Precedente :: Successivo |
Autore |
Messaggio |
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 12 Mag 2013 08:12 Oggetto: Enigma Software Group, LCC all'avvio di Windows XP! |
|
|
Buona domenica a tutti e auguri a tutte le mamme,
quando accendo il pc, prima di avviare il desktop con tutte le icone, mi appare una scritta:
Enigma Software Group, LCC
Custom Removal in action...
Process finished...
Questa scritta mi appare da circa un mese e ora mi sarei anche stufato di aspettare quei 15 secondi in più per questa cosa.
Ho cercato su internet che cosa fosse e sembra che appartiene al programma SpyHunter che lo disinstallai infatti poco più di un mese fa...
C'è qualcuno che riesce a togliermi questa scritta ad ogni avvio del pc?
Grazie e alla prossima. Ciao! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 12 Mag 2013 17:28 Oggetto: |
|
|
Si per l'altra discussione non ci avevo pensato.
Ecco qua il log: link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 12 Mag 2013 21:19 Oggetto: |
|
|
Ciao.
Certo che riesci a infettare il pc un giorno sì e l'altro pure.
2 giorni fa queste infezioni non le avevi.
Scarica Adwcleaner sul desktop:
link
Clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.
Segui le istruzioni di questo topic per usare Combofix: (ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Ignora gli eventuali messaggi di allerta sia di Combofix che dall'antivirus, e prosegui con la scansione.
Posta il log. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 13 Mag 2013 16:16 Oggetto: |
|
|
Ma io non cosa abbia fatto per infettarlo da un giorno all'altro.
Comunque... ho avviato il programma "Adwcleaner", ho fatto su elimina, si è riavviato il pc ma non mi ha rilasciato nessun log.
Invece il log del programma "ComboFix": link
Upload.
Ho cercato sul tasto Cerca il log di adwcleaner e mi ha trovato questi tre file che sono stati modificati oggi:
Primo link
Secondo link
Terzo link
Non so se sono questi i log di quel programma... |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 13 Mag 2013 20:28 Oggetto: |
|
|
Citazione: | Ho cercato sul tasto Cerca il log di adwcleaner e mi ha trovato questi tre file che sono stati modificati oggi: |
Elimina i log di adwcleaner che hai trovato.
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | KillAll::
Driver::
esgiguard |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Dimmi se ti esce ancora quella scritta che accennavi all'inizio.
In ogni caso:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 14:06 Oggetto: |
|
|
No esce ancora quella scritta all'avvio del pc.
Il log di ComboFix: link
I 2 log di OTL: Link 1, Link 2
Dovrebbero essere questi. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 17:01 Oggetto: |
|
|
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
SRV - (APNMCP) -- C:\Programmi\AskPartnerNetwork\Toolbar\apnmcp.exe (APN LLC.)
IE - HKU\S-1-5-21-448539723-839522115-1801674531-1003\..\SearchScopes\{D0C3EA26-F06C-45FB-86A6-B0A292EB05A3}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN97196993226280258&UM=2&SSPV=TB_T3
FF - prefs.js..browser.startup.homepage: "http://start.iminent.com/?appId=4894470D-6A8D-47BD-A5E7-00149D421D97"
O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\TrayMin220.lnk = C:\Programmi\Philips\Philips SPC220NC Webcam\TrayMin220.exe ()
O4 - Startup: C:\Documents and Settings\Mario Domeniconi\Menu Avvio\Programmi\Esecuzione automatica\Minecraft_Server.lnk = File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
[2013/05/13 18.41.02 | 000,000,000 | ---D | C] -- C:\Programmi\Iminent
[2013/05/14 14.47.47 | 000,000,144 | ---- | M] () -- C:\Documents and Settings\Utente\Desktop\Enigma Software Group, LCC all'avvio di Windows XP!.url
[2012/10/17 14.41.01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\Ask
[2011/02/04 18.07.14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\66728
[2012/09/06 11.42.59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\OpenCandy
[2012/11/01 19.08.07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Mario Domeniconi\Dati applicazioni\skyz
:commands
[emptytemp] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Dimmi se il messaggio compare ancora. (non dovrebbe) |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 18:08 Oggetto: |
|
|
No mi dispiace, c'è ancora quella scritta.
Ecco il log: link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 18:23 Oggetto: |
|
|
Citazione: | No mi dispiace, c'è ancora quella scritta. |
Strano.
Scarica RougeKiller sul desktop.
link
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 18:34 Oggetto: |
|
|
Ecco qua il log: link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 19:02 Oggetto: |
|
|
Suppongo che questo "Yontoo" tu lo conosca, e che lo usi. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 19:05 Oggetto: |
|
|
Mh, no.
Io Yontoo non lo uso, probabilmente mi si è installato da un'altra installazione di un altro programma...
quindi cosa posso fare ora? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 19:25 Oggetto: |
|
|
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a queste voci:
[RUN][SUSP PATH] HKCU\[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-448539723-839522115-1801674531-1003[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato
E TOGLI la spunta a TUTTE le altre.
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Poi:
Esegui una scansione con OTL, seguendo gli stessi parametri della prima scansione.
Cambia SOLO questo parametro:
Clicca sulla freccettina di File Age e seleziona 60 Days
Posta il log. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 19:45 Oggetto: |
|
|
Il log di RougeKiller: link
Gli altri due log di OTL: Link 1, Link 2
Spero di aver fatto tutto giusto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 19:59 Oggetto: |
|
|
Sì hai fatto giusto.
Adesso porta pazienza che devo vedere dove si nasconde questo cesso di SpyHunter.
Potresti fare una cosa nel frattempo:
con la funzione Cerca di Windows digita in ambedue i campi:
SpyHunter
E vedi se trova qualcosa. (e se lo trova lo elimini)
Poi:fai Start\Esegui digita : regedit
Si apre il registro.
Clicca in alto su "Modifica" e poi su "Trova".
Nel campo scrivi SpyHunter e clicca invio.
Vedi se trova qualche chiave.
****************************************************************
Qualcosa ho trovato:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
PRC - C:\Programmi\Yontoo\Y2Desktop.Updater.exe (Microsoft)
SRV - (Yontoo Desktop Updater) -- C:\Programmi\Yontoo\Y2Desktop.Updater.exe C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe File not found
O4 - HKLM..\Run: [kbdsprt] File not found
[2013/05/01 09.42.14 | 000,720,896 | ---- | C] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe
[2013/04/28 08.01.10 | 000,000,000 | ---D | C] -- C:\Programmi\Phyxion.net
[2013/04/23 18.47.09 | 000,000,000 | ---D | C] -- C:\Programmi\AskPartnerNetwork
[2013/04/07 10.59.09 | 000,036,621 | ---- | C] () -- C:\spyhunter.fix
:Files
C:\Programmi\Yontoo
C:\Documents and Settings\Utente\Dati applicazioni\Yontoo
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Tarma Installer
C:\Programmi\TornTV.com
C:\Documents and Settings\Utente\Dati applicazioni\Joyvy
C:\Programmi\SpyHunter_softarchive.net
C:\WINDOWS\System32\sh4native.exe
:commands
[purity]
[emptytemp]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Poi fai una scansione con Combofix che dovrebbe eliminare le chiavi di riferimento.
Posta il log.
L'ultima modifica di R16 il 14 Mag 2013 20:23, modificato 1 volta |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 20:22 Oggetto: |
|
|
Ho trovato qualcosa con "Cerca" e mi ha trovato questi file qua: "spyhunter.fix" e la cartella "SpyHunter_softarchive.net" che all'interno non c'era nulla.. e li ho cancellati.
Ho cercato nel Regedit e mi ha trovato:
1) Nome: (Predefinito), Tipo: REG_SZ, Dati: (valore non impostato)
2) Nome: IndividualSettings, Tipo: REG_DWORD, Dati: 0x00000000 (0)
E ora? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 20:24 Oggetto: |
|
|
Le istruzioni le ho postate sopra. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 20:48 Oggetto: |
|
|
Quando dopo che mi si è riavviato il pc per il RUN FIX di OTL, non c'erano più quelle scritte, comunque ho sempre fatto i log di entrambi i programmi per sicurezza.
OTL: Link
ComboFix: Link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10124
|
Inviato: 14 Mag 2013 20:52 Oggetto: |
|
|
Fai un'altro sforzo:
Spegni il pc.
Avvialo e vedi se quel messaggio compare ancora.
Poi dimmi se il pc funziona bene.
P.S:
Ma tu durante una bonifica scarichi un Keylogger ?
Spyrix Free Keylogger |
|
Top |
|
|
|