Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus che non riesco a debellare

Virus che non riesco a debellare Opzioni
Topic Precedente · Topic Sucessivo
Misonsan
Inviato: Tuesday, September 09, 2008 10:16:21 AM
Rank: AiutAmico

Iscritto dal : 7/8/2007
Posts: 77
da qualche tempo in maniera molto frequente mi compare il seguente messaggio

Dangerous error (come testata del messaggio)

attention, Andrea ! Some dangerous viruses detected in your system. Microsoft Windows XP Files Corrupted.
This may lead to the destruction of important files in c:\Windows. Download protection software now.

Click ok to download the antispyware (Recomended)


si no


faccio no e parte la connessione al seguente indirizzo http://checksystem-online.com/id/4912933/4/1/
mi viene chiesto di scaricare il file TOTALSECURE2009.exe da http://totalsecuredownload.com

ho provato a far girare avg e a-squared Free e a-squared Anti-Dialer e PC Tools AntiVirus e CCleaner, ma continua a ripresentarsi.

come faccio a debellare questo che immagino sia un virus ?

aspetto con ansia


ciao


Moreno
Torna in alto
 
Sponsor
Inviato: Tuesday, September 09, 2008 10:16:21 AM

 
Torna in alto
 
shapiro
Inviato: Tuesday, September 09, 2008 10:25:45 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
prova ad usare questo programma http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Scarica, installa e aggiorna malwarebytes, esegui una scansione completa (seleziona l'opzione) e posta il rapporto, ma non togliere quello che trova.
Posta il log che puoi trovare cliccando in alto sulla casellina ''log''



Poi, fai una scansione on-line con Kaspersky:
clicca su Kaspersky Online Scanner => Accept => (partirà l'update)
=> seleziona "my computer" (a sinistra) => al termine della scansione clicca su "View Scan Report"
=> "Save Report As" => salva e posta il rapporto.

http://www.kaspersky.com/virusscanner


Aspetto tue notizie
Torna in alto
 
monsee
Inviato: Tuesday, September 09, 2008 11:11:46 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Hai quantomeno un adware già a bordo.
Sbagliato cliccar su "no" (ma sbagliatissimo cliccar su "Sì", naturalmente!)... E sbagliato pure cliccar per chiuder la finestra.
Bisogna, in questi casi, aprire il Task Manager e, nella schermata "Applicazioni" (lo si può fare anche da "Processi", ma può rivelarsi meno semplice l'individuar bene il Processo che si desidera stoppare), selezionare la voce che interessa e poi cliccar su "Termina operazione".
Questo NON libera dall'adware (che poi bisognerà cercar per bene e fare fuori), ma evita connessioni e downloads "nascosti" indesiderati.
TotalSecure2009 è un "rogue": un programma-fuffa che i malwares te li schiaffa dentro al computer anziché toglierli. Da evitar come la peste.
Torna in alto
 
Misonsan
Inviato: Tuesday, September 09, 2008 7:35:22 PM
Rank: AiutAmico

Iscritto dal : 7/8/2007
Posts: 77
per shapiro

Ho eseguito la scansione
questo è il log


Malwarebytes' Anti-Malware 1.27
Versione del database: 1132
Windows 5.1.2600 Service Pack 3

09/09/2008 19.32.34
mbam-log-2008-09-09 (19-32-17).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 171764
Tempo trascorso: 2 hour(s), 18 minute(s), 53 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 6
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 12

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\roisf.dll (Trojan.FakeAlert) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8485774-8230-4d88-b00f-4a04a3e4fc1c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\jiapo (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\toolie.bho (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8d63fa6e-b209-4fe1-b457-2a85252f0eaf} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d1b08e8b-bb9c-4c08-83f9-3219878e58a3} (Trojan.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\roisf.dll (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Giulia\Desktop\Keygen.photofiltre921.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{19CD0F13-71AE-4E1A-96DB-ACB8741A51C3}\RP51\A0014660.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{19CD0F13-71AE-4E1A-96DB-ACB8741A51C3}\RP51\A0014661.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{19CD0F13-71AE-4E1A-96DB-ACB8741A51C3}\RP51\A0014662.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{19CD0F13-71AE-4E1A-96DB-ACB8741A51C3}\RP51\A0014663.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\rois.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\roisafe.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\sups.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\supsafe.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\syss.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\syssafe.dll (Trojan.FakeAlert) -> No action taken.


eseguo i passi che mi hai conigliato nel tuo precedente intervento.
attendo notizie

grazie


Moreno
Torna in alto
 
antonpaco
Inviato: Wednesday, September 10, 2008 7:19:49 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
ciao misonsan, aggiorna adesso malwarebytes, e' appena uscita la versione 1.28 e data base 1137 o 1138 non ricordo, rifai la scansione e controlla se ti da' lo stesso problema, ovviamente prima di rifare la scansione ripristina il file che adesso e' nella quarantena. Ti dico di fare cosi' perche' nella versione 1.27 con quel database ci sono stati dei problemi fixati nella 1.28, ho controllato il forum di malwarebytes.com.
Torna in alto
 
shapiro
Inviato: Wednesday, September 10, 2008 8:35:19 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao Misonsan posta anche la scansione fatta con kaspersky
Torna in alto
 
shapiro
Inviato: Wednesday, September 10, 2008 8:46:44 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
posta anche il report di kaspersky come ti ho detto devo controllare un particolare importante
Torna in alto
 
shapiro
Inviato: Thursday, September 11, 2008 11:21:43 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
scarica Avenger

http://swandog46.geekstogo.com/avenger.zip


installalo - lancialo


Copia e incolla nella finestra: "Input script here" il testo in rosso così come lo vedi scritto:

files to delete:
C:\WINDOWS\system32\roisf.dll
C:\Documents and Settings\Giulia\Desktop\Keygen.photofiltre921.exe
C:\WINDOWS\system32\rois.dll
C:\WINDOWS\system32\roisafe.dll
C:\WINDOWS\system32\sups.dll
C:\WINDOWS\system32\supsafe.dll
C:\WINDOWS\system32\syss.dll
C:\WINDOWS\system32\syssafe.dll




keys to delete:
HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}
HKEY_CLASSES_ROOT\jiapo
HKEY_CLASSES_ROOT\toolie.bho
HKEY_CLASSES_ROOT\Interface\{8d63fa6e-b209-4fe1-b457-2a85252f0eaf}
HKEY_CLASSES_ROOT\Interface\{d1b08e8b-bb9c-4c08-83f9-3219878e58a3}





Spunta "Automatically disable any rootkits found"

clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

posta il log di avenger che trovi in c:\

fatto questo, disattiva il ripristino

1. clic su Start-> Programmi->Accessori->Esplora risorse.

2. clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.

3. Selezionare la scheda "Ripristino configurazione di sistema".

4. Selezionare la voce "Disattiva ripristino configurazione di sistema"

5. Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.


Riattivalo facendo la procedura inversa.
Torna in alto
 
Misonsan
Inviato: Friday, September 12, 2008 9:26:53 AM
Rank: AiutAmico

Iscritto dal : 7/8/2007
Posts: 77
per shapiro

ho scaricato http://swandog46.geekstogo.com/avenger.zip e fatto girare con le specifiche che mi hai indicato.
eseguito rebbot della macchina e ti mando il log.
Premetto che lanciando http://www.kaspersky.com/virusscanner con scansione on-line, dopo ore di scansione, andava in condizione di blocco completo (la macchina accesa senza segni di attività e il video che non visualizzava più nulla; l'ho eseguito 2 volte sempre con lo stesso risulttao. Per paura di problemi ulteriori ho rilanciato malwarebytes e ho CANCELLATO i troian trovati.
So di non aver rispettato le tue indicazioni, ma per prudenza l'ho fatto.
In effetti il logo quì sotto riportato evidenzia che certi oggetti da cancellare non erano + presenti.







Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\roisf.dll" not found!
Deletion of file "C:\WINDOWS\system32\roisf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Documents and Settings\Giulia\Desktop\Keygen.photofiltre921.exe" deleted successfully.
File "C:\WINDOWS\system32\rois.dll" deleted successfully.
File "C:\WINDOWS\system32\roisafe.dll" deleted successfully.
File "C:\WINDOWS\system32\sups.dll" deleted successfully.
File "C:\WINDOWS\system32\supsafe.dll" deleted successfully.
File "C:\WINDOWS\system32\syss.dll" deleted successfully.
File "C:\WINDOWS\system32\syssafe.dll" deleted successfully.

Error: file "keys to delete:" not found!
Deletion of file "keys to delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}"
Deletion of file "HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}"
Deletion of file "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "HKEY_CLASSES_ROOT\jiapo"
Deletion of file "HKEY_CLASSES_ROOT\jiapo" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "HKEY_CLASSES_ROOT\toolie.bho"
Deletion of file "HKEY_CLASSES_ROOT\toolie.bho" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "HKEY_CLASSES_ROOT\Interface\{8d63fa6e-b209-4fe1-b457-2a85252f0eaf}"
Deletion of file "HKEY_CLASSES_ROOT\Interface\{8d63fa6e-b209-4fe1-b457-2a85252f0eaf}" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "HKEY_CLASSES_ROOT\Interface\{d1b08e8b-bb9c-4c08-83f9-3219878e58a3}"
Deletion of file "HKEY_CLASSES_ROOT\Interface\{d1b08e8b-bb9c-4c08-83f9-3219878e58a3}" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.




ho completato con i seguenti punti


1. clic su Start-> Programmi->Accessori->Esplora risorse.

2. clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.

3. Selezionare la scheda "Ripristino configurazione di sistema".

4. Selezionare la voce "Disattiva ripristino configurazione di sistema"

5. Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.


scusa per l'operazione poco rispettosa dei tuoi consigli.
aspetto una tua cortese verifica.

ciaoo

grazie


moreno
Torna in alto
 
shapiro
Inviato: Friday, September 12, 2008 9:31:54 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
elimina questi:

C:\WINDOWS\system32\roisf.dll"


HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}"
Deletion of file "HKEY_CLASSES_ROOT\CLSID\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}


"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8485774-8230-4d88-b00f-4a04a3e4fc1c}



posta un nuovo log di hjt
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus che non riesco a debellare


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.