| Autore |
 Discussione  |
|
marlo
Senior Member
201 Messaggi |
 Inserito il - 02/06/2011 : 23:01:25
|
Buona sera, in maniera avventata ho lanciato un exe scaricato e da allora quando effettuo una ricerca google appena clikko un link mi porta su siti a caso sconosciuti.
Spero mi possiate aiutare grazie.
Posto il log di hijackthis
htt*://wikisend[.com]/download/178542/hijackthis.log
e di Malwarebytes
htt*://wikisend[.com]/download/570470/mbam-log-2011-06-02 (22-54-04).txt
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 00:55:39
|
ciao e benvenuto nel forum
hai degli ospiti poco graditi anche a malwarebytes
riavvia il programma ed elimina tutto cio' che ha trovato
ripeti hijackthis , seleziona do a systemscan only metti la spunta accanto a queste voci e premi fix checked
Citazione:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://home.sweetim[.com]
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\csrss.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [SearchSettings] "C:\Programmi\File comuni\Spigot\Search Settings\SearchSettings.exe"
scarica combofix sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\ e allega nella tua prossima risposta, il contenuto del file di testo Combofix.txt
come usare correttamente combofix
|
 |
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 03/06/2011 : 16:54:29
|
Ciao e grazie per la risposta..
ho eseguito le istruzioni anche se le prime due voci da fixare di hijackthis non erano più presenti..
log di combofix
htt*://wikisend[.com]/download/172912/ComboFix.txt |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 17:12:44
|
e' stata fatta una bella pulizia
ora da pannello di controllo>>> installazione applicazioni controlla le toolbar che sono nel pc ed eliminale se non sono strettamente necessarie
Scarica ed installa
CCleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
posta un nuovo log di hijackthis per una verifica |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 03/06/2011 : 17:26:55
|
Fatto tutto
nuovo log
htt*://wikisend[.com]/download/273508/hijackthis.log |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 17:30:56
|
hai ancora il reidirizzamento della home page?
conosci questo ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{81A0FA04-7653-44B3-8268-FD8799D9178F}: NameServer = 8.8.8.8,8.8.4.4 |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 03/06/2011 : 17:34:24
|
ora non ho il reidirizzamento della home va su google come avevo impostato..
quella voce non so cosa sia.. fixo? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 17:41:27
|
se non conosci quel server fixala insieme a queste altre
Citazione:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://home.sweetim[.com]
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
usi di frequente il programma sweetim? se non serve rimuovilo
fai una nuova scansione completa con malwarebytes dopo averlo aggiornato e fammi sapere se il pc ha ripreso a funzionare bene
dopo finiremo le altre pulizie
nel frattempo vai in C ed elimina la cartella qoobox
|
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 03/06/2011 : 17:59:44
|
ho fixato quelle voci e eliminato sweetim.. sto effetuando la scansione ma la cartella qoobox non mi permette di eliminarla!
scansione terminata non sono state rilevate minacce..
il pc semba andare bene.. |
Modificato da - marlo in data 03/06/2011 18:28:24 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 18:36:23
|
vediamo se cosi' va via
scarica OTC by OldTimer
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
controlla ora se hai ancora la cartella qoobox
disattiva il ripristino
riavvia
riattivalo e crea un nuovo punto
vorrei aqnche vedere il nuovo log di malwarebytes
|
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 03/06/2011 : 21:57:29
|
ho eseguito 2 volte OTC by OldTimer
ma la cartella qoobox non va via..
fatto altra scansione con malwarebytes
htt*://wikisend[.com]/download/269594/mbam-log-2011-06-03 (21-48-17).txt
durante la scansione avira ha rilevato 4 minacce e messe in quarantena. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 03/06/2011 : 22:50:20
|
certo sarebbe bello vedere cosa ha messo in quarantena avira malwarebytes non ha rilevato nulla
finiamo le pulizie
scarica avenger sul desktop
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" questo testo in rosso
folders to delete:
C:\qoobox
registry keys to delete:
HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847
HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1
registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | EEE6C35B-6118-11DC-9C72-001320C79847
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | SweetIM
Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. |
Modificato da - shang in data 03/06/2011 23:00:17 |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 04/06/2011 : 12:58:17
|
buon giorno.. allora questi sn i file messi in quarantena da avira:
Fonte: C:\System Volume Information\_restore{E6A95DCF-48DE-4F53-85D9-98B4A654B1DC}\RP77\A0023701.exe
Messaggio: Si tratta del cavallo di * TR/Trash.Gen
Fonte: C:\System Volume Information\_restore{E6A95DCF-48DE-4F53-85D9-98B4A654B1DC}\RP77\A0023700.exe
Messaggio: Si tratta del cavallo di * TR/Trash.Gen
Fonte: C:\System Volume Information\_restore{E6A95DCF-48DE-4F53-85D9-98B4A654B1DC}\RP77\A0023702.exe
Messaggio: Si tratta del cavallo di * TR/Trash.Gen
Fonte: C:\System Volume Information\_restore{E6A95DCF-48DE-4F53-85D9-98B4A654B1DC}\RP75\A0023456.exe
Messaggio: Si tratta del cavallo di * TR/Agent2.ddzs.10
questo il log di avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600, Service Pack 3)
Sat Jun 04 12:52:54 2011
12:52:45: Error: Invalid registry syntax in command:
"HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
12:52:48: Error: Invalid registry syntax in command:
"HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
htt*://swandog46.geekstogo[.com]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Folder "C:\qoobox" deleted successfully.
Error: registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar|EEE6C35B-6118-11DC-9C72-001320C79847"
Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar|EEE6C35B-6118-11DC-9C72-001320C79847" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not delete registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SweetIM"
Deletion of registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SweetIM" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/06/2011 : 16:31:51
|
i file messi in quarantena appartengono ai punti di ripristino infetti
hai disattivato il ripristino? |
|
|
|
marlo
Senior Member
201 Messaggi |
Inserito il - 04/06/2011 : 16:35:39
|
| si ma poi l'ho riattivato.. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/06/2011 : 16:39:16
|
se il pc non presenta problemi direi che abbiamo finito
posta un log di hjt per una verifica |
|
|
|
Discussione |
|
virus che reindirizza le ricerche internet
Forum Bloccato
