Virus o trojan da MSN parte 2
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 29/Aprile/2024 alle 01:19
Topic: Virus o trojan da MSN parte 2 Postato da: arsagit
Soggetto: Virus o trojan da MSN parte 2
Postato in data: 30/Dicembre/2007 alle 17:09
Probabilmente in seguito al frequente utilizzo di MSN
da parte di mia figlia mi sono ritrovato almeno due virus o trojan: WIN32/IRCBot.ZL e WIN32/Obfuscated.A1.Non so come eliminarli e fra l'altro non si riesce neanche
più a fare il ripristino configurazione di sistema ed
il PC ha diversi sintomi di malfunzionamento.
Esiste qualche rimedio che possiate suggerirmi?
Grazie e buon anno a tutti!
da parte di mia figlia mi sono ritrovato almeno due virus o trojan: WIN32/IRCBot.ZL e WIN32/Obfuscated.A1.Non so come eliminarli e fra l'altro non si riesce neanche
più a fare il ripristino configurazione di sistema ed
il PC ha diversi sintomi di malfunzionamento.
Esiste qualche rimedio che possiate suggerirmi?
Grazie e buon anno a tutti!
Risposte:
Postato da: Spfx
Postato in data: 30/Dicembre/2007 alle 18:11
Ciao arsagit.
Intanto ... benvenuto !!! ... e naturalmente Buon Anno.
Per cominciare devi fare una serie di verifiche con il tuo antivirus e alcuni programmi antispyware.
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
... non ti spaventare, sembra complicato ma non è così.
Tutto questo serve per eseguire una "pulizia" iniziale con programmi specifici.
Può sembrare un operazione lunga .... ma è necessaria.
Questo link che ti indico, ti spiega passo/passo le operazioni da svolgere e come svolgerle.
Inoltre contiene già i "collegamenti" per scaricare i programmi di cui hai bisogno.
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Per l'antivirus:
Aggiorna la definizione del database dei virus prima di eseguire la scansione.
(...non so quale antivirus hai installato ... io ti consiglerei AntiVIR)
Per L'antispyware:
Puoi installare: Ad-Aware, Spybot Seach and Destroy e in alternativa anche A-Squared Free.
Se hai delle difficoltà, per qualsiasi problema o chiarimento, fatti sentire.
Intanto ... benvenuto !!! ... e naturalmente Buon Anno.
Per cominciare devi fare una serie di verifiche con il tuo antivirus e alcuni programmi antispyware.
Si tratta di:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
... non ti spaventare, sembra complicato ma non è così.
Tutto questo serve per eseguire una "pulizia" iniziale con programmi specifici.
Può sembrare un operazione lunga .... ma è necessaria.
Questo link che ti indico, ti spiega passo/passo le operazioni da svolgere e come svolgerle.
Inoltre contiene già i "collegamenti" per scaricare i programmi di cui hai bisogno.
forum_posts.asp?TID=4407 - REGOLA : LEGGERE Prima di postare un LOG
Per l'antivirus:
Aggiorna la definizione del database dei virus prima di eseguire la scansione.
(...non so quale antivirus hai installato ... io ti consiglerei AntiVIR)
Per L'antispyware:
Puoi installare: Ad-Aware, Spybot Seach and Destroy e in alternativa anche A-Squared Free.
Se hai delle difficoltà, per qualsiasi problema o chiarimento, fatti sentire.
Postato da: notwen
Postato in data: 30/Dicembre/2007 alle 20:05
Ciao Arsagit!
Oltre a seguire la guida di Spfx, vorrei solo precisare che è improbabile che sia "colpa" di msn l'infezione presente sul tuo pc. Tua figlia avrebbe dovuto accettare file provenienti da contatti che non conosce, ed anche in quel caso probabilmente si sarebbe attivato l'antivirus. Questo tipo di minacce si beccano di solito navigando nel web e scaricando file da web o in allegati mail.
Se hai problemi siamo qui!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Oltre a seguire la guida di Spfx, vorrei solo precisare che è improbabile che sia "colpa" di msn l'infezione presente sul tuo pc. Tua figlia avrebbe dovuto accettare file provenienti da contatti che non conosce, ed anche in quel caso probabilmente si sarebbe attivato l'antivirus. Questo tipo di minacce si beccano di solito navigando nel web e scaricando file da web o in allegati mail.
Se hai problemi siamo qui!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: arsagit
Postato in data: 31/Dicembre/2007 alle 19:18
Ringrazio Spfx e Notwen per i suggerimenti.
Prima di riferire su quanto fatto vorrei precisare che
al momento dell'infezione erano installati sul PC i
seguenti programmi di protezione:
NOD32
Spybot
Spyware Terminator
Comodo Firewall Pro
Ho provato a fare una scansione online con i programmi
gratuiti suggeriti ma non ci sono riuscito (con 3 non
partiva neanche la scansione nonostante avessi seguito tutte le istruzioni, mentre con Ewido la scansione partiva ma ad un certo punto venivo buttato fuori dal
programma e mi ritrovavo con l'immagine del desktop).
Allora sono andato in modalità provvisoria ed ho fatto
la scansione con NOD32 con questo risultato:
conferma dell'esistenza dei due virus o trojan segnalati
in 6 file della cartella "System Volume Information\_restore". Mi si dice che i file possono essere cancellati: ma se li cancello poi cosa succede?
Prima di procedere oltre chiedo alla Vs. esperienza di
darmi il giusto consiglio.
Aggiungo infine che ho disattivato il ripristino configurazione.
Grazie in anticipo e rinnovati auguri di buon anno.
Prima di riferire su quanto fatto vorrei precisare che
al momento dell'infezione erano installati sul PC i
seguenti programmi di protezione:
NOD32
Spybot
Spyware Terminator
Comodo Firewall Pro
Ho provato a fare una scansione online con i programmi
gratuiti suggeriti ma non ci sono riuscito (con 3 non
partiva neanche la scansione nonostante avessi seguito tutte le istruzioni, mentre con Ewido la scansione partiva ma ad un certo punto venivo buttato fuori dal
programma e mi ritrovavo con l'immagine del desktop).
Allora sono andato in modalità provvisoria ed ho fatto
la scansione con NOD32 con questo risultato:
conferma dell'esistenza dei due virus o trojan segnalati
in 6 file della cartella "System Volume Information\_restore". Mi si dice che i file possono essere cancellati: ma se li cancello poi cosa succede?
Prima di procedere oltre chiedo alla Vs. esperienza di
darmi il giusto consiglio.
Aggiungo infine che ho disattivato il ripristino configurazione.
Grazie in anticipo e rinnovati auguri di buon anno.
Postato da: Spfx
Postato in data: 31/Dicembre/2007 alle 19:39
Ciao, arsagit.
I passaggi che ti avevo indicato erano in sequenza:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Hai disabilitato prima il "Ripristino di configurazione di sistema" e poi eseguito le scansioni, vero?
Dopo, lascia che i programmi eseguano la pulizia dai virus.
Quindi riavvi il sistema in modalità normale e posti il LOG di "Hijackthis"
Ciao.
PS. .. non era necessario aprire un nuovo Topic, potevi tranquillamente continuare sul precedente.
I passaggi che ti avevo indicato erano in sequenza:
- Avviare Windows in modalità provvisoria
- Visualizzare le cartelle e i file nascosti
- Disabilitare il "Ripristino di configurazione" di sistema
- Effettuare le scansioni con i programmi Antivirus e Antispyware
- Riavviare il sistema e lanciare il programma "Hijackthis", questo programma genera un LOG (file di testo), che dovrai postare qui.
Hai disabilitato prima il "Ripristino di configurazione di sistema" e poi eseguito le scansioni, vero?
Dopo, lascia che i programmi eseguano la pulizia dai virus.
Quindi riavvi il sistema in modalità normale e posti il LOG di "Hijackthis"
Ciao.
PS. .. non era necessario aprire un nuovo Topic, potevi tranquillamente continuare sul precedente.
Postato da: Spfx
Postato in data: 31/Dicembre/2007 alle 19:56
Ah ... dimenticavo. Questa volta, prima della scansione antivirus in modalità provvisoria, scarica anche CCleaner (se non è gia installato), e fai una pulizia del PC.
Lo trovi qui ...
http://www.filehippo.com/download_ccleaner/ - Ccleaner
...clicca in alto a sinistra su "Download Latest Version" per scaricarlo.
Come funziona ...
-prima di avviare la pulizia andate sotto Opzioni>Avanzate e togliete la spunta da "Cancella i files nella Windows Temp solo se piu' vecchi di 48 ore"
-poi cliccate sulla scheda Cleaner e sul bottone Analizza. Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone Avvia Cleaner
-andate poi sulla scheda Problemi e cliccate sul bottone Trova Problemi. Rispondete si e salvate il file .reg prima di cancellare tutti i problemi cosi che potrete fare un rispristino se ce ne fosse bisogno. Poi pigiate sul pulsante Ripara Selezionati e chiudete il programma.
Lo trovi qui ...
http://www.filehippo.com/download_ccleaner/ - Ccleaner
...clicca in alto a sinistra su "Download Latest Version" per scaricarlo.
Come funziona ...
-prima di avviare la pulizia andate sotto Opzioni>Avanzate e togliete la spunta da "Cancella i files nella Windows Temp solo se piu' vecchi di 48 ore"
-poi cliccate sulla scheda Cleaner e sul bottone Analizza. Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone Avvia Cleaner
-andate poi sulla scheda Problemi e cliccate sul bottone Trova Problemi. Rispondete si e salvate il file .reg prima di cancellare tutti i problemi cosi che potrete fare un rispristino se ce ne fosse bisogno. Poi pigiate sul pulsante Ripara Selezionati e chiudete il programma.
Postato da: Spfx
Postato in data: 31/Dicembre/2007 alle 19:59
Postato originariamente da Spfx
...clicca in alto a sinistra su "Download Latest Version" per scaricarlo.
...clicca in alto a sinistra su "Download Latest Version" per scaricarlo.
... scusa, in alto a destra.Postato da: arsagit
Postato in data: 01/Gennaio/2008 alle 15:56
Ho proceduto come da sequenza suggeritami.Ecco il log
di Hijackthis:
O4 - HKLM\..\Run: [Flag Owns Live Grim] C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
O24 - Desktop Component 0: (no name) - http://www.zefron.com/gallery/albums/userpics/10001/teen6.jpg
O24 - Desktop Component 1: (no name) - http://img294.imageshack.us/img294/69/cosvbeneox1qk6.th.gif
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Rimango in attesa di istruzioni. Grazie ancora.
P.S. Avrei voluto continuare sul post precedente, ma non
ci sono riuscito.
-------------
di Hijackthis:
O4 - HKLM\..\Run: [Flag Owns Live Grim] C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
O24 - Desktop Component 0: (no name) - http://www.zefron.com/gallery/albums/userpics/10001/teen6.jpg
O24 - Desktop Component 1: (no name) - http://img294.imageshack.us/img294/69/cosvbeneox1qk6.th.gif
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Rimango in attesa di istruzioni. Grazie ancora.
P.S. Avrei voluto continuare sul post precedente, ma non
ci sono riuscito.
-------------
Postato da: notwen
Postato in data: 01/Gennaio/2008 alle 16:07
[in che senso "non ci sono riuscito"?]
fissa queste voci con hijackthis
O4 - HKLM\..\Run: [Flag Owns Live Grim] C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
O24 - Desktop Component 0: (no name) - http://www.zefron.com/gallery/albums/userpics/10001/teen6.jpg
O24 - Desktop Component 1: (no name) - http://img294.imageshack.us/img294/69/cosvbeneox1qk6.th.gif
le ultime due voci, se non sai da dove provengano, fissa anch'esse!
dopo scaricati Ccleaner e fatti una pulizia del disco e del registro di sistema
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
fissa queste voci con hijackthis
O4 - HKLM\..\Run: [Flag Owns Live Grim] C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
O24 - Desktop Component 0: (no name) - http://www.zefron.com/gallery/albums/userpics/10001/teen6.jpg
O24 - Desktop Component 1: (no name) - http://img294.imageshack.us/img294/69/cosvbeneox1qk6.th.gif
le ultime due voci, se non sai da dove provengano, fissa anch'esse!
dopo scaricati Ccleaner e fatti una pulizia del disco e del registro di sistema
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: arsagit
Postato in data: 01/Gennaio/2008 alle 17:26
Ho eseguito quanto suggeritomi con Hijackthis.
Successivamente ho installato Ccleaner: però anche se
nei settaggi come lingua è selezionato l'italiano, il
programma esce tutto in inglese (e questo non sarebbe
un problema grave); il fatto è che non trovo la scheda
"problemi". Inoltre ritengo che se eseguo la scansione
del registro uscrità una serie di voci da cancellare:
posso cancellarle tranquillamente o ci sono delle precauzioni da prendere?
Successivamente ho installato Ccleaner: però anche se
nei settaggi come lingua è selezionato l'italiano, il
programma esce tutto in inglese (e questo non sarebbe
un problema grave); il fatto è che non trovo la scheda
"problemi". Inoltre ritengo che se eseguo la scansione
del registro uscrità una serie di voci da cancellare:
posso cancellarle tranquillamente o ci sono delle precauzioni da prendere?
Postato da: Spfx
Postato in data: 01/Gennaio/2008 alle 17:36
Hai scaricato il programma dove ti avevo indicato nel precedente post ?
Postato da: Spfx
Postato in data: 01/Gennaio/2008 alle 17:49
... hai ragione.
La nuova versione 2.x è diversa come impostazione dalla 1.x
Bisognerà aggiornare i passaggi sul sito.
Strano che non si sia installata in italiano.
Prova a disinstallarla, poi reinstalla CCleaner.
All' avvio dovrebbe chiederti la lingua.
La nuova versione 2.x è diversa come impostazione dalla 1.x
Bisognerà aggiornare i passaggi sul sito.
Strano che non si sia installata in italiano.
Prova a disinstallarla, poi reinstalla CCleaner.
All' avvio dovrebbe chiederti la lingua.
Postato da: Spfx
Postato in data: 01/Gennaio/2008 alle 17:58
Questi sono i nuovi passaggi per utilizzare il programma.
Come funziona ... CCleaner 2
-prima di avviare la pulizia andate sotto Opzioni>Avanzate e togliete la spunta da "Cancella file in Windows Temp solo se piu' vecchi di 48 ore"
-poi cliccate sulla scheda "Pulizia" e sul bottone "Analizza". Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone Avvia Pulizia
-andate poi sulla scheda "Registro" e cliccate sul bottone Trova Problemi.Cliccare su "Ripara selezionati ..." e Rispondete "Si" alla richiesta di BackUP e salvate il file .reg prima di cancellare tutti i problemi così che potrete fare un rispristino se ce ne fosse bisogno.
Poi pigiate sul pulsante "Ripara Selezionati" e quindi su "Ok".
Alla fine della riparazione premere il tasto "Chiudi", quindi chiudere il programma.
Come funziona ... CCleaner 2
-prima di avviare la pulizia andate sotto Opzioni>Avanzate e togliete la spunta da "Cancella file in Windows Temp solo se piu' vecchi di 48 ore"
-poi cliccate sulla scheda "Pulizia" e sul bottone "Analizza". Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone Avvia Pulizia
-andate poi sulla scheda "Registro" e cliccate sul bottone Trova Problemi.Cliccare su "Ripara selezionati ..." e Rispondete "Si" alla richiesta di BackUP e salvate il file .reg prima di cancellare tutti i problemi così che potrete fare un rispristino se ce ne fosse bisogno.
Poi pigiate sul pulsante "Ripara Selezionati" e quindi su "Ok".
Alla fine della riparazione premere il tasto "Chiudi", quindi chiudere il programma.
Postato da: Spfx
Postato in data: 01/Gennaio/2008 alle 18:16
Arsagit, ti chiedo inoltre un' altra cosa.
Oltre a fixare le voci che ti ha detto Notwen e ad eseguire CCleaner, potresti fare un controllo su alcuni file.
Si tratta solo di un controllo aggiuntivo... che dovrebbe risultare negativo.
Questo sito che ti indico, permette di fare la scansione di singoli file alla ricerca di virus...
Apri il link di Virustotal qui ...
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
Devi procedere così:
... seleziona la stringa che ti indico in rosso:
C:\WINDOWS\system32\SearchIndexer.exe
Dopo averla selezionata... usa la combinazione di tasti Ctrl+C per copiarla,
clicca dentro la casella di sfoglia che si trova nella pagina di Virustotal... usa la combinazione di tasti Ctrl+V per incollarla... poi invia il file.
Il file verrà controllato. Alla fine ti verrà comunicato un risultato.
Eventualmente copia e incolla il risultato sul blocco note (...solo se ti indica presenza di virus)
Dopo fai la stessa cosa con le seguenti stringhe:
C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
... alla fine facci sapere i risultati.
Ciao.
X RAVEN
Chiedo al admin inoltre, se può riunire i tre post aperti ... per non creare confusione.
Oltre a fixare le voci che ti ha detto Notwen e ad eseguire CCleaner, potresti fare un controllo su alcuni file.
Si tratta solo di un controllo aggiuntivo... che dovrebbe risultare negativo.
Questo sito che ti indico, permette di fare la scansione di singoli file alla ricerca di virus...
Apri il link di Virustotal qui ...
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
Devi procedere così:
... seleziona la stringa che ti indico in rosso:
C:\WINDOWS\system32\SearchIndexer.exe
Dopo averla selezionata... usa la combinazione di tasti Ctrl+C per copiarla,
clicca dentro la casella di sfoglia che si trova nella pagina di Virustotal... usa la combinazione di tasti Ctrl+V per incollarla... poi invia il file.
Il file verrà controllato. Alla fine ti verrà comunicato un risultato.
Eventualmente copia e incolla il risultato sul blocco note (...solo se ti indica presenza di virus)
Dopo fai la stessa cosa con le seguenti stringhe:
C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
... alla fine facci sapere i risultati.
Ciao.
X RAVEN
Chiedo al admin inoltre, se può riunire i tre post aperti ... per non creare confusione.
Postato da: arsagit
Postato in data: 01/Gennaio/2008 alle 18:27
L'ho cancellato ed installato di nuovo. Confermo che
all'inizio si sceglie la lingua, il menu di installazione è in italiano (eccettuato l'accordo di licenza), ma poi il programma rimane in inglese.
L'unico problema rimane trovare la scheda "problemi"...
all'inizio si sceglie la lingua, il menu di installazione è in italiano (eccettuato l'accordo di licenza), ma poi il programma rimane in inglese.
L'unico problema rimane trovare la scheda "problemi"...
Postato da: Spfx
Postato in data: 01/Gennaio/2008 alle 19:16
Non si chiama più "Problemi", ma "Registro" (... o "Registry" in inglese) ... hai letto il post sopra ?
Fai così ... prova a modificare la lingua all'interno del programma:
Avvia CCleaner, seleziona "Options" -> Settings -> Language ... seleziona la lingua italiana.
Se si imposta in italiano vedi il post sopra per utilizzarlo.
Altrimenti se rimane in inglese fai così ...
Come utilizzare CCleaner 2.x ... (in inglese).
-prima di avviare la pulizia andate sotto Options>Advanced e togliete la spunta da "Only delete files in Windows Temp folders older than 48 hours"
-poi cliccate sulla scheda "Cleaner" e sul bottone "Analyze". Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone "Run cleaner"
-andate poi sulla scheda "Registry" e cliccate sul bottone "Scan for Issues".Cliccare su "Fix selected issues..." e Rispondete "Si" alla richiesta di BackUP e salvate il file .reg prima di cancellare tutti i problemi così che potrete fare un rispristino se ce ne fosse bisogno.
Poi pigiate sul pulsante "Fix All Selected Issue" e quindi su "Ok".
Alla fine della riparazione premere il tasto "Close", quindi chiudere il programma.
Fai così ... prova a modificare la lingua all'interno del programma:
Avvia CCleaner, seleziona "Options" -> Settings -> Language ... seleziona la lingua italiana.
Se si imposta in italiano vedi il post sopra per utilizzarlo.
Altrimenti se rimane in inglese fai così ...
Come utilizzare CCleaner 2.x ... (in inglese).
-prima di avviare la pulizia andate sotto Options>Advanced e togliete la spunta da "Only delete files in Windows Temp folders older than 48 hours"
-poi cliccate sulla scheda "Cleaner" e sul bottone "Analyze". Aspettate pochi secondi che la scansione sia avvenuta, e cliccate sul bottone "Run cleaner"
-andate poi sulla scheda "Registry" e cliccate sul bottone "Scan for Issues".Cliccare su "Fix selected issues..." e Rispondete "Si" alla richiesta di BackUP e salvate il file .reg prima di cancellare tutti i problemi così che potrete fare un rispristino se ce ne fosse bisogno.
Poi pigiate sul pulsante "Fix All Selected Issue" e quindi su "Ok".
Alla fine della riparazione premere il tasto "Close", quindi chiudere il programma.
Postato da: arsagit
Postato in data: 01/Gennaio/2008 alle 22:00
Complimenti Spfx! Ho fatto esaminare i files da
"virustotal" ed uno ha effettivamente dei problemi.
Ecco il rapporto:
Virustotal è un servizio che analizza files sospetti e permette la rapida identificazione di virus, worms, trojans, e di tutti i tipi di malware rilevati dai motori antivirus. Più informazioni...
File toolbar.dll ricevuto il 2007.12.20 17:09:15 (CET)
Stato corrente: finito
Risultato: 6/32 (18.75%)
Risultato
AntiVir - - ADSPY/SweetBar
DrWeb - - Adware.Softomate.98
Ikarus - - Win32.SuspectCrc
Panda - - Adware/SweetBar
Sophos - - SearchIt
Webwasher-Gateway - - Ad-Spyware.SweetBar
Informazioni addizionali
MD5: 759983a88e4eea7a304438858ad019b6
***POST MODIFICATO: sono stati lasciati solo gli antivirus che rilevano il file come sospetto***
Attendo eventuali altre istruzioni. Intanto procedo con
Ccleaner.
-------------
"virustotal" ed uno ha effettivamente dei problemi.
Ecco il rapporto:
Virustotal è un servizio che analizza files sospetti e permette la rapida identificazione di virus, worms, trojans, e di tutti i tipi di malware rilevati dai motori antivirus. Più informazioni...
File toolbar.dll ricevuto il 2007.12.20 17:09:15 (CET)
Stato corrente: finito
Risultato: 6/32 (18.75%)
Risultato
AntiVir - - ADSPY/SweetBar
DrWeb - - Adware.Softomate.98
Ikarus - - Win32.SuspectCrc
Panda - - Adware/SweetBar
Sophos - - SearchIt
Webwasher-Gateway - - Ad-Spyware.SweetBar
Informazioni addizionali
MD5: 759983a88e4eea7a304438858ad019b6
***POST MODIFICATO: sono stati lasciati solo gli antivirus che rilevano il file come sospetto***
Attendo eventuali altre istruzioni. Intanto procedo con
Ccleaner.
-------------
Postato da: Spfx
Postato in data: 02/Gennaio/2008 alle 01:08
Come vedi tre motori di scansione antivirus indicano addirittura lo stesso nome...
Macrogaming sweetIM è una specie di barra contenente emoticons che si va a mettere in Messenger live o Explorer , vero ???
Io la disinstallerei ... consideriamo l'ipotesi che sia stata modificata da un virus, non voglio neanche ipotizzare che sia già presente in quel programma ...
Se poi non hai fretta ... posso provare il programma per verificare se è realmente contenuto un malware nel file d'installazione.
Procedi così:
Entra nel pannello di controllo e disinstalla la "Toolbar della Macrogaming", dovrebbe essere "SweetIM" o qualcosa di simile.
Spero che ti permetta di disinstallarla normalmente.
Poi esegui nuovamente CCleaner: (sempre come ti avevo indicato nei post precedenti)
- Controlla nuovamente il Registro -> Trova i problemi e Ripara...
- Poi esegui una Pulizia -> Analizza e Avvia Pulizia
Quindi fai girare nuovamente HiJackThis e posta il LOG ... (invialo cmq, indipendentemente che tu sia riuscito o no a disinstallare il programma)
Macrogaming sweetIM è una specie di barra contenente emoticons che si va a mettere in Messenger live o Explorer , vero ???
Io la disinstallerei ... consideriamo l'ipotesi che sia stata modificata da un virus, non voglio neanche ipotizzare che sia già presente in quel programma ...
Se poi non hai fretta ... posso provare il programma per verificare se è realmente contenuto un malware nel file d'installazione.
Procedi così:
Entra nel pannello di controllo e disinstalla la "Toolbar della Macrogaming", dovrebbe essere "SweetIM" o qualcosa di simile.
Spero che ti permetta di disinstallarla normalmente.
Poi esegui nuovamente CCleaner: (sempre come ti avevo indicato nei post precedenti)
- Controlla nuovamente il Registro -> Trova i problemi e Ripara...
- Poi esegui una Pulizia -> Analizza e Avvia Pulizia
Quindi fai girare nuovamente HiJackThis e posta il LOG ... (invialo cmq, indipendentemente che tu sia riuscito o no a disinstallare il programma)
Postato da: arsagit
Postato in data: 02/Gennaio/2008 alle 19:25
Ho cancellato Macrogaming e rifatto la scansione con
Hijacktis. Ecco il log:
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Attendo eventuali ulteriori commenti o istruzioni.
-------------
Hijacktis. Ecco il log:
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Attendo eventuali ulteriori commenti o istruzioni.
-------------
Postato da: Spfx
Postato in data: 02/Gennaio/2008 alle 19:41
- Riavvia in modalità provvisoria
- Lancia HiJackThis senza log e fixa le seguenti voci ...
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
- Poi esegui un' altra volta la pulizia con CCleaner (Registro + Pulizia)
- Esegui una scansione con il tuo antivirus (aggiorna il database prima)
Riavvia e esegui una scansione online del pc con uno dei motori antivirus che ti indicavano la presenza del adware (Panda, ecc)
Facci sapere ... il risultato.
- Lancia HiJackThis senza log e fixa le seguenti voci ...
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
- Poi esegui un' altra volta la pulizia con CCleaner (Registro + Pulizia)
- Esegui una scansione con il tuo antivirus (aggiorna il database prima)
Riavvia e esegui una scansione online del pc con uno dei motori antivirus che ti indicavano la presenza del adware (Panda, ecc)
Facci sapere ... il risultato.
Postato da: arsagit
Postato in data: 02/Gennaio/2008 alle 20:53
scusatemi ma purtroppo ho dovuto ripetere i passaggi con
Ccleaner e Hijackthis perchè mentre ero occupato con
altre cose mia figlia non trovando Macrogaming ha caricato un altro programma di emoticons che potrebbe
avere causato qualche problema aggiuntivo. Allego il
log rifatto:
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Se nulla è cambiato procederò come da ultime istruzioni
altrimenti seguirò quelle nuove che dovessi ricevere.
Scusate ancora: con i figli bisognerebbe avere
8 occhi! Ringrazio per la pazienza.
P.S. Onde evitare nuove complicazioni, non potreste suggerirmi un programma di emoticons "sicuro"?
-------------
Ccleaner e Hijackthis perchè mentre ero occupato con
altre cose mia figlia non trovando Macrogaming ha caricato un altro programma di emoticons che potrebbe
avere causato qualche problema aggiuntivo. Allego il
log rifatto:
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Se nulla è cambiato procederò come da ultime istruzioni
altrimenti seguirò quelle nuove che dovessi ricevere.
Scusate ancora: con i figli bisognerebbe avere
8 occhi! Ringrazio per la pazienza.
P.S. Onde evitare nuove complicazioni, non potreste suggerirmi un programma di emoticons "sicuro"?
-------------
Postato da: notwen
Postato in data: 02/Gennaio/2008 alle 21:38
fissa queste
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
dopodiché scarica questo tool:
***************************** [indirizzo editato poiché rimanda a software potenzialmente dannoso]
poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.
poi riposta il log di hijackthis.
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
dopodiché scarica questo tool:
***************************** [indirizzo editato poiché rimanda a software potenzialmente dannoso]
poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.
poi riposta il log di hijackthis.
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 02/Gennaio/2008 alle 21:39
Sei sicuro di aver Fixato con "HiJackThis" anche le righe che ti aveva detto Notwen ?
'E disattivato il "Ripristino di configurazione di sistema" ?
Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):
Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.
Dopo:
- Riavvia in modalità provvisoria
- Assicurati che sia disattivato il "Ripristino di configurazione di sistema"
- Lancia HiJackThis senza log e fixa le seguenti voci ...
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Ora apri Esplora Risorse e visualizza la cartella C:\Programmi
Guarda se trovi la cartella "Macrogaming"
Se la trovi... seleziona col tasto sinistro del mouse la cartella "Macrogaming", quindi tieni premuto il tasto "SHIFT" e premi il tasto "CANC"
Windows ti chiederà di eliminare definitivamente la cartella... premi "Si".
- Poi esegui un' altra volta la pulizia con CCleaner (Registro + Pulizia)
- Esegui una scansione con il tuo antivirus (aggiorna il database prima)
- Riavvia e esegui una scansione online del pc con uno dei motori antivirus che ti indicavano la presenza del adware (Panda)
'E disattivato il "Ripristino di configurazione di sistema" ?
Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):
Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.
Dopo:
- Riavvia in modalità provvisoria
- Assicurati che sia disattivato il "Ripristino di configurazione di sistema"
- Lancia HiJackThis senza log e fixa le seguenti voci ...
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Ora apri Esplora Risorse e visualizza la cartella C:\Programmi
Guarda se trovi la cartella "Macrogaming"
Se la trovi... seleziona col tasto sinistro del mouse la cartella "Macrogaming", quindi tieni premuto il tasto "SHIFT" e premi il tasto "CANC"
Windows ti chiederà di eliminare definitivamente la cartella... premi "Si".
- Poi esegui un' altra volta la pulizia con CCleaner (Registro + Pulizia)
- Esegui una scansione con il tuo antivirus (aggiorna il database prima)
- Riavvia e esegui una scansione online del pc con uno dei motori antivirus che ti indicavano la presenza del adware (Panda)
Postato da: notwen
Postato in data: 02/Gennaio/2008 alle 21:40
ALCMTR.EXE è un processo benigno a quanto pare
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 02/Gennaio/2008 alle 21:54
Postato originariamente da Spfx
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Se il primo risulta positivo a virus lo fixiamo, in ogni caso se non lo conosci ... lo fixerei ugualmente.
Il secondo dovrebbe essere un spyware a basso livello che riguarda l'audio Realtek, anche se lo fixiamo non dovrebbe dare problemi al PC.
Cmq decidi dal responso di VirusTotal.
A quanto ne so da molti è considerato uno spyware ... non gli ho detto di fixarlo subito, ma di controllarlo ... controllare non costa nulla, no ?
Postato da: Spfx
Postato in data: 02/Gennaio/2008 alle 22:05
Facciamo così, per non crearti confusione ...
Prima provi a controllare questi file con VirusTotal:
Postato originariamente da Spfx
Sei sicuro di aver Fixato con "HiJackThis" anche le righe che ti aveva detto Notwen ?
'E disattivato il "Ripristino di configurazione di sistema" ?
Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):
Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Sei sicuro di aver Fixato con "HiJackThis" anche le righe che ti aveva detto Notwen ?
'E disattivato il "Ripristino di configurazione di sistema" ?
Procedi così ... (scusami, ma ora devo farti fare alcuni passaggi in piu'):
Inizierei col verificare nuovamente su VirusTotal questi file ... come avevamo fatto prima:
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe
C:\WINDOWS\ALCMTR.EXE
Poi segui le istruzione di Notwen ...
Notwen voleva provare con un tool di rimozione Malware ... proviamo
Entra in modalità provvisoria e procedi come ti ha spiegato.
Postato originariamente da notwen
fissa queste
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
dopodiché scarica questo tool:
%20 - http://sosvirus.changelog.fr/MSNFix.zip
poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.
poi riposta il log di hijackthis.
fissa queste
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
4 - HKCU\..\Run: [ydnpbfwblw] c:\documents and settings\osvaldo\impostazioni locali\dati applicazioni\ydnpbfwblw.exe ydnpbfwblw
dopodiché scarica questo tool:
%20 - http://sosvirus.changelog.fr/MSNFix.zip
poi Chiudi msn, ed avvia la procedura per decomprimete il file appena scaricato; verra' generata subito dopo una cartella MSNFix; avvia da qui il tool.
poi riposta il log di hijackthis.
... ricordati alla fine di postare i risultati di VirusTotal (se c'è ne sono)
e di HijackThis
Postato da: arsagit
Postato in data: 03/Gennaio/2008 alle 21:22
Rieccomi: riassumo quello che ho fatto
Ho fixato tutti i files indicatimi, salvo "alcmtr.exe"
(perchè la scansione con virustotal dava come risultato
1/32).
Non sono riuscito ad utilizzare MSNFix, perchè dopo
averlo decompresso e generata la cartella il programma
non si avvia.
allego il log di Hijackthis:
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Ho fatto anche la scansione online con Panda e se lo ritenete utile posso postare il report (non ha
trovato virus, ma 8 spyware ed 1 file sospetto)
avrei anche un'altra domanda: non capisco perchè mi
sia già capitato due volte di disattivare il ripristino configurazione (dopo ricontrollo sempre che sia effettivamente disattivato) ed il giorno successivo lo ritrovo attivo (senza che nessuno lo abbia riattivato).
Attendo nuove istruzioni. Grazie per l'attenzione.
-------------
Ho fixato tutti i files indicatimi, salvo "alcmtr.exe"
(perchè la scansione con virustotal dava come risultato
1/32).
Non sono riuscito ad utilizzare MSNFix, perchè dopo
averlo decompresso e generata la cartella il programma
non si avvia.
allego il log di Hijackthis:
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Ho fatto anche la scansione online con Panda e se lo ritenete utile posso postare il report (non ha
trovato virus, ma 8 spyware ed 1 file sospetto)
avrei anche un'altra domanda: non capisco perchè mi
sia già capitato due volte di disattivare il ripristino configurazione (dopo ricontrollo sempre che sia effettivamente disattivato) ed il giorno successivo lo ritrovo attivo (senza che nessuno lo abbia riattivato).
Attendo nuove istruzioni. Grazie per l'attenzione.
-------------
Postato da: Spfx
Postato in data: 03/Gennaio/2008 alle 21:53
Ciao.
Va già meglio ...
Allora rientra in modalità provvisoria
Disattiva nuovamente il Ripristino di configurazione di sistema (...quando hai messo la spunta per disattivarlo, prima premi "Applica" e poi "Ok")
Chiudi la finestra, poi riaprila per verificare che sia disattivato.
Avvia HijackThis, fallo girare senza log e Fixa queste voci
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Scarica da qui Ad-Aware 2007 ...
http://www.download.com/Ad-Aware-2007-Free/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5 - Ad-Aware 2007
Installalo e aggiorna il database, quindi esegui una scansione completa del PC ed elimina eventuali minaccie (vediamo se vede quelle rilevate da Panda)
Fai una pulizia nuovamente con CCleaner (Registro + Pulizia)
Quindi riavvia.
Aggiorna il database di Spyware Terminator ed esegui un'ulteriore scansione.
... poi posta il log di HiJackThis.
Va già meglio ...
Allora rientra in modalità provvisoria
Disattiva nuovamente il Ripristino di configurazione di sistema (...quando hai messo la spunta per disattivarlo, prima premi "Applica" e poi "Ok")
Chiudi la finestra, poi riaprila per verificare che sia disattivato.
Avvia HijackThis, fallo girare senza log e Fixa queste voci
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Scarica da qui Ad-Aware 2007 ...
http://www.download.com/Ad-Aware-2007-Free/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5 - Ad-Aware 2007
Installalo e aggiorna il database, quindi esegui una scansione completa del PC ed elimina eventuali minaccie (vediamo se vede quelle rilevate da Panda)
Fai una pulizia nuovamente con CCleaner (Registro + Pulizia)
Quindi riavvia.
Aggiorna il database di Spyware Terminator ed esegui un'ulteriore scansione.
... poi posta il log di HiJackThis.
Postato da: Spfx
Postato in data: 03/Gennaio/2008 alle 22:36
... dimenticavo.
Postaci pure anche il report di Panda sui spyware che ha trovato.
Postaci pure anche il report di Panda sui spyware che ha trovato.
Postato da: arsagit
Postato in data: 05/Gennaio/2008 alle 11:40
Ho fatto tutto quanto richiesto comprese scansioni con diversi programmi, tutti aggiornati. Virus non sembrerebbero esserci, solo qualche cookie tracciante.
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Ed ecco il report di Panda:
Possible Virus. Not disinfected C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Potentially unwanted tool:Application/CloseApp Not disinfected C:\WINDOWS\system32\closeapp.exe Attendo istruzioni.
-------------
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Ed ecco il report di Panda:
Possible Virus. Not disinfected C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe
Adware:Adware/Lop Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Potentially unwanted tool:Application/CloseApp Not disinfected C:\WINDOWS\system32\closeapp.exe Attendo istruzioni.
-------------
Postato da: Spfx
Postato in data: 05/Gennaio/2008 alle 12:47
Allora... come vedi, il file "logoseek.exe" che abbiamo cercato di eliminare sembra ancora presente dentro la cartella "C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\"
Sembra inoltre che Panda rilevi altri adware in quella cartella ...
Conviene controllare con VirusTotal questi 4 file:
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe
Poi, come mi faceva notare Notwen, se non conosci il programma a cui corrisponde la cartella "infomp3site" o cmq non sei sicuro, conviene disinstallarla.
Se riesci a disinstallarla fai un'altra correzione Registri+Pulizia con CCleaner e poi posta il LOG di HiJackThis
Se non trovi il programma di disinstallazione dovremmo procedere manualmente.
Facci sapere i risultati.
Ciao.
PS
A proposito ... non vedo più il file infetto "Toolbar.dll", hai eliminato manualmente la cartella "Macrogamming" ?
Sembra inoltre che Panda rilevi altri adware in quella cartella ...
Conviene controllare con VirusTotal questi 4 file:
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\BeepHeartFirstSecond.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\debug mode ping.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\logoseek.exe
C:\Documents and Settings\Osvaldo\Dati applicazioni\infomp3site\spxqwvsv.exe
Poi, come mi faceva notare Notwen, se non conosci il programma a cui corrisponde la cartella "infomp3site" o cmq non sei sicuro, conviene disinstallarla.
Se riesci a disinstallarla fai un'altra correzione Registri+Pulizia con CCleaner e poi posta il LOG di HiJackThis
Se non trovi il programma di disinstallazione dovremmo procedere manualmente.
Facci sapere i risultati.
Ciao.
PS
A proposito ... non vedo più il file infetto "Toolbar.dll", hai eliminato manualmente la cartella "Macrogamming" ?
Postato da: Spfx
Postato in data: 05/Gennaio/2008 alle 12:56
Un' altra cosa, controlla con VirusTotal anche questa riga ...
C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
.... se è presente, è probabile che venga indicato come virus.
Non ti preoccupare, anche se c'è non è in memoria.
Notwen ti aveva fatto eliminare all'inizio l'esecuzione di questo programma.
Però, se presente, bisogna cancellarlo manualmente....
.... l' importante è che non lo esegui.
C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns\Type Frag.exe
.... se è presente, è probabile che venga indicato come virus.
Non ti preoccupare, anche se c'è non è in memoria.
Notwen ti aveva fatto eliminare all'inizio l'esecuzione di questo programma.
Però, se presente, bisogna cancellarlo manualmente....
.... l' importante è che non lo esegui.
Postato da: arsagit
Postato in data: 05/Gennaio/2008 alle 21:18
Ho preferito tagliar corto ed eliminare la cartella
Infomp3site. Per quanto riguarda l'altro file da controllare il risultato è stato 4 su 32.
Ecco il log di HiJackThis:
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Non ho eliminato il file "Toolbar.dll". Se non
c'è più sarà magari stato eliminato da uno
degli antivirus.
Ringraziando per l'attenzione resto in attesa di nuove
istruzioni: a risentirci alla prossima puntata!
-------------
Postato da: Spfx
Postato in data: 05/Gennaio/2008 alle 21:48
Dai che ci siamo arsagit, un' ultimo sforzo ....
Riavvia in modalità provvisoria
Verifica che sia disattivato il "Ripristino di Configurazione del Sistema"
Fixa le seguenti voci con HiJackThis
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Apri l'esplora risorse e verifica che non sia presente la cartella "Macrogaming" in :
C:\Programmi\Macrogaming
... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente
Poi cerca la cartella "Software rule flag owns" in :
C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns
... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente
Esegui CCleaner correzione registro + Pulizia
Riavvia e lancia il log di HijackThis.
Ciao.
PS La cartella "Infomp3site" l'hai cancellata definitivamente (Shift+Canc) oppure hai svuotato il cestino dopo , vero ?
Riavvia in modalità provvisoria
Verifica che sia disattivato il "Ripristino di Configurazione del Sistema"
Fixa le seguenti voci con HiJackThis
O4 - HKCU\..\Run: [RDR JUNK] C:\DOCUME~1\Osvaldo\DATIAP~1\INFOMP~1\logoseek.exe
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
Apri l'esplora risorse e verifica che non sia presente la cartella "Macrogaming" in :
C:\Programmi\Macrogaming
... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente
Poi cerca la cartella "Software rule flag owns" in :
C:\Documents and Settings\All Users\Dati applicazioni\Software rule flag owns
... se la trovi selezionala e premi Shift+Canc per cancellarla definitivamente
Esegui CCleaner correzione registro + Pulizia
Riavvia e lancia il log di HijackThis.
Ciao.
PS La cartella "Infomp3site" l'hai cancellata definitivamente (Shift+Canc) oppure hai svuotato il cestino dopo , vero ?
Postato da: arsagit
Postato in data: 05/Gennaio/2008 alle 23:48
Ho proceduto come da istruzioni.
fixata voce 023
voce 04 non presente in modalità provvisoria
Noto inoltre che nel log che allego la voce 023
è ancora presente.
Cartella Macrogaming non trovata
Cancellata cartella "software rule..."
Allego log di HiJackThis:
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Come sempre attendo ulteriori suggermenti.Grazie
-------------
fixata voce 023
voce 04 non presente in modalità provvisoria
Noto inoltre che nel log che allego la voce 023
è ancora presente.
Cartella Macrogaming non trovata
Cancellata cartella "software rule..."
Allego log di HiJackThis:
O23 - Service: Amdkssesr - Advanced Micro Devices - (no file)
***LOG ELIMINATO: sono state lasciate solo le voci sospette***
Come sempre attendo ulteriori suggermenti.Grazie
-------------
Postato da: notwen
Postato in data: 05/Gennaio/2008 alle 23:57
Logoseeker sembra essersene andato. Rimane Amdkssesr, ma solo la chiave, il file non c'è, probabilmente cancellato nelle scansioni.
Direi che il problema è stato risolto!
Complimenti Spfx per l'assiduo impegno!
Arsagit, mi raccomando fai scansioni frequenti con antivirus e antimalware tipo Spybot!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Direi che il problema è stato risolto!
Complimenti Spfx per l'assiduo impegno!
Arsagit, mi raccomando fai scansioni frequenti con antivirus e antimalware tipo Spybot!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 06/Gennaio/2008 alle 00:08
Ben fatto arsagit ... il merito è anche tuo che non hai "mollato".
Ti consiglio un' ultima scansione con Panda Online come verifica finale.
Ciao.
Ti consiglio un' ultima scansione con Panda Online come verifica finale.
Ciao.
Postato da: arsagit
Postato in data: 06/Gennaio/2008 alle 12:38
Ho fatto la scansione con Panda. Mi sembra ci sia ancora
qualcosa da eliminare. Ma come?
Allego report:
Incident Status Location
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Potentially unwanted tool:Application/CloseApp Not disinfected C:\WINDOWS\system32\closeapp.exe
Se ritenete necessari altri interventi fatemelo sapere.
qualcosa da eliminare. Ma come?
Allego report:
Incident Status Location
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Potentially unwanted tool:Application/CloseApp Not disinfected C:\WINDOWS\system32\closeapp.exe
Se ritenete necessari altri interventi fatemelo sapere.
Postato da: notwen
Postato in data: 06/Gennaio/2008 alle 12:52
questi sono cookie
C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Spyware:Cookie/Doubleclick C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Atlas DMT applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
li cancelli tranquillamente facendo una pulizia con spybot.
Poi, disattiva ripristino configurazione (ormai sarai un esperto!!) e in modalità provvisoria cancella questo file:
C:\WINDOWS\system32\closeapp.exe
subito dopo aver fatto queste operazioni, rifai la scansione con panda, e riportaci il risultato!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt
Spyware:Cookie/Doubleclick C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Atlas DMT applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
li cancelli tranquillamente facendo una pulizia con spybot.
Poi, disattiva ripristino configurazione (ormai sarai un esperto!!) e in modalità provvisoria cancella questo file:
C:\WINDOWS\system32\closeapp.exe
subito dopo aver fatto queste operazioni, rifai la scansione con panda, e riportaci il risultato!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Ilsewitch
Postato in data: 06/Gennaio/2008 alle 15:10
Se ha Acrobat potrebbe essere un tool che permette di chiudere automaticamente il programma dalla riga di comando,scusate l'intromissione.
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: notwen
Postato in data: 06/Gennaio/2008 alle 15:16
Panda lo dà come infetto.
Puoi provare a mandarlo a
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
vedi che report ti dà. se è confermata la malignità puoi rimuoverlo come ti ho detto.
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Puoi provare a mandarlo a
http://www.virustotal.com/it/ - http://www.virustotal.com/it/
vedi che report ti dà. se è confermata la malignità puoi rimuoverlo come ti ho detto.
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: Spfx
Postato in data: 06/Gennaio/2008 alle 15:25
Ciao Ilsewitch.
Hai ragione... potrebbe essere un 'applicativo aggiunto da Acrobat... e forse utilizzato anche da altri programmi ... stavo controllando anch'io a tal proposito.
Potrebbe però mascherare anche un Virus
Quoto pienamente un controllo su VirusTotal come detto da Notwen.
Per la cronaca ... ho scaricato l'applicativo DOS (ultima versione) "CloseApp.exe" e verificato su VirusTotal ...risultato 0/32
Hai ragione... potrebbe essere un 'applicativo aggiunto da Acrobat... e forse utilizzato anche da altri programmi ... stavo controllando anch'io a tal proposito.
Potrebbe però mascherare anche un Virus
Quoto pienamente un controllo su VirusTotal come detto da Notwen.
Per la cronaca ... ho scaricato l'applicativo DOS (ultima versione) "CloseApp.exe" e verificato su VirusTotal ...risultato 0/32
Postato da: notwen
Postato in data: 07/Gennaio/2008 alle 14:36
Attenzione!ho fatto analizzare MSNFix.zip da virus total, il risultato è 11/32!!! anche Panda lo dà come malware! Direi che per ora dobbiamo evitare di utilizzarlo continuando con i metodi di rimozione classici, fino a che la cosa non si sia chiarita!
-------------
<a href="http://www.flickr.com/photos/danifeb" target="_blank">Le mie foto su Flickr!!!</a> <br />
Postato da: arsagit
Postato in data: 08/Gennaio/2008 alle 21:49
Ennesima puntata della ormai lunga storia:
ho fatto analizzare il file "closeapp.exe" da virustotal
con il risultato di 9/32 e di conseguenza ho cancellato
il file. Ho fatto la scansione con Spybot ed aliminato 5
cookies: fin qui tutto normale...
...senonchè fatta ora la scansione con Panda (come vedrete
dal report) mi ritrovo altri elementi da rimuovere: ma allora è una storia infinita! O no?
Ecco il report:
Incident Status Location
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Overture Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@overture[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Io comunque insisto ed attendo nuove istruzioni per proseguire la
battaglia con questi petulanti intrusi!!!
ho fatto analizzare il file "closeapp.exe" da virustotal
con il risultato di 9/32 e di conseguenza ho cancellato
il file. Ho fatto la scansione con Spybot ed aliminato 5
cookies: fin qui tutto normale...
...senonchè fatta ora la scansione con Panda (come vedrete
dal report) mi ritrovo altri elementi da rimuovere: ma allora è una storia infinita! O no?
Ecco il report:
Incident Status Location
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[1].txt disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@doubleclick[2].txt
Spyware:Cookie/Overture Not disinfected C:\Documents and Settings\Osvaldo\Cookies\osvaldo@overture[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Osvaldo\Dati applicazioni\Mozilla\Firefox\Profiles\pbipxhlx.default\cookies.txt[.atdmt.com/]
Adware:Adware/SweetBar Not disinfected C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
Io comunque insisto ed attendo nuove istruzioni per proseguire la
battaglia con questi petulanti intrusi!!!
Postato da: notwen
Postato in data: 08/Gennaio/2008 alle 21:59
Ti ho editato il post perchè era troppo spanciato..
Riguardo alle voci che trovi con Panda non ti devi preoccupare, sono spyware cookie.. li elimini benissimo con una pulizia di Spybot..Sappi che i Cookies ti raggiungono continuamente nella navigazione. per cui è buona norma pulire spesso con ccleaner o simili.
Per quanto riguarda invece l'ultima voce, è riferita a Hijackthis quindi teoricamente sicura.
Puoi provare a fare esaminare il file
C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
a virustotal e vedere che dice!
Ma non penso sia un problema!
Riguardo alle voci che trovi con Panda non ti devi preoccupare, sono spyware cookie.. li elimini benissimo con una pulizia di Spybot..Sappi che i Cookies ti raggiungono continuamente nella navigazione. per cui è buona norma pulire spesso con ccleaner o simili.
Per quanto riguarda invece l'ultima voce, è riferita a Hijackthis quindi teoricamente sicura.
Puoi provare a fare esaminare il file
C:\Programmi\Trend Micro\HijackThis\backups\backup-20080102-223545-751.dll
a virustotal e vedere che dice!
Ma non penso sia un problema!
Postato da: Spfx
Postato in data: 08/Gennaio/2008 alle 22:02
Ciao.
Non ti preoccupare ... sono solo cookies.
Li puo cancellare con una pulizia tramita CCleaner
e Spybot o Ad-aware.
Quando finisci di navigare in Internet fai sempre una pulizia con CCleaner.
La dll invece dovrebbe essere il Backup di HiJackThis, del Adware/SweetBar che avevamo eliminato.
Direi che ora non ci sono più probemi ...
Non ti preoccupare ... sono solo cookies.
Li puo cancellare con una pulizia tramita CCleaner
e Spybot o Ad-aware.
Quando finisci di navigare in Internet fai sempre una pulizia con CCleaner.
La dll invece dovrebbe essere il Backup di HiJackThis, del Adware/SweetBar che avevamo eliminato.
Direi che ora non ci sono più probemi ...
Postato da: notwen
Postato in data: 08/Gennaio/2008 alle 22:02
Per sicurezza fai un test delle porte da qui:
http://www.pianosicurezza.net/probwizard.aspx - http://www.pianosicurezza.net/probwizard.aspx
vedi se ti dà qualche porta aperta o non nascosta.
http://www.pianosicurezza.net/probwizard.aspx - http://www.pianosicurezza.net/probwizard.aspx
vedi se ti dà qualche porta aperta o non nascosta.
Postato da: Spfx
Postato in data: 08/Gennaio/2008 alle 22:03
Ops , 
...abbiamo postato assieme ... scusa Notwen.
...abbiamo postato assieme ... scusa Notwen.
Postato da: notwen
Postato in data: 08/Gennaio/2008 alle 22:03
ops. abbiamo postato assieme e abbiamo scritto le stesse cose!!
Postato da: arsagit
Postato in data: 08/Gennaio/2008 alle 23:42
L'analisi del file ha dato come risultato 6 su 32.
Io lo cancellerei.
La prova di sicurezza porte ha evidenziato che tutte le
porte (ma quante sono!!!) sono nascoste.
altre domane: pulizia con Ccleaner in modalità provvisoria?
Posso riattivare il ripristino configurazione?
Grazie.
Io lo cancellerei.
La prova di sicurezza porte ha evidenziato che tutte le
porte (ma quante sono!!!) sono nascoste.
altre domane: pulizia con Ccleaner in modalità provvisoria?
Posso riattivare il ripristino configurazione?
Grazie.
Postato da: notwen
Postato in data: 08/Gennaio/2008 alle 23:43
per la pulizia di Ccleaner non è necessaria la modalità provvisoria, necessaria invece per una completa scansione di Spybot e antivirus.
Le porte sono ok, cancella il file, tanto è un backup poco utile!
fatto questo riattiva il ripristino!
Le porte sono ok, cancella il file, tanto è un backup poco utile!
fatto questo riattiva il ripristino!
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 00:15
Ho fatto tutto. Domani farò una scansione di controllo con Panda.
Adesso però è sorto un altro problema: non mi si aggiorna più l'antivirus NOD 32. Fino al giorno 1 gennaio funzionava tutto regolarmente sia l'aggiornamento automatico che quello manuale.
Ora nonostante sia pianificato l'aggiornamento automatico non avviene e se provo ad operare manualmente
(come ho fatto decine di volte in passato) esce un messaggio che dice che il programma è già aggiornato (ma
non è vero).
Cosa posso fare?
Adesso però è sorto un altro problema: non mi si aggiorna più l'antivirus NOD 32. Fino al giorno 1 gennaio funzionava tutto regolarmente sia l'aggiornamento automatico che quello manuale.
Ora nonostante sia pianificato l'aggiornamento automatico non avviene e se provo ad operare manualmente
(come ho fatto decine di volte in passato) esce un messaggio che dice che il programma è già aggiornato (ma
non è vero).
Cosa posso fare?
Postato da: notwen
Postato in data: 10/Gennaio/2008 alle 09:27
come fai a dire che non è vero?
controlla che non ti sia scaduta la licenza!
controlla che non ti sia scaduta la licenza!
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 10:31
Dico che non è vero perchè andando sul sito ho visto
che ci sono aggiornamenti più recenti.
Come faccio a vedere se è scaduta la licenza?
E poi se anche fosse così, ritengo più probabile che
compaia un altro tipo di messaggio e non che il
programma è già aggiornato.
che ci sono aggiornamenti più recenti.
Come faccio a vedere se è scaduta la licenza?
E poi se anche fosse così, ritengo più probabile che
compaia un altro tipo di messaggio e non che il
programma è già aggiornato.
Postato da: notwen
Postato in data: 10/Gennaio/2008 alle 16:09
Dai un'occhiata in questa pagina
http://www.p2pforum.it/forum/showpost.php?p=810179&postcount=1 - NOD32 AGGIORNAMENTI
sembra che si sia cancellato il server di riferimento..
Dovresti risolvere!
Ciao!
http://www.p2pforum.it/forum/showpost.php?p=810179&postcount=1 - NOD32 AGGIORNAMENTI
sembra che si sia cancellato il server di riferimento..
Dovresti risolvere!
Ciao!
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 20:04
Il settaggio era già quello giusto.
Ho comunque provato manualmente con tutti i server della
lista ma o compariva il messaggio già citato oppure quel-
l'altro di impossibilità di accesso al server.
Non riesco a capire cosa ci sia che non funziona.
Ho comunque provato manualmente con tutti i server della
lista ma o compariva il messaggio già citato oppure quel-
l'altro di impossibilità di accesso al server.
Non riesco a capire cosa ci sia che non funziona.
Postato da: Spfx
Postato in data: 10/Gennaio/2008 alle 21:24
Ciao Arsagit.
Sei sicuro di non aver bloccato per sbaglio il servizio di aggiornamento con il Firewall ?
Sei sicuro di non aver bloccato per sbaglio il servizio di aggiornamento con il Firewall ?
Postato da: arsagit
Postato in data: 10/Gennaio/2008 alle 23:30
Non sono in grado di dire nè sì nè no: io volontariamente
non ho fatto nulla.
Ma come faccio a capire se il motivo è questo?
In realtà poi il problema non è tanto sull'aggiornamento
automatico quanto sul fatto che non riesco più a farlo
neanche manualmente e poi il messaggio che appare mi
lascia perplesso perchè sembrerebbe che la connessione
avvenga regolarmente (in manuale) ma che, non so per
quale motivo, non venga rilevato che il programma deve essere aggiornato.
Comunque nei prossimi giorni proverò a disintallarlo
e poi a riinstallarlo: ...e vediamo cosa succede!
non ho fatto nulla.
Ma come faccio a capire se il motivo è questo?
In realtà poi il problema non è tanto sull'aggiornamento
automatico quanto sul fatto che non riesco più a farlo
neanche manualmente e poi il messaggio che appare mi
lascia perplesso perchè sembrerebbe che la connessione
avvenga regolarmente (in manuale) ma che, non so per
quale motivo, non venga rilevato che il programma deve essere aggiornato.
Comunque nei prossimi giorni proverò a disintallarlo
e poi a riinstallarlo: ...e vediamo cosa succede!
Postato da: Spfx
Postato in data: 10/Gennaio/2008 alle 23:47
Proviamo allora ad escludere il Firewall ...
Per verificare prova così ...
Avvia la connessione a internet.
Chiudi tutte le applicazioni collegate a internet (Browser, MSN, ecc.)
Fai una pulizia con CCleaner (...per sicurezza)
Chiudi momentaneamente il firewall.
Lancia l'update della definizione direttamente dal tuo programma antivirus.
Poi ricordati di attivare nuovamente il firewall (... qualsiasi sia l'esito con l'antivirus) prima di navigare in internet.
Per verificare prova così ...
Avvia la connessione a internet.
Chiudi tutte le applicazioni collegate a internet (Browser, MSN, ecc.)
Fai una pulizia con CCleaner (...per sicurezza)
Chiudi momentaneamente il firewall.
Lancia l'update della definizione direttamente dal tuo programma antivirus.
Poi ricordati di attivare nuovamente il firewall (... qualsiasi sia l'esito con l'antivirus) prima di navigare in internet.
Postato da: arsagit
Postato in data: 12/Gennaio/2008 alle 00:34
Eureka! NOD32 ha ripreso ad aggiornarsi!
Per il resto ho fatto la scansione con Panda che ha rilevato solo 1 cookie.
Sembrerebbe che la situazione sia rientrata nella norma.
Ringrazio di cuore tutti coloro che mi hanno aiutato.
Per il resto ho fatto la scansione con Panda che ha rilevato solo 1 cookie.
Sembrerebbe che la situazione sia rientrata nella norma.
Ringrazio di cuore tutti coloro che mi hanno aiutato.
Postato da: Spfx
Postato in data: 12/Gennaio/2008 alle 00:49
Bene
Ma spiegaci ... hai risolto spegnendo il firewall
oppure ha ripreso semplicemente a funzionare da solo ?
Ma spiegaci ... hai risolto spegnendo il firewall
oppure ha ripreso semplicemente a funzionare da solo ?
Postato da: arsagit
Postato in data: 12/Gennaio/2008 alle 00:54
Ha ripreso a funzionare da solo, senza che io avessi
fatto nulla di nuovo: ero in rete ed ho visto apparire
il messaggio che indicava che NOD32 si era aggiornato
alla data di oggi.
Probabilmente era solo un problema temporaneo di difficoltà di connessione al server.
Comunque lo terrò sotto controllo ogni giorno per un
po' di tempo per vedere come si comporta.
fatto nulla di nuovo: ero in rete ed ho visto apparire
il messaggio che indicava che NOD32 si era aggiornato
alla data di oggi.
Probabilmente era solo un problema temporaneo di difficoltà di connessione al server.
Comunque lo terrò sotto controllo ogni giorno per un
po' di tempo per vedere come si comporta.
Postato da: Spfx
Postato in data: 12/Gennaio/2008 alle 00:59
Perfetto! 