Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Win32:Malware-gen... Aiuto!
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 10 Mag 2010 19:05    Oggetto: Rispondi citando

Eccoti HJT:

hijackthis report 4.txt

Doriano scusami, per mia curiosità, questi file di registro (sono file di registro?) a cosa afferiscono?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 10 Mag 2010 21:26    Oggetto: Rispondi citando

I logs generati da SystemScan e HiJackThis (HJT) sono file che indicano quali programmi vengono avviati alla partenza del sistema operativo.
HJT è il più semplice dei due e fornisce minori indicazioni... ma, a questo punto, è sufficiente per il lavoro di fino.

Stavo notando, curiosamente, che, a ogni rimozione, ricompaiono delle voci riferite alla tua precedente infezione... Think

Per cortesia, aggiorna MBAM e SuperAntiSpyware e fai una scansione completa, dopodiché, posta i logs generati insieme a un log aggiornato di HJT.
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 10 Mag 2010 22:52    Oggetto: Rispondi citando

Ecco fatto. Segnalo che sia MBAM sia SuperAntiSpyware hanno dato esito negativo.

Ecco i log:

1. MBAM

mbam-log-2010-05-10 (22-05-00).txt

2. SuperAntispyware

SUPERAntiSpyware Scan Log - 05-10-2010 - 22-47-31.log

3. HJT

hijackthis report 5.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 11 Mag 2010 08:16    Oggetto: Rispondi citando

Allora continuiamo a eliminare le voci in eccesso... Wink
    esegui hijackthis
    clicca su do a system scan only
    metti il segno di spunta a queste voci:
    Citazione:
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [MqtgSVC] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\mqtgsvc.exe /waitservice (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [MqtgSVC] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\mqtgsvc.exe /waitservice (User 'Default user')
    O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe

    clicca fix checked
    Rifai il log di hijackthis e postalo
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 11 Mag 2010 10:41    Oggetto: Rispondi citando

Eccolo:

HJT

hijackthis report 6.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 11 Mag 2010 20:19    Oggetto: Rispondi citando

Altro giro, altro regalo
    esegui hijackthis
    clicca su do a system scan only
    metti il segno di spunta a queste voci:
    Citazione:
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')

    clicca fix checked
    Rifai il log di hijackthis e postalo
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 11 Mag 2010 23:19    Oggetto: Rispondi citando

Eccolo:

HJT

hijackthis report 7.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 11 Mag 2010 23:39    Oggetto: Rispondi citando

E andiamo avanti... Think
    esegui hijackthis
    clicca su do a system scan only
    metti il segno di spunta a queste voci:
    Citazione:
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\dllhst3g.exe /waitservice (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\dllhst3g.exe /waitservice (User 'Default user')

    clicca fix checked

Stavolta, però, fai il log con SystemScan... sono curioso di vedere da dove continuano a spuntare queste voci. Think
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 12 Mag 2010 22:08    Oggetto: Rispondi citando

Ecco la scansione con SystemScan e scusa il ritardo. Smile

Ho proceduto (comeall'inizio) con internet staccato.

SystemScan:

report.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 13 Mag 2010 09:44    Oggetto: Rispondi citando

Think
Ti faccio eliminare alcune voci...

  • Avvia nuovamente SystemScan
  • metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed

  • clicca su Removal Script

  • Nel riquadro inserisci il seguente script:
    Codice:
    Files to delete:
    C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe
    C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe

    registry values to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp247\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp248\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp250\mdm.exe"

    e clicca Proceed with removal


    ******
    Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
    ******


    Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
    Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan (assicurati che tutte le voci siano spuntate).
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 13 Mag 2010 10:25    Oggetto: Rispondi citando

Doriano prima di procedere posso chiederti una cosa?

L'ultima voce dell'elenco non riesco a spuntarla. E' quella che recita: "Include hijackthis log".

Visto che mi dici di assicurarmi che tutte le voci siano selezionate, volevo chiederti se questo fatto era un problema.

Procedo così?

Grazie Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 13 Mag 2010 10:30    Oggetto: Rispondi citando

Curioso... Think
I logs di hijackthis me li hai postati e SystemScan non riesce a trovarlo... Razz

Vabbene, procedi ugualmente, nella tua prossima risposta, aggiungi anche il log di HJT. Ciao
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 13 Mag 2010 11:02    Oggetto: Rispondi citando

Ecco i due log:

1. SystemScan

report.txt


2. HJT

hijackthis report 8.txt


Capitolo avenger.txt:
dopo aver cancellato i codici che mi hai dato il pc si è riavviato, ma all'avvio di windows l'avenger non c'era. Windows avvisava: "Impossibile trovare avenger.txt Creare nuovo file?"
Successivamente ho avviato SystemScan per fare la scansione e il programma mi ha detto: "Removal script was executed correctly. Results are in C:\avenger.txt".
Quindi sono andato a ripescarmi l'avenger e te lo posto dopo questa breve cronaca degli eventi.

Avenger:

avenger.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 13 Mag 2010 12:11    Oggetto: Rispondi citando

Buone notizie: non ci sono più le voci astruse che comparivano a ogni nuovo hijackthis. Smile

L'ultima operazione che ti ho fatto fare non è andata a buon fine. Think

Se ti va, riproviamoci:
  • Avvia nuovamente SystemScan
  • metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed

  • clicca su Removal Script

  • Nel riquadro inserisci il seguente script:
    Codice:
    Files to delete:
    C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe
    C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe

    registry values to delete:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\GoldWin\jre\bin\javaw.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\Programmi\B2BPOKER\Bet1128\jre\bin\javaw.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp247\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp248\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp249\mdm.exe"
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | "C:\DOCUME~1\Utente\IMPOST~1\Temp\~temp\mlp250\mdm.exe"

    e clicca Proceed with removal


    ******
    Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
    ******


    Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
    Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 13 Mag 2010 12:33    Oggetto: Rispondi citando

Questa volta mi pare sia andato tutto ok perchè al riavvio del pc mi è stato chiesto di avviare SystemScan e poi ho potuto salvare sul desktop il file avenger.

Ti posto tutto:

1. Avenger

avenger.txt


2. SystemScan

report.txt


3. HJT

hijackthis report 9.txt
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 13 Mag 2010 13:30    Oggetto: Rispondi citando

Ottimo! Ora ci siamo! Very Happy

Se non riscontri altri problemi, ti posto le operazioni finali:
  1. Disabilita il ripristino di sistema.
    Così andiamo a eliminare eventuali punti di ripristino infetti.
  2. Riavvia il pc
  3. Riabilita il ripristino di sistema, seguendo il procedimento inverso al punto 1
  4. Crea un nuovo punto di ripristino:
    • Start
    • Programmi
    • Accessori
    • Utilità di sistema
    • Ripristino configurazione di sistema
    • Crea un punto di ripristino
    • Clicca Avanti
    • Inserisci una descrizione
    • Clicca Crea e attendi pazientemente la fine delle operazioni

  5. Pulizia dei files temporanei con CCleaner
  6. Pulizia del registro con Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
  7. Deframmentazione del disco
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 13 Mag 2010 14:13    Oggetto: Rispondi citando

- Ho disattivato e poi riattivato il punto di ripristino.
- Ho creato un nuovo punto.
- Ho pulito con cCleaner.
- Ho fatto la scansione con Wise Registry (mi ha chiesto di creare un punto di ripristino, ma ho rifiutato dato che lo avevo già fatto):

Finita il processo di riparazione, il menù di Wise Registry mi riporta una serie di eventi in cui mi dice che la riparazione è possibile ma non consigliabile.
In pratica sono eventi contrassegnati dallo scudo arancione col punto esclamativo.

Sono in tutto 30 problemi, metre 348 sono stati i problemi riparati.

La domanda è: esco dal programma senza riparare questi eventi non consigliati, giusto?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 14 Mag 2010 09:58    Oggetto: Rispondi citando

Scusa il ritardo. Razz

Giusto, gli scudi gialli (o rossi) evita di farli riparare. Wink
Top
Profilo Invia messaggio privato
Grea[t]!
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 08/05/10 17:12
Messaggi: 82

MessaggioInviato: 14 Mag 2010 11:15    Oggetto: Rispondi citando

bdoriano ha scritto:
Scusa il ritardo. Razz

Giusto, gli scudi gialli (o rossi) evita di farli riparare. Wink


Figurati. Smile
Alla fine non li ho riparati e ho proceduto ai passaggi finali, cioè scansione e deframmentazione con Auslogic Registry.

Doriano siamo a posto secondo te? Posso ringraziarti? Very Happy
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 14 Mag 2010 12:22    Oggetto: Rispondi

Direi che sei a posto. Smile

Se riscontri altri problemi, siamo qui. Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3  Successivo
Pagina 2 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi