Stampa la pagina | Chiudi finestra

aiuto scudo rosso con croce bianca

Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 02/Maggio/2024 alle 22:39

Topic: aiuto scudo rosso con croce bianca
Postato da: zeronol
Soggetto: aiuto scudo rosso con croce bianca
Postato in data: 11/Marzo/2008 alle 09:16

Salve ragazzi, da qualche giorno noto sul mio pc un'icona che rappresenta uno scudo rosso con una croce bianca con questa dicitura: Antispyware installation Centro protezione ha trovato un tentativo di attacco al tuo pc. Avvia la scansione ora per assicurare il tuo pc da attacchi tramite internet al tuo computer.
Ho eseguito una scansione tramite avg ma noto che ignora questo processo e l'icona non può essere rimossa, ovviamente cliccando sopra mi conduce alla schermata di acquisto prodotto

cosa faccio?? Grazie di cuore

Risposte:

Postato da: prgn
Postato in data: 11/Marzo/2008 alle 09:31

Ciao... inizia a leggere questa discussione...

forum_posts.asp?TID=1394 - REGOLA : LEGGERE Prima di postare un LOG

Non installare nulla... fai anche la scansione con un anti spyware/adware aggiornato...
e posta il log di hijackthis...
Ciao

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 11/Marzo/2008 alle 11:44

ho installato ad-aware 2007 e ewido-anti-spyware e lo scudo rosso è sparito però in alto a sinistra appare ancora un triangolo giallo con punto esclamativo e frase centro di protezione ha trovato un tentativo di attacco al tuo computer ..........avvia la scansione...........e mi porta alla schermata di acquisto prodotto anti-spyware, poi ogni tanto appare da AVG la scritta Treath detected. cosa può significare?

Postato da: zeronol
Postato in data: 11/Marzo/2008 alle 12:36

Noooooooooooooooo Cry

è comparso di nuovo lo scudo rosso e stavolta mi dice: attenzione! Trojan. virus . z.32. exe trovato e bloccato dall'antispyware! Raccomandiamo di avviare una scansione totale ora per rilevare altre possibili minacce!

Postato da: zeronol
Postato in data: 11/Marzo/2008 alle 13:15

vi prego aiutatemi non so come risolvere questo problema

Postato da: zeronol
Postato in data: 11/Marzo/2008 alle 13:32

prgn è forse questo? Shocked

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.28.14, on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:

C:\WINDOWS\proagent32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

O1 - Hosts: 124.236.244.210 movies.freemoviepro.com

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mouseges.dll

O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll (file missing)

O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe

O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\proagent32.exe

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: *.whataboutadog.com

prgn è forse questo?

*************************************

Editato il log... ho lasciato le voci interessanti...

-------------

Postato da: prgn
Postato in data: 11/Marzo/2008 alle 19:34

In pratica... il log è pieno di indicazioni...
ed in pratica... anche le penne e hdd... o unità esterne... tipo schede
di memorie... ecc.ecc. che hai collegato al pc in questione... sono infette...
quindi... non inserire questi supporti in altri pc... oppure altri supporti in questo...
ci sono più malware attivi sul tuo pc in questo momento...
Peso sia opportuno fare più indagini... in modo da vedere come muoversi...
Scarica questo programma...:

http://www.suspectfile.com/systemscan - http://www.suspectfile.com/systemscan

disconnetti il pc da internet... disattiva momentaneamente l'antivirus...
(che potrebbe bloccarti systemscan..) ed avvia la scansione...
al termine della scansione... verrà prodotto un log... (che non puoi incollare
nel post... in quanto è molto grande...) allora... è conveniente... servirsi
di un sito che ci permette di fare l'upload del file... (in pratica lo mandi al
sito...) e ci da un link per accedere al file... (dopo aver fatto l'upload...
il sito restituisce un link... che puoi inserire, incollare, in un post... e tramite
di esso è possibile accedere al file in questione...)
Il log di Systemscan si chiama report.txt e viene creato nella cartella c:\suspectfile.
Il sito che puoi usare... è http://www.sendmefile.com - www.sendmefile.com

Inoltre... vai al seguente sito... http://www.virustotal.com/it/ - www.virustotal.com/it/ ed invia i seguenti
file:

C:\WINDOWS\system32\mouseges.dll
C:\WINDOWS\proagent32.exe
C:\WINDOWS\Knight.exe

I file... naturalmente... li devi mandare a virustotal... uno alla volta... e dopo
che il sito lo ha analizzato... ti copi tutto il risultato... ed incolli in un post
cosa ti ha rilevato...

Quando fai una scansione... indica sempre quello che ti ha trovato...
nome file... percorso... e nome malware rilevato......

Ciao

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 12/Marzo/2008 alle 10:42

Ecco il report, fra poco vi inserirò gli altri dati:

http://www.sendmefile.com/00615901

Postato da: zeronol
Postato in data: 12/Marzo/2008 alle 11:06

Ecco il report, fra poco vi inserirò gli altri dati:

http://www.sendmefile.com/00615901

C:\WINDOWS\system32\mouseges.dll

File MacroAntivirus.exe ricevuto il 2008.03.12 09:40:30 (CET)
Stato corrente: finito

Risultato: 6/32 (18.75%)

Antivirus     Versione     Ultimo aggiornamento     Risultato

AntiVir    7.6.0.73    2008.03.12            TR/MacroAV.A.2
eSafe         7.0.15.0      2008.03.09                      suspicious Trojan/Worm
Ikarus        T3.1.1.20    2008.03.12    Trojan-Spy.Finanz.J
Kaspersky    7.0.0.125    2008.03.12                      Heur.Trojan.Generic
Prevx1      V2    2008.03.12                    Heuristic: Suspicious
                                                 File With Outbound
                                                                               Communications
Webwasher-Gateway 2008.03.11    Trojan.MacroAV.A.2

File size: 122528 bytes
MD5: 4b29a27bf405041f33cec7b2faace6cc
SHA1: 02cb63ddad58002a738e9198708037c61a7f7210
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7AA9D67CA09080F4D - http://info.prevx.com/aboutprogramtext.asp?PX5=7AA9D67CA09080F4D

C:\WINDOWS\proagent32.exe
C:\WINDOWS\Knight.exe

***************************************
Ho editato il post lasciando solo le voci importanti

-------------

Postato da: prgn
Postato in data: 12/Marzo/2008 alle 15:57

Ciao... senti... ho notato... da un esame sommario del report... che c'è
una cosa... che potrebbe esser sintomo di un contagio da linkoptimizer
(gromozon) potrebbe essere anche qualcosa di vecchio... ed è rimasta
questa traccia... comunque... inserisci anche l'analisi degli altri 2 files...
ed io intanto cerco di trovare il tempo di controllare meglio il report...
Ciao...

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: prgn
Postato in data: 12/Marzo/2008 alle 22:41

Dai... devi rifare il log... quello è vecchio... perciò non mi trovavo con i file...
si è aggiunta qualche altra cosa... così... rischiamo di fare una cosa... e poi
iniziare un'altra volta d'accapo...
Ciao

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 13/Marzo/2008 alle 12:02

eccomi il link è questo : http://www.sendmefile.com/00616056 - http://www.sendmefile.com/00616056

File proagent32.exe ricevuto il 2008.03.13 11:40:54 (CET)
Stato corrente: Carico ... in coda attesa scansione finito Risultato: 8/32 (25%)

Antivirus

AntiVir                         TR/MacroAV.A.2
ClamAV                        Adware.Fakealert-71
eSafe                           suspicious Trojan/Worm
Fortinet                        W32/Agent.FQ!tr
Ikarus                          Trojan-Spy.Finanz.J
Kaspersky                    Heur.Trojan.Generic
Prevx1                          Heuristic: Suspicious File With Outbound Communications
Webwasher-Gateway Trojan.MacroAV.A.2

Informazioni addizionali

File size: 122528 bytes
MD5: 4b29a27bf405041f33cec7b2faace6cc
SHA1: 02cb63ddad58002a738e9198708037c61a7f7210
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX, PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7AA9D67CA09080F4DE26017BC0FA8A009E2F6E1A - http://info.prevx.com/aboutprogramtext.asp?PX5=7AA9D67CA09080F4DE26017BC0FA8A009E2F6E1A

Per quanto riguarda C:\WINDOWS\Knight.exe

0 bytes size received / Se ha recibido un archivo vacio

****************************************
Ti ho modificato il post... lasciando le voci salienti...

-------------

Postato da: prgn
Postato in data: 14/Marzo/2008 alle 01:34

Stai attento quando copi intere pagine... (devi copiare solo le cose

che ti interessano...) infatti... quando hai incollato nel post... non so di

preciso cosa hai incollato... comunque... mandava in tilt l'iterprete degli

script... e di conseguenza non si poteva rispondere alla discussione...

Solo dopo aver editato il tuo post... sono riuscito a rispondere...

**********

Comunque adesso scarico il report... ed appena posso lo controllo...
Riguardo C:\WINDOWS\Knight.exe prova a cercarlo in modalità provvisoria...
lo copi e lo incolli da un'altra parte... e poi lo invii... a virustotal
(ricorda che è sicuramente infetto... 100% ...e dopo devi cancellarlo dove
l'hai copiato... ) comunque... è un controllo proprio per saper da cosa sei
stato infettato...
Io... penso che sia un trojan che infetta in seguito all'autoplay dei supporti

rimovibili... (comunque... è sempre opportuno controllare...)
Ti faccio sapere...
Ciao..

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 14/Marzo/2008 alle 08:44

ok: http://www.sendmefile.com/00616187

prgn non riesco a visualizzare il knight.exe è come se non riuscisse ad analizzarlo

Postato da: zeronol
Postato in data: 15/Marzo/2008 alle 10:29

Postato originariamente da zeronol

ok: http://www.sendmefile.com/00616187

prgn non riesco a visualizzare il knight.exe è come se non riuscisse ad analizzarlo COME POSSO FARE PER RICAVARLO DALLA MODALITà PROVVISORIA?

Postato da: prgn
Postato in data: 18/Marzo/2008 alle 03:42

Mannaggia... abbiamo sprecato un bel po' di tempo... il primo report di systemscan...
non era di questo pc... oppure nel frattempo hai installato un altro sistema
operativo... (visto che il primo era su Windows2000 e quello che hai fatto
adesso e su Windows XP...)
Non vorrei che hai due sistemi sullo stesso pc... ed ogni uno è infettato a
modo su...

Comunque... metto da parte quello di Windows2000 e dedico agli ultimi
report... del sistema Windows XP... (la prossima volta mi raccomando la
massima attenzione...)

Mica hai installato una cosa simile...: forum_posts.asp?TID=10363 - Attenzione a MacroAV !

Intanto scarica http://noahdfear.geekstogo.com/FindAWF.exe - FindAWF , ... fai fare uno scan e posta il log...
Scarica anche il seguente file: http://www.mvps.org/winhelp2002/DelDomains.inf - http://www.mvps.org/winhelp2002/DelDomains.inf
e tienilo a portata di mouse...

Adesso... ti dico le prime cose da fare con hijackthis...

Riavvia in modalità provvisoria... (a questo link... trovi spiegato come fare...
forum_posts.asp?TID=1394 - REGOLA : LEGGERE Prima di postare un LOG ) ed una volta in modalità provvisoria...
elimina il ripristino configurazione di sistema... (trovi come fare nella discussione che ti ho indicato prima...)
Dopo... avvii hijackthis... fagli fare la scansione... (il log non ci serve adesso) e
metti il segno di spunta alle seguenti voci:

O15 - Trusted Zone: *.whataboutadog.com

O15 - Trusted Zone: *.doginhispen.com

O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\proagent32.exe

O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe

O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll (file missing)

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mouseges.dll

O1 - Hosts: 124.236.244.210 movies.freemoviepro.com

dopo aver messo il segno di spunta... clicca su Fix... ed elimina le voci...

Adesso... cerca ed elimina i files presenti nelle voci che ti ho indicato:

proagent32.exe
mouseges.dll
WebMon.dll (questo potrebbe già esser stato eliminato dall'antivirus...)
Knight.exe

Dopo di che...

ritorna al file DelDomains.inf cliccaci con il tasto destro del mouse sopra... e scegli installa...

Dopo aver fatto questo... fai riavviare in modalità provvisoria... e fai fare
una scansione al tuo antivirus... e vedi se ti rivela qualche malware

Inoltre... sarebbe opportuno avere un software tipo Ccleaner... per
eliminare i temporanei... ed anche i files di prefetch...

adesso riavvia e vedi se ci sono ancora problemi...

(ho velocizzato un po'... ma c'è altro da fare...)

Fai tutto quello che ti ho detto...

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: prgn
Postato in data: 18/Marzo/2008 alle 03:44

PS: rifai il log di hijackthis e postalo... una volta finito e riavviato...
ricordati di postare anche il log di findawf

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 18/Marzo/2008 alle 09:31

si prgn quello scudo rosso è l'icona di macro AV Cry

, non l'ho scaricato, ma credo di essere stato comunque contagiato, adesso cerco di eseguire tutte le tue indicazioni

Postato da: zeronol
Postato in data: 18/Marzo/2008 alle 09:39

Find AWF report by noahdfear ©2006
               Version 1.40

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

    286720 29 Jun 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
    155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
    438359 21 Apr 2006 "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe"
       240 22 Sep 2007 "C:\Programmi\Alice ti aiuta\SmartBridge\log\httpclient.log"
         0 3 Oct 2007 "C:\Programmi\Alice ti aiuta\SmartBridge\bak\log\httpclient.log"
     52272 13 Sep 2007 "C:\Programmi\Google\googletoolbar1user.exe"
    138168 13 Sep 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
     68856 14 Sep 2007 "C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe"
    579072 30 Dec 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
    421888 24 Sep 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
     39792 11 Jan 2008 "C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe"
     40048 11 May 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
     57344 6 Jun 2005 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe"

end of report

****************************************
Ti ho modificato il post... lasciando le voci importanti...

-------------

Postato da: zeronol
Postato in data: 18/Marzo/2008 alle 09:55

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.51.35, on 18/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:

C:\WINDOWS\proagent32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O1 - Hosts: 124.236.244.210 movies.freemoviepro.com

O2 - BHO: MouseGest - {112AB43D-32C4-3B21-53BA-13A46743BC34} - C:\WINDOWS\system32\mouseges.dll

O2 - BHO: Web Mon - {7428F943-BC4F-4A39-3B43-AB433C523B34} - C:\WINDOWS\system32\WebMon.dll (file missing)

O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe

O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\proagent32.exe

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: *.whataboutadog.com

************************************
Log editato... ho lasciato solo le voci interessanti

-------------

Postato da: zeronol
Postato in data: 18/Marzo/2008 alle 10:17

scusa prgn deldomains non mi permette di istallare e mi da questa notifica;

*
*
*

***********************************************
"notifica" editata... era il contenuto del file DelDomains.inf

-------------

Postato da: prgn
Postato in data: 18/Marzo/2008 alle 13:20

Sicuro di aver fatto tutto come ti è stato detto...?

Ho l'impressione che tu non abbia cliccato sul tasto Fix checked dopo aver

messo il segno di spunta nella casellina di fianco alle voci che ti ho indicato...

se fosse così... hai lasciato i riferimenti nel registro a quelle voci... e quindi

i file infetti vengono riavviati ogni volta che fai ripartire il pc...

Le voci sono ancora tutte la...

Segui le indicazioni alla lettera... (stampale se ti è necessario...)

Descrivimi la procedura che hai utilizzato per installare il file DelDomains.inf...

(ricordati, come ti ho già detto, di non utilizzare memorie di massa esterne...

tipo dischi e penne usb... o schedine di memoria... anche le macchinette...

in quanto un eseguibile che hai sul pc... dovrebbe infettare proprio queste

unità... tramite l'auto play)

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 19/Marzo/2008 alle 10:12

[QUOTE=prgn]

Sicuro di aver fatto tutto come ti è stato detto...?

Ho l'impressione che tu non abbia cliccato sul tasto Fix checked dopo aver

messo il segno di spunta nella casellina di fianco alle voci che ti ho indicato...

se fosse così... hai lasciato i riferimenti nel registro a quelle voci... e quindi

i file infetti vengono riavviati ogni volta che fai ripartire il pc...

Si prgn è vero ieri sera ho rifatto il procedimento, poi ho dato una pulizia con l'AVG e cleaner e le varie frasi e icone di disturbo sono sparite Big%20smile

. Stamattina con immensa preoccupazione ho acceso il pc e lo scudo rosso non c'eraaaaaaaaaaaaaaaaaaaaa Wink

. Ti ringrazio tanto prgn perchè come al solito sei riuscito a risolvere un problema informatico solo con l'utilizzo di una tastiera.............e per di più con un esecutore come me che con il pc ha sempre litigato.! Grazie mille e auguro a te e tutto lo staff di PcPrimipassi la Buona Pasqua Clap

Postato da: prgn
Postato in data: 19/Marzo/2008 alle 11:11

Grazie per gli auguri... li ricambio!

Ma aspetta... non abbiamo finito ancora... c'è la questione delle memorie

di massa esterne... che potrebbero essere infette...

quindi... c'è da eliminare l'auto play... (per poi ripristinarlo... se ti interessa...)

Leggi questa discussione... dove trovi le istruzioni nel mio ultimo post:

http://www.pcprimipassi.it/servizifree/forum/forum_posts.asp?TID=9993&KW=gpedit - Eliminare l'Autoplay

Nell'ultimo post spiego come si disattiva l'auto play da tutti i dischi...

(poi... dopo aver pulito tutto...potrai sempre attivarlo... cambiando le impostazioni)

Anche se io non lo considero sicuro averlo attivato... ;)

Disattivato l'auto play... inserisci senza fare doppio clic sull'icona della

unità... (facendo doppio clic... correresti il rischio di eseguire di nuovo l'autoplay)

ci clicchi con il tasto destro del mouse e scegli "Esplora..." (in questo modo

ti potrai muovere nell'unità... e senza eseguire l'auto play) inoltre...

sempre cliccando con il tasto destro del mouse... puoi scegliere di fare lo

scan con l'antivirus... sull'unità...

Potresti fare anche un controllo tu... manualmente... impostando la visione

dei file nascosti e di sistema... (per farlo... ti basta aprire una cartella... oppure

anche risorse del computer... andare in Strumenti->Opzioni cartella... e

in visulizzazione... scegli di visualizzare cartelle e file nascosti... ed anche

i files protetti e di sistema...) ed aprendo l'unità... (ricordati di farlo con

Esplora... senza farci il doppio clic sopra) ... cercare la presenza del file

Autorun.ini, se è presente... ti basta trascinarlo... (non farci doppio clic

sopra) in blocco note... ed all'interno troverai il nome del file eseguibile...

potenzialmente infetto... e da eliminare...

Naturalmente... eliminado Autorun.ini ed il file eseguibile dalla unità esterna...

hai eliminato anche il rischio che si esegua il malware all'inserimento...

Inoltre.. ti consiglio di fare uno scan approfondito... a prescindere delle

estensioni/tipo di file... (di solito tutti gli antivirus lo permettono di fare...)

Dopo aver fatto questo... posta ancora un log di hijackthis... in modo che

si possa controllare se c'è rimasto qualche cosa... o ti sei ricontagiato...

Ciao

PS: devi controllare tutte le unità esterne con memoria... anche lettori Mp3...

memorie di fotocamere... penne... hdd... ecc.ecc.

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 19/Marzo/2008 alle 13:47

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.44.28, on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

he ne pensi?

**********************************************
Log di hijackthis editato... ho lasciato le voci interessanti

-------------

Postato da: prgn
Postato in data: 21/Marzo/2008 alle 02:10

Ciao... scusa... ho il tempo limitato... e spesso non riesco a trovare il tempo

materiale per rispondere...

Allora... il log è pulito... volevo chiederti un paio di cose... la prima riguarda

la pagina iniziale del browser:

-www.daemon-search.com/startpage

l'hai impostata tu...?

Poi... ti ho fatto fare il log con findAwf.... e non era senza motivo...

infatti hai dei files duplicati in cartelle bak... tipico segnale di contagio

da parte di un determinato trojan... comunque... penso che nel tuo caso

sia un contagio vecchio... ed i file infetti siano già stati tolti... comunque

per essere sicuri... controlla sul sito http://www.virustotal.com/it/ - www.virustotal.com/it/ il seguete file:

C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

con sfoglia... cerchi il file che ti indico in rosso... e lo invii...

Di sicuro sarà pulito... ma un controllo non farà male...

Ciao

-------------
SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione... <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />

Postato da: zeronol
Postato in data: 21/Marzo/2008 alle 09:41

ecco:

*
*
*

Informazioni addizionali
File size: 39792 bytes
MD5: 8b9145d229d4e89d15acb820d4a3a90f
SHA1: 7c247e92e43a6e57dca062b771f487476a4653e5
PEiD: -

non so cosa sia il daemon, io non l'ho impostato.
prgn come si esegue il controllo delle penne, videocamera ecc. per evitare un contagio da quest'ultime? ciaooo

*******************************
Nessun malware rilevato da virustotal

-------------

Postato da: prgn
Postato in data: 21/Marzo/2008 alle 19:01

Ciao... senti... allora c'è da fixare con hijackthis... anche la seguente voce_

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http ://www.daemon-search.com/startpage

(Fix checked dopo aver messo il segno di spunta nella casellina di fianco alle voce.)

per quanto riguarda come controllare le periferiche esterne... già ti ho detto...

Si tratta di eliminare l'autoplay (momentaneamente... ma io lo lascerei disattivato)

e poi... seguire le indicazioni che ti ho già dato... comunque le incollo di seguito...:

vai in Start->Esegui e digitare gpedit.msc e premere invio per fare accettare...
Aperta la finestra... sulla sinistra, in configurazione computer cliccare sulla
"cartella" Modelli amministrativi... fari doppio clic su sistema... e cerca
la voce Disattiva riproduzione automatica..., doppio clic... ed una volta
aperta... tutte le periferiche e scegliere Attiva
(nel senso che attivi il non eseguire la riproduzione automatica) dopo di che
Applica... chiudi le finestre... e non verrà più eseguito...
(naturalmente... il tutto da un account amministratore...)

Dopo aver fatto questo...