Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Enigma Software Group, LCC all'avvio di Windows XP!
Nuovo argomento   Rispondi    Indice del forum -> Windows XP e Reperti Archeologici
Precedente :: Successivo  
Autore Messaggio
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 12 Mag 2013 08:12    Oggetto: Enigma Software Group, LCC all'avvio di Windows XP! Rispondi citando

Buona domenica a tutti e auguri a tutte le mamme,
quando accendo il pc, prima di avviare il desktop con tutte le icone, mi appare una scritta:

Enigma Software Group, LCC
Custom Removal in action...
Process finished...


Questa scritta mi appare da circa un mese e ora mi sarei anche stufato di aspettare quei 15 secondi in più per questa cosa.
Ho cercato su internet che cosa fosse e sembra che appartiene al programma SpyHunter che lo disinstallai infatti poco più di un mese fa...
C'è qualcuno che riesce a togliermi questa scritta ad ogni avvio del pc?
Grazie e alla prossima. Ciao! Ciao
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 12 Mag 2013 12:32    Oggetto: Rispondi citando

Ciao.
Potevi anche postare il problema sull'altro topic:
http://forum.zeusnews.com/viewtopic.php?t=62881

Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440
Posta il log con Wikisend.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 12 Mag 2013 17:28    Oggetto: Rispondi citando

Si per l'altra discussione non ci avevo pensato.
Ecco qua il log: link
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 12 Mag 2013 21:19    Oggetto: Rispondi citando

Ciao.
Certo che riesci a infettare il pc un giorno sì e l'altro pure.
2 giorni fa queste infezioni non le avevi.

Scarica Adwcleaner sul desktop:
link
Clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Segui le istruzioni di questo topic per usare Combofix: (ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Ignora gli eventuali messaggi di allerta sia di Combofix che dall'antivirus, e prosegui con la scansione.
Posta il log.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 13 Mag 2013 16:16    Oggetto: Rispondi citando

Ma io non cosa abbia fatto per infettarlo da un giorno all'altro.
Comunque... ho avviato il programma "Adwcleaner", ho fatto su elimina, si è riavviato il pc ma non mi ha rilasciato nessun log.
Invece il log del programma "ComboFix": link

Upload.
Ho cercato sul tasto Cerca il log di adwcleaner e mi ha trovato questi tre file che sono stati modificati oggi:

Primo link
Secondo link
Terzo link

Non so se sono questi i log di quel programma...
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 13 Mag 2013 20:28    Oggetto: Rispondi citando

Citazione:
Ho cercato sul tasto Cerca il log di adwcleaner e mi ha trovato questi tre file che sono stati modificati oggi:

Elimina i log di adwcleaner che hai trovato.

Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt


Codice:
KillAll::
Driver::
esgiguard


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

Dimmi se ti esce ancora quella scritta che accennavi all'inizio.

In ogni caso:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 14:06    Oggetto: Rispondi citando

No esce ancora quella scritta all'avvio del pc.
Il log di ComboFix: link
I 2 log di OTL: Link 1, Link 2

Dovrebbero essere questi.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 17:01    Oggetto: Rispondi citando

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:


Codice:
:OTL
SRV - (APNMCP) -- C:\Programmi\AskPartnerNetwork\Toolbar\apnmcp.exe (APN LLC.)
IE - HKU\S-1-5-21-448539723-839522115-1801674531-1003\..\SearchScopes\{D0C3EA26-F06C-45FB-86A6-B0A292EB05A3}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN97196993226280258&UM=2&SSPV=TB_T3
FF - prefs.js..browser.startup.homepage: "http://start.iminent.com/?appId=4894470D-6A8D-47BD-A5E7-00149D421D97"
O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\TrayMin220.lnk = C:\Programmi\Philips\Philips SPC220NC Webcam\TrayMin220.exe ()
O4 - Startup: C:\Documents and Settings\Mario Domeniconi\Menu Avvio\Programmi\Esecuzione automatica\Minecraft_Server.lnk =  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
[2013/05/13 18.41.02 | 000,000,000 | ---D | C] -- C:\Programmi\Iminent
[2013/05/14 14.47.47 | 000,000,144 | ---- | M] () -- C:\Documents and Settings\Utente\Desktop\Enigma Software Group, LCC all'avvio di Windows XP!.url
[2012/10/17 14.41.01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Ask
[2011/02/04 18.07.14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\66728
[2012/09/06 11.42.59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\OpenCandy
[2012/11/01 19.08.07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\skyz

:commands
[emptytemp]



Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Dimmi se il messaggio compare ancora. (non dovrebbe)
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 18:08    Oggetto: Rispondi citando

No mi dispiace, c'è ancora quella scritta.
Ecco il log: link
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 18:23    Oggetto: Rispondi citando

Citazione:
No mi dispiace, c'è ancora quella scritta.

Strano.

Scarica RougeKiller sul desktop.

link

Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 18:34    Oggetto: Rispondi citando

Ecco qua il log: link
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 19:02    Oggetto: Rispondi citando

Suppongo che questo "Yontoo" tu lo conosca, e che lo usi.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 19:05    Oggetto: Rispondi citando

Mh, no.
Io Yontoo non lo uso, probabilmente mi si è installato da un'altra installazione di un altro programma...
quindi cosa posso fare ora?
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 19:25    Oggetto: Rispondi citando

Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a queste voci:

[RUN][SUSP PATH] HKCU\[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-448539723-839522115-1801674531-1003[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato


E TOGLI la spunta a TUTTE le altre.

Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.

Poi:
Esegui una scansione con OTL, seguendo gli stessi parametri della prima scansione.
Cambia SOLO questo parametro:
Clicca sulla freccettina di File Age e seleziona 60 Days
Posta il log.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 19:45    Oggetto: Rispondi citando

Il log di RougeKiller: link
Gli altri due log di OTL: Link 1, Link 2

Spero di aver fatto tutto giusto!
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 19:59    Oggetto: Rispondi citando

Sì hai fatto giusto.
Adesso porta pazienza che devo vedere dove si nasconde questo cesso di SpyHunter.
Potresti fare una cosa nel frattempo:
con la funzione Cerca di Windows digita in ambedue i campi:
SpyHunter
E vedi se trova qualcosa. (e se lo trova lo elimini)

Poi:fai Start\Esegui digita : regedit
Si apre il registro.
Clicca in alto su "Modifica" e poi su "Trova".
Nel campo scrivi SpyHunter e clicca invio.
Vedi se trova qualche chiave.

****************************************************************
Qualcosa ho trovato:
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Codice:
:OTL
PRC - C:\Programmi\Yontoo\Y2Desktop.Updater.exe (Microsoft)
SRV - (Yontoo Desktop Updater) -- C:\Programmi\Yontoo\Y2Desktop.Updater.exe C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe File not found
O4 - HKLM..\Run: [kbdsprt]  File not found
[2013/05/01 09.42.14 | 000,720,896 | ---- | C] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe
[2013/04/28 08.01.10 | 000,000,000 | ---D | C] -- C:\Programmi\Phyxion.net
[2013/04/23 18.47.09 | 000,000,000 | ---D | C] -- C:\Programmi\AskPartnerNetwork
[2013/04/07 10.59.09 | 000,036,621 | ---- | C] () -- C:\spyhunter.fix

:Files
C:\Programmi\Yontoo
C:\Documents and Settings\Utente\Dati applicazioni\Yontoo
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Tarma Installer
C:\Programmi\TornTV.com
C:\Documents and Settings\Utente\Dati applicazioni\Joyvy
C:\Programmi\SpyHunter_softarchive.net
C:\WINDOWS\System32\sh4native.exe

:commands
[purity]
[emptytemp]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Poi fai una scansione con Combofix che dovrebbe eliminare le chiavi di riferimento.
Posta il log.


L'ultima modifica di R16 il 14 Mag 2013 20:23, modificato 1 volta
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 20:22    Oggetto: Rispondi citando

Ho trovato qualcosa con "Cerca" e mi ha trovato questi file qua: "spyhunter.fix" e la cartella "SpyHunter_softarchive.net" che all'interno non c'era nulla.. e li ho cancellati.

Ho cercato nel Regedit e mi ha trovato:
1) Nome: (Predefinito), Tipo: REG_SZ, Dati: (valore non impostato)
2) Nome: IndividualSettings, Tipo: REG_DWORD, Dati: 0x00000000 (0)

E ora?
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 20:24    Oggetto: Rispondi citando

Le istruzioni le ho postate sopra.
Top
Profilo Invia messaggio privato
Dommar
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/12 10:56
Messaggi: 126
Residenza: Torriana (RN), Italy

MessaggioInviato: 14 Mag 2013 20:48    Oggetto: Rispondi citando

Quando dopo che mi si è riavviato il pc per il RUN FIX di OTL, non c'erano più quelle scritte, comunque ho sempre fatto i log di entrambi i programmi per sicurezza.

OTL: Link
ComboFix: Link
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 10094

MessaggioInviato: 14 Mag 2013 20:52    Oggetto: Rispondi

Fai un'altro sforzo:
Spegni il pc.
Avvialo e vedi se quel messaggio compare ancora.
Poi dimmi se il pc funziona bene.

P.S:
Ma tu durante una bonifica scarichi un Keylogger ? Cool
Spyrix Free Keylogger
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Windows XP e Reperti Archeologici Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi