Accedi per seguire   
Seguaci 0
Bisneff

Eapp32Hst.dll E Avira Che Guarda.

13 messaggi in questa discussione

Buonsalve! Torno a disturbarvi ;)

Oggi avira mi ha fatto apparire tante volte la stessa finestrella senza però riuscire a fare nulla... qualcuno mi aiuta?

(Windows XP, Avira, Processore dual core 1.6 ghz, 2.5 ram)

post-62224-011222000 1287953118_thumb.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ohoh, guarda guarda chi non mi aspettavo di trovare (bugia :P)thumbsup2.gif

Ieri sera spengo il computer con quel messaggio stressante, sta mattina di fretta per andare all'università lo riaccendo, mi parla di gravi problemi di disinfezione BlaBlaBla...stacco la wireless, prendo il file che mi serviva e esco. Riaccendo oggi pome. Tskmanager disattivato dall'amministratore, firefox disattivato, AVIRA con il registro virus cancellato, e questo bastardino di WINDOWS SECURITY ESSENTIAL che mi diceva che sono senza antivirus... Con il pulsante install in sovraimpressione. Siccome i rogue mi hanno stufato, noto subito che il resto della schermata (cioè tutto tranne il pulsante "Install") è uno screen JPG del vero essential (disattivato anche quello).

Provo a spegnere il pc ma anche quello non era nelle mie facoltà visto che il pulsantino "spegni" era scomparso. Spengo manualmente e avvio in provvisoria. Malware Bytes e mi accorgo che è tornato a trovarmi una vecchia conoscenza. siccome sono stufo, ora scarico COMODO. Ci metterò 10 ore a capire come funziona, ma cacchio, ne ho le valvole piene.

Lascio di seguito il report di Malware, fammi sapere se secondo te devo ancora scavare ;) sennò rispondi per solidarietà :D

mbam-log-2010-10-25 (15-37-54)2.txt

mbam-log-2010-10-25 (15-37-46).txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Vedo già 2 cose che non mi piacciono bisneff... e dire che mi sembri una persona attenta...

Da quando in qua si fa la scansione veloce?

Esiste solo la scansione completa, di Malware Bytes ;).

Inoltre: dove accidenti è il log di HiJackThis?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Vedo già 2 cose che non mi piacciono bisneff... e dire che mi sembri una persona attenta...

Da quando in qua si fa la scansione veloce?

Esiste solo la scansione completa, di Malware Bytes ;).

Inoltre: dove accidenti è il log di HiJackThis?

Ho detto a mente mia "la faccio veloce così poi vedo su WI che mi hanno detto e poi faccio quella veloce" avevo fretta di riaccenderlo XD

Ok, hijack è qui sotto :)

Ma Malware è meglio avviarlo in provvisoria o normale? O è indifferente?

Grazie mille

hijackthis251010.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, Malwarebytes è meglio avviarlo dalla modalità normale.

Rilancia Hijackthis:

- Do a System Scan Only

- spunta la casellina fianco di ogni singola voce che ti indicherò sotto

- una volta spuntate le voci:

- chiudi tutte le applicazioni aperte

- chiudi tutte le pagine del browser aperte

- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKCU\..\Run: [android 1] C:\WINDOWS\TEMP\~TM4A.tmp

O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\bisneff_\wuaucldt.exe

O4 - Startup: updyrb32.exe

Ripeti la scansione COMPLETA con Malwarebytes aggiornato.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, Malwarebytes è meglio avviarlo dalla modalità normale.

Rilancia Hijackthis:

- Do a System Scan Only

- spunta la casellina fianco di ogni singola voce che ti indicherò sotto

- una volta spuntate le voci:

- chiudi tutte le applicazioni aperte

- chiudi tutte le pagine del browser aperte

- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.c...&gct=&gc=1&q=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKCU\..\Run: [android 1] C:\WINDOWS\TEMP\~TM4A.tmp

O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\bisneff_\wuaucldt.exe

O4 - Startup: updyrb32.exe

Ripeti la scansione COMPLETA con Malwarebytes aggiornato.

Anzitutto grazie mille.

Prima di leggere il tuo messaggio avevo già fatto il giro di Malwarebytes che a quanto sembra ha rimosso finalmente questo "wuaucldt.exe" che era il rogue sul mio pc. Riprova di ciò è il fatto che nel nuovo HJT non ho trovato questi 2 processi:

O4 - HKCU\..\Run: [wuaucldt] c:\documents and settings\bisneff_\wuaucldt.exe

O4 - Startup: updyrb32.exe

in compenso ho fixato

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.c...&gct=&gc=1&q=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKCU\..\Run: [android 1] C:\WINDOWS\TEMP\~TM4A.tmp

Ti allego sia il malware che l'HJT. Ora non penso serva di nuovo passare con malware, ma mi affido alla tua risposta ;)

Thankyu

mbam-log-2010-10-25 (20-53-27).txt

hijackthisPOSTMALWARE.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao.

Si, qualcosa ha rimosso il grande Malwarebytes.

Purtroppo, pero', non riesco a spiegarmi perchè non abbia eliminato tutte le infezioni, ma solo alcune. Si vede che quelle gli stavano antipatiche :)

Disattiva il Ripristino Configurazione Di Sistema:

- Start

- Tasto destro del mouse sull'icona Risorse del Computer

- Seleziona la voce Proprietà

- Apri la scheda Ripristino configurazione di sistema

- Spunta la voce Disattiva Ripristino configurazione di sistema

- Conferma, la modifica, con Applica e, poi OK

Riavvia il PC, è meglio.

POI

Rilancia Hijackthis:

- Do a System Scan Only

- spunta la casellina fianco di ogni singola voce che ti indicherò sotto

- una volta spuntate le voci:

- chiudi tutte le applicazioni aperte

- chiudi tutte le pagine del browser aperte

- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PAC207_Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [android 1] C:\WINDOWS\TEMP\~TM4A.tmp

O8 - Extra context menu item: Baixar com o Rapidown... - C:\Programmi\Rapidown\RapidownGet.htm

O8 - Extra context menu item: Baixar tudo com o Rapidown... - C:\Programmi\Rapidown\RapidownGetAll.htm

Disinstalla:

- RapidDown Get

- Quicktime

- Tutte le Toolbar presenti in Pannello di Controllo/Installazione Applicazioni.

POI

Scarica ATF Cleaner da qui:

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner con un doppio click

1) seleziona la casella Select All

2) clicca sul pulsante Empty selected

3) aspetta l'avviso Done Cleaning

(se usi Opera o Firefox, spunta anche le loro sezioni)

POI

Scarica ed installa CCleaner: http://www.piriform.com/ccleaner/download

Una volta installato configuralo in questo modo:

lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:

? Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)

poi clicca su:

? Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore

? alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate

? nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione

? finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate

? clicca sul tasto Trova problemi ed avvia una scansione

? al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

POI

* Scarica Glary Utilities: http://download.cnet.com/Glary-Utilities/3000-2094_4-10508531.html?part=dl-6280556&subj=dl&tag=button

* Installa Glary Utilities

In fase di installazione ti chiederà di installare anche la Ask Toolbar, togli la Spunta

* Avvia Glary Utilities

* Menu - Settings - Language - Italian

* Manutenzione 1 Click

- Controlla che tutte queste voci siano spuntate:

- Pulizia registro

- Riparazione collegamenti

- Gestione esecuzioni automatiche

- Pulizia File Temporanei

- Eliminazione Tracce

- Rimozione Spyware

Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Selezionale le tracce da eliminare e selezionale tutte

Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Opzioni - Elimina i cookie non contrassegnati

Infine, clicca su Ricerca Errori

*Attendi la scansione - puo' durare 3-4 minuti al massimo -

*A scansione finita, clicca su Ripara Errori

*Ripeti questa operazione più volte, in quanto Glary Utilities, come tanti altri Software di pulizia del Registro di Windows, non riesce a far fuori tutte le schifezze al primo colpo.

POI

• Scarica OTC by OldTimer sul desktop:

http://oldtimer.geekstogo.com/OTC.exe

doppio clic per eseguirlo

Clicca su CleanUp.

Ti chiederà di riavviare il pc.

Clicca sì.

• Scarica TFC by OldTimer sul desktop

http://oldtimer.geekstogo.com/TFC.exe

chiudi tutti i programmi

avvia TFC, clicca su "start"

al termine della scansione ti chiederà il riavvio, dai ok.

POI

Digita:

Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp dai file. (non eliminare la cartella)

Provvedi a svuotare del suo contenuto la cartella Prefetch :

clicca su Risorse del Computer

clicca su Disco locale C:

cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella )

Svuota poi la cache di Java:

http://www.java.com/it/download/help/plugin_cache.xml

SVUOTA IL CESTINO

Lancia Hijackthis e pulisci gli ADS in questo modo:

clicca sulla voce Open the misc tool section

clicca su Open ads spy

togli la spunta alla voce Quick scan (windows base folder only)

clicca su Scan.

Aspetta pazientemente la fine della scansione.

se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Al termine, fai sapere se il PC è tutto OK, e, posta un LOG di Hijackthis.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per la risposta. E credo che a breve (sta sera) mi dedicherò a fare quello che mi hai consigliato...

Potresti spiegarmi perchè dovrei disinstallare quicktime? Non ho un altro lettore per file MOV e file 3gp...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho appena finito il procedimento da te descritto.... Allego HJT.

l'unica cosa... dal secondo riavvio (quello per Oldtime), il computer impiega molto tempo di più ad avviarsi, oltre al fatto che mi sembra lavorare molto più lentamente... è normale?

hijackthis261010.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scarica ComboFix da qui:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop

● disconnettiti da Internet

● sconnetti, fisicamente, il modem dal computer

● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore

● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione

● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log

● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:

● verranno creati alcuni file sul desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:

● riavvia il sistema in modalità normale

● ricollega, fisicamente, il modem al computer

● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\pippo.exe" /killall

Premi OK, si dovrebbe avviare la scansione.

Il log di Malwarebytes dov'è? :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Malwarebytes ha fatto il suo sporco lavoro.

Attendo il log di Combofix.

Ciao! :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0