Virus Preso In Messenger

[candreea]

Chiedo aiuto per debellare un virus preso in messenger,sembrava un messaggio di un' amica...mi sta copiando tutta la rubrica e manda a tutti lo stesso messaggio.

L'antivirus lo localizza in windows\system32\drivers\etc\hosts, avevo letto che win32/agent.VP troyan cleaner della Nod32 lo cancella, ma non è cosi. Non so cosa sbaglio e cosa fare!

Vi ringrazio!

Modificato December 12, 2009 da candreea

[$angelique!?]

Benvenuto/a!

Ciao e Benvenuto/a nel forum, . Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, clicca qui. Se sei una ragazza e vuoi essere aggiunta al gruppo delle WinGirls non dovrai fare altro che presentarti in questo thread o contattare un membro dello staff; se invece hai meno di 18 anni potresti far parte degli Juniores, per farlo presentati qui o contatta un membro dello staff. Il gruppo WinGirls e Juniores offrono alcuni vantaggi speciali, scoprili nell'apposito thread di presentazione! Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti. Link utili: - Regolamento - Netiquette - Glossario - Thread di Benvenuto - Guida all'uso di WinInizio

Ciao candreea,

scarica ed esegui MSN Virus Removal

segui le istruzioni per eseguire Combofix

allega il report

[H5N1]

http://forum.wininizio.it/index.php?showtopic=98111

http://forum.wininizio.it/index.php?showtopic=21584

[candreea]

Grazie per le informazioni e per i consigli, provero a applicarli, non so se riesco.

Invece riferito sempre al mio problema con il Pc, ora mi viene segnalato un Troyan Back Door in C:\msrpc O1.exe Non so se è la stessa cosa di prima o un altro virus, non capisco niente, si vede? Non so neanche come sono riuscita a scrivere qui, in più ho difficoltà col l'italiano.

Andreea

[H5N1]

Segui attentamente e passo passo quanto suggerito.

Non avere fretta e fai pure con calma.

Non perdere la pazienza

[candreea]

Allora...stavo istallando Advanced System Care Free e ho istallato Uniblue SpeedUpMyPc , che cos'è? Lo tolgo? Poi Piriform CCleaner quando voglio "avviare pulizia" mi dice "questo processo cancellerà definitivamente i file dal sistema, procedere?" Mi sono fermata, non vorrei sbagliare qualcosa....Che faccio?

Grazie tanto!

Andreea

[Luna75]

Ciao Candreea, hai cercato di lanciare i due programmi suggeriti nel secondo post come descritto?

[candreea]

Il MSN Virus Removal ha rimosso alcuni virus pero si è fermato, dice che:

Imposibile aprire il Registro scansione..Run Service

Rilevato HKLM\..\image File Execution options\ctfmon.exe\Debugger..imposibile rimuovere

Impossibile aprire file HOSTES per la scansione

E complicato? Cosa posso fare?

Vi ringrazio!

Ciao!

Andreea

[H5N1]

Segui le istruzioni per eseguire Combofix e allega il report, come già indicato.

[candreea]

Per adesso ho lanciato Tred Micro Hijackthis..ha scanerizato e ha trovato tante cose io li ho selezionate tutte e ho pigiato Fix checkend..non conosco l'inglese spero che questo era il tasto giusto! Lo so che sono noiosa....Ho riavviato il pc e mi ha trovato altri sempre con Hijackthnis

EDIT

Hijackthis ha un report? Non so che cos'è? Sarebbe quello che cè scritto nel blocco note? Allego quello?Che quello lo trovato..va bene? Mi sembra di parlare cinese...

Andreea

EDIT

Poi,H5N1, per combofix non si apre la pagina da dove lo posso scaricare..non so se cè un mio problema con la connssione a internet..?!?

Modificato December 12, 2009 da angelique
Unione messaggi consecutivi

[Luna75]

Ciao Candreea, non c'è bisogno di dare dei continui up alla discussione, se vuoi, puoi modificare il tuo post precedente con il tasto >modifica>completa, ed inserisci tutto in un unico post, altrimenti si crea confusione.

Ripeti, se possibile, i download di combofix, e Msn remover ed allega il log al prossimo post, va bene? (post n°2 di questa discussione).

[H5N1]

Prova a scaricare ComboFix da questo link.

[candreea]

Prova a scaricare ComboFix da questo link.

Combofix lo scaricato da qualche parte, ma non lo so dove perché non lo trovo, non e cosi evidente dove sta, lo sai?

L'ultima schermata mi diceva che non può rinominare Combofix con Combofix1..

Lo sto ancora cercando...

[H5N1]

Prova sul Desktop o nella cartella Download dell'utente.

[candreea]

Risultati_Analisi_Hijack.txtRisultati_Analisi_Hijack.txt

Prova sul Desktop o nella cartella Download dell'utente.

Non cè da nessuna parte..eppure mi sembrava di averlo scaricato?!?

Però qualcosa sono riuscita a fare, perchè il Pc è più veloce e riesco a tenere il messenger aperto senza che comincia a copiarmi la rubrica e a mandare messaggi a tutti, anche se adesso e diventato tutto "più rosa", non è una battuta, ma nel senso letterario, mi riferisco al desktop.

Provo a allegare il report...penso che non cè rimasto piu niente...

Modificato December 12, 2009 da candreea

[$angelique!?]

Ciao candreea,

non dovevi assolutamente fixare tutti i valori trovati da hijackthis,

tant'è che ora non si avvia nessun programma in automatico, compreso l'antivirus

Prova a ripristinare le voci:

- apri hijackthis

- open the misc tools section

- backups

- metti la spunta alle voci

- clicca su restore

Allega un nuovo log di hijackthis

Uniblue SpeedUpMyPc lo puoi disinstallare

scarica Combofix sul desktop

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

devi rinominare il file prima di salvarlo sul desktop in abc.exe

(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK

se tutto va bene parte il programma che potrebbe impiegare molto

attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.

[candreea]

hijackthis_2.txt

Ciao, per adesso ho fatto questo.....va bene?

Pensavo do aver risolto, mi sembrava strano che sono diventata cosi brava, ho fatto un disastro vero? Ma non faccio prima a formattare tutto, è complicato?

Grazie per la vostra pasienza!

Non so come che ci riesco sempre a allegarlo due volte..?!?

...Allora sono finalmente riuscita a scaricare Combofix, e ho capito anche lo sbaglio che facevo...eseguivo direttamente e non salvavo, penso che questo era lo sbaglio..!!

Adesso allego (spero non in duplice coppia) il log suo.

log_combofix.txt

[$angelique!?]

Perfetto

Ora fixiamo le voci inutili

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM\..\Run: [smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [uSB Storage Toolbox] C:\Programmi\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [bitComet] "C:\Documents and Settings\Fernando\Documenti\BitComet\BitComet.exe" /tra

O4 - HKCU\..\Run: [uniblueSpeedUpMyPC] C:\Programmi\Uniblue\SpeedUpMyPC\Launcher.exe -minimize

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Orb] "C:\Programmi\Winamp Remote\bin\OrbTray.exe" /background

O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

Scarica ed installa le versioni aggiornate di:

Adobe Reader: http://www.adobe.com/it/products/acrobat/readstep2.html

Adobe Flash Player: http://www.adobe.com/it/products/flashplayer/

JavaSun: http://java.com/it/download/index.jsp

In fase di installazione, ti verrà richiesto di installare la toolbar di Google, non la installare (quindi togli la spunta alla relativa voce).

[candreea]

Ho fatto tutto solo questa voce non lo trovata:

O4 - HKCU\..\Run: [uniblueSpeedUpMyPC] C:\Programmi\Uniblue\SpeedUpMyPC\Launcher.exe -minimize

..io mi ricordo di aver desistallato Uniblue.

Posso desitallare anche AVG Free e Win32/Agent.VP troian cleaner visto che non mi hanno aiutato con questo virus ? Anche se ogni tanto AVG mi rileva qualche minaccia.

Ognitanto mi si apre una finestrella che dice qualcosa con: " RegSvr32 Nessun nome DLL specificato " ..etc..se cè bisogno copio tutto quello che cè scritto.

Quando ho istallato Adobe Flash Player, mi si è istalatto anche Mc Afee Security Scan, non ho tanto spazio, lo tengo, serve?

Grazie tanto, siete bravissimi!

Andreea

Modificato December 14, 2009 da candreea