Chiave registro infetto da BHO.SGPSA.A

[Luke57]

@FDAC
Ciao, sono del tutto legittimi
http://www.processlibrary.com/it/direct ... /sm56hlpr/

[FDAC]

Importante: alcuni malware si mascherano come sm56hlpr.exe, in particolar modo se si trovano nelle cartelle c:\windows o c:\windows\system32. Controllare quindi il processo sm56hlpr.exe sul pc per vedere se è nocivo. Consigliamo Task Manager di Sicurezza per verificare la sicurezza del proprio computer.

http://www.file.net/it/processo/sm56hlpr.exe.html

Non sono legittimi, Luke.


Plus81, appena hai tempo fixa le voci che ti ho detto di fixare.

[Riverside]

http://www.file.net/it/processo/sm56hlpr.exe.html
Non sono legittimi, Luke.

Beata gioventù (mi verrebbe da dire)

@Plus, il computer come ti ha già dello Luke è di nuovo infetto, quindi segui le sue istruzioni.

Per ora non fixare nulla con Hijackthis.

Per quanto riguarda la legittimità di sm56hlpr.exe, segui questo percorso:
C:\WINDOWS individua sm56hlpr.exe e fallo analizzare su Virustotal
Al termine dell'analisi verrà rilasciato un report: allega qui il link al report assieme ai log che ti ha richesto Luke.

[Luke57]

Importante: alcuni malware si mascherano come sm56hlpr.exe, in particolar modo se si trovano nelle cartelle c:\windows o c:\windows\system32. Controllare quindi il processo sm56hlpr.exe sul pc per vedere se è nocivo. Consigliamo Task Manager di Sicurezza per verificare la sicurezza del proprio computer.

http://www.file.net/it/processo/sm56hlpr.exe.html

Non sono legittimi, Luke.


Plus81, appena hai tempo fixa le voci che ti ho detto di fixare.

Ciao, capisco il tuo entusiasmo giovanile(come dice Riverside ) ma prima di fare affermazioni così apodittiche studiati qualche report in più. Quel valore di registro era già presente nel primo report di hijackthis e non è stato individuato come valore infetto nè da malwarebytes nè da combofix.

[FDAC]

Scusate ragazzi, mi sono fatto un po' prendere.
Controlla il file su virusTotal e facci sapere.

[plus81]

Non ho fissato nulla con HJT, ma ho seguito le istruzioni di Luke. La scansione con malware non ha rilevato nessuna minaccia, ho caricato il report su questo link:
http://uploading.com/files/me7fc23b/mba ... %2529.txt/

Ho eseguito combofix dopo aver cancellato la versione che avevo e scaricato una nuova. Ho caricato il log su questo link:
http://uploading.com/files/6fm6fdfa/log.txt/

Infine ho fatto valutare il file sm56hlpr.exe su VirusTotal, il cui risultato si trova a questo link:
http://www.virustotal.com/file-scan/rep ... 1283424872

Attendo ulteriori consigli. GRAZIE.

[Riverside]

Plus, per favore ricarica i log utilizzando questo servizio di upload: clicca qui per wikisend e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

[Riverside]

E, Come volevasi dimostrare, sm56hlpr.exe è assolutamente legittimo

[FDAC]

OK Raga, scusate.
Ho sbagliato è vero, ma visto che ha anche un software antidialer, e ho letto in rete che se quel file è presente nella directory di Windows è una infezione.
Ha 30 applicazioni all'avvio automatico, tra cui dei virus, che pare non siano stati rimossi da Malwarebytes -chissà come mai-.
Se vuoi, posta un log aggiornato di HJT.

[Riverside]

@FDAC, potresti, per cortesia, evitare di alimentare confusione con le tue (spesso errate) conclusioni? non è di alcun aiuto all'utente.
Il log di Hijackthis per ora non serve, serve solo ripubblicare il log di Mawarebytes e Combofix nella modalità che ho segnalato prima (visto che mi trovo dietro un proxy e, quindi, non li posso scaricare dal servizio su cui sono stati caricati).

[plus81]

Riverside ho ricaricato i log come da te richiesto.
Il forumlink per il report di Malwarebytes è:
mbam-log-2010-09-02 (12-14-29).txt

Il formulink per il report di COMBOFIX è:
log.txt

[Riverside]

Ok Plus, facciamo ancora una scansione, giusto per essere sicuri:
Scarica ed installa HitmanPro (scegli la versione adatta al tuo S.O. - 32Bit o 64Bit)
● lascia le impostazioni di default e lancia la scansione (attiva anche la licenza, sarà valida per 30 gg);
● al termine della scansione (sarà velocissima, 3/4 minuti al massimo) ti verrà mostrato una finestra di riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato
● allega il con le stesse modalità che ti ho indicato prima.

[plus81]

Ho fatto la scansione con HitmanPro3. Ho letto che ha rilevato 11 minacce e le ha anche corrette. Comunque ho caricato il log su questo forumlink:

log.xml

[Luke57]

Riverside ho ricaricato i log come da te richiesto.
Il forumlink per il report di Malwarebytes è:
mbam-log-2010-09-02 (12-14-29).txt

Il formulink per il report di COMBOFIX è:
log.txt

Ciao, il report di combofix sembra a posto. Segui l'indicazione di Riverside.
Una curiosità: ma queste infezioni:
O4 - HKUS\S-1-5-21-117609710-1177238915-839522115-1004\..\Run: [msword98] C:\Documents and Settings\Davide\msword98.exe (User 'Davide')
O4 - HKUS\S-1-5-21-117609710-1177238915-839522115-1004\..\Run: [braviax] (User 'Davide')
O4 - HKUS\S-1-5-21-117609710-1177238915-839522115-1004\..\Run: [whdhc] rundll32.exe "C:\Documents and Settings\Davide\Dati applicazioni\oaeliovd.dll",wibatalv (User 'Davide')
emerse dal report precedente di hijackthis le hai eliminate con una scansione dell'antivirus prima di fare le scansioni suggerite? Combofix non ha eliminato alcunchè e nemmeno combofix.

[Riverside]

Ho fatto la scansione con HitmanPro3. Ho letto che ha rilevato 11 minacce e le ha anche corrette.

Infatti HitmanPro ha fatto il suo dovere
Ora, per iniziare, prosegui in questo modo (e per favore, fino al termine di sto caos, non usare nessuna chiavetta esterna, per nessun motivo):

1) disinstalla Combofix: scarica sul desktp OTC by OldTimer clicca qui per il download
● doppio clic sulla icona per lanciarlo - clicca su CleanUP
● quando ha terminato, riavvia il computer

2) Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) disinstalla Virit clicca qui per il download del tool di disinstallazione
● prima di eseguire il tool, sconnettiti da Internet e dalla traybar (a destra accanto all'orologio, chiudi l'esecuzione di Virit Monitor)
● quando ha terminato, riavvia il computer

4) disinstalla Auslogic disk defrag

5) da Installazione Applicazioni disinstalla:
● Adobe Flash Player
● Adobe Reader e/o Adobe Acrobat
● JavaSun (tutte le versioni che trovi installate)

Fatto questo, allega un nuovo log di Hijakthis con le solite modalità.

[plus81]

Rispondo a Luke: non ho elimnato nulla con nessun antivirus. Anzi ho anche disinstallato l'antivirus Avast perchè mi segnalava problemi prima di lanciare COMBOFIX e non sapevo come disattivarlo.

Adesso procedo con le indicazioni di Riverside e vi faccio sapere. Grazie ancora per l'aiuto e soprattutto per la pazienza visto che sono passati gironi ed ancora non riesco a risolvere.

[Riverside]

Rispondo a Luke: non ho elimnato nulla con nessun antivirus. Anzi ho anche disinstallato l'antivirus Avast

Perfetto (non lo installare più - poi ti faccio installare un Antivirus serio).
Aggiungi alla lista della spesa che ti ho indicato prima, anche questo (da eseguire al termine di tutto):

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere).

[plus81]

Son arrivato al terzo punto suggerito da Riverside: ho disinstallato VIRIT con il tool consaigliato e riavviato il pc. Prima di procedere volevo segnalarvi che all'avvio di Windows, oltre ad impiegare molto tempo prima che la barra delle applicazioni funzioni, mi esce anche il seguente messaggio di errore:

Debug Assertion Failed!
Program: C:\Programmi\SEC\NAturalColor\NaturalColorLoad.exe
File: C:\WORK\nc2_20020220\...\NaturalColorLoad\Systemtray.cpp Line:124
For information on how your program can cause an assertion failure, see the visual c++ documentation on asserts.

Adesso procedo con gli altri punti consigliati da Riverside e vi faccio sapere.

[plus81]

Riverside ho fatto tutto fino al punto 5 ed ho rilanciato HJT. Ecco il forumlink del file log:
hijackthis.log

Adesso procedo con gli altri consigli che mi hai dato: CCleaner... etc.

[plus81]

Ho fatto tutto, compresa la pulizia con CCleaner come indicato da riverside, attendo ulteriori consigli su come procedere. Grazie.