[adware.popcap]aiuto Virus

[mary7781]

scusa ma per HijackThis come devo fare?

[mary7781]

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

29/09/2008 - 12:00:40

[sCANSIONE DEL REGISTRO]

{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} Infetto da Adware.PopCap.A

[G:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 1.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 1687.

Files Totali: 1687.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

hijackthis.log

[mary7781]

mi è appen uscita lightspeed, emule, emoticon

Modificato September 29, 2008 da mary8177

[thesorrow83]

Con HijackThis seleziona metti la spunta alle seguenti voci e premi Fix Checked:

C:\documents and settings\administrator\impostazioni locali\dati applicazioni\jebvrn.exe

O4 - HKCU\..\Run: [jebvrn] "c:\documents and settings\administrator\impostazioni locali\dati applicazioni\jebvrn.exe" jebvrn

O4 - HKCU\..\RunOnce: [] C:\Programmi\Internet Explorer\iexplore.exe http://www.symantec.com/techsupp/servlet/P...error=0&lan guage=it&product=SymNRT&version=2008.0.2.17&build=Symantec&a=00000082.00000012.0 000001d&b=00000082.0000001e.0000004a&c=00000082.00000049.000000b9

Elimina anche ciò che ha trovato VirIt.

[mary7781]

come faccio a canellare quello di virlt?

ma per la pubblicità che devo fare?

mi dice un buon antivirus free.

grazie mille per tutto quello ceh stai facendo

[thesorrow83]

Se non l'hai eliminato a fine della scansione precedente devi rifare la scansione di nuovo.. però stavolta a fine scansione seleziona ed elimina ciò che ti trova.

Se continua ad apparirti la pubblicità fai una nuova pulizia con Ccleaner ed una nuova scansione con Combofix postando di nuovo il log. Se puoi posta lo screenshot della pubblicità in questo modo.

Hai fixato correttamente le voci su HijackThis vero?

[mary7781]

mi sa che ho fatto una cavolata!!!!!!!!!!!!

nn riuscendo a eliminare con virit ho fatto regedit, ho messo quel nome che mi diceva infetto e ho cancellato tutto quello che usciva.

ho cannato?

[thesorrow83]

Prima di andare a rimuovere voci dal registro sarebbe sempre meglio fare un backup in quanto puoi sempre aver rimosso troppo... Quale voce precisamente hai cercato e rimosso? Se è DF780F87-FF2B-4DF8-92D0-73DB16A1543A non dovresti comunque avere problemi...

Le altre operazioni con Ccleaner e HijackThis le hai effettuate?

[mary7781]

no, ora devo ancora cancellare da virlt, ma nn riesco!!!!!!!!!

[mary7781]

eccone 1

hijackthis.log

[thesorrow83]

Se hai cancellato l'entrata di registro relativa ormai VirIt non la troverà più quindi è normale che non riesca a cancellarla se già non c'è. La pubblicità ti è più apparsa? Se ti appare segui le istruzioni che ti ho postato prima per postare lo screenshot. Il log sembra pulito.

[mary7781]

ho rifatto lo scan e me lo mette ancora, la pubblicità per ora nn mi è più uscita

Modificato September 30, 2008 da mary8177

[thesorrow83]

L'Adaware Popcap non è propriamente un virus, deriva dalla PopCap Games per cui attenta con i giochi online. Aggiunge le seguenti chiavi al registro per cui vedi se le trovi e le elimini:

HKEY_CLASSES_ROOT\PopCapLoader.PopCapLoaderCtrl2

HKEY_CLASSES_ROOT\PopCapLoader.PopCapLoaderCtrl2.1

HKEY_CLASSES_ROOT\CLSID\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}

HKEY_CLASSES_ROOT\Interface\{E4E3E0F8-CD30-4380-8CE9-B96904BDEFCA}

HKEY_CLASSES_ROOT\TypeLib\{C9C5DEAF-0A1F-4660-8279-9EDFAD6FEFE1}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PopCapLoader.PopCapLoaderCtrl2

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PopCapLoader.PopCapLoaderCtrl2.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
{E4E3E0F8-CD30-4380-8CE9-B96904BDEFCA}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
{FE8A736F-4124-4D9C-B4B1-3B12381EFABE}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib
{C9C5DEAF-0A1F-4660-8279-9EDFAD6FEFE1}

[mary7781]

mi puoi dire un buon antivirus da installare a casa che sia free!!!!!!!!!!!

grazie mille

[thesorrow83]

Avira Antivir è il migliore però è in inglese, spero non sia un problema.

[mary7781]

uno in italiano?

stamattina è partito virit e

01/10/2008 - 08:26:12

[sCANSIONE DEL REGISTRO]

{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} Infetto da Adware.PopCap.A

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 1.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 124698.

Files Totali: 124698.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[thesorrow83]

Avast è in italiano ma non è ai livelli di Antivir, anche il buon AVG da poco ha una sua versione in italiano.

Per quanto riguarda la chiave di registro sei sicura di eliminarla correttamente?

[mary7781]

IL PROBLEMA è che non sò come eliminarla!!!!!!!!!!!!!

[thesorrow83]

Ecco perché non spariva!

Clicca su Start - Esegui - digita regedit e premi invio.

Fai click due volte su HKEY CLASSES ROOT in modo che si espanda.

Ora scorri verso il basso fino a trovare CLSID e cliccaci due volte.

Ora scorri verso il basso fino a trovare {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} ci clicchi sopra con il destro e premi Elimina.

Poi fai lo stesso procedimento anche per vedere se c'è ed eventualmente eliminare l'altra chiave seguendo questo percorso:

HKEY_LOCAL_MACHINE

SOFTWARE

Classes

CLSID

{DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (click con il destro ed Elimina)