Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

PROBABILE VIRUS ????????? Opzioni
dariowhas
Inviato: Friday, November 16, 2012 4:46:05 PM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
Ciao a tutti sono un nuovo utente poco esperto
virit mi ha trovato questa chiave di registro infetta
{0FB6A909-6086-458F-BD92-1F8EE10042A0} Infetto da BHO.SUGGESTMEYES.A
ma nn riesco ad eliminarla come posso fare???'
grazie in anticipo
Sponsor
Inviato: Friday, November 16, 2012 4:46:05 PM

 
r16
Inviato: Friday, November 16, 2012 6:34:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Elimina gli eventuali file infetti trovati.
Posta il log.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
dariowhas
Inviato: Friday, November 16, 2012 7:17:05 PM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
dariowhas
Inviato: Friday, November 16, 2012 7:18:52 PM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
spero di aver fatto tutto bene grazie per adesso
ti posto il note
Malwarebytes Anti-Malware (Prova) 1.65.1.1000
www.malwarebytes.org

Versione database: v2012.11.16.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Acer :: ACER-PC [amministratore]

Protezione: Attivata

16/11/2012 19:10:54
mbam-log-2012-11-16 (19-10-54).txt

Tipo di scansione: Scansione veloce
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 206258
Tempo impiegato: 2 minuti, 22 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 28
HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\funmoods.dskBnd.1 (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\funmoods.dskBnd (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\funmoodsApp.appCore.1 (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\funmoodsApp.appCore (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\TypeLib\{B12E99ED-69BD-437C-86BE-C862B9E5444D} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\Interface\{78888F8B-D5E4-43CE-89F5-C8C18223AF64} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\f (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\Typelib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCR\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{04D2B915-19FF-41E9-994D-95DC898BEA43} (PUP.MyWebSearch) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\FUNMOODS (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> Spostato in quarantena ed eliminato con successo.

Valori di registro rilevati: 2
HKCU\Software\InstalledBrowserExtensions\215 Apps|2258 (PUP.CrossFire.SA) -> Dati: I Want This -> Spostato in quarantena ed eliminato con successo.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods|UninstallString (PUP.Funmoods) -> Dati: "C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\uninstall.exe" -> Spostato in quarantena ed eliminato con successo.

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 4
C:\Program Files (x86)\Funmoods (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16 (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\bh (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.

File rilevati: 7
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodssrv.exe (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsApp.dll (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsEng.dll (PUP.Funmoods) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Acer\Downloads\google dns helper.exe (Adware.Solimba.Lame) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsOEM.crx (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.
C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\uninstall.exe (PUP.FunMoods) -> Spostato in quarantena ed eliminato con successo.

(fine)
r16
Inviato: Friday, November 16, 2012 8:25:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Era sufficiente il link di Malwarebytes.
Non occorreva copiarlo nel topic.

Poi, come descritto nel post precedente volevo una scansione completa. (NON veloce) con Malwarebytes.

Segui queste indicazioni:

Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Poi:

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
dariowhas
Inviato: Saturday, November 17, 2012 9:47:03 AM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
dariowhas
Inviato: Saturday, November 17, 2012 10:03:36 AM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
dariowhas
Inviato: Saturday, November 17, 2012 10:04:39 AM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
dariowhas
Inviato: Saturday, November 17, 2012 10:09:24 AM
Rank: Newbie

Iscritto dal : 11/16/2012
Posts: 9
spero di aver eseguito bene le tue istruzioni....... ma perchè essential mi ha trovato 5 trojan, malwarebyte mi ha trovato un 15 file e nn mi aveva trovato i trojan e virit mi continua a dare la prima chiave di registro ke ho scritto sempre infetta e che non mi cancella e hijack me la vede ma nn me la fa cancellare?????? grazie x il tuo interessamento
r16
Inviato: Saturday, November 17, 2012 12:21:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il pc è infetto da rootkit. (e altro)

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
IE - HKLM\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049BBit&ptnrS=XPxdm049BBit&si=9175&ptb=B2BD9E45-76AC-4CBF-BE20-545BC0C70743&psa=&ind=2012030504&st=sb&n=77ed2628&searchfor={searchTerms}
IE - HKU\S-1-5-21-2732784101-1021158555-989365123-1000\..\SearchScopes\{a5b9c0f5-5616-47cd-a95f-e43b488faccf}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XPxdm049BBit&ptnrS=XPxdm049BBit&si=9175&ptb=B2BD9E45-76AC-4CBF-BE20-545BC0C70743&psa=&ind=2012030504&st=sb&n=77ed2628&searchfor={searchTerms}
CHR - default_search_provider: Iminent (Enabled)
O3 - HKLM\..\Toolbar: (Reg Error: Value error.) - Locked - Reg Error: Value error. File not found
[2012/11/16 19:39:16 | 000,010,688 | ---- | C] () -- C:\Users\Acer\Documents\cc_20121116_193914.reg
[2012/06/16 08:29:16 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{95016b9d-a9e4-1032-257a-5b000d2a811b}\L
[2012/06/16 08:29:16 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{95016b9d-a9e4-1032-257a-5b000d2a811b}\U
[2011/11/17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Acer\AppData\Local\{95016b9d-a9e4-1032-257a-5b000d2a811b}\L
[2011/11/17 07:41:18 | 000,000,000 | -HSD | M] -- C:\Users\Acer\AppData\Local\{95016b9d-a9e4-1032-257a-5b000d2a811b}\U
[2009/07/14 05:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 144 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:93DE1838
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:444C53BA
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:4CF61E54

:Files
C:\Users\Acer\AppData\Roaming\.#
C:\Windows\Installer\{95016b9d-a9e4-1032-257a-5b000d2a811b}
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[CLEARALLRESTOREPOINTS]
[Reboot]


Clicca sul pulsante RUN FIX.

Lascia fare la scansione senza interferire.
Posta il log.

Poi:

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista o Seven: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.