Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » pc defender plus come posso eliminarlo?

2 pages: [1] 2
pc defender plus come posso eliminarlo? Opzioni
Topic Precedente · Topic Sucessivo
braccetto
Inviato: Saturday, November 03, 2012 6:47:54 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
Salve , il pc di un mio amico è stato infettato da questo virus,pc defender plus,ho fatto una scansione con malwarebytes in modalità provvisoria ,dopo aver rinominato il file exe di mbam ,e mi ha trovato e messo in quarantena un sacco di porcherie.Purtroppo ho potuto constatare che l'infezione non è stata eliminata infatti al normale riavvio del pc si ripresenta subito,come posso fare?
Torna in alto
 
Sponsor
Inviato: Saturday, November 03, 2012 6:47:54 PM

 
Torna in alto
 
shapiro
Inviato: Saturday, November 03, 2012 6:52:26 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


ciao puoi postare il log di malwarebytes? fai anche questa scansione

scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
Torna in alto
 
braccetto
Inviato: Saturday, November 03, 2012 7:22:01 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
Ciao e scusa per il ritardo nella risposta ma stavo postando da un altro pc,dopo diverse scansioni con mab sono riuscito a far funzionare il ripristino di configurazione di sistema e ho ripristinato ad una data precedente,sembra essere tornato tutto nella normalità ,anche se il pc mi sembra legermente rallentato.Dove posso trovare i log di mab fatte in modalità provvisoria,il so è vista, per poterli postare e devo sempre fare la scansione con combofix o con qualche altro programma?
Ho visto che in quarantena d MSE ci sono diversi troian,tra cui Win 32/sirefef.AB
Torna in alto
 
shapiro
Inviato: Saturday, November 03, 2012 7:37:24 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
addirittura il sirefef .... il log lo trovi nella casella ''log'' di malwarebytes


Scarica OTL e salvalo sul desktop

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta su minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend,
Torna in alto
 
braccetto
Inviato: Sunday, November 04, 2012 12:26:45 AM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
questi sono i log di otl:

Extras.Txt

OTL.Txt

questi i log di mab prima e dopo l'infezione:
Logs.zip
Torna in alto
 
shapiro
Inviato: Sunday, November 04, 2012 1:28:30 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

hai ancora lo zero access ... apri otl e copia questo codice


Code:
:OTL
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programmi\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programmi\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found
IE - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=XKhwIZUoD_UXT92xKYH1dPl_KKo?q={searchTerms}
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2475029&SearchSource=13"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - user.js - File not found
[2011/02/06 10.31.47 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com
[2010/12/15 16.12.32 | 000,000,923 | ---- | M] () -- C:\Users\lucia\AppData\Roaming\mozilla\firefox\profiles\dabwobvz.default\searchplugins\conduit.xml
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programmi\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (PHPNukeIT Toolbar) - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll (Conduit Ltd.)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\Toolbar\WebBrowser: (PHPNukeIT Toolbar) - {2C965F3F-8EFD-4BFC-A2C5-1672845FDBBF} - C:\Programmi\PHPNukeIT\tbPHP0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1073731349-3415163795-1329833120-1000\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programmi\Winamp Toolbar\winamptb.dll (AOL LLC.)
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:FEBEC560
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:C95B63DA
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:793F316E
@Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:B623B5B8


:Files
C:\Windows\System32\30be663c.exe
C:\Users\lucia\AppData\Local\keyfile3.drm
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\@
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\L
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\U
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\L\00000004.@
C:\Windows\assembly\Desktop.ini
C:\Users\lucia\AppData\Roaming\.#
ipconfig /flushdns /c

:commands
[purity]
[Reboot]


premi run fix e allega il log che rilascia

poi eseguimi una scansione con combofix

mettilo sul desktop

non installare la recovery console quando te lo chiede
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

Ripeti anche una nuova scansione con malwarebytes aggiornato scegli la scansione completa

Allega i log

OTL

COMBOFIX

MALWAREBYTES
Torna in alto
 
braccetto
Inviato: Sunday, November 04, 2012 8:36:59 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
Farò come hai detto appena avrò il pc del mio amico a disposizione ,fra circa un mese ,abitiamo a più di 100 km di distanza tra di noi.
Per il momento gli consiglierò di non utilizzare la partizione con vista ma di usare quella con seven,faccio bene o il virus potrebbe continuare a creare danni?
Ti ringrazio per l'aiuto e il supporto che mi hai dato fino ad ora, ti aggiornerò degli eventi appena possibile.
Grazie
Torna in alto
 
braccetto
Inviato: Saturday, December 01, 2012 6:46:09 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102

Ciao,
sono rientrato in possesso del pc ,questi sono i log che hai richiesto:

otl 12012012_160219.log
ComboFix.txt
mbam-log-2012-12-01 (16-29-16).txt

aspetto istruzioni
Torna in alto
 
braccetto
Inviato: Tuesday, December 11, 2012 12:28:44 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
Ciao shapiro, cosa devo fare ora?
Torna in alto
 
braccetto
Inviato: Thursday, December 27, 2012 3:30:44 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
braccetto ha scritto:
Ciao shapiro, cosa devo fare ora?


ma che fine hai fatto?
Torna in alto
 
cbbusto
Inviato: Thursday, December 27, 2012 5:13:45 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
braccetto ha scritto:
braccetto ha scritto:
Ciao shapiro, cosa devo fare ora?


ma che fine hai fatto?


Ciao braccetto, forse shapiro si è dimenticato del tuo topic visto che è trascorso parecchio tempo, posso proseguire io, le scansioni che hai fatto dovrebbero aver eliminato un pò di roba però io non riesco ad aprire i tuoi log. Fai così posta un log di Hijack This aggiornato e vedo cosa c'è sul pc, se hai 2 S.O scansionali entrambi. Ciao
Torna in alto
 
braccetto
Inviato: Thursday, December 27, 2012 5:30:11 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
è passato molto tempo perchè il pc non è il mio e devo aspettare per averlo.
Ti posso allegare i log che non riesci ad aprire visto che ora non posso effettuare la scansione che mi hai chiesto,il pc è a 100 km da me ?

questo è il log di otl:
========== OTL ==========
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File system32\DRIVERS\nwlnkfwd.sys File not found not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File system32\DRIVERS\nwlnkflt.sys File not found not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File system32\DRIVERS\ipinip.sys File not found not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\ deleted successfully.
C:\Programmi\Winamp Toolbar\winamptb.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\ not found.
File C:\Programmi\Winamp Toolbar\winamptb.dll not found.
Registry value HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}\ not found.
Registry key HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70D46D94-BF1E-45ED-B567-48701376298E}\ not found.
Prefs.js: "http://search.conduit.com/?ctid=CT2475029&SearchSource=13" removed from browser.startup.homepage
Prefs.js: engine@conduit.com:3.2.5.2 removed from extensions.enabledItems
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\searchplugin folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\META-INF folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\lib folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\DualPackage folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\defaults folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\components folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com\chrome folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\Firefox\Profiles\dabwobvz.default\extensions\engine@conduit.com folder moved successfully.
C:\Users\lucia\AppData\Roaming\mozilla\firefox\profiles\dabwobvz.default\searchplugins\conduit.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}\ deleted successfully.
File C:\Programmi\Winamp Toolbar\winamptb.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf}\ deleted successfully.
C:\Programmi\PHPNukeIT\tbPHP0.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
C:\Programmi\ConduitEngine\ConduitEngin0.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry value HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2C965F3F-8EFD-4BFC-A2C5-1672845FDBBF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C965F3F-8EFD-4BFC-A2C5-1672845FDBBF}\ not found.
File C:\Programmi\PHPNukeIT\tbPHP0.dll not found.
Registry value HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
File C:\Programmi\ConduitEngine\ConduitEngin0.dll not found.
Registry value HKEY_USERS\S-1-5-21-1073731349-3415163795-1329833120-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}\ deleted successfully.
File C:\Programmi\Winamp Toolbar\winamptb.dll not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Winamp Search\ deleted successfully.
C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}\ deleted successfully.
C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll moved successfully.
File C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\skype-ie-addon-data\ deleted successfully.
File C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll not found.
ADS C:\ProgramData\TEMP:FEBEC560 deleted successfully.
ADS C:\ProgramData\TEMP:C95B63DA deleted successfully.
ADS C:\ProgramData\TEMP:793F316E deleted successfully.
ADS C:\ProgramData\TEMP:B623B5B8 deleted successfully.
========== FILES ==========
C:\Windows\System32\30be663c.exe moved successfully.
C:\Users\lucia\AppData\Local\keyfile3.drm moved successfully.
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\@ moved successfully.
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\L folder moved successfully.
C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\U folder moved successfully.
File\Folder C:\$Recycle.bin\S-1-5-18\$b0bb07c027a177d9e84025746c627544\L\00000004.@ not found.
C:\Windows\assembly\Desktop.ini moved successfully.
C:\Users\lucia\AppData\Roaming\.# folder moved successfully.
< ipconfig /flushdns /c >
Configurazione IP di Windows
Cache del resolver DNS svuotata.
C:\Users\lucia\Desktop\cmd.bat deleted successfully.
C:\Users\lucia\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.69.0 log created on 12012012_160219
Torna in alto
 
braccetto
Inviato: Thursday, December 27, 2012 5:32:13 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
questo è il log di combofix:
ComboFix 12-12-01.01 - lucia 01/12/2012 16.11.36.1.2 - x86
Microsoft® Windows Vistaâ„¢ Home Premium 6.0.6002.2.1252.39.1040.18.1791.833 [GMT 1:00]
Eseguito da: c:\users\lucia\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\StartSearch plugin
c:\program files\StartSearch plugin\IEhelperActiveX.dll
c:\program files\StartSearch plugin\startsplg.crx
c:\program files\StartSearch plugin\uninst.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-11-01 al 2012-12-01 )))))))))))))))))))))))))))))))))))
.
.
2012-12-01 15:19 . 2012-12-01 15:19 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2012-12-01 15:19 . 2012-12-01 15:19 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-12-01 15:05 . 2012-12-01 15:05 6429 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
2012-12-01 15:05 . 2012-12-01 15:05 63115 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
2012-12-01 15:05 . 2012-12-01 15:05 4599 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
2012-12-01 15:05 . 2012-12-01 15:05 9310 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
2012-12-01 15:05 . 2012-12-01 15:05 8646 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
2012-12-01 15:05 . 2012-12-01 15:05 8613 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
2012-12-01 15:05 . 2012-12-01 15:05 5927 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
2012-12-01 15:05 . 2012-12-01 15:05 1651 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\QUERYSTRING.JS
2012-12-01 15:05 . 2012-12-01 15:05 8288 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
2012-12-01 15:05 . 2012-12-01 15:05 6910 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
2012-12-01 15:05 . 2012-12-01 15:05 6208 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
2012-12-01 15:05 . 2012-12-01 15:05 18541 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
2012-12-01 15:04 . 2012-12-01 15:04 7271 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
2012-12-01 15:04 . 2012-12-01 15:04 51852 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
2012-12-01 15:04 . 2012-12-01 15:04 23327 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
2012-12-01 15:04 . 2012-12-01 15:04 20719 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
2012-12-01 15:04 . 2012-12-01 15:04 8782 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
2012-12-01 15:02 . 2012-12-01 15:02 -------- d-----w- C:\_OTL
2012-12-01 14:12 . 2012-12-01 14:06 740840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B849B984-3CE9-457B-B26D-24AACD8FA335}\gapaengine.dll
2012-12-01 14:11 . 2012-11-08 18:00 6812136 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{868706B3-0EBD-4624-999A-500F3A539D56}\mpengine.dll
2012-11-03 18:15 . 2012-10-17 01:32 6918632 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-11-03 16:17 . 2012-11-03 16:19 -------- d-----w- c:\programdata\pcdfdata
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-01 14:05 . 2012-04-07 18:04 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-01 14:05 . 2011-07-30 17:27 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2010-06-25 08:47 . 2010-06-25 08:47 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-03-04 21:38 121392 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-23 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856]
"Acer Empowering Technology Monitor"="c:\acer\Empowering Technology\SysMonitor.exe" [2008-01-09 326176]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-04 526896]
"PCMMediaSharing"="c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2008-01-25 204908]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2008-06-06 203296]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"Skytel"="Skytel.exe" [2007-11-20 1826816]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-08-31 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-29 937920]
"Browsers Protector"="c:\program files\Browsers Protector\regmon32.exe" [2012-02-15 147784]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-05-02 931584]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-25 30192]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Windows Defender"=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
"AliceRV_McciTrayApp"=c:\program files\Alice ti aiuta\McciTrayApp.exe
.
S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-12-01 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 14:05]
.
2012-12-01 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-10-25 11:45]
.
2012-12-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-24 22:01]
.
2012-12-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-04-24 22:01]
.
2012-11-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1073731349-3415163795-1329833120-1000Core.job
- c:\users\lucia\AppData\Local\Google\Update\GoogleUpdate.exe [2011-02-21 22:01]
.
2012-12-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1073731349-3415163795-1329833120-1000UA.job
- c:\users\lucia\AppData\Local\Google\Update\GoogleUpdate.exe [2011-02-21 22:01]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
URLSearchHooks-{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - (no file)
Toolbar-{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - (no file)
Toolbar-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
WebBrowser-{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - (no file)
AddRemove-30be663c - c:\windows\system32\30be663c.exe
AddRemove-StartSearch Toolbar - c:\program files\StartSearch plugin\uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-12-01 16:20
Windows 6.0.6002 Service Pack 2 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Ora fine scansione: 2012-12-01 16:27:00
ComboFix-quarantined-files.txt 2012-12-01 15:26
.
Pre-Run: 112.420.646.912 byte disponibili
Post-Run: 112.490.938.368 byte disponibili
.
- - End Of File - - D72C1DCCC24C9902E0E5123AEDCEC5E3
Torna in alto
 
braccetto
Inviato: Thursday, December 27, 2012 5:33:59 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
e questo è il log di mbam:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Versione database: v2012.12.01.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
lucia :: PC-LUCIA [amministratore]

01/12/2012 16.29.16
mbam-log-2012-12-01 (16-29-16).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|G:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 452556
Tempo impiegato: 2 ore, 7 minuti, 9 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 1
C:\ProgramData\pcdfdata (Rogue.PCDefenderPlus) -> Spostato in quarantena ed eliminato con successo.

File rilevati: 3
C:\ProgramData\pcdfdata\defs.bin (Rogue.PCDefenderPlus) -> Spostato in quarantena ed eliminato con successo.
C:\ProgramData\pcdfdata\config.bin (Rogue.PCDefenderPlus) -> Spostato in quarantena ed eliminato con successo.
C:\ProgramData\pcdfdata\vl.bin (Rogue.PCDefenderPlus) -> Spostato in quarantena ed eliminato con successo.

(fine)
Torna in alto
 
cbbusto
Inviato: Thursday, December 27, 2012 5:43:34 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Sono stati eliminati tutti i file dello script di OTL, anche combofix ha eliminato qualcosa e pure Mbam, dovresti dire come va il pc, se ci sono altri problemi quando avrai sottomano il pc si potrà proseguire. Ciao
Torna in alto
 
braccetto
Inviato: Thursday, December 27, 2012 5:54:45 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
ok,penso che tra due o tre giorni avrò il pc sottomano,nel frattempo grazie e auguri a tutti.
Torna in alto
 
cbbusto
Inviato: Thursday, December 27, 2012 6:08:11 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
braccetto ha scritto:
ok,penso che tra due o tre giorni avrò il pc sottomano,nel frattempo grazie e auguri a tutti.

Ciao auguri anche a te.
Torna in alto
 
braccetto
Inviato: Sunday, December 30, 2012 3:39:18 PM
Rank: AiutAmico

Iscritto dal : 11/19/2010
Posts: 102
eccomi finalmente con il pc a disposizione ,sembra funzionare tuto bene a parte windows update che non ne vuole sapere di andare,mi dice :installare nuovo software windows update ,ma una volta tentata l'installazione mi da l'errore codice 80070020 che non riesco a risolvere.
Torna in alto
 
cbbusto
Inviato: Sunday, December 30, 2012 10:53:38 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Vai QUI ed esegui FixIt potrebbe risolvere il problema.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » pc defender plus come posso eliminarlo?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.