Spyware Doctor E Spywarefighter

[Alexiej]

Sono incorso in due problemi che non riesco a risolvere nonostante i vari tentativi di aiuto raccolti in vari forum, compreso questo.

1* - Spyware doctor mi dà in continuazione la mascherina di bloccaggio della seguente applicazione explorer.exe: C:\WINDOWS\SYSTEM32\AWVVU.DLL.

2* - L'installazione di Spywarefighter mi si è bloccata e mi ripete in continua la maschera di "attendere - configurazione di S. in corso ...". A nulla son valsi i tentativi di rimediare con la disinstallazione automatica e manuale. I due file Spfext.dll e spfrm.dllon c'è stato alcun modo di cancellarli perchè "in uso".

Il mio sistema operativo e Win XP s.pack 2 aggiornato su macchina IBM ThinkPad notebook.

Internet Explorer 7.0.

Ero incorso in un accidentale lancio di un eseguibile (una patch che non ricordo bene) risultato una bestiaccia. Con Spybot ho ripulito alcuni spy ma quei due accidenti sopra non riesco a toglierli di mezzo.

La navigazione è pregiudizievole, instabile.

Posso ovviare senza drastiche misure come la riformattazione?

Grazie.

[$angelique!?]

[ben]Alexiej[/ben]

Ciao Alexiej,

Spywarefighter, non mi convince per nulla...

prova ad eseguire questi passaggi:

Disabilita il tuo antivirus.

Scarica Combofix da uno dei seguenti links:

Bleeping Computer, TechSupport Forum, Foro Spyware, Geeks to go.

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, prova a scaricarlo da uno dei successivi)

1. Doppio click su combofix.exe, comparirà la seguente videata:

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

allega un log di Hijackthis

http://forum.wininizio.it/index.php?showtopic=21584

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

[Alexiej]

Dunque ho proceduto come da accurate istruzioni. Spero di aver fatto tutto adeguatamente. Certamente il notebook si preso una bella ... infezione. Ora ci vorrà un po' di penicellina su suggerimento ... medico specialista.

Allego le analisi.

http://www.wikifortio.com/921978/Report%20Kaspersky.html

ComboFix.txt

hijackthis.log

Modificato March 19, 2008 da Alexiej

[$angelique!?]

***Disabilita il Ripristino di configurazione su tutte le unità;

http://www.kuma215.it/WI/

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Al termine di questa procedura che ti indico riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito.

***elimina manualmente questi file infetti:

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Adobe PageMaker 7(1).zip/Adobe PageMaker 7.exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Adobe PageMaker 7(1).zip

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Adobe PageMaker 7.zip/Adobe PageMaker 7.exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Adobe PageMaker 7.zip

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Mac Osx - Adobe Premium Cs3 All Crack!!! Flash Cs3- Photoshop Cs3 -Dreamweaver Cs3 - Indesign Cs3 --- Crack!!!!! Funziona Veramente!!!!(1).zip/setup.exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Mac Osx - Adobe Premium Cs3 All Crack!!! Flash Cs3- Photoshop Cs3 -Dreamweaver Cs3 - Indesign Cs3 --- Crack!!!!! Funziona Veramente!!!!(1).zip/Setup.exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\Mac Osx - Adobe Premium Cs3 All Crack!!! Flash Cs3- Photoshop Cs3 -Dreamweaver Cs3 - Indesign Cs3 --- Crack!!!!! Funziona Veramente!!!!(1).zip

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\QuarkXPress 7 (Crack).zip/QuarkXPress 7 (Crack).exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\QuarkXPress 7 (Crack).zip

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\QuarkXPress 7.zip/QuarkXPress 7.exe

C:\Documents and Settings\Matteo.PC\Documenti\Lphant\Downloads\QuarkXPress 7.zip

***Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) http://www.ccleaner.com/download/downloadpage.aspx?f=2

Wise Registry Cleaner http://www.wisecleaner.com/soft/WRC3Setup.exe

+ Lingua italiana http://www.wisecleaner.com/soft/languages/wrc3/Italiano.zip

una volta scaricato, (dopo averlo decompresso) copialo nella cartella "Language" del programma

Quando installi Ccleaner ricordati che se lasci le spunte di default, verrà installata anche la toolbar yahoo (togli le spunte se non la vuoi)

STAMPA queste istruzioni (oppure salvale in un file sul desktop)

***Avvia il sistema in Modalità Provvisoria

http://www.wininizio.it/forum/index.php?showtopic=12722

CON TUTTE LE APPLICAZIONI CHIUSE....

***Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked"

O2 - BHO: (no name) - {1ca4df50-7e70-42c1-8e49-42b2a406fd79} - (no file)

O2 - BHO: (no name) - {2BD9D87E-D9B7-4E0A-A84B-9C5F6C4F9550} - C:\WINDOWS\system32\mljgf.dll

O2 - BHO: (no name) - {87CADEB4-0FD4-4288-9EC3-AD7C14EDFC54} - C:\WINDOWS\system32\nnnkiig.dll

O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\SPYWAREfighter\spftray.exe

O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKCU\..\Policies\Explorer\Run: [skeysw] skeysw.exe

O20 - Winlogon Notify: hggecde - hggecde.dll (file missing)

O20 - Winlogon Notify: nnnkiig - C:\WINDOWS\SYSTEM32\nnnkiig.dll

Torna in modalità normale...

***Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

lo salvi in una cartella, scompatti il file .zip.

individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

C:\WINDOWS\system32\mljgf.dll

C:\WINDOWS\system32\WinUpdating.exe

C:\WINDOWS\system32\WinSpooler.exe

C:\WINDOWS\system32\skeysw.exe

C:\WINDOWS\system32\nnnkiig.dll

C:\WINDOWS\SYSTEM32\hggecde.dll

C:\Programmi\SPYWAREfighter\spftray.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

Ripulisci il sistema con Ccleaner

Pulisci il registro con Wise Registry Cleaner 1.x (Pulizia del Registro)

(è normale che nel log visualizzi che alcune voci non possono essere rimosse)

Posta un nuovo log di Hijackthis ed un nuovo report di Kaspersky.

[Alexiej]

Log_Kaspersky_2.htmlLOG_hijackthis_2.txt A_rieccomi.

Dunque fatto passo passo quanto suggerito, riallego i due log/report nuovi.

L'infestazione è di quelle pessime, tuttavia un miglioramento c'è già. Meno maschere intralcio e la navigazione internet più fluida.

Non ho riattivato il ripristino di configurazione presupponendo di dover operare ulteriori cancellazioni.

Resto in attesa di graditi ulteriori suggerimenti.

Grazie.

[Alexiej]

avenger.txt

Sono incorso in due problemi che non riesco a risolvere nonostante i vari tentativi di aiuto raccolti in vari forum, compreso questo.

1* - Spyware doctor mi dà in continuazione la mascherina di bloccaggio della seguente applicazione explorer.exe: C:\WINDOWS\SYSTEM32\AWVVU.DLL.

2* - L'installazione di Spywarefighter mi si è bloccata e mi ripete in continua la maschera di "attendere - configurazione di S. in corso ...". A nulla son valsi i tentativi di rimediare con la disinstallazione automatica e manuale. I due file Spfext.dll e spfrm.dllon c'è stato alcun modo di cancellarli perchè "in uso".

Il mio sistema operativo e Win XP s.pack 2 aggiornato su macchina IBM ThinkPad notebook.

Internet Explorer 7.0.

Ero incorso in un accidentale lancio di un eseguibile (una patch che non ricordo bene) risultato una bestiaccia. Con Spybot ho ripulito alcuni spy ma quei due accidenti sopra non riesco a toglierli di mezzo.

La navigazione è pregiudizievole, instabile.

Posso ovviare senza drastiche misure come la riformattazione?

Grazie.

Scusate avevo dimenticato un Report.

[$angelique!?]

Disattiva il tuo antivirus ed i programmi di sicurezza per compiere queste operazioni.

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

O2 - BHO: (no name) - {1ca4df50-7e70-42c1-8e49-42b2a406fd79} - (no file)

O2 - BHO: (no name) - {440CDEF0-D47B-4539-B49A-9571CDAAB963} - (no file)

O2 - BHO: (no name) - {87CADEB4-0FD4-4288-9EC3-AD7C14EDFC54} - (no file)

O2 - BHO: {9d15a9d2-9021-7f9a-0ef4-f7074713ae0f} - {f0ea3174-707f-4fe0-a9f7-12092d9a51d9} - C:\WINDOWS\system32\mjifqlxa.dll

O4 - HKLM\..\Run: [ec4213be] rundll32.exe "C:\WINDOWS\system32\dnkahoca.dll",b

O4 - HKLM\..\Run: [bMef712022] Rundll32.exe "C:\WINDOWS\system32\qmofaead.dll",s

O20 - Winlogon Notify: hggecde - hggecde.dll (file missing)

O20 - Winlogon Notify: nnnkiig - nnnkiig.dll (file missing)

*************************************************************

Individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Files to delete:

C:\WINDOWS\system32\jkkiiff.dll

C:\WINDOWS\system32\khfdefg.dll

C:\WINDOWS\system32\yayvtrr.dll

C:\WINDOWS\system32\mjifqlxa.dll

C:\WINDOWS\system32\dnkahoca.dll

C:\WINDOWS\system32\qmofaead.dll

Clicca su Execute

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

************************************************************

Scarica VundoFix.exe e salvalo sul Desktop.

http://www.atribune.org/ccount/click.php?id=4

* Doppio click su VundoFix.exe

* Metti una spunta su Run VundoFix as a task.

* Quando appare nuovamente VundoFix, fai click su OK

* Clicca sul bottone Scan for Vundo.

* Quando la scansione è terminata, fai click su Remove Vundo.

* Una finestra ti chiederà se vuoi rimuovere i file, clicca su YES.

* A rimozione completata, VundoFix ti chiederà di spegnere il PC. clicca su OK

************************************************************

Scarica VirtumundoBeGone e salvalo in una cartella creata appositamente per lui

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

riavvia in modalità provvisoria ed usa questo tool

- Avvialo con un doppio click

- Accetta la dichiarazione dell'autore

- Il tool avviserà che se viene rilevato il Trojan Vundo il sistema verrà riavviato.

- Rispondi SI

- Attendere......

- Alla fine nella stessa cartella dell'eseguibile verrà creato un log dal nome VBG.txt,postalo sul forum

*************************************************************

Posta anche un nuovo log di Hijackthis.

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare.

[Alexiej]

3___log_di_avenger.txtSeguite le istruzioni, allego gli esiti.

[Alexiej]

Segue.

Segue.

Le videate di VundoFix le allego perchè non ha trovato virus e quindi dò la sequenza prima della chiusura del programma. Forse superfluo.

Modificato March 25, 2008 da Alexiej

[Alexiej]

3___log_di_VBG.txt3___log_di_hijackthis.txtSegue.

All'accensione del PC, in apertura di XP mi viene dato il seguente avviso di errore.

Eccoqui l'errore di apertura.

[Alexiej]

Quindi mi viene dato continuativamente il seguente messaggio, che tuttavia non ha rispondenza ad alcuna apparente chiusura reale.

[Alexiej]

Annullato.

Modificato March 25, 2008 da Alexiej

[Steve75]

ciao

portati nel registro (Start /esegui / regedit / ok)

Seleziona risorse del computer

Clicca il tasto F3 sulla tastiera

nel box bianco scrivi qmofaead e clicca su "trova successivo"

elimina quanto trovato e riclicca su F3 fino all'avviso che la rcierca é terminata

altrimenti con HJT fixa questa voce;

O4 - HKLM\..\Run: [bMef712022] Rundll32.exe "C:\WINDOWS\system32\qmofaead.dll",s

[Alexiej]

Ok, eseguito. Però ora appare questo avviso all'apertura:

[Steve75]

per quell'errore installa questa patch

http://www.microsoft.com/downloads/details...89-AFAD4E049C48

riavvia e dovresti essere apposto

[Alexiej]

Sembra che sia così.

Vi ho fatto fare un gran lavoro. Grazie.

Mi avete evitato la riformattazione e tutto quanto ne consegue.

Bravissimi.