Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutoooo ragazzi virus finanza.. Opzioni
sodomino
Inviato: Sunday, April 01, 2012 7:33:12 PM
Rank: AiutAmico

Iscritto dal : 7/17/2008
Posts: 96
yorkyt.exe.log
OTL.Txt
Extras.Txt

Spero di aver fatto giusto

scusami r16 ma non ci ho fatto caso ho semplicemente copiato e incollato come facevo di solito
r16
Inviato: Sunday, April 01, 2012 8:33:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
O2 - BHO: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKU\S-1-5-21-219795202-535134581-4024728452-1001\..\Toolbar\WebBrowser: (no name) - {2C965F3F-8EFD-4BFC-A2C5-1672845FDBBF} - No CLSID value found.
O3 - HKU\S-1-5-21-219795202-535134581-4024728452-1001\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found.
O3 - HKU\S-1-5-21-219795202-535134581-4024728452-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-219795202-535134581-4024728452-1001\..\Toolbar\WebBrowser: (no name) - {E29DFA44-501B-45BE-BE17-393B9E5E058A} - No CLSID value found.
O3 - HKU\S-1-5-21-219795202-535134581-4024728452-1001\..\Toolbar\WebBrowser: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files (x86)\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O8:[b]64bit:[/b] - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
[2011/12/10 18:27:02 | 000,000,000 | ---D | M] -- C:\Users\Giada\AppData\Roaming\Bitdefender
[2011/09/04 18:07:34 | 000,000,000 | ---D | M] -- C:\Users\Giada\AppData\Roaming\OpenCandy
[2012/03/29 20:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At42.job
[2012/03/29 20:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At41.job
[2012/03/29 19:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At40.job
[2012/03/29 19:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At39.job
[2012/03/29 18:41:02 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At38.job
[2012/03/29 18:41:02 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At37.job
[2012/03/29 17:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At36.job
[2012/03/29 17:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At35.job
[2012/03/29 00:41:11 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At2.job
[2012/03/29 00:41:11 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At1.job
[2012/03/28 23:41:44 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At48.job
[2012/03/28 23:41:44 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At47.job
[2012/03/28 22:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At46.job
[2012/03/28 22:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At45.job
[2012/03/28 21:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At44.job
[2012/03/28 21:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At43.job
[2012/03/28 15:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At32.job
[2012/03/28 15:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At31.job
[2012/03/28 14:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At30.job
[2012/03/28 14:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At29.job
[2012/03/28 13:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At28.job
[2012/03/28 13:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At27.job
[2012/03/28 12:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At26.job
[2012/03/28 12:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At25.job
[2012/03/28 11:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At24.job
[2012/03/28 11:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At23.job
[2012/03/11 11:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At22.job
[2012/03/11 11:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At21.job
[2012/03/01 10:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At20.job
[2012/03/01 10:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At19.job
[2012/02/07 09:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At18.job
[2012/02/07 09:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At17.job
[2012/02/07 08:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\At16.job
[2012/02/07 08:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\At15.job
[2012/03/29 00:41:11 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At1.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At10.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At11.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At12.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At13.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At14.job
[2012/02/07 08:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At15.job
[2012/02/07 08:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At16.job
[2012/02/07 09:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At17.job
[2012/02/07 09:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At18.job
[2012/03/01 10:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At19.job
[2012/03/29 00:41:11 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At2.job
[2012/03/01 10:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At20.job
[2012/03/11 11:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At21.job
[2012/03/11 11:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At22.job
[2012/03/28 11:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At23.job
[2012/03/28 11:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At24.job
[2012/03/28 12:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At25.job
[2012/03/28 12:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At26.job
[2012/03/28 13:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At27.job
[2012/03/28 13:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At28.job
[2012/03/28 14:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At29.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At3.job
[2012/03/28 14:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At30.job
[2012/03/28 15:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At31.job
[2012/03/28 15:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At32.job
[2012/04/01 16:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At33.job
[2012/04/01 16:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At34.job
[2012/03/29 17:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At35.job
[2012/03/29 17:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At36.job
[2012/03/29 18:41:02 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At37.job
[2012/03/29 18:41:02 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At38.job
[2012/03/29 19:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At39.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At4.job
[2012/03/29 19:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At40.job
[2012/03/29 20:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At41.job
[2012/03/29 20:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At42.job
[2012/03/28 21:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At43.job
[2012/03/28 21:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At44.job
[2012/03/28 22:41:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At45.job
[2012/03/28 22:41:00 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At46.job
[2012/03/28 23:41:44 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At47.job
[2012/03/28 23:41:44 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At48.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At5.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At6.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At7.job
[2012/01/27 11:26:08 | 000,000,350 | ---- | M] () -- C:\Windows\Tasks\At8.job
[2012/01/27 11:26:08 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\At9.job
[2012/04/01 19:18:49 | 000,000,266 | ---- | M] () -- C:\Windows\Tasks\AutoKMS.job

:commands
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.

Fai una nuova scansione con OTL.
Posta il log.

Fai una scansione con il tuo antivirus, e vedi se rileva ancora il rootkit.
Dimmi che problemi riscontri.
sodomino
Inviato: Tuesday, April 03, 2012 12:52:53 PM
Rank: AiutAmico

Iscritto dal : 7/17/2008
Posts: 96
r16 grazie x il tuo aiuto ma non so cm mai a un certo punto mi si è riavviato il pc e non partiva più ho dovuto formattare :) grazie per la disponibilità cm sempre siete davvero grandi comunque quello che è successo non è dovuto a qualche scansione anche perché non le avevo ancora fatte :)
kaiman
Inviato: Tuesday, April 03, 2012 1:18:42 PM

Rank: AiutAmico

Iscritto dal : 12/9/2011
Posts: 430
sodomino ha scritto:
r16 grazie x il tuo aiuto ma non so cm mai a un certo punto mi si è riavviato il pc e non partiva più ho dovuto formattare :) grazie per la disponibilità cm sempre siete davvero grandi comunque quello che è successo non è dovuto a qualche scansione anche perché non le avevo ancora fatte :)


Commenta:
ho dovuto formattare


Hai fatto la cosa più giusta da fare. Ora hai un sistema pulito e funzionante. Ti suggerirei una immagine dell' Hard Disk per eventuali futuri inconvenienti.
stvetro
Inviato: Tuesday, April 03, 2012 3:51:48 PM
Rank: AiutAmico

Iscritto dal : 3/28/2012
Posts: 47
kaiman non ho assolutamente fatto la cosa giusta perchè ho sempre risolto tutti i problemi con le indicazioni loro solo che devo aver preso un altro virus oltre a quello che avevo che non mi ha lasciato altra scielta saluti!!!!!!!
stvetro
Inviato: Tuesday, April 03, 2012 3:54:25 PM
Rank: AiutAmico

Iscritto dal : 3/28/2012
Posts: 47
non avrei voluto formattarlo anche perchè ho perso tutto quello che avevo dentro e in più sbattimenti a reinstallare tutto sai che palle?? io sono contro il formattare preferisco risolvere ove è possibile.
davix
Inviato: Tuesday, April 03, 2012 3:58:40 PM

Rank: AiutAmico

Iscritto dal : 2/4/2011
Posts: 4,198
Purtroppo ultimamente son capitate delle infezioni... Brick wall Brick wall Brick wall

comelca
Inviato: Saturday, May 26, 2012 11:08:20 PM
Rank: Member

Iscritto dal : 11/18/2010
Posts: 13
r16 ha scritto:
L'infezione è la stessa di Loredana 74: (Zero Access)
http://forum.aiutamici.com/yaf_postst84136_problemi-con-trojan.aspx

Scarica Defogger:
http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Si tratta di un programma che provvederà a disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD.
Eseguilo e clicca su "Disable", premi "Yes" per confermare quindi attendi la fine della procedura.
Defogger richiederà un riavvio del pc.

Scarica TDSSKiller.zip sul desktop:
http://support.kaspersky.com/viruses/solutions?qid=208280684
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Per postare i log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

N.B:
Se riscontri problemi con le una scansione, salta alla scansione successiva.


Salve,
ho eseguito tutte le operazioni qui descritte ed allego i logs relativi. Potreste darmi un'occhiata? Ultimamente ho dei problemi con delle installazioni di programmi perchè interviene "attiva protezione esecuzione dei programmi" e nonostante l'avessi attivato solo per i programmi di WinXP_SP3. non mi fa aprire i nuovi programmi da installare. Ho provato anche a editare il boot.in per disattivare la protezione ma niente da fare, le nuove installazioni mi si bloccano sempre.
Il messaggio di errore in Win Installer, che mi appare, è questo:
AppName: msiexec.exe AppVer: 4.5.6001.22159 ModName: msihnd.dll ModVer: 3.1.4001.5512 Offset: 00036935

Logs.zip

Grazie per l'aiuto. :-)
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.