Olimpo Informatico

[LELLA65]

Scusate ....lo so argomento letto e riletto ma ho il pc infetto e non so come uscirne.....ho letto con attenzione tutti i post che parlano di questo argomento ed ho eseguito le istruzioni per rimuovereil virus ma non sono sicura che tutto sia a posto , E' da circa un anno che utilizzo il mio portatile, non ho mai avuto grandi problemi, uso yahoo come mail, non apro quasi mai le mail SPAM quindi, mi è capitato solo per sbaglio di aprirne una che mi ha installato sul pc un virus e un backdoor. Dopo alcuni giorni dall'apertura mi sono sparite tutte le finestre del desktop e la connessione ad internet era lentissima. Ho chiesto aiuto ad un amico e mi ha reinstallato il tutto ma dicendomi che era meglio formattare. Windows mi detectava un virus nel pc. Avevo installato avg, non ha rilevato nulla con le scansioni.Virit è il primo rimedio che decido di seguire ma dopo aver rilevato il virus e averlo messo in quarantena, il virus si rigenera e non mi permette la connessione a virit. Provo ad usare la rimozione con le chiavi in modalità provvisoria. Nel frattempo installo nod32 che nelle scansioni non mi rileva nulla ma dopo le tools in modalità provvisoria detecta un Win32.Wigon. Credo di averlo rimosso ma non sono sicura, non sono neanche sicura che il virus che ha infettato il mio pc sia quello .....Installo Malaware come spyware e mi rileva alcune anomalie che rimuovo. Ultima spiaggia : ieri ho lanciato in modalità provvisoria il combofix grazie alle istruzioni di bdoriano, ma non sono certa che tutto sia a posto . Chi mi da una mano ....prima di formattare tutto con il rischio che cmq se le chiavi di registro sono infette trasferisca anche il mio virus nella formattazione......Grazie in anticipo Lella

[chemicalbit]

Posta i log degli antivirus e dei tool che hai usato,

assieme ad un log di Hijackthis.

[Mr.Bean]

Se fosse beagle, procedi così:

Scarica la nuova versione di Avenger
http://swandog46.geekstogo.com/avenger.zip
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada.
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Se ha funzionato reinstalla un antivirus, scaricando il nuovo file di installazione del programma, e fai una scansione completa del pc.

[LELLA65]

Grazie Medical Beat e Mr. Bean per la risposta.
Per essere precisa vi allego i log di Malwarebytes e poi di Hijakthis.
Malwarebytes' Anti-Malware 1.28
Versione del database: 1180
Windows 5.1.2600 Service Pack 3

20/09/2008 18.41.43
mbam-log-2008-09-20 (18-41-43).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 120562
Tempo trascorso: 40 minute(s), 18 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 5
Elementi dato del registro infetti: 3
Cartelle infette: 1
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{0C9AFEBD-0B80-F73E-D5F0-0050A16CA600} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\enhlpsrv (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cpl32ver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
C:\Programmi\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

File infetti:
C:\Programmi\wzzhmec\enhlpsrv.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programmi\SETUP.EXE (Rogue.Installer) -> Quarantined and deleted successfully.


Logfile of HijackThis v1.99.1
Scan saved at 20.08.46, on 01/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Fighters\configservice.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\Fighters\licenseservice.exe
C:\Programmi\Fighters\updateservice.exe
C:\Programmi\Fighters\ScannerService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\VEXPLITE\MONLITE.EXE
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\Fighters\spywarefighter\SpywarefighterUser.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
c:\programmi\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ANTONE~1\IMPOST~1\Temp\Rar$EX01.828\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\Hp\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q306&bd=pavilion&pf=laptop
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///E:/components/wmvhdrating.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\PrevxCSI\prevxcsi.exe" /service (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PTK License-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\configservice.exe
O23 - Service: SVRIDY - Unknown owner - C:\DOCUME~1\ANTONE~1\IMPOST~1\Temp\SVRIDY.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Questo è tutto ( e mi sembra tanto!!!!!!) Lella

[Riverside]

Un moderatore di Sezione potrebbe, per favore, sposare la discussione nella Sezione Assistenza Virus? grazie.
@ Mr Bean: è la seconda in un'ora; te lo chiedo, espressamente: se non sai i cosa si tratta non suggerire procedure inutil Grazie.

[bdoriano]

@Mr.Bean:
Mi ripeto anch'io...
Come ha già fatto notare Riverside, prima di procedere con le istruzioni di rimozione specifiche è necessario conoscere con cosa si deve lottare.
E' per questo motivo che si chiedono i logs dopo aver fatto alcune operazioni di pulizia generica (MBAM, SuperAntiSpyware, etc...).

@LELLA65:
Scarica la versione aggiornata di Hijackthis e salvalo in una sua cartella non temporanea e non sul desktop.

[Riverside]

Bd grazie per aver spostato la discussione.

@ Lella, inizia con il procedere in questa maniera:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate md5 checksum of streams
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa SuperAntispyware:
http://www.superantispyware.com/
devi scaricare la versione free - e la configuri come ho spiegato ad una altra utente in questo post: http://forum.zeusnews.com/viewtopic.php?t=35216
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
http://www.malwarebytes.org/
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) a questo ounto disabilta, temporaneamente, il tuo antivirus e scarica ed installa Kaspersky Virus Removal tool:
http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/

● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da cansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi

Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà.

eseguiti i passaggi da 1) a 7), scarica ed installa CCleaner:
http://www.ccleaner.com/download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i log richiesti (quello di SuperAntispyware, MalwareBytes, Kaspersky e Hijackthis) utilizza questo servizio di upload:
http://www.wikisend.com/
I link ai log pubblicali in un unico post, proseguendo qui.

[LELLA65]

Gentile Riverside,
ho eseguito tutti i passaggi
mbam
KASPER.txt
hjt

Non riesco però ad inviarti il log di superantispy ......non sono riuscita a memorizzare il log sul mio pc . Si accettano suggerimenti (mi scuso sono un primate del pc)
Grazie di nuovo. Lella

[Riverside]

[LELLA65]

Si Riverside, hai ragione, ho effettuato molti scan con diversi spyware, di cui uno era un rogue (AlertSpy credo) e uno scan con Panda Antivirus, uno con Virit (che poi mi si è bloccato), perchè il mio avg8free (era come morto inerme, in realta da quando lo avevo installato era così infatti è per questo che sono in queste condizioni ) Ho installato Nod32 ed è lui che con uno scan (dopo aver lanciato i tools per rimuovere gromozon) mi ha detectato Win32/Wigon un rootkit. Ti allego i log.....
SAS 1
SAS 2
Grazie di nuovo Anto

[Riverside]

[LELLA65]

http://wikisend.com/download/897444/hijackthis.log

Si, ho visto

[LELLA65]

Scusa Riverside,
adesso vado a lavorare, (sob), guarderò la tua risposta più tardi. Cmq non ho parole per ringraziarti........

[Riverside]

Questi i primi passaggi da eseguire:

1) disinstalla Virit quindi procedi cosi:
> dalla icona di Virit presente nella traybar (accanto all'orologio), termina (o chiudi) l'esecuzione di Virit;

Poi:

> Start
> tutti i Programmi
> nell'elenco cerca Virit, ti posizioni con il mouse sulla relativa voce; si aprirà un menu a tendina - controlla se c'è una voce Uninstall.

Se ci fosse, disinistalli Virit dal suo Uninstall, se non ci fosse:

> Start
> Pannello di Controllo
> Installazione Applicazioni
cerchi la voce Virit e lo disinstalli.

2) Ripeti gli stessi identici passaggi per disinstallare Nod32

3) Ripeti gli stessi indentici passaggi (meno quello di cessare il programma dalla traybar perché non c'è) e disinstalla Prevx CSI

4) ora disinstalliamo Windows Defender (per quel che serve, ne puoi fare a meno), quindi segui questa procedura:

> Start
> Tutti i Programmi
> Windows Defender
> esci da Windows Defender: clicca sulla freccia accanto all'icona ? e scegli Esci da Windows Defender

poi:

> Start
> Pannello di controllo
> Installazione applicazioni.
individua la voce Windows Defender e procedi con la disinstallazione.

Conclusa questa parte, sempre in Installazione Applicazioni
individua tutte le voci che fanno riferimento a Toolbar e le disinstalli, tutte.

A questo punto:

1) rilancia CCleaner ed esegui una pulizia (sia normale che Pulizia del Registro - come ti ho spiegato in un mio precedente reply)

2) Riavvia il Sistema;

3) allega un nuovo log di Hthis (e andremo avanti con il resto).

[LELLA65]

ed eseguito! ecco il log
http://wikisend.com/download/543218/hijackthis.log
Attendo istruzioni ......

[Riverside]

Ciao Anotnella, non mi sono scordato del tuo problema.
Domani mattina controllo tutto e ti dirò come proseguire.

[LELLA65]

Ciao Riverside,
purtroppo oggi devo entrare prima al lavoro....... guardero tutto oggi pomeriggio ......scusa ma vorrei farti una domanda : è tanto grave questo virus? Anto

[Riverside]

[LELLA65]

Ciao Riverside, sono appena tornata dal lavoro e mi sono applicata subito......
La scansione con Rogue non mi ha lasciato allegare il report ma non mi detectava nulla.
Questo è il log di hijackthis dopo le procedure che mi hai indicato.......
e dimmi resto in attesa. Antonella

[LELLA65]

Oppsss eccolo !!!!
http://wikisend.com/download/615940/hijackthis.log