Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Grande PROBLEMA - Per favore controllatemi il log hjt, grazie! Opzioni
thepianista
Inviato: Saturday, October 08, 2011 11:29:47 AM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Il mio PC ha preso un virus e non mi faceva aprire niente.
C'erano installati un antivirus Avast e un anti-qualcosa che mi davano notifiche sulla barra delle applicazioni che dicevano di file infetti etc etc.
Non potevo aprire nè HJT, nè mbam, per fare un log. Avevo provato anche con Combofix (seguendo le istruzioni che ho ricevuto con un problema precedente da r16) ma non mi faceva aprire neanche questo.
Dopo aver disinstallato l'antivirus, il problema era disinstallare questo antiqualcosa (non c'era neanche la voce su installazione applicazioni). Per non so quale magia improvvisamente si è disinstallato automaticamente. E ora riesco ad aprire HJT e ho fatto un log. Eccolo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.06.54, on 08/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sacrocuoretrapani.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll (file missing)
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [aP21703GdMkI21703] C:\Documents and Settings\All Users\Dati applicazioni\aP21703GdMkI21703\aP21703GdMkI21703.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio Agenda.lnk = C:\WinG2004\WAgenda.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\Yahoo!\Common\Yinsthelper200711281.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{122F5360-B23D-4C1C-B395-45ED9D761F8C}: NameServer = 212.216.112.112
O17 - HKLM\System\CS2\Services\Tcpip\..\{122F5360-B23D-4C1C-B395-45ED9D761F8C}: NameServer = 212.216.112.112
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: AVG8 WatchDog (avg8wd) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Dati applicazioni\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 6757 bytes


Ho fatto anche un log con il programma anti-malware mbam. Eccolo:


Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/10/2011 11.29.19
mbam-log-2011-10-08 (11-29-19).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 109638
Tempo trascorso: 3 minute(s), 47 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
Sponsor
Inviato: Saturday, October 08, 2011 11:29:47 AM

 
shapiro
Inviato: Saturday, October 08, 2011 11:39:07 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
non ricordi proprio questo ''anti'' cosa era.....

apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce sotto (se presente ) e premi ''kill process'' :

C:\Documents and Settings\All Users\Dati applicazioni\aP21703GdMkI21703\aP21703GdMkI21703.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alla voce indicata sotto e premi ''fix checked''

O4 - HKCU\..\RunOnce: [aP21703GdMkI21703] C:\Documents and Settings\All Users\Dati applicazioni\aP21703GdMkI21703\aP21703GdMkI21703.exe


aggiorna malwarebytes, la scansione fatta e' con una versione anteguerra e riesegui una scansione completa mi raccomando

hai anche avg da aggiornare ( ti consiglio avira)
thepianista
Inviato: Saturday, October 08, 2011 11:46:09 AM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Ecco, ora che ho riavviato il pc è spuntato di nuovo. E' un altro antivirus e si chiama Security sphere che avevo installato tempo fa (ma adesso vuole che lo compro per attivarlo col codice).
Il problema è che con questo coso attivo non mi apre completamente niente di niente; e non ricordo cosa ho fatto prima per disattivarlo (si era tolto dalla barra degli strumenti in basso a destra).
shapiro
Inviato: Saturday, October 08, 2011 11:54:02 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Ecco, ora che ho riavviato il pc è spuntato di nuovo. E' un altro antivirus e si chiama Security sphere


rimuovilo subito e' un rogue !!!!!
( e' un finto antivirus )

fai la scansione con malwarebytes come ti ho detto e fixa subito quella voce
thepianista
Inviato: Saturday, October 08, 2011 12:13:42 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Quando si era disattivato (non so per quale motivo) ero riuscito ad avviare mbam e a fare una scansione. Mi era spuntata una voce e l'ho cancellata (opzione scansione veloce). Ecco il log dopo che lo ha rimosso:

Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/10/2011 11.22.43
mbam-log-2011-10-08 (11-22-43).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 109608
Tempo trascorso: 3 minute(s), 44 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


Ma adesso invece che si è riattivato non mi fa più aprire mbam e, comunque, anche dopo averlo rimosso, mi è rispuntato dopo l'avvio.
shapiro
Inviato: Saturday, October 08, 2011 12:19:44 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

Scarica rkill da uno di questi link
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.scr

se ricevi un messaggio che indica rkill come un' infezione, ignora il messaggio e prosegui , se ti appaiono delle finestre (popup) non chiuderle ma lancia nuovamente rkill e cerca di portare a termine la scansione



scarica questo programma ed eseguilo. Il programma crea un nome temporaneo e lo associa a MBAM (se già installato sul pc).
Vedi se riesci a fare la scansione.
thepianista
Inviato: Saturday, October 08, 2011 12:34:51 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Niente da fare non mi fa eseguire nè il primo programma dei primi link (ne ho provato uno solo e l'ha scaricato) nè il secondo programma (mbam è già installato sul pc) ma il virus blocca tutti i file che provo ad aprire...

PS. provo tutto questo con internet staccato per ora (scrivo da un altro pc)
shapiro
Inviato: Saturday, October 08, 2011 12:40:24 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
vai in installazione applicazioni e vedi se trovi il rogue, clicca su ''rimuovi'' poi vai in C/Programmi e vedi se riesci a trovare la cartella rimuovila


scarica raja e' mbam rinominato prova a vedere se riesci a farlo partire

thepianista
Inviato: Saturday, October 08, 2011 12:52:54 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Niente da fare. Non c'è nessuna cartella appartenente a questo programma, nè una voce su installazioni applicazioni.
Il rogue non mi fa aprire neanche questo file raja...
Non mi fa aprire neanche i blocco note!!!
shapiro
Inviato: Saturday, October 08, 2011 12:59:00 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

prova Remove Fake salvalo sul desktop

clicca su YES

avvia la scansione....attendi....

alla fine dovrebbe rimuovere le infezioni


se non dovessi riuscirci scarica questo file sul desktop
eseguilo con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.

Carica la cartella zippata su wikisend, non incollarlo

edit

apri il task manager e termina i processi incriminati

thepianista
Inviato: Saturday, October 08, 2011 1:21:19 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Niente. Non riesco ad aprire nè a fare niente di tutto quello che mi hai detto nell'ultimo messaggio.
Non mi fa aprire Remove Fake, non mi fa aprire neanche il file che mi hai detto di scaricare che avrebbe dovuto produrre i log in C, e che poi ti dovrei dovuto allegare su wikisend...

L'unica possibilità è ricordarmi o capire cosa cavolo ho fatto per disattivare questo rogue dalla barra degli strumenti in basso...
shapiro
Inviato: Saturday, October 08, 2011 1:24:31 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
se non riesci nemmeno ad aprire un file .bat non saprei proprio come aiutarti

prova a fare un ripristino a una data antecedente il problema

rimuovi anche mozilla e installalo ex novo

Installa Ccleaner

ccleaner

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp diwindows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''


clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

scarica atf cleaner

non ha bisogno di installazione

Avvia ATF Cleaner.exe con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)






thepianista
Inviato: Saturday, October 08, 2011 1:36:07 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
Bene, grazie.
Ma se riuscissi, smanettandoci un po', bazzicando sulle cose che posso toccare, a levare di nuovo improvvisamente questo rogue temporaneamente, come procedo? a quale tuo post precedente di questo thread mi rifaccio?
sabbb
Inviato: Saturday, October 08, 2011 1:51:10 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
Avevo tra le mani una faccenda simile ,e all'epoca ho risolto così:

msconfig (oppure Ccleaner,o Revo) per togliere il rogue dall'avvio automatico (è per quello che RemoveFake non riesce a partire)

una volta che non si avviava più assieme al computer lo eliminai con Malwarebytes.

Ma validissimo anche RemoveFakeAntivirus.

Non so se in questo specifico computer e caso possa funzionare,ma ce l'avevo li e provare non nuoce.
;-)
thepianista
Inviato: Saturday, October 08, 2011 1:54:43 PM
Rank: Member

Iscritto dal : 2/15/2010
Posts: 28
il problema è che nè msconfig nè ccleaner riesco ad avviarli a causa del rogue...forse proverò questo Revo (cosa devo fare e dove posso trovarlo?)
ma per msconfig e per Ccleaner proprio niente!
jolestar
Inviato: Saturday, October 08, 2011 1:58:59 PM
Rank: AiutAmico

Iscritto dal : 9/10/2011
Posts: 142
ot:
mai sentito dire questo per un rogue:


Code:
avevo tra le mani una faccenda simile ,e all'epoca ho risolto così:

msconfig (oppure Ccleaner,o Revo) per togliere il rogue dall'avvio automatico (è per quello che RemoveFake non riesce a partire)

una volta che non si avviava più assieme al computer lo eliminai con Malwarebytes.

Ma validissimo anche RemoveFakeAntivirus.

Non so se in questo specifico computer e caso possa funzionare,ma ce l'avevo li e provare non nuoce.
;-)


io propongo un

sabbb
Inviato: Saturday, October 08, 2011 2:01:46 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
Revo :Link

Prova ,e se non riesci ad installarlo prova in modalità provvisoria.
Una volta installato lo avvii e ti posizioni su Strumenti >> Programmi ad avvio automatico

Successivamente togli la spunta a tutti i programmi che non conosci (oppure posta qui una schermata)



In ogni caso segui Shapiro che senza dubbio è più bravo di me in queste faccende Speak to the hand
sabbb
Inviato: Saturday, October 08, 2011 2:04:05 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
jolestar ha scritto:
ot:
mai sentito dire questo per un rogue:....
Non cominciamo a fare bordello. Tu non l'hai mai sentito;a me invece venne l'idea e funzionò!
Commenta:


io propongo un

Questo lo deciderà l'utente.
jolestar
Inviato: Saturday, October 08, 2011 2:07:09 PM
Rank: AiutAmico

Iscritto dal : 9/10/2011
Posts: 142
si si ok no problem nessun bordello atrimenti parlavo d regedit ma è zona off limitSpeak to the hand

bye bye Angel
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.