Crash Continuo

[Freyanera]

Ciao,

potreste controllare questa scansione fatta con hijackthis? Praticamente da questa mattina il mio computer va a rilento e non solo. Il problema principale è che non riesco a navigare perchè dopo un oretta scarsa firefox crolla ed esce "plugin-container.exe. Si è verificato un errore in plugin container.exe" o si blocca tutto e mi tocca chiudere usando il task manager nel migliore dei casi. Non posso fare la scansione con combofix perchè entra in conflitto con AVG nonostante l'abbia dsattivato. Con Malwarebytes non risulta niente

hijackthis.log

[pike]

Di recente hai aggiornato Flash Player?

[Mr 4011]

Ciao Freyanera

innanzitutto ti consiglio di aggiornare internet explorer poi:

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia hiJackThis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.it

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll

R3 - URLSearchHook: IMVU Inc Toolbar - {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Programmi\IMVU_Inc\tbIMVU.dll

O2 - BHO: IMVU Inc Toolbar - {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Programmi\IMVU_Inc\tbIMVU.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\admin\Dati applicazioni\DVDVideoSoftIEHelpers\youtubetomp3.htm

Esegui Malwarebytes e Combofix e allega i report

[FDAC]

Rilancia Hijackthis:

● Do a System Scan Only

● spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

● chiudi tutte le applicazioni aperte

● chiudi tutte le pagine del browser aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.findeer.it

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programmi\Ask.com\GenericAskToolbar.dll

R3 - URLSearchHook: IMVU Inc Toolbar - {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Programmi\IMVU_Inc\tbIMVU.dll

O2 - BHO: IMVU Inc Toolbar - {90b49673-5506-483e-b92b-ca0265bd9ca8} - C:\Programmi\IMVU_Inc\tbIMVU.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [uCam_Menu] "C:\Programmi\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programmi\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\3.0"

O4 - HKLM\..\Run: [YouCam Mirror Tray icon] "C:\Programmi\CyberLink\YouCam\YouCamTray.exe" /s

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [babylonToolbar] "C:\Programmi\BabylonToolbar\BabylonToolbar\1.4.15.3\BabylonToolbarsrv.exe" /md I

O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [4StoryPrePatch] C:\Programmi\Zemi Interactive\4Story_US\PrePatch.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME 2\TomTomHOMERunner.exe"

O4 - HKCU\..\Run: [Free Download Manager] "C:\Programmi\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [AliceMessenger] "C:\Programmi\Alice Messenger\alicemessenger.exe"

O4 - HKCU\..\Run: [title grid] C:\DOCUME~1\admin\DATIAP~1\TONSSE~1\BIAS MEET.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\admin\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Barra delle applicazioni di ATI CATALYST.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Controllo dello stato.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

O4 - Global Startup: GamersFirst LIVE!.lnk = C:\Programmi\GamersFirst\LIVE!\Live.exe

POI

Scarica Combofix: http://download.blee...Bs/ComboFix.exe

Nota: prima di eseguire il download, rinomina il file in pippo.exe

crea una cartella apposita sul Desktop e, al suo interno, posiziona il tool che hai scaricato ed esegui queste operazioni preliminari:

● disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

è assolutamente necessario, se attivo:

● disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)

● disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

Quando Combofix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

● ricollega, fisicamente, il modem/router al Computer

● connettiti a Internet

● vai in Disco Locale C:, cerca il log dal nome combofix.txt ed allegalo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com

e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

P.S.

Disistalla AVG: (è obsoleto e non aggiornato)

Per disinstallare AVG:

- Cessane l'esecuzione dalla Traybar. (vicino all'orologio)

- Vai in Pannello di Controllo/Installazione Applicazioni e lo rimuovi.

- Fai girare questo tool, per eliminare gli eventuali rimasugli:

http://www.avg.com/u.../download-tools

Scegli la versione compatibile con il tuo Sistema Operativo, 32 Bit o 64 Bit.

Modificato November 21, 2010 da FDAC

[Freyanera]

Allora ho seguito le istruzioni di Mr 4011 e allego il risultato ottenuto con Malwarebytes , purtroppo combofix continua a non funzionare . Quando lo avvio esce che devo disinstallare prima AVG per poter continuare .

Per Pike , veramente non ricordo bene se ho aggiornato Flash Player però ho installato l'ultima versione di fire fox e ho letto che possono esserci degli inconvenienti dovuti al plugin-container exe. Il fatto del plugin ora non esce più in quanto l'ho disattivato secondo le spiegazioni che ho trovato in un sito .

Comunque, credo di aver fatto qualche danno bloccando il plugin difatti mi si è auto avviato una specie di programma antivirus che si chiama security tool , parte da solo ed è uno di quei soliti programmi che devi tra l'altro comprare -.- come faccio a eliminarlo?

mbam-log-2010-11-21 (20-42-01).txt

Modificato November 21, 2010 da Freyanera

[Mr 4011]

Esegui Rkill seguendo tutta la guida e posta il log. ti sei infettata con un rogue

[Freyanera]

ho provato, blocca rkill. Blocca anche task manager nel caso volessi chiuderli di forza e ora blocca anche malware bytes e non riesco ad andare quasi su nessun sito perchè mi esce la schermata del sito pericoloso. Su questo riesco ad entrare perchè risulta nella cronologia

Modificato November 21, 2010 da Freyanera

[Luke57]

Ciao, scarica questo programma:

http://download.bleepingcomputer.com/sUBs/MiniFixes/Inherit.exe

copialo nella cartella di malwarebytes(C:/programmi/malwarebytes) e poi trascina l'eseguibile malwarebytes.exe in inherit.exe.Aspetta la fine delle operazioni e prova di nuovo malwarebytes. Se funziona, elimina i valori infetti trovati e posta il report dello scan

[Mr 4011]

Fai quanto detto da luke57 se non ti dovesse riuscire fai quato ti dico io:

Accedi in modalita' provvisoria e da start > esegui digita msconfig , portati nella sezione avvio e cerca un file fatto di soli numeri, togli la spunta accetta e riavvia.

Se hai eseguito bene al riavvio devi per forza riuscire ad eseguire sia combofix che malware bytes fallo e posta i log

[Freyanera]

il procedimento di Luke non funziona...

per quanto riguarda la modalità provvisoria non escono file con soli numeri che dovrebbero rappresentare appunto i due securitytool . L'unico dove ci sono solo ue numeri è ex-0.8 C:Windows temp ex 0.8 o qualcosa di simile

Modificato November 22, 2010 da Freyanera

[Luke57]

il procedimento di Luke non funziona...

per quanto riguarda la modalità provvisoria non escono file con soli numeri che dovrebbero rappresentare appunto i due securitytool . L'unico dove ci sono solo ue numeri è ex-0.8 C:Windows temp ex 0.8 o qualcosa di simile

Ciao, ma ti appaiono messaggi mentre i files vengono bloccati?prova a rinominare l'eseguibile di malwarebytes in 123.exe e tentare l'operazione con inherit.

Se non funzionasse, vai qui:

http://www.suspectfile.com/systemscan

scarica systemscan sul desktop.aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip qui:

http://wikisend.com/

fornendo il link per poterlo vedere.<br style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; padding-top: 0px; padding-right: 0px; padding-bottom: 0px; padding-left: 0px; ">Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato salvo poi riattivarlo prima di riconnetterti.SystemScan viene, erroneamente, rilevato da alcuni antivirus come un malware

[Luke57]

il procedimento di Luke non funziona...

per quanto riguarda la modalità provvisoria non escono file con soli numeri che dovrebbero rappresentare appunto i due securitytool . L'unico dove ci sono solo ue numeri è ex-0.8 C:Windows temp ex 0.8 o qualcosa di simile

Ciao, ma ti appaiono messaggi mentre i files vengono bloccati?prova a rinominare l'eseguibile di malwarebytes in 123.exe e tentare l'operazione con inherit.

Se non funzionasse, vai qui:

http://www.suspectfile.com/systemscan

scarica systemscan sul desktop.aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Inserisci il file con estensione .zip qui:

http://wikisend.com/

fornendo il link per poterlo vedere. Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato salvo poi riattivarlo prima di riconnetterti.SystemScan viene, erroneamente, rilevato da alcuni antivirus come un malware

[Freyanera]

Luke ho riavviato e ora funziona malwarebytes( credo con il passaggio che mi hai detto) ..però non rileva niente.. sarà che ho chiuso il security tool con il task manager che si è stranamente riattivato. Ho riavviato il computer e ora security tool non si avvia più anche se tra i programmi è ancora presente . Come faccio a cancellarlo del tutto? Combofix non riesco ad avviarlo a meno che non cancello avg.

Comunque se vado su un qualunque sito , che non sia nella cronologia mi esce questo. Premetto che non volevo andare su quel sito che segnala . Quindi non so come fa a ricondurmi li

Segnalato sito malevolo

Il sito web bellatop.cz.cc è stato segnalato come sito web malevolo ed è stato bloccato sulla base delle impostazioni di sicurezza correnti.

Un sito web malevolo cerca di installare dei software in grado di sottrarre le informazioni personali degli utenti, sfruttare il computer per attaccare altre macchine o semplicemente danneggiare il sistema.

Alcuni di questi siti distribuiscono intenzionalmente software dannoso, ma gran parte dei siti viene compromessa senza che il proprietario ne sia a conoscenza o ne sia responsabile.

mbam-log-2010-11-22 (17-50-34).txt

Modificato November 22, 2010 da Freyanera

[Luke57]

Ciao, per disistallare del tutto Avg devi usare l'apposito tool.

Se hai altri problemi e non sei sicura di avere il computer a posto, puoi eseguire systemscan, come ti ho spiegato nella seconda parte del precedente post, in modo che possa dare un'occhiata al suo report e verificare che non c i siano altri problemi, Per disistallare security tool, prova questo:

http://revo-uninstaller.softonic.it/

[Freyanera]

Daccordo,

ho eseguito systemscan . Security tool non compare tra i programmi in revo . Se lo cancellassi manualmente dato che non da più problemi ?

Mio link

Modificato November 22, 2010 da Freyanera

[Luke57]

Ciao, apri un file dal blocco note di windows e copia al suo interno il seguente codice:

Windows Registry Editor Version 5.00

[HKCU\SOFTWARE\Microsoft\windows\currentversion\run]
"title grid"=-
;

salvalo sul desktopo con il nome di fix.reg, tipo di file:tutti i file.

Poi avvialo con doppio click e rispondi sì alla richiesta di unione al registro. Non riavviare il computer ma avvia systemscan, clicca sul pulsante sotto a destra "Removal script" ti si apre un box, clicca all'interno in modo da far scomparire le scritte in rosso e, copia e incolla il seguente script:

Files to delete:

C:\DOCUME~1\admin\DATIAP~1\TONSSE~1\BIASMEET.exe

C:\WINDOWS\Temp\_ex-08.exe

Folders to delete:

C:\DOCUME~1\admin\IMPOST~1\Temp

C:\WINDOWS\Temp

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sniffer

Clicca sul pulsante "proceed with removal" e vedi cosa succede, se funziona e viene richiesto il riavvio, riavvia il pc.

Al riavvio posta il file C:\avenger.txt.

Poi scarica TDSSkiller

http://support.kaspersky.com/downloa...tdsskiller.exe

Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su

TDSSKILLER.exe per avviare l'applicazione e poi su start scan.

Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.

Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.

Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.

Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.

Se un riavvio è richiesto, il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

Allegalo a un post

[Freyanera]

Niente,

System tool è ripartito . Ho spento il computer perchè si riavviava continuamente ogni tre minuti e ora è dinuovo fermo ma sempre presente.

Comunque allego i due file . Avenger e TDSSKiller.

Comunque se provassi a cancellare dall'editor del registro di sistema? Ora riesco ad accedervi..Risolverei qualcosa?

avenger.txt

TDSSKiller.2.4.8.0_23.11.2010_10.53.13_log.txt

Modificato November 23, 2010 da Freyanera

[Luke57]

Ciao, tdsskiller ha individuato anche l'infezione da Sinoval sull'mbr.

Scarica

http://www2.gmer.net/mbr/mbr.exe

• Collocate MBR rootkit detector (mbr.exe) alla radice del disco (Es; C:\mbr.exe)
• Riavviate il Pc in modalità provvisoria
• Andate su Start / Esegui
• digitate C:\mbr.exe e cliccate su OK per avviare il controllo e creare il log.

Postalo.

Inoltre, disistalla avg con il tool apposito.

http://www.avg.com/i.../download-tools

Elimina combofix.exe che hai sul computer e scaricalo nuovamente sul desktop.

Prima di salvarlo rinominalo in abc.exe.

Copia l'eseguibile di inherit sul desktop e trascinaci, con il puntatore del mouse, l'icona di combofix.

Attendi la fine delle operazioni. Poi prova ad avviare combofix.

Se parte attendi la fine delle operazioni senza fare niente e, al termine, allega il report C:\combofix.txt.

[Freyanera]

Dopo questa operazione sembra che Security tool sia scomparso del tutto. Anche tra i programmi non c'è più . Allego di seguito il log di combofix. Per quanto riguarda C:\mbr.exe non sono riuscita ad ottenere il log . Non so perchè.

Comunque, grazie per l'aiuto e la pazienza

log.txt

[Luke57]

Ciao, il log di combofix sembra a posto.

Per sicurezza, elimina tdsskiller, riscaricalo e fai una nuova scansione, allegando il relativo log.

Installa un antivirus, per una scelta free io mi orienterei su avira o avast 5, molto migliorato, comunque fai come ritieni più opportuno.

[Freyanera]

Ho rifatto la scansione con tdsskiller , allego.

Ho scaricato avira. Ora tutto sembra funzionare normalmente

TDSSKiller.2.4.8.0_23.11.2010_15.35.01_log.txt

[Luke57]

Ciao, il report è a posto.