| Precedente :: Successivo |
| Autore |
Messaggio |
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
 Inviato: 04 Ago 2010 17:28 Oggetto: Antivir Solucion Pro. Salvatemi! |
 |
|
Ciao,
ultimamente sto prendendo un malware dietro l'altro e fino ad oggi sono sempre riuscita a cavarmela utilizzando malwarebytes' anti-malware, spybot e c-cleaner. Premetto che sono inesperta! Come antivirus ho Avira (fa tanto schifo?)
Questo è quanto:
- Si è installato Antivir Solucion Pro (ovviamente fasullo) che mi trova mille virus, programmi infetti e non mi fa aprire più niente!! Soprattutto Internet Explorer. Sto usando Mozilla o Google Crome installati per le evenienze. Inoltre mi si aprono schede di siti porno, offerte viagra ecc.. 
- Il computer è lentissimo!
- Fino ad ora ho fatto così: 1 ho terminato il processo jxjqhcvtssd.exe da task manager 2 ho avviato spybot, MBAM, ho pulito tutto con ccleaner e ho riavviato. Fin'ora aveva funzionato e invece ogni volta sono da capo a 12.
- Ho trovato dei programmi strani installati tra le applicazioni (-Performance Platform Voguecash- e -Street Ads Browser Enhancer-) di cui non mi fa vedere nessuna informazione e non so se rimuoverli o fanno parte del sistema. Mai visti comunque...mha
- MalwareBytes' Anti-Malware non trova niente per la cronaca, invece spybot si
Non so che fare vista la mia ignoranza al riguardo. Vorrei un aiutino!!
in Task Manager vedo tanti processi strani e sto dando i numeri. Nei forum ho visto che si postano tipo un elenco di un registro da cui si vedono dei problemi, ma io non sono capace e non ho il programma per evincerlo quindi se vi serve per vedere dovete aiutarmi anche in questo.
Grazie grazie grazie |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Ago 2010 20:52 Oggetto: |
|
|
Ciao annalisaf.85, 
Operazioni per la rimozione:
- Disinstalla MBAM
- scarica il setup di MBAM - clicca qui per il download
- riavvia il pc in modalità provvisoria - clicca qui per le istruzioni
- installa MBAM dalla modalità provvisoria
- una volta installato, da Esplora Risorse vai alla cartella d'installazione (solitamente C:\Programmi\Malwarebytes' Antimalware)
- rinomina il file mbam.exe in iexplore.exe
- per comodità, se vuoi, puoi creare sul desktop un collegamento al file appena rinominato
- riavvia il pc in modalità normale
- doppio click sul file rinominato ed esegui immediatamente un aggiornamento del programma
- una volta aggiornato, esegui una Scansione veloce
- al termine della scansione, clicca su Ok e poi Visualizza risultati
- assicurati che sia tutto selezionato e clicca su Rimuovi selezionati
- al termine della rimozione, ti verrà chiesto di riavviare il pc.
Ovviamente, riavvialo
- una volta riavviato il pc, ripristina il nome del file originale (mbam.exe)
Giusto per sicurezza, al termine delle operazioni, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.
edit:
modificato con le istruzioni dirette per la rimozione.  |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 15:33 Oggetto: |
|
|
Ciao, scusa il ritardo, mi ci è voluto un pò 
Grazie sei stato gentilissimo ad aiutarmi e soprattutto molto chiaro!
Allora:
1) MBAM adesso ha trovato 4 elementi infetti:
-Adware.EZlife
-Hijack.StartMenuInternet
-Hijack.StartMenuInternet-
-Hijack.StartMenuInternet
2) Ho fatto quello che mi hai detto con SystemScan e ci tenevo tantissimo a farti vedere il risultato visto che per me è arabo (anche se ho notato tanti siti strani e cose insolite, vabbè) solo che ho provato in tutti i modi ma non riesco a caricare il log su Wikisend!!!! E non credo di poterlo postare quì perchè è un elenco infinito!  C'è un modo?!
3) Quando ho riavviato il computer ho trovato di nuovo il messaggio RUNDLL "Errore durante il caricamento di byxyp.dll impossibile trovare il modulo specificato"
4) Che devo fare coi programmi
-PERFORMANCE PLATFORM VOGUE CASH
-STREET ADS BROWSER ENHANCER?
sono ancora tra le applicazioni e non ricordo di averli mai visti. Inoltre non mi fa vedere nessuna informazione sul loro riguardo. Te lo dico perchè la ventola non riesce a raffreddare il computer e si spegne. Non vorrei che ci sono delle applicazioni che si avviano da sole e affaticano il computer perchè anche dai rumori che fa dà quell'idea.
Che confusione...
Grazie di tutto
[/list] |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Ago 2010 15:37 Oggetto: |
|
|
Prova a inviare il log con questo:
link |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 16:15 Oggetto: |
|
|
Niente.....inizia il progresso poi si blocca scrive NaN% e ricomincia da capo.
Con Wikisend invece si bloccava a 11% poi mi dava errore.
Niente sbaglio qualcosa?
Il file è in blocco note o Word (l'ho trascritto), su wikisend mi sono registrata, faccio SFOGLIA su Upload a File e Invio... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Ago 2010 16:23 Oggetto: |
|
|
Le istruzioni dettagliate per spedirlo sono queste:
Collegati ad internet e vai alla pagina WikiSend: link
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum. |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 17:11 Oggetto: |
|
|
| Mannaggia si è fermato a 99%...che faccio, aggiorno? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Ago 2010 17:30 Oggetto: |
|
|
Eventualmente, prova con YouShare
che browser usi per inviare il log?
il log è in formato compresso o semplice testo? |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 17:53 Oggetto: |
|
|
Sto usando Wikisend. Ho aggiornato e ora si è fermato a 98%. Il file è in blocco note (quello lasciato da SystemScan di 561Kb).
No, faccio qualche errore io perchè ho provato con un file Word con scritto "Prova" e Wikifortio lo carica in un nano secondo.... |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 18:20 Oggetto: |
|
|
Scusate la mia deficienza cronica  ...l'ho "ristretto" sempre che vada bene.
Ecco il numero:
report post.zip |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Ago 2010 20:26 Oggetto: |
|
|
Ciao.
In attesa di bdoriano, puoi almeno eliminare le infezioni che sono riuscito a individuare.
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
link
Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco: (non copiare la parola codice)
| Codice: | Files to delete:
C:\WINDOWS\system32\xyxyp.dll
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc\jxjqncvtssd.exe
Folders to delete:
C:\Documents and Settings\annalisa\Dati applicazioni\Street-Ads
registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\qnypxlcc |
Togli la spunta da Scan for Rootkit
Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 05 Ago 2010 21:19 Oggetto: |
|
|
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File "C:\WINDOWS\system32\xyxyp.dll" deleted successfully.
File "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc\jxjqncvtssd.exe" deleted successfully.
Folder "C:\Documents and Settings\annalisa\Dati applicazioni\Street-Ads" deleted successfully.
Error: registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\qnypxlcc" not found!
Deletion of registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\qnypxlcc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Ago 2010 22:26 Oggetto: |
|
|
Aspetta un attimo prima di usare Combofix...
Avvia nuovamente Avenger e inserisci questo script:
| Citazione: | Files to delete:
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc\jxjqncvtssd.exe
C:\WINDOWS\system32\xyxyp.dll
C:\WINDOWS\system32\vrauvwutu.dll
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
C:\WINDOWS\system32\oetekhpucfwefecf.exe
Folders to delete:
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sta
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | qnypxlcc
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{063F089D-E1C0-4109-A16F-358B61A86AD6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BB59F9F-16A1-488C-8E59-6C81658F1A4A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\oetekhpucfwefecf |
|
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 05 Ago 2010 22:35 Oggetto: |
|
|
@bdoriano:
Ero sicuro di avere saltato qualcosa.... 
Così imparo ad avere meno fretta.
Ciao. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Ago 2010 22:39 Oggetto: |
|
|
Sii paziente, mio giovane padawan... 
PS: mi sono accorto ora di aver riportato un paio di voci che hai già fatto eliminare tu. |
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 06 Ago 2010 01:11 Oggetto: |
|
|
Ecco il risultato del secondo tentativo con Avenger:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Error: file "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc\jxjqncvtssd.exe" not found!
Deletion of file "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc\jxjqncvtssd.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\xyxyp.dll" not found!
Deletion of file "C:\WINDOWS\system32\xyxyp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\vrauvwutu.dll" not found!
Deletion of file "C:\WINDOWS\system32\vrauvwutu.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job" deleted successfully.
File "C:\WINDOWS\system32\oetekhpucfwefecf.exe" deleted successfully.
Folder "C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\xtuclivfc" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sta" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|qnypxlcc" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{063F089D-E1C0-4109-A16F-358B61A86AD6}" deleted successfully.
Registry key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BB59F9F-16A1-488C-8E59-6C81658F1A4A}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\oetekhpucfwefecf" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Adesso vado con Combofix? Però non posso usare Internet Explorer e nemmeno google crome perchè non si connettono più. Non posso farlo con Mozilla?
Comunque grazie ancora a tutti e due!! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
annalisaf.85
Mortale adepto
Registrato: 04/08/10 16:53
Messaggi: 33
|
| Inviato: 06 Ago 2010 14:19 Oggetto: |
|
|
Buondì,
scusa una domanda: HijackThis ha trovato tante cose, ma ha rilevato pure buona parte della cartella "preferiti" di IE...devo selezionare veramente tutto e cancellare? No perchè tanti siti non mi interessano, ma se vengono cancellati, quei due o tre che mi servono me li segno da una parte, va bene? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Ago 2010 14:26 Oggetto: |
 |
|
Ciao.
Metti pure la spunta a tutte le caselle.
Tranquilla, non verrà eliminato nessuno dei tuoi preferiti.
Vengono solo eliminati i file nocivi associati. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
