Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Virus Opzioni
maverick2
Inviato: Thursday, July 12, 2012 2:06:25 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
Buongiorno.
Il portatile di mio figlio ha diversi problemi (non ultimo il fatto che è scaduta la versione di prova dell'antivirus McAfee).
Per prima cosa ho fatto una scansione con Fsecure on line scanner e mi ha trovato 4 minacce.
Ho chiesto l'eliminazione, ma uno è rimasto.
Ho fatto la stessa cosa con House call di Trend Micro e ha rilevato lo stesso virus. Però quando ho chiesto di eliminarlo, l'ha eliminato.
pensavo di aver risolto, ma all'avvio del pc un messaggio mi diceva che avevo cancellato un file di sistema e dovevo ripristinare il tutto, o, in alternativa, buttare il pcBrick wall
Allora ho ripristinato e siamo da capo, se non peggio....ora la scansione con house call mi ha trovato:
c:\\Windows\System32\ws2ifsl.dll minaccia TROJ GEN.R1ECDFT
C:\\Windows\System32\consrv.dll minaccia TROJ SPNR.19FH12


Inoltre (vattelappesca cosa ha scaricato e su quali siti è andato questo ... sciocchino) non riesco a ripristinare google come pagina iniziale: su firefox mi si presenta sempre un "search.imesh" che non riesco a eliminare, e su IE un "search.iminent.com".

Ho fatto lo scann con HJT e vi posto il log.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:48:14, on 12/07/2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files (x86)\Launch Manager\LManager.exe
C:\Program Files (x86)\Common Files\Panasonic\HD Writer AutoStart\HDWriterAutoStart.exe
C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe
C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files (x86)\Iminent\IMBooster\IMBooster.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe
C:\Users\Public\Documents\AppData\PoApp\PService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Roberto\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5732z&r=27360611m625l04c4z1j5v46020680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.iminent.com/?appId=26b14fe2-04bf-498a-87f5-1437f85044f0&ref=homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_5732z&r=27360611m625l04c4z1j5v46020680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
R3 - URLSearchHook: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: ShoppingReport2 - {258C9770-1713-4021-8D7E-1F184A2BD754} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll
O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120319164133.dll
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files (x86)\Iminent\IMBooster4Web\Iminent.WebBooster.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo Layers\YontooIEClient.dll
O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll
O3 - Toolbar: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [SuiteTray] "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe"
O4 - HKLM\..\Run: [EgisUpdate] "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d
O4 - HKLM\..\Run: [EgisTecPMMUpdate] "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe"
O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE
O4 - HKLM\..\Run: [IMBooster] C:\Program Files (x86)\Iminent\IMBooster\imbooster.exe /warmup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [facemoods] "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe" /md I
O4 - HKLM\..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKCU\..\Run: [Google Update] "C:\Users\Roberto\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Global Startup: HD Writer.lnk = ?
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1DEC726-395B-49C3-8010-3FDB897144B1}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS2\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O20 - AppInit_DLLs: C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GREGService - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GREGsvc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: McAfee Servizio Personal Firewall (McMPFSvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McShield - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - Unknown owner - C:\Windows\system32\mfevtps.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Users\Roberto\AppData\Local\PosService\Pos.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Users\Roberto\AppData\Local\ServUpdater\ServiceUpd.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer Group - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 15773 bytes

Pray potreste darmi per favore una mano a rimettere in sesto questo povero portatile (così posso usarlo anche io)?

Vi ringrazio in anticipo

Sponsor
Inviato: Thursday, July 12, 2012 2:06:25 PM

 
cbbusto
Inviato: Thursday, July 12, 2012 2:25:25 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Vedo che sei nuovo, benvenuto.
Andiamo per ordine, prima cosa installa un buon antivirus, io ti consiglio QUESTO lo scarichi poi ti disconnetti elimini quello che hai, fai una pulizia con Ccleaner conpreso il registro e poi installi il nuovo, ti connetti e lo aggiorni, fai una scansione completa e metti in quarantena quello che trova.

Poi segui il percorso e rimuovi i seguenti programmi, file e cartelle:

C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe
C:\Program Files (x86)\iMesh Applications\MediaBar\Datamngr\datamngrUI.exe
C:\Program Files (x86)\Iminent\IMBooster\IMBooster.exe

Poi installa Malwarebytes QUI lo aggiorni e poi fai una scansione COMPLETA non rapida, elimina quello che trova, posta il suo log.
Lancia nuovamente HJT e posta un nuovo log aggiornato.
Ci sentiamo questa sera, ciao.
maverick2
Inviato: Friday, July 13, 2012 11:01:20 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
Buonasera.
Innanzi tutto, grazie per la risposta.
Ho scaricato Microsoft Essentials e ho cercato di disinstallare Avira (ma come faccio a trovare tutti gli antivirus installati? ci sono programmi mai sentiti), ma il sistema non me lo permette: mi dice

L'installazione non è in grado di determinare il file di controllo delle componenti o non è stata in grado di leggerlo correttamente [error code 7].

E quindi come faccio?Think

grazie ancora
solfami
Inviato: Saturday, July 14, 2012 2:05:19 PM

Rank: AiutAmico

Iscritto dal : 11/14/2003
Posts: 2,270
Salve
Come sarebbe tutti gli antivirus!
Non ce ne deve essere più di uno, fanno a cazzotti.
Secondo me il "pupo" ha fatto il solito casino(messanger ,chat, facebook e simili.
scaricamento file a go go senza verificare).
Fai studiare al "pupo" questo
http://guide.aiutamici.com/guide?C1=7&C2=68
e interrogalo, così sei sicuro che ha imparato
Monta e usa questo
http://www.aiutamici.com/software?ID=11223
Puoi disabilitare i prog all'avvio tipo la connessione automatica ad internet,
(ricorda che più prog partono più è lento il PC)
e disintallare i prog, se fanno resistenza passa alla modalità provvisoria.
a mio avviso ripartirei con il PC vergine(formattazione), poi farei l' immagine e la partizione
Se devi salvare i dati usa un DVD rescrivibile, così lo puoi riciclare.
Il masterizzatore scrive solo quello che vuoi tu ovviamente non copiare le cartelle, non sai cosa c'è nascosto dentro, tu non lo vedi,
i supporti esterni sono infettabili in automatico.
Saluti
cbbusto
Inviato: Saturday, July 14, 2012 5:41:38 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Per eliminare Avira segui le istruzioni QUI una volta eliminato fai una pulizia con Ccleaner poi installi MSE, ti ricordo che per installare MSE il Sistema Operativo deve essere originale, lo aggiorni e fai una scansione completa come detto in precedenza.
Hai eliminato i programmi che ti ho citato ?

Ci sono un sacco di porcherie da eliminare.

Chiudi tutti i programmi e disconnesso lanci HJT e clicca sul secondo pulsante: Do a system scan only poi metti la spunta alle voci che ti indico e alla fine clic su Fix checked:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.com

R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

R3 - URLSearchHook: (no name) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - (no file)

O2 - BHO: ShoppingReport2 - {258C9770-1713-4021-8D7E-1F184A2BD754} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll

O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll

O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\bh\facemoods.dll

O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)

O2 - BHO: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo Layers\YontooIEClient.dll

O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll

O3 - Toolbar: MediaBar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\bsdtxmltbpi.dll

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll

O4 - HKLM\..\Run: [SuiteTray] "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe"

O4 - HKLM\..\Run: [EgisUpdate] "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d

O4 - HKLM\..\Run: [EgisTecPMMUpdate] "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe"

O4 - HKLM\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"

O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"

O4 - HKLM\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey

O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\DATAMN~1.EXE

O4 - HKLM\..\Run: [IMBooster] C:\Program Files (x86)\Iminent\IMBooster\imbooster.exe /warmup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [facemoods] "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.7\facemoodssrv.exe" /md I

O4 - HKLM\..\Run: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED

O4 - HKCU\..\Run: [Google Update] "C:\Users\Roberto\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')

O4 - Global Startup: HD Writer.lnk = ?

O9 - Extra button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll

O9 - Extra button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - C:\Program Files (x86)\ShoppingReport2\Bin\2.7.37\ShoppingReport.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CCS\Services\Tcpip\..\{D1DEC726-395B-49C3-8010-3FDB897144B1}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CS1\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25

O17 - HKLM\System\CS2\Services\Tcpip\..\{35592ABA-97FE-43BE-89F2-56EB065831B1}: NameServer = 176.31.229.24,176.31.229.25

O20 - AppInit_DLLs: C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\datamngr.dll C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\IEBHO.dll

Fai una bella pulizia con Ccleaner compreso il Registro, per il registro spunta tutte le voci, acconsenti al backup.
Fai sapere come va, eventualmente facciamo altre operazioni. Ciao





maverick2
Inviato: Sunday, July 15, 2012 12:32:57 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
ok, grazie, ccbusto
domattina provo a fare tutto

per Solfami:
il portatile aveva un antivirus per 6 mesi, ma poi ne è stato installato un altro
avevo pensato anche io come prima cosa di formattare tutto, ma
non posso reinstallare Win7 perché l'ho acquistato già installato sul pc (Acer) ma non c'era il dvd
avrei dovuto creare subito un disco di ripristino, ma il pc lo usava lui e mi è passato di mente di farlo subito
maverick2
Inviato: Monday, July 16, 2012 10:28:39 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
Buonasera.
Ho fatto le operazioni che mi ha detto, fino all'esecuzione di MSE.
MSE ha rilevato varie schifezze più due trojan che definisce "gravi"
Io ho messo in quarantena anche quelli (gli altri li avevo messi volta per volta e riavviando il pc funzionava).
Quando ho messo in quarantena questi due maledetti, il sistema mi dice impossibile riavviare il computer.
L'unico modo è chiedere il ripristino all'avvio, che ovviamente riporta tutto a come era prima.
I nomi dei due maledetti iniziano entrambi con SIREFEF.
Non mi aspetto nulla di buono.....
maverick2
Inviato: Monday, July 16, 2012 10:36:06 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
sto facendo un'ulteriore scansione per vedere di preciso come si chiamano
intanto ha trovato un certo win32\zwangi, che ho eliminato

vediamo che mi dice....

maverick2
Inviato: Monday, July 16, 2012 10:44:42 PM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
Ommioddio!
i virus gravi sono diventati 4
e precisamente

Win 64\sirefef.Y
Win32\Sirefef.AB
Win64\sirefef.U
Win 64\sirefef.P

si sta diffondendo
cosa posso fare?
cbbusto
Inviato: Monday, July 16, 2012 11:06:12 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Sirefef è un brutto malware con diverse varianti e sembra non semplice da eliminare.
Elimina definitivamente tutto quello che ha trovato MSE e poi riavvia, se il pc non si riavvia spegnilo e poi riavvialo e vedi cosa succede.
Purtroppo non so dirti altro per il malware, ti direi di aspettare l'intervento di r16 o shapiro che sono più esperti e ti diranno cosa fare.
Ciao
miticoalex
Inviato: Monday, July 16, 2012 11:29:48 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
maverick2 ha scritto:
avevo pensato anche io come prima cosa di formattare tutto, ma
non posso reinstallare Win7 perché l'ho acquistato già installato sul pc (Acer) ma non c'era il dvd
avrei dovuto creare subito un disco di ripristino, ma il pc lo usava lui e mi è passato di mente di farlo subito


Salve maverick2. Nel caso decidessi di ripristinare il tuo acer, puoi sempre ripristinare alle condizioni di fabbrica, tramite

partizione di recovery, richiamabile o dall'utility presente in windows, oppure tramite tasto funzione all'avvio.

Leggi qui.(ripristino sistema)






shapiro
Inviato: Monday, July 16, 2012 11:38:07 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
se non dovessi decidere per il ripristino scarica questo tool sul desktop avvialo e digita la lettera Y la scansione e' abbastanza veloce

attendi la fine della scansione e posta il rapporto che rilascia

fai anche queste scansioni

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

finito combofix esegui anche questa

Scarica TDSS killer http://support.kaspersky.com/downloa...tdsskiller.exe e salvalo sul desktop.Doppio click su TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"
maverick2
Inviato: Tuesday, July 17, 2012 10:22:18 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
Buongiorno, shapiro.
Innanzitutto grazie per i suggerimenti.

Ieri sera ho scaricato le due cose che mi avevi detto.
Il primo tool mi ha detto che non poteva essere eseguito perché andava solo su pc a 32 bit mentre il nostro era a 64 bit.
Per il secondo, l'ho scaricato. Poi ho lanciato l'esecuzione. Lui mi ha detto che non poteva lavorare perché trovava l'antivirus McAfee attivo (ma io l'avevo disinstallato qualche giorno fa su consiglio di cbbusto...dal pannello di controllo - disinstalla programmi...boh!)
Ad ogni modo, pur avendomi detto questo sembrava che stesse spacchettando dei file compressi. Ad un certo punto si è spento e io pensavo si riavviasse.
Invece no.
Ho provato a riaccenderlo e mi prova a fare il ripristino, ma dopo una serie di tentativi e riavvii mi dice che è impossibile aprire Windows.
Quindi adesso non posso fare più nulla.
Mi dispiace molto perché c'erano dentro moltissime foto di un viaggio a cui tenevo molto. Per questo non volevo formattarlo in prima battuta.
Ho un cd che mi aveva dato un amico per avviarlo da cd appunto, ma non so come fare a farlo partire da lì.
Il mio pc fisso, se trova un cd , legge prima quello. Invece questo portatile ho provato ad accenderlo con il cd inserito, ma parte sempre dal disco C e quindi si pianta.....
Sigh, sigh, sigh!

Miticoalex, ti ringrazio per l'informazione.
Leggendo gli articoli sul link che mi hai postato, capisco che, seguendo quella strada, non potrei recuperare i dati che non vorrei perdere.
Non li ho recuperati prima, perché sono più di 20Gb e non avrei saputo dove appoggiarli (in realtà avrei potuto portarli sul pc dell'ufficio, ma essendo il portatile pieno di schifezze, non sapevo se avrei propagato le infezioni e non volevo creare ulteriori danni).

:-(
maverick2
Inviato: Tuesday, July 17, 2012 10:25:12 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
sono un pochino disperata....
maverick2
Inviato: Tuesday, July 17, 2012 10:26:32 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
cbbusto ha scritto:
Sirefef è un brutto malware con diverse varianti e sembra non semplice da eliminare.
Elimina definitivamente tutto quello che ha trovato MSE e poi riavvia, se il pc non si riavvia spegnilo e poi riavvialo e vedi cosa succede.
Purtroppo non so dirti altro per il malware, ti direi di aspettare l'intervento di r16 o shapiro che sono più esperti e ti diranno cosa fare.
Ciao


Grazie molte per i tuoi consigli
shapiro
Inviato: Tuesday, July 17, 2012 10:29:14 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Il mio pc fisso, se trova un cd , legge prima quello. Invece questo portatile ho provato ad accenderlo con il cd inserito, ma parte sempre dal disco C e quindi si pianta.....


riesci ad accedere al bios? sai come si fa? purtroppo la tua e' una brutta infezione, vediamo se riusciamo a far partire un cd di avvio
maverick2
Inviato: Tuesday, July 17, 2012 11:52:19 AM
Rank: AiutAmico

Iscritto dal : 7/11/2012
Posts: 85
mi pare che prima, avviandosi, mi chiedesse se volevo premere F2 per accedere a qualcosa (presumo il bios)
però non so se adesso me lo chieda ancora
stasera a casa ci provo

grazie
shapiro
Inviato: Tuesday, July 17, 2012 12:16:53 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
se non riesci ad accedere a windows segui questa guida

ricorda di mettere il cd come primario quando sei nel bios
miticoalex
Inviato: Tuesday, July 17, 2012 12:35:27 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
maverick2 ha scritto:
Miticoalex, ti ringrazio per l'informazione.
Leggendo gli articoli sul link che mi hai postato, capisco che, seguendo quella strada, non potrei recuperare i dati che non vorrei perdere.
Non li ho recuperati prima, perché sono più di 20Gb e non avrei saputo dove appoggiarli (in realtà avrei potuto portarli sul pc dell'ufficio, ma essendo il portatile pieno di schifezze, non sapevo se avrei propagato le infezioni e non volevo creare ulteriori danni).


No problem, maverick2. I dati sono recuperabili attraverso un LIVE CD di linux, questo. Ovviamente devi riversare i dati su supporto esterno.

Mi perdonerà shapiro, se posto la guida per settare il BIOS del prof. Cantaro(qui). Ma............le sue guide sono facili da seguire.

Bye






Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.