Pc In Crisi Con Scritte Che Scompaiono..

[gattone]

Buona sera a tutti.

Da questo pomeriggio ho il computer in crisi + probabile con un virus .

Scorrendo una cartella con molti file, ho visto che alcuni nomi scomparivano durante lo scorrimento.

Ho provato a fare una scansione con Superantispyware e Malwarebites, ma uno non ha trovato nulla, e l'altro mi si è chiuso e disattivato da solo.

Così come anche Avira.

Ho provato un pò di cose, tra cui scansioni con Malwarebytes, Avira e Combofix in modalità provvisoria.

Non ho risolto, ma almeno sono riuscito a passarmi i log sul portatile. Potete dargli un occhiata??

Credo che le versioni dei programmi non siano aggiornatissime. Se riuscite ad aiutarmi nel frattempo ve ne sarei grato.

Nel frattempo sto cercando di infilare nel pc le ultime versioni di HJT e CFX.

Grazie

edit: nel frattempo sono riuscito a postare i log con le ultime versioni di HJT e CFX.

Grazie 1000

ComboFix.txt

hijackthis.log

Modificato December 7, 2010 da gattone

[FDAC]

Start - Esegui e digita:

notepad.exe

● clicca su Ok

● copia ed incolla le righe qui sotto, senza saltarne nessuna:

RegLock::

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

RegNull::

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

● le incolli all'interno dell'editor di testo Notepad

● clicca in alto su File

● nel menù che vedi scegli Salva con nome

● controlla che in alto, dove c'è scritto Salva in, sia selezionato Desktop

● in Nome file se trovi selezionato .txt lo cancelli, e scrivi CFScript.txt

● clicca Salva

● adesso, sul Desktop, trovi il file di testo

● con il tasto sinistro del mouse, lo trascini sopra l'icona di Combofix, lo rilasci, e parte la scansione di Combofix

● non toccare più ne' mouse ne' tastiera, finché non è finita

● se il sistema non si riavvia da solo, riavvialo tu

● a questo punta allega il log di Combofix

Scarica DoctorWeb CureIt:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

http://www.freedrweb.com/download+cureit/gr/?lng=en

● posiziona il tool sul Desktop

● alla prima finestra che ti appare, clicca OK

● alla seconda finestra che ti appare, clicca OK

● si aprirà la finestra principale del programma, clicca su Avvia

● farà una scansione preliminare

● quando sarà finita, nel caso venissero rilevati nel tuo PC file infetti, seleziona Scansione Completa e clicca sul Triangolino Verde

● se trova infezioni, usa il tasto Sposta

Il log, che dovrai successivamente allegare, lo trovi qui:

C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log

Per allegare il log utilizza questo servizio di upload: http://wikisend.com

e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

[gattone]

Eccomi,

Fatti entrambi i passaggi.

Allego il log di combofix e pubblico il forum link.

CureIt.log

Posso considerarmi salvo??

Grazie per la disponibilità..

log.txt

Modificato December 10, 2010 da gattone

[FDAC]

Ciao.

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

● lancia Hijackthis

● clicca su Do a system scan and save a logfile

● al termine della scansione, che durerà una manciata di secondi, verrà rilasciato un file di testo: allegalo

[gattone]

Eccolo...

Grazie per l'aiuto.

hijackthis.log

[Mr 4011]

Ciao Gattone

Con tutte leapplicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Esegui Malwarebytes e posta il log

Poi esegui una pulizia con Ccleaner e con Wise registry cleaner

[FDAC]

Ciao. Disinstalla Spyware Terminator

Rilancia Hijackthis:

● Do a System Scan Only

● spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

● chiudi tutte le applicazioni aperte

● chiudi tutte le pagine del browser aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.c...spx?tb_id=60327

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.co...sreqlab_nvd.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://meridiana.axi...activex/AMC.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab

Scarica ATF Cleaner: http://www.atribune..../click.php?id=1

● avvia il tool con un doppio click

● seleziona la casella Select All

● clicca sul pulsante Empty selected

● aspetta l'avviso Done Cleaning

(se usi Opera o Firefox, esegui la loro pulizia cliccando sul tab in alto)

● chiudi il programma

Scarica ed installa CCleaner: http://www.piriform.com

Nota - durante l'installazione:

● non consentire l'installazione di Google Chrome, ne' di nessun altro componente aggiuntivo esterno al programma

Una volta installato, configuralo in questo modo:

● lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:

● Impostazioni

● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)

Successivamente clicca su:

● Avanzate

● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore

● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori Aggiornamenti di Windows

● clicca sul tasto Avvia pulizia per avviare la pulizia dei file temporanei

● finita la scansione, sempre nel menù a sinistra, clicca sulla voce Registro e spunta tutte le voci eccetto:

Estensioni file non usate

● clicca sul tasto Trova Problemi per avviare la pulizia delle voci di registro corrotte e danneggiate

● al termine della scansione clicca sulla voce Ripara selezionati... e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

● chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● doppio click per eseguirlo

● clicca su CleanUp

● ti chiederà di riavviare il sistema

● clicca Yes

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia TFC by OldTimer, clicca su Start

● al termine della scansione ti chiederà di riavviare il sistema

● clicca Ok

Svuota del suo contenuto la cartella Prefetch:

● Start

● clicca su Risorse del Computer

● clicca su Disco locale C:

● cerca, all'interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch

● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Lancia Hijackthis e pulisci gli ADS in questo modo:

● clicca sulla voce Open the misc tool section

● clicca su Open ads spy

● togli la spunta alla voce Quick scan (windows base folder only)

● clicca su Scan

● attendi pazientemente la fine della scansione

● se venissero rilevati ADS, spunta tutte le caselline, senza alcuna paura, e clicca su Remove selected

Pulire la Cache di Java;

● clicca su Start

● apri il Pannello di Controllo

● clicca sull'icona Java

● si aprirà il Pannello di Controllo di Java

● nel tab Generale, nella sezione File temporanei Internet, clicca su Impostazioni

● nella finestra che si aprirà clicca su Elimina File

● nella finestra che si aprirà spunta, se non lo fossero, le uniche due voci presenti: Applicazioni e applet e File traccia e registro

● clicca sul pulsante OK 3 volte, per tornare al Pannello di Controllo

Fammi sapere che problemi riscontri

Modificato December 13, 2010 da FDAC

[gattone]

Scusate ma non so quali indicazioni seguire....

Faccio ciò che mi consiglia FDAC che comprende in parte ciò che dice Mr4011 e tralascio Malwarebytes e WiseRegistryCleaner??

[Mr 4011]

Questo e' quanto succede quando si sovrappongono post con aggiunte di lunghe pappardelle al momento inutili.

Come si dice cambiando di posto i fattori il prodotto.....................................

Esegui Malwarebytes e posta il log

Poi esegui una pulizia con Ccleaner e con Wise registry cleaner

Ps: OTC è un programma per eliminare i tools di rimozione dopo averli utilizzati

TFC serve ad eliminare i file temporanei ma non tocca nessuna chiave di registro

Qualcuno potrebbe pensare che se non te li ho proposti, vuol dire che non sappia cosa siano, invece io penso che questi due tool vadano fatti eseguire dopo aver risolto il problema.

[gattone]

Alura,

Ho fixato le 2 voci indicate con hjt nel precedente post.

Non volevo creare un incidente diplomatico....scusate

Ho fatto la scansione completa con malwarebytes e posto il log

Fatta la pulizia con CCleaner (con i settaggi con cui si apre) e WiseRegistryCleaner.

Attendo passaggi successivi da fare.

Grazie

G.

mbam-log-2010-12-14 (21-37-02).txt

[pike]

gattone, con tante teste pensanti non è difficile trovare opinioni diverse.

Ed ognuno propone la propria, in quanto in tutta onestà la ritiene la migliore, in base alla propria esperienza.

Nessun incidente diplomatico, a mio modesto parere, solo differenze di opinione.

FDAC è solo partito "un po' in quarta"; spero non si offenda se espongo questo pensiero.

Bisognerebbe (sempre a mio parere) "dilazionare" gli interventi separando l'analisi/diagnosi, dalla pulizia del malware alle "pulizie finali" per rimuovere file inutili, strumenti e quant'altro non occorra più dopo il ripristino del normale funzionamento.

[FDAC]

Ciao.

La scansione con Malwarebytes, non ha rilevato infezioni.

Come va il tuo PC?

Critiche costruttive accettate, Pike e Mr.

No problem!

[gattone]

Il pc sembra funzionare bene.

2 cose volevo chiedere.

Io non ho fixato tutte le voci indicate da te, ma solo le 2. Credi che che sia necessario fixare anche le altre?

Come mai mi hai detto di disinstallare Spyware Terminator??

[FDAC]

Spyware Terminator non serve, perchè hai già Avira, malwarebytes e superantispyware Free: più che sufficienti.

Posta un log aggiornato di HJT.

[gattone]

Ecco il log appena sfornato...

Riguardo Spyware Terminator, avevo capito che serviva perchè è l'unico dei programmi che citi (in versione free come le mie ) che ha il controllo in tempo reale. E' una fregnaccia??

hijackthis.log

[FDAC]

Rilancia Hijackthis:

● Do a System Scan Only

● spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

● chiudi tutte le applicazioni aperte

● chiudi tutte le pagine del browser aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.c...spx?tb_id=60327

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.co...sreqlab_nvd.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.m...ash/swflash.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://meridiana.axi...activex/AMC.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab

Disinstalla Spyware Terminator, è inutile.

Il log è pulito.

Ciao.

[gattone]

Ho fixato le voci che mi hai dato.

La 02 non è in elenco però..

Rispetto a Spyware Terminator invece, mi consigli di sostituirlo con un altro o di rimanere senza un check in tempo reale??

Quale è secondo te la configurazione di programmi di sicurezza ottimale???

[FDAC]

Ciao.

Per programmi di sicurezza, tieni Avira, Malwarebytes, e, eventualmente, SuperantiSpyware -tutti Free-.

Inoltre, se vuoi, utilizza un Buon Firewall, come Online Armor, PC Tools Firewall Plus..