Accedi per seguire   
Seguaci 0
alemiraglia

Finto Antivirus

14 messaggi in questa discussione

Ciao a tutti, il pc del mio ragazzo è probabilmente infetto da un virus che simula un antivirus, nel senso che gli si apre una finestra di questo software che gli dice che il pc è infetto e gli blocca tutto.

Ha scansionato il pc sia con Antivir che con MBAM ma non riportavano la presenza di file infetti.

Incollo di seguito il log di hjk:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)

Scan saved at 22:24:58, on 01/10/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\3 Internet\3 Internet.exe

C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe

C:\DOCUME~1\fabio.f\IMPOST~1\Temp\RtkBtMnt.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\ACTIA\Firebird\Firebird_1_5\bin\fbguard.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Programmi\Nero\Update\NASvc.exe

C:\Programmi\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\taskmgr.exe

C:\ACTIA\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programmi\Avira\AntiVir Desktop\avscan.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe

C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Mobile Partner] "C:\Programmi\3 Internet\3 Internet.exe"

O4 - HKCU\..\Run: [sqarxkhw] C:\DOCUME~1\fabio.f\IMPOST~1\Temp\lfnuprgdm\ylnbbbslanw.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: Invia a Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm

O8 - Extra context menu item: Translate with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebo...oUploader55.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://webcam.next.it/activex/AMC.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{23F056EE-F39D-4C39-B080-D3825057573E}: NameServer = 62.13.173.93 62.13.173.92

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\ACTIA\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\ACTIA\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: @C:\Programmi\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Programmi\Nero\Update\NASvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--

End of file - 8922 bytes

Grazie a tutti!

:anna:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Pike, grazie della risposta, questi sono i log:

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as fabio.f on 02/10/2010 at 15:25:42.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\DOCUME~1\fabio.f\IMPOST~1\Temp\RtkBtMnt.exe

C:\Documents and Settings\fabio.f\Desktop\rkill.exe

Rkill completed on 02/10/2010 at 15:25:45.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versione database: 4733

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

02/10/2010 15:53:02

mbam-log-2010-10-02 (15-53-02).txt

Tipo di scansione: Scansione veloce

Elementi esaminati: 143884

Tempo trascorso: 9 minuti, 4 secondi

Processi infetti in memoria: 0

Moduli di memoria infetti: 0

Chiavi di registro infette: 1

Valori di registro infetti: 0

Voci infette nei dati di registro: 0

Cartelle infette: 0

File infetti: 0

Processi infetti in memoria:

(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:

(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:

HKEY_CURRENT_USER\Software\mksybupgw (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

Valori di registro infetti:

(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:

(Non sono stati rilevati elementi nocivi)

Cartelle infette:

(Non sono stati rilevati elementi nocivi)

File infetti:

(Non sono stati rilevati elementi nocivi)

Al momento sembra che non escono più gli avvisi di questo antivirus! Grazie!

Modificato da ale80

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao...oggi è riuscito il messaggio dell'antivirus...cosa posso fare per risolvere???

inoltre ho notato che non riesco a installare gli aggiornamenti di windows, potrebbero essere collegati questi eventi?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, devi fare la scansione completa con malwarebytes, non quelle rapida come hai fatto tu. Rieseguila e posta il report.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao luke, grazie della risposta. Ecco il log completo di MBAM...non ha trovato niente...

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Versione database: 4737

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

04/10/2010 19:54:34

mbam-log-2010-10-04 (19-54-34).txt

Tipo di scansione: Scansione completa (C:\|)

Elementi esaminati: 323069

Tempo trascorso: 1 ore, 22 minuti, 11 secondi

Processi infetti in memoria: 0

Moduli di memoria infetti: 0

Chiavi di registro infette: 0

Valori di registro infetti: 0

Voci infette nei dati di registro: 0

Cartelle infette: 0

File infetti: 0

Processi infetti in memoria:

(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:

(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:

(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:

(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:

(Non sono stati rilevati elementi nocivi)

Cartelle infette:

(Non sono stati rilevati elementi nocivi)

File infetti:

(Non sono stati rilevati elementi nocivi)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, scarica OTL by Oldtimer suldesktop

http://oldtimer.geekstogo.com/OTL.exe

sotto la voce Outpout, scegli "Minimaloutpout"

Metti la spunta nelle caselle:

"Scan all users"

Processes ---->Use safe list

Services ----> Use safe list

Standard Registry ----> All

Modules ----> All

Drivers ----> All

Seleziona All alle voci "Filescreatedwithin" e "File modified within"

Clicca su Run scan

Finita la scansione che potrebbe impiegare diversotempo, OTL produrrà due file di log (OTL.txt ed Extras.txt), memorizzati nellamedesima cartella del programma.

Zippali in un file e inseriscili qui:

http://wikisend.com/

(premendo Sfoglia e poi upload, dopo averindividuatoil file medesimo)

fornendo nel prossimo post il link , che ti saràassegnato dopo l'upload, per poterli vedere.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, abbiamo eseguito la scansione, wikisend non mi carica il file, ho usato un altro sito, il link è:

http://www.speedyshare.com/files/24575642/log.zip

se non funziona o ci dovessero essere problemi trovo un altro modo per mandartelo...incollarlo non mi sembra il caso, sono più di 2000 righe :)

Modificato da ale80

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ti ringrazio, il computer sembra pulito, non è uscito più l'avviso,

ho sempre il problema che non riesco a installare gli aggiornamenti di windows, cioè mi esce l'icona degli aggiornamenti, li installo, ma quando riavvio ricompare.

Grazie :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate, non ho capito in che modo si è riusciti a risolvere il problema! Temo di avere sul pc ciò che aveva ale80, un finto antivirus che si chiama Antimalware Doctor, il quale continua a far uscire pop-up e a rallentare il sistema. Ho provato Malwarebytes' Anti-Malware ma non è segnalato alcun file infetto!

Come posso debellarlo?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, Jacopo93, apri un tuo apposito topic ;)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0