| Autore |
 Discussione  |
|
marce11o
New Member
44 Messaggi |
 Inserito il - 12/10/2010 : 10:59:03
|
Ciao a tutti.
Dopo estenuanti ricerche e tentativi di eliminare questi virus, mi rivolgo a questo forum perché sembra il più competente in materia.
Prologo.
Ho win 7. Avevo in prova Norton che una settimana fa mi inizia a segnalare continui attacchi, soprattutto di freeads non ricordo cosa.
la scansione riportava sempre tracking coockies che venivano spostati in quarantena ma non eliminati.
ho disinstallato norton e provato con avg.
segnalava presenza cookies e file infetti ma il risultato era come norton.
si rifaceva tutto ed erano ancora lì.
provato con avast.
poi con combofix.
poi con altri malware.
fatto anche la scansione in modalità provvisoria con disattivato il ripristino e tutto.
ma avg partiva, segnalava errori ma alla fine si chiudeva da solo.
la scansione online con bit defender l'ho provato ieri e mi dava 180 errori. Oggi zero.
Ma continuo a veder girare in task manager tutti i suddetti exe.
wisptis e csrss erano doppi. impossibile terminare processo. non mi fa vedere percorso.
provo oggi il csrss.exe doppio è sparito. ma il secondo wisptis c'è ancora.
questo il log di hijackthis:
htt*://[www].freefilehosting.net/hijackthis_24
gmer non trova nulla.
Grazie a chiunque vorrà farmi capire dove sto sbagliando.
Se manca qualche dato son qui, desesperado.
|
Modificato da - marce11o in Data 12/10/2010 13:15:44
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 12/10/2010 : 11:08:49
|
| ah, il sistema è a 64 bit. |
 |
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 12/10/2010 : 14:29:33
|
Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked
Queste le voci da fixare:
F3 - REG:win.ini: load=C:\Users\marcello\AppData\Local\Temp\mqtgsvc.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files (x86)\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Users\marcello\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [RegistryBooster] "C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programs\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.it - {4B21E152-BA59-4ebf-B522-8C55B265EE1A} - C:\Programs\PartyItalia\PartyPokerIt\RunApp.exe (file missing)
Disinstalla:
- Google Update
- Registry Booster
- PartyPoker
- Adobe ARM
- QuickTime
- Google Toolbar
- Veohwebplayer |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 14/10/2010 : 01:06:40
|
 FDAC:
scusa se non ti ho ringraziato prima ma pensavo di ricevere una mail ad ogni nuovo messaggio.
ho fatto come mi hai detto ma non riesco a trovare google update, registry booster, partypoker e adobe arm.
cmq nel frattempo ho fatto scansioni con Malwarebytes Anti-Malware.
mi ha trovato dei tracking cookies. eliminati.
poi con Emsisoft Anti-Malware 5.x
htt*://[www].freefilehosting.net/a2scan101012-201447
htt*://[www].freefilehosting.net/a2scan101013-120141
htt*://[www].freefilehosting.net/a2scan101013-160232
f-secure online mi trova e elimina questo
Trackware:W32/Tracking_Cookie
Dr. web mi segnala questo.
htt*://[www].freefilehosting.net/cureit
ESET SysInspector mi segnala pulito.
poi ho rifatto malware antimalware in modalità provvisoria e con il ripristino disattivato.
questo è l'ultimo log di hijackthis:
htt*://[www].freefilehosting.net/hijackthis2
io vorrei solo capire se l'infezione c'è ancora.
il pc è seminuovo ma non è mai stato fatto il disco di ripristino...
ah il ripristino è ancora disattivato. (lo posso riattivare solo quando il pc è totalmente pulito, veh?).
beata PBCAK..
e mo che faccio?
grazie ancora, infinitamente, per l'aiuto.
mi sembra di cercare un acaro smontando pezzo pezzo il pc.
|
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 14/10/2010 : 14:29:14
|
Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked
Queste le voci da fixare:
O4 - Startup: setup_9.0.0.722_13.10.2010_08-37.lnk = marcello\Desktop\Virus Removal Tool\setup_9.0.0.722_13.10.2010_08-37\startup.exe
Disinstalla:
Immunet Protect
Scarica ed installa MalwareBytes:
htt*://[www].aiutamici[.com]/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log. |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 14/10/2010 : 17:40:38
|
ancora grazie FDAC.
fatto.
questo il log.
htt*://[www].freefilehosting.net/mbam-log-2010-10-1417-10-16
non dice che ha rilevato nulla.
rimetto il ripristino?
ah adesso ho avira e comodo.
quale tengo?
grazieegrazie ancora.
|
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 14/10/2010 : 18:08:57
|
Ciao Marcello.
Come va il PC?
Scarica ATF Cleaner da qui:
htt*://[www].atribune.org/ccount/click.php?id=1
Avvia ATF Cleaner con un doppio click
1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi Opera o Firefox, spunta anche le loro sezioni)
* Scarica Glary Utilities: htt*://download.cnet[.com]/Glary-Utilities/3000-2094_4-10508531.html?part=dl-6280556&subj=dl&tag=button
* Installa Glary Utilities
In fase di installazione ti chiederà di installare anche la Ask Toolbar, togli la Spunta
* Avvia Glary Utilities
* Menu - Settings - Language - Italian
* Manutenzione 1 Click
--- Controlla che tutte queste voci siano spuntate:
--- Pulizia registro
--- Riparazione collegamenti
--- Gestione esecuzioni automatiche
--- Pulizia File Temporanei
--- Eliminazione Tracce
--- Rimozione Spyware
Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Selezionale le tracce da eliminare e selezionale tutte
Nel riquadro Eliminazione Tracce clicca con il tasto destro su Opzioni - Opzioni - Elimina i cookie non contrassegnati
Infine, clicca su Ricerca Errori
*Attendi la scansione - puo' durare 3-4 minuti al massimo -
*A scansione finita, clicca su Ripara Errori
*Ripeti questa operazione più volte, in quanto Glary Utilities, come tanti altri Software di pulizia del Registro di Windows, non riesce a far fuori tutte le schifezze al primo colpo.
• Scarica TFC by OldTimer sul desktop (serve per ripulire le cartelle Temp, di tutti gli account)
htt*://oldtimer.geekstogo[.com]/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok. |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 14/10/2010 : 18:57:37
|
Ciao FDAC.
Ormai sei il mio disinfestatore personale.
glary utilities alla decima volta continua a darmi 51 errori nella pulizia del registro.
la maggior parte collegati con winrar.
mentre nell'eliminazione tracce mi dice sempre
Dettaglio dei file da eliminare:
C:\Users\marcello\AppData\Roaming\Microsoft\Windows\Cookies\marcelloads.adunanza[2].txt
continuo a rifare la procedura?
|
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 14/10/2010 : 20:51:11
|
Se continua a dare errore, no :)
Come va il PC? |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 14/10/2010 : 22:59:44
|
i problemi con gary utilities persistono.
fatto tutto.
questo il nuovo log:
htt*://[www].freefilehosting.net/hijackthis_29
in verità il pc è sempre andato bene non ho notato peggioramenti.
solo che norton era impazzito per i virus.
che mi dici FDAC, come risolvo i problemi con gary?
grazie ancora. |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 15/10/2010 : 14:57:05
|
Fixa queste due voci:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 15/10/2010 : 18:20:33
|
fatto, anche se i pdf ho proprio bisogno che me li legga...
Glary continua a darmi i soliti due errori.
TFC non l'ho ancora usato.
Come proseguo?
Ovviamente ancora grazie. |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 15/10/2010 : 21:45:08
|
Usa pure TFC, vedi sopra le indicazioni.
Prova a usare Glary in provvisoria o con un utente con privilegi di amministratore.
I PDF li leggerai senza problemi, lo abbiamo solo tolto dall'avvio
Riscontri problemi ancora?
Buona notte, amico :) |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 18/10/2010 : 15:47:24
|
Ciao FDAC.
Glary in modalità provvisoria mi dà 32 (!) errori nell'Eliminazione tracce" ma non mi fa capire quali sono, e soprattutto non si puliscono.
fatto anche tfc.
come ti dicevo il pc è seminuovo, non è lento e non mi si aprono pop up da soli.
ma siccome sono solito fare acquisti online e il pc lo uso anche per lavoro, vorrei proprio non avere problemi.
come risolvo i 32 errori di glary?
Non potendo in qualche modo contraccambiare, almeno non a livello informatico, ti auguro una splendida giornata.
Ciao |
|
|
|
FDAC
Senior Member
Città: Trento
173 Messaggi |
Inserito il - 18/10/2010 : 17:59:23
|
Ciao Marcello.
Per gli errori di Glary Utilities lascia stare, se Windows funziona bene, passiamo oltre.
Che il PC fosse nuovo non lo metto in dubbio, pero' c'era qualche infezione "disinfestata".
Auguro una buona giornata anche a te, amico mio.
Ciao :) |
|
|
|
marce11o
New Member
44 Messaggi |
Inserito il - 19/10/2010 : 22:34:19
|
Ciao FDAC e grazie ancora.
Mi appellerò a te per eventuali (facendo le corna) problemi futuri.
A presto. |
|
|
|
Discussione |
|
virus: csrss.exe, nvvsvc.exe, winlogon, wisptis...
Forum Bloccato
