| Precedente :: Successivo |
| Autore |
Messaggio |
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
 Inviato: 20 Gen 2009 14:47 Oggetto: help! spyware guard 2008. |
 |
|
ho il portatile infettato con spyware guard 2008. qualche suggerimento per eliminarlo?
Grazie |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 20 Gen 2009 15:00 Oggetto: |
|
|
Sistema operativo in uso?.
P.S.: ho spostato la discussione dalla sezione Sicurezza in Pronto Soccorso Virus: la prossima volta, per favore, stai più attento ed apri le discussioni nelle sezioni più attinenti al tuo problema. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 21 Gen 2009 11:59 Oggetto: spyware guard 2008 |
|
|
mi scuso per l'errore.
Il SO è Windows XP.
Il sistema è lentissimo.
Cosa dovrei fare?
Grazie per l'aiuto. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 21 Gen 2009 13:21 Oggetto: |
|
|
Considerato che la tua discussione è tra quelle che intendo definire, visto che ti avevo risposto quando la hai aperta (da questa mattina mi sono, per ora temporaneamente, autosospeso dal Forum), inizia con l'eseguire questa procedura):
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino a quando non avremo completato la fase di assistenza
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) Scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 09:49 Oggetto: non va.. |
|
|
Buongiorno,
riassumo i tentativi effettuati:
SO Windows XP Professional Ver. 2002 SP 3;
Disattivato ripristino configurazione di sistema;
Eliminati file da cartella Prefetch;
Scaricati tutti i file indicati;
installati Hthis e rimossi i file;
installato superAntiSpyware, configurato come indicato e lanciato.
mentre stava eseguendo la scansione il pc si è spento per grave errore di sistema.
preciso che tutto quello fatto fino a quel momento era disturbato dall'attivazione automatica dello scan di spyware guard 2008 (che chiudevo utilizzando termina processo di TaskManager.
Ho riprovato diverse volte (5) dopo aver disinstallato SuperAntiSpyware e rinstallandolo (la versione installata dopo la caduta di sistema non veniva più eseguita), ma il risultato è stato identico.
Altri elementi che possono essere utili:
ho disabilitato la scansione automatica all'accesso di virusScan e non si riattiva più;
Gli aggiornamenti automatici di "Centro sicurezza PC" di windows sono disabilitati e non posso più cambiarne le impostazioni;
Insieme a Spyware guard 2008 viene lanciato l'esecutivo "wincenter,exe";
A questo punto non so più cosa fare.. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 12:44 Oggetto: |
|
|
| Hai modo di accedere al sistema in modalità provvisoria? |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 12:52 Oggetto: |
|
|
| si. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 12:59 Oggetto: |
|
|
Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● riavvia il computer ed accedi al sistema in modalità provvisoria, con l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in modalità normale ed allega i due log
1) disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 14:06 Oggetto: |
|
|
come faccio a postare i file di log?
ho utilizzato wikisend; ho inserito il primo file e ho fatto upload; così per il secondo.
Adesso come arriva al posto giusto?
Scusa la mia profonda ignoranza..
Sembra che ComboFix in modalità provvisoria abbia cancellato parecchi file..
Attendo per il seguito delle istruzioni..
Grazie |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 14:48 Oggetto: |
|
|
| Carichi il log uno per volta e copi ed incolli qui, il relativo link. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 14:53 Oggetto: |
|
|
http://wikisend.com/download/595188/ComboFix.txt
http://wikisend.com/download/477546/ComboFix-quarantined-files.txt
spero sia giusto così. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 15:06 Oggetto: |
|
|
| efarre ha scritto: | | spero sia giusto così. |
Certo che è giusto cosi.
Combofix, come puoi vedere, ha fatto una strage e si è spazzato via Spyware Guard 2008 8)
| Citazione: | ComboFix 09-01-21.02 - Administrator 2009-01-22 12.31.52.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.379 [GMT 1:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix\ComboFix.exe
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
Altre eliminazioni.
c:\documents and settings\Administrator\Menu Avvio\Programmi\Spyware Guard 2008
c:\documents and settings\Administrator\Menu Avvio\Programmi\Spyware Guard 2008\Spyware Guard 2008.lnk
c:\documents and settings\Administrator\Menu Avvio\Programmi\Spyware Guard 2008\Uninstall.lnk
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat
c:\programmi\Spyware Guard 2008
c:\programmi\Spyware Guard 2008\conf.cfg
c:\programmi\Spyware Guard 2008\mbase.vdb
c:\programmi\Spyware Guard 2008\quarantine.vdb
c:\programmi\Spyware Guard 2008\queue.vdb
c:\programmi\Spyware Guard 2008\spywareguard.exe
c:\programmi\Spyware Guard 2008\uninstall.exe
c:\programmi\Spyware Guard 2008\vbase.vdb
c:\windows\reged.exe
c:\windows\spoolsystem.exe
c:\windows\sys.com
c:\windows\syscert.exe
c:\windows\sysexplorer.exe
c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\msxml71.dll
c:\windows\system32\oev03f82.exe.a_a
c:\windows\system32\winscenter.exe
c:\windows\vmreg.dll
BITS: Possibili siti infetti
hxxxxxxp://wsus03:8530
Driver/Servizi
-------\Legacy_RKHIT
-------\Service_RkHit |
Ora esegui la procedura che ti avevo suggerito in partenza, ed allega tutti i log richiesti. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 15:25 Oggetto: |
|
|
ho disattivato il ripristino configurazione sistema;
ho cancellato i file della cartella Prefetch;
ho lanciato HiJ.
Il programma non va in esecuzione.
ho provato a disinstallare da pannello di controllo - installazione applicazioni HiJ ma non lo disinstalla.
ho provato a reinstallare HiJ ma non lo reinstalla..
 |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 15:39 Oggetto: |
|
|
| Per ora, esegui le due scansioni con Malwarebytes e Superantispyware, poi vediamo di risolvere la questione di Hthis. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 15:47 Oggetto: |
|
|
incredibile ma vero.. non riesco a lanciare nessuno dei file scaricati.
Ho provato a disinstallarli e, ad eccezione di superspyware (che poi non si reinstalla), non si disistallano... (non avevo ancora installato CCleaner)..
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 16:04 Oggetto: |
|
|
Scarica Norman Malware Cleaner: clicca qui per il download e posizionalo sul desktop.
Leggi, attentamente, le istruzioni per la corretta esecuzione che sono riportate nella pagina web che ti ho linkato e poi, accedi al sistema in modalità provvisoria con l'account Amministratore ed esegui la scansione.
Al termine se verrà rilasciato un log, allegalo, altrimenti prendi nota di ciò che verrà eventualmente rimosso e me lo fai sapere. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 18:14 Oggetto: |
|
|
http://wikisend.com/download/595518/LogNorman.txt
questo è quello che ha eseguito Norman.
Sono ripartito in modalità normale, ma i programmi in questione non si disinstallano ne si reinstallano..
Apparentemente il sistema sembra stabile e non mi pare che ci siano sintomi di virus in azione..
Come mi devo comportare??
 |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 22 Gen 2009 18:31 Oggetto: |
|
|
http://wikisend.com/download/529728/taskmanager.doc
Sto diventando un incubo..
questo è il link con la schermata del task manager (processi attivi)..
mentre lanciavo word si è aperta una finestra Iexplorer verso un sito di ricerca amicizie..
Adesso il sistema è lentissimo e non riesco ad aprire applicazioni con tempi accettabili (per aprire risorse del computer ci ha messo circa 20 secondi)..
Ho il vago sospetto che devo spianare l'HD..
|
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 22 Gen 2009 18:45 Oggetto: |
|
|
Scarica ed installa Elibagla: clicca qui per il download
● scorri fino a fondo pagina e, clicca su Descargar Elibagla per scaricare il tool
● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log
Poi, disattiva temporaneamente il tuo Antivirus e scarica ed installa Kaspersky Virus Removal tool: clicca qui per il download
● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da scansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi
Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà. |
|
| Top |
|
|
efarre
Mortale devoto
Registrato: 20/01/09 14:39
Messaggi: 12
Residenza: roma
|
| Inviato: 23 Gen 2009 11:03 Oggetto: |
 |
|
non posso linkare il file txt di Elibagla in quanto adesso sono connesso sulla rete intranet aziendale che non mi consente l'accesso a wiky e siti similari e dal pc infettato non riesco a connettermi in modo stabile al forum. Comunque il report è pulito.. nessun file infetto..
Kaspersky (sul pc incriminato) non attiva alcun tool ma crea una cartella sul desktop, all'interno della quale ci sono gli eseguibili (tra i quali scan e log in modalità dos) e l'applicativo start.
Lanciando start compare per un attimo una schermata senza alcun seguito.
In task manager non si vede alcun processo relativo a kaspersky.
lanciando l'applicazine dos Scan esegue una scansione che non riesco a seguire. Lo stesso con l'applicazione Log.
ho provato a disinstallare kaspersky con il comando uninstall per poi reinstallarlo. cliccando sul link indicato il browser si chiude immediatamente.
altra prova ho tentato di rieseguire il download con il comando apri in altra scheda e in effetti apre il sito su un'altra scheda, ma come provo a spostarmi sulla scheda e ci clicco sopra il bowser si chiude immediatamente..
Ho notato, inoltre, che sul PC incriminato, i messaggi del forum presentato delle parole evidenziate in verde che, al passaggio del cursore, aprono una finestra di pubblicità (webcom se non ricordo male..) cliccando su tali parole, si viene indirizzati a zeusnews.com e di seguito su una pagina pubblicitaria che non riesco a visualizzare in quanto il browser si chiude immediatamente..
In sintesi, credo che spyware guard 2008 sia stato eliminato ma che ho in qualche modo incasinato il registro di sistema. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
