Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
rimozione bagle
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Mam
Comune mortale
Comune mortale


Registrato: 20/01/10 14:36
Messaggi: 3
MessaggioInviato: 20 Gen 2010 16:18    Oggetto: rimozione bagle Rispondi citando
Ciao,
ho seguito le istruzioni per la rimozione dei bagle e questi sono i file log generati:

http://wikisend.com/download/582314/find 1.txt

http://wikisend.com/download/497536/find2.txt

http://wikisend.com/download/466172/InfoSat Elibagle.txt

http://wikisend.com/download/455632/Norman 1.log

http://wikisend.com/download/445126/Norman2.log

http://wikisend.com/download/500276/bitdefender.txt

http://wikisend.com/download/495604/hijackthis.log

Alcune cose non erano come descritto:

nel programma Findkilly non c-era il passaggio relativo ai crack

nel programma CCleaner non c-era la voce Disinstallatori aggiornamenti di WinUpdate

Grazie Very Happy
Top
Profilo Invia messaggio privato
JeanGrey
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/12/08 22:00
Messaggi: 142
MessaggioInviato: 20 Gen 2010 19:57    Oggetto: Rispondi citando
Ciao e benvenuto.
L'infezione del worm è stata rimossa, ma facciamo quest'ultimo controllo.
Segui le istruzioni di questo topic per l'utilizzo di Combofix.
Segui le indicazioni di questa discussione per postare il rapporto.

Disinstalla le toolbar che non usi tra:
Citazione:
Toolbar: Acer eDataSecurity Management
Toolbar: Yahoo!
Toolbar: &Windows Live
Toolbar: Cerca Italia
Toolbar: Search USA
Toolbar: PHPNukeIT
Toolbar: Shareware.Pro-IT
Toolbar: Fast Browser Search
Toolbar: Dealio
Toolbar: Ask
Toolbar: Google
Toolbar: Blingee


Apri il browser > strumenti > componenti aggiunti > disattiva/disinstalla.
Top
Profilo Invia messaggio privato
Mam
Comune mortale
Comune mortale


Registrato: 20/01/10 14:36
Messaggi: 3
MessaggioInviato: 21 Gen 2010 01:33    Oggetto: Nuovo problema dopo Combofix Rispondi citando
Grazie per le indicazioni.
Ho usato "Combofix" seguendo le istruzioni. Mentre lavorava mi sono allontanata un momento e tornando ho trovato il PC spento!!! Shocked
Ho lasciato che si riavviasse normalmente (segnalava lo spegnimento non regolare e offriva anche la possibilità di partire in modalità provvisoria).
E ora mi chiede il percorso per trovare "Search Setting 1.2.2" e se annullo mi da "Error 1706. No valid source could be found for product Search Setting 1.2.2 The Windows Installer cannot continue"
Inoltre il Combofix non ha creato il punto di ripristino!
Ho anche provato a riavviare il Combofix. ma dopo le operazioni preliminari si blocca e mi dice che il comando è errato: ho fatto un gran casino? Confused
Grazie della pazienza!
Top
Profilo Invia messaggio privato
JeanGrey
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/12/08 22:00
Messaggi: 142
MessaggioInviato: 21 Gen 2010 10:12    Oggetto: Rispondi citando
Ciao Mam, evidentemente combofix ha rimosso Search Setting ma sono rimasti i riferimenti sulle chiavi.

Apri i browser: Strumenti > componenti aggiuntivi > estensioni
e disinstalla Search Setting.

Ora fixiamo con hijackthis i valori riferiti al malware.
Ho anche inserito i richiami alle toolbar inutili (se vuoi tenere qualcuna non fixare il valore) e a dei programmi che possono fare a meno di partire in avvio automatico.

Con tutte le applicazioni chiuse e disconnesso da internet
Tasto destro su Hijackthis, esegui come amministratore
Clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

Citazione:
R3 - URLSearchHook: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer0.dllR3 - URLSearchHook: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - C:\Program Files\Search_USA\tbSea0.dll
R3 - URLSearchHook: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Program Files\PHPNukeIT\tbPHP1.dll
R3 - URLSearchHook: Shareware.Pro-IT Toolbar - {0a693c4d-dbac-4f44-98a0-7efc913344e0} - C:\Program Files\Shareware.Pro-IT\tbSha1.dll
R3 - URLSearchHook: SearchHelper Class - {91C18ED5-5E1C-4AE5-A148-A861DE8C8E16} - C:\Program Files\SGPSA\mtwb3sh.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O2 - BHO: Shareware.Pro-IT Toolbar - {0a693c4d-dbac-4f44-98a0-7efc913344e0} - C:\Program Files\Shareware.Pro-IT\tbSha1.dll
O2 - BHO: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Program Files\PHPNukeIT\tbPHP1.dll
O2 - BHO: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer0.dll
O2 - BHO: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - C:\Program Files\Search_USA\tbSea0.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O2 - BHO: BlingeeTb - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Blingee Plus\blingeetb.dll
O3 - Toolbar: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Program Files\Cerca_Italia\tbCer0.dll
O3 - Toolbar: Search USA Toolbar - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - C:\Program Files\Search_USA\tbSea0.dll
O3 - Toolbar: Shareware.Pro-IT Toolbar - {0a693c4d-dbac-4f44-98a0-7efc913344e0} - C:\Program Files\Shareware.Pro-IT\tbSha1.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Blingee Toolbar - {D1121FE0-0145-44C9-AA35-72071AC20A9B} - C:\Program Files\Blingee Plus\blingeetb.dll
O4 - HKLM\..\Run: [PCMAgent] "C:\Program Files\CyberLink\PowerCinema\PCMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\PowerCinema\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\CyberLink\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Program Files\CyberLink\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [FBSSA] C:\Program Files\SGPSA\ie3sh.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Standard\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AROReminder] C:\Program Files\Advanced Registry Optimizer\ARO.exe -rem
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Weemi Service - Unknown owner - C:\ProgramData\Weemi\weemi131.exe (file missing)

Scarica ed installa Malwarebytes come descritto in questa discussione
Esegui una scansione completa.
Allega il rapporto con le modalità che conosci.

Controlla alla radice del disco C: se c'è un file di testo chiamato Combofix ed allegalo.
Top
Profilo Invia messaggio privato
Mam
Comune mortale
Comune mortale


Registrato: 20/01/10 14:36
Messaggi: 3
MessaggioInviato: 21 Gen 2010 23:25    Oggetto: Rispondi citando
Ciao JeanGrey, fatto tutto.

Ecco i novi file log: ci sono 2 file log di mbam perché ieri sera avevo già fatto uno scan con mbam prima di usare Combofix.
Su C c'erano 2 file Combofix con dei numeri, ma in realtà linkavano a <computer> e non era possibile fare l'upload. L'unico file txt di origine sconosciuta te l'ho allegato alla fine.

http://wikisend.com/download/459612/mbam-log-2010-01-21 (20-18-33).txt

http://wikisend.com/download/936170/mbam-log-2010-01-20 (17-57-31).txt

http://wikisend.com/download/451144/-20061209.log

Grazie ancora dell'aiuto. Very Happy
Top
Profilo Invia messaggio privato
JeanGrey
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/12/08 22:00
Messaggi: 142
MessaggioInviato: 22 Gen 2010 11:16    Oggetto: Rispondi
Ciao Mam, malwarebytes ha riconosciuto come infetto anche Combo-fix, ovviamente si tratta di un falso positivo.

Ora esegui queste scansioni online, infine allega un log aggiornato di Hijackthis.

link
link
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi