potreste aiutare anche me? Ho lo stesso problema! Ho individuato il processo che faceva visualizzare i messaggi FIREWALL e l'ho rimosso.Adesso infatti niente più messaggi. Solo che nella cartella System 32 vedo ancora dei files sospetti, uno di questi con lo stesso nome del processo terminato. Vorrei ripulire il registro..ho provato con tutti i software consigliati ma quei files non vogliono andare via. Posto il resoconto di combofix? Grazie
par84
Newbie
 
Post: 5
Iscritto il: 01/09/08 12:40

Sponsor
 

Re: aiuto non ne posso più!!

Postdi Luke57 » 07/09/08 17:39

desdemonia ha scritto:QUESTO FUNZIONA..

hijackthis.TXT.log

Ciao, scarica questi programmi

Ccleaner http://www.pc-facile.com/download/pulizia/ccleaner/
(cerca l'ultima versione disponibile)
ATF Cleaner http://www.atribune.org/ccount/click.php?id=1

avenger
http://swandog46.geekstogo.com/avenger2/download.php

1)Installa Ccleaner (deseleziona l'opzione per installare la barra di yahoo, se non la vuoi), avvialo, premi opzioni>avanzate, togli la spunta a "elimine file temp di windows solo se più vecchi di 48 ore".


2)Avvia Ccleaner, seleziona "Analizza" e poi clicca su "Avvia cleaner".

3) Avvia ATF Cleaner, seleziona "Select all" e poi premi "Empty selected". Aspetta il messaggio "done cleaning"!
Ripeti la stessa operazione per le schede Firefox ed Opera (se li hai).

5)avvia hijackthis, premi "do a system scan only", cerca e spunta le voci seguenti:
O4 - HKCU\..\Run: [FiveThat] "C:\ProgramData\messmpegmpeg.ivbyf"
O4 - HKCU\..\Run: [InfoSrvCom] C:\ProgramData\InfoSrvCom\tefkhwhi.exe

premi fix checked.

6)scompatta il file.zip, estrai avenger.exe sul desktop, avvialo, lascia selezionata solamente l'opzione "scan for rootkits", nello spazio bianco copie e incolla il seguente scritp:

Files to delete:
C:\ProgramData\messmpegmpeg.ivbyf

Folders to delete:
C:\ProgramData\InfoSrvCom


Premi il tasto Execute.
Il computer si riavvierà, al riavvio riesegui nuovamente Ccleaner e posta il report C:\avenger.txt.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi Luke57 » 07/09/08 17:40

par84 ha scritto:Salve,
potreste aiutare anche me? Ho lo stesso problema! Ho individuato il processo che faceva visualizzare i messaggi FIREWALL e l'ho rimosso.Adesso infatti niente più messaggi. Solo che nella cartella System 32 vedo ancora dei files sospetti, uno di questi con lo stesso nome del processo terminato. Vorrei ripulire il registro..ho provato con tutti i software consigliati ma quei files non vogliono andare via. Posto il resoconto di combofix? Grazie

Ciao, è meglio se lo alleghi a un post con l'apposita funzione del forum.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi desdemonia » 07/09/08 18:02

fatto...responso??

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\ProgramData\messmpegmpeg.ivbyf" deleted successfully.

Error: folder "C:\ProgramData\InfoSrvCom" not found!
Deletion of folder "C:\ProgramData\InfoSrvCom" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
desdemonia
Utente Junior
 
Post: 15
Iscritto il: 05/09/08 14:31

Re: aiuto non ne posso più!!

Postdi par84 » 07/09/08 18:12

Ho avviato come mi hai chiesto HIJACKthis ma non vedo le voci che hai chiesto di spuntare!Come faccio?
par84
Newbie
 
Post: 5
Iscritto il: 01/09/08 12:40

Re: aiuto non ne posso più!!

Postdi Luke57 » 07/09/08 18:18

par84 ha scritto:Ho avviato come mi hai chiesto HIJACKthis ma non vedo le voci che hai chiesto di spuntare!Come faccio?

Ciao, a te avevo detto di allegare il report di combofix.... ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi Luke57 » 07/09/08 18:21

desdemonia ha scritto:fatto...responso??

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\ProgramData\messmpegmpeg.ivbyf" deleted successfully.

Error: folder "C:\ProgramData\InfoSrvCom" not found!
Deletion of folder "C:\ProgramData\InfoSrvCom" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Ciao, hai sempre problemi? Altrimenti fai uno scan on line con kaspersky:
http://www.kaspersky.com/service?chapter=161739400
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e allega il rapporto nella tua prossima risposta
La scansione è lunga, ma ne vale la pena.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi par84 » 07/09/08 21:39

Ecco in allegato il resoconto di combofix richiesto!
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

par84
Newbie
 
Post: 5
Iscritto il: 01/09/08 12:40

Re: aiuto non ne posso più!!

Postdi Luke57 » 07/09/08 21:55

par84 ha scritto:Ecco in allegato il resoconto di combofix richiesto!

Ciao, dal blocco note di windows, apri un file di testo. copia e incolla il seguente script nel file:


Codice: Seleziona tutto
KILLALL::

File::
C:\Windows\System32\rurqbmvc.exe
C:\[u]0[/u]1.grf
F:\autorun.exe

Folder::
C:\Users\All Users\zytelyzq
C:\ProgramData\zytelyzq
C:\Program Files\zptftkc

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f27edc41-f123-11dc-8b31-b339797fc94c}]


salva il file di testo, chiamandolo obbligatoriamente CFScript.txt nella stessa direzione di combofix, trascinalo con il puntatore del mouse sull'icona di combofix per una nuova scansione e riavvio del computer. Allega nuovo report se prodotto.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi par84 » 07/09/08 22:22

ecco il nuovo report!fammi sapere..grazie
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

par84
Newbie
 
Post: 5
Iscritto il: 01/09/08 12:40

Re: aiuto non ne posso più!!

Postdi par84 » 07/09/08 22:29

ho notato nel registro che i files "indiziati" non ci sono più!allora è stato risolto? :D
par84
Newbie
 
Post: 5
Iscritto il: 01/09/08 12:40

Re: aiuto non ne posso più!!

Postdi littlewood » 07/09/08 23:39

Purtroppo mi sono trovato anche io nella stessa situazione. Ho scaricato Malwarebytes e fatto uno scan, alla fine il log è il seguente:

Malwarebytes' Anti-Malware 1.26
Versione del database: 1125
Windows 5.1.2600 Service Pack 2

08/09/2008 0.34.45
mbam-log-2008-09-08 (00-34-40).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 134148
Tempo trascorso: 50 minute(s), 14 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 20
Valori di registro infetti: 1
Elementi dato del registro infetti: 1
Cartelle infette: 5
File infetti: 69

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\Programmi\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcantispy (Rogue.PCAntispy) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\PC-Antispy (Rogue.PCAntispy) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programmi\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\PC-Antispy (Rogue.PCAntispy) -> No action taken.

File infetti:
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programmi\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programmi\PC-Antispy\ASpyStBlk.dll (Rogue.PCAntispy) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.
C:\WINDOWS\system32\drivers\etc\.security (Rogue.Multiple) -> No action taken.
C:\.security (Rogue.Multiple) -> No action taken.
C:\WINDOWS\.security (Rogue.Multiple) -> No action taken.

Grazie!


A qu
littlewood
Newbie
 
Post: 9
Iscritto il: 07/09/08 21:17

Re: aiuto non ne posso più!!

Postdi Luke57 » 08/09/08 07:37

Ciao, magari procedi con l'eliminazione delle infezioni trovate.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi desdemonia » 08/09/08 11:18

ciao luke...appena riesco a finire per la terza volta la scansione e a salvare il report te lo posto...comunque aveva trovato 9 voci almeno...solo che ho cliccato male e ha cancellato tutto...a dopo!!
desdemonia
Utente Junior
 
Post: 15
Iscritto il: 05/09/08 14:31

Re: aiuto non ne posso più!!

Postdi desdemonia » 08/09/08 14:59

visto che non riesco a salvare il report da nessuna parte te lo trascrivo con le mia manine..

C:\ProgramData\Bags loud rect corn\Dart setup.exe
C:\ProgramData\Ref city new\qrgvhtio.exe
C:\Users\All Users\Bags loud rect corn\Dart setup.exe
C:\Users\All Users\Ref city new\qrgvhtio.exe
C:\QooBox\Quarantine\C\ProgramData\ChkProc\hatgredg.exe.vir
C:\QooBox\Quarantine\C\ProgramData\fqhclwta\jkxmnilw.exe.vir
C:\QooBox\Quarantine\C\ProgramData\InfoMnt\uzqpcbyz.exe.vir
C:\QooBox\Quarantine\C\ProgramData\InfoSrvCom\tefkhwhi.exe.tmp.vir
C:\QooBox\Quarantine\C\ProgramData\shstr\xijizste.exe.vir
desdemonia
Utente Junior
 
Post: 15
Iscritto il: 05/09/08 14:31

Re: aiuto non ne posso più!!

Postdi Luke57 » 08/09/08 15:17

Ciao, allora stampa l'elenco dei file infetti, poi riavvia il computer in modalità provvisoria, premendo ripetutamente il tasto f8 all'accensione, prima che si carichi windows; nella schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e confermando con Invio.
Poi visualizza file e cartelle nascosti (pannello di controllo/visualizzazione classica/opzioni cartella/visualizzazione/visualizza cartelle e file nascosti), cancella i file seguenti:
:\ProgramData\Bags loud rect corn\Dart setup.exe
C:\ProgramData\Ref city new\qrgvhtio.exe
C:\Users\All Users\Bags loud rect corn\Dart setup.exe
C:\Users\All Users\Ref city new\qrgvhtio.exe

elimina la cartella:
C:\QooBox\Quarantine

fatto ciò utilizza CClenar per la ripulituta dei file temp e del cestino; riavvia in modalità normale.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi Luke57 » 08/09/08 15:40

Ciao, anzi elimina le cartelle in cui sono i file infetti vale a dire:
C:\ProgramData\Bags loud rect corn
C:\ProgramData\Ref city new
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi desdemonia » 08/09/08 15:45

una volta attivata la visualizzazione dei file nascosti da dove li elimino?
desdemonia
Utente Junior
 
Post: 15
Iscritto il: 05/09/08 14:31

Re: aiuto non ne posso più!!

Postdi Luke57 » 08/09/08 15:52

desdemonia ha scritto:una volta attivata la visualizzazione dei file nascosti da dove li elimino?

Ciao, cerchi le cartelle:
C:\ProgramData\Bags loud rect corn
C:\ProgramData\Ref city new
C:\Users\All Users\Bags loud rect corn
C:\Users\All Users\Ref city new

click tasto dx su di esse e scegli Elimina.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Re: aiuto non ne posso più!!

Postdi desdemonia » 08/09/08 16:05

ho fatto come mi hai detto......ora sono salva o c'è ancora qualcosa da fare?
:eeh: :roll:
desdemonia
Utente Junior
 
Post: 15
Iscritto il: 05/09/08 14:31

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "aiuto non ne posso più!!":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti