Precedente :: Successivo |
Autore |
Messaggio |
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 05 Gen 2009 16:14 Oggetto: * DriveCleaner 2006 sul portatile |
|
|
Ho win xp service pack2, avira antivirus, windows firewall, spybot s&d 1.6, firefox 1.5 con gmail notifier e altro
Spybot è qualche tempo che nei problemi trovati segnala -DriveCleaner 2006-
precisamente dice: problema:
DriveCleaner 2006
(SBI $7E4FBD6E) ID di classe
HKEY_CLASSES_ROOT\CLSID\InprocServer32
lo elimino e nella scansione successiva lo ritrovo. Non ho mai installato DriveCleaner 2006 ne tantomeno visto finestre pop-up che mi consigliavano di comprarlo.
Vorrei eliminarlo una volta per tutte |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 05 Gen 2009 20:03 Oggetto: |
|
|
Ciao.
E' un falso positivo di Spybot.
Comunque aspetta il parere di qualche moderatore. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 06 Gen 2009 09:59 Oggetto: |
|
|
Propendo anch'io per l'ipotesi fornita da R1.
Un controllino, però, non fa mai male...
Procedi con queste operazioni preliminari:
- Disabilita il ripristino di sistema
- Pulisci i files temporanei con CCleaner
- Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
- Segui le istruzioni di questo topic per usare MBAM.
- scarica e installa la versione Free di SuperAntispyware;
esegui una scansione completa del sistema
- Segui le istruzioni di questo topic per postare il log di HiJackThis.
- Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
|
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 06 Gen 2009 11:23 Oggetto: |
|
|
R1 ha scritto: | E' un falso positivo di Spybot.. | Può essere,
però nell'altro thread, relativo al suo altro computer (fisso), uomodeighiacci diceva che:
1) Dopo aver eliminato drive cleaner 2006 , questo si rigenerava.
(Un programma non malware si rigenera? Chi lo ricrea?)
2) Aveva avvisi di cartelle e file di sistema danneggiati
E antivir e combofix gli hanno trovato degli altri malware.
(uomodeighiacci ti è successo anche su questo, il portatile?) |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 06 Gen 2009 14:12 Oggetto: |
|
|
chemicalbit ha scritto: | R1 ha scritto: | E' un falso positivo di Spybot.. | Può essere,
però nell'altro thread, relativo al suo altro computer (fisso), uomodeighiacci diceva che:
1) Dopo aver eliminato drive cleaner 2006 , questo si rigenerava.
(Un programma non malware si rigenera? Chi lo ricrea?)
2) Aveva avvisi di cartelle e file di sistema danneggiati
E antivir e combofix gli hanno trovato degli altri malware.
(uomodeighiacci ti è successo anche su questo, il portatile?) |
1) Dico che è un falso positivo, in quanto, quando usavo SpyBot, succedeva anche a me.
E pur continuando a eliminarlo, al riavvio si ripresentava.
Anche seguendo il percorso di quella chiave,non si arriva a niente di chiaro, nel senso, che non sai cosa eliminare.
E' mia impressione che, più che un falso positivo, sia un bug di Spybot.
2) Lo rileva solo Spybot, nessun altro programma di difesa lo rileva.
E con tutto il rispetto per Spybot, non credo sia il miglior antispyware in circolazione.
3) Se Combofix rileverà dei malware, questi non saranno riconducibili a drive cleaner 2006 .
Il vero cleaner 2006 , ti crea cartelle in "Programmi", crea file in System32, e aggiunge chiavi nell'Editor del registro.
Troppe cose, per cavarsela con una seplice segnalazione di una chiave. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 06 Gen 2009 16:05 Oggetto: |
|
|
Dimenticavo:
Un felice 2009 a tutti, e che il nuovo anno riservi a tutti i moderatori e utenti di questo forum delle belle sorprese. |
|
Top |
|
|
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 06 Gen 2009 17:51 Oggetto: |
|
|
non credo nel falso positivo perchè spybot non lo uso solo sul portatatile ma lo segnala solo lì.
Personalmente ho provato molti antispyware ma trovo spybot 1.6 il migliore di tutti.
chemicalbit ha scritto: | uomodeighiacci diceva che:
1) Dopo aver eliminato drive cleaner 2006 , questo si rigenerava.
(Un programma non malware si rigenera? Chi lo ricrea?)
2) Aveva avvisi di cartelle e file di sistema danneggiati
E antivir e combofix gli hanno trovato degli altri malware.
(uomodeighiacci ti è successo anche su questo, il portatile?) |
1) mi chiedo la stessa cosa
2)no, il portatile per ora è ok
Altre info utili sono che sul portatile avevo già preso (ma eliminato) 2 virus (ora non ho sotto mano il nome) e che sul disco esterno con i miei dati (su cui non riesco a disattivare l'autoplay) ho da poco eliminato questi:
Hacktool
DR/PSW.RAS.A.6 dropper
BDS/Agent.MJ.5 back-door program
HTML/Malicious.ActiveX.Gen HTML script virus
HEUR/HTML.Malware suspicious code
HTML/Rce.Gen HTML script virus
ora mi metto al lavoro |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 06 Gen 2009 18:17 Oggetto: |
|
|
uomodeighiacci ha scritto: | non credo nel falso positivo perchè spybot non lo uso solo sul portatatile ma lo segnala solo lì.
Personalmente ho provato molti antispyware ma trovo spybot 1.6 il migliore di tutti. |
Le opinioni sui vari software di difesa, anche se non condivise, sono tutte rispettabili.
Riguardo DriveCleaner 2006, riporto una frase di un moderatore di questo forum:
"Non c'è cosa peggiore che cercare un virus che non c'è"
E a mio modesto avviso, ha perfettamente ragione.
Ciao. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 07 Gen 2009 00:24 Oggetto: |
|
|
R1 ha scritto: | 3) Se Combofix rileverà dei malware, questi non saranno riconducibili a drive cleaner 2006 . | Probabile, anzi per quanto riguarda l'altro PC, mooooolto probabile che ci fosse anche altra ... "robaccia".
Per questo chiedevo se gli stessi sintomi ci fossero anche qui sul portatile.
R1 ha scritto: | Dimenticavo:
Un felice 2009 a tutti, e che il nuovo anno riservi a tutti i moderatori e utenti di questo forum delle belle sorprese. | Anche a te.
p.s. ti sei già presentato in questa discussione? |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 07 Gen 2009 00:24 Oggetto: |
|
|
uomodeighiacci ha scritto: | non credo nel falso positivo perchè spybot non lo uso solo sul portatatile ma lo segnala solo lì. | Beh, te lo segnlava anche sull'altro computer.
(A proposito, l'hai già formattato?) |
|
Top |
|
|
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 08 Gen 2009 09:47 Oggetto: |
|
|
si già formattato, tutto pulito, infatti lì lo spybot non segna nulla.
non che abbia fiducia ceca nello spybot; è solo che nella licenza dice che è dedicato alla ragazza 'più meravigliosa' del mondo e trovo che questo sia un ottimo motivo per dare il meglio di se
dai scherzo, ..forse
fatto tutto ma ieri non riuscivo ad accedere
chiavette tutto ok
adsspy trovato qualcosa in files che mi avevano passato
log di MBAM mbam-log-2009-01-07 (12-18-35).txt tutto ok
log di SuperAntiSpyware [url]SUPERAntiSpyware Scan Log - 01-07-2009 - 12-43-32.log[/url] tutto ok (avevo già installata la versione professional di prova, ho usato quella)
log di HiJackThis [url]hijackthis2.log[/url] |
|
Top |
|
|
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 12 Gen 2009 10:51 Oggetto: |
|
|
Dunque cosa ne pensate ora che avete i log?
é un falso positivo o devo fare altro? |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 12 Gen 2009 11:37 Oggetto: |
|
|
R1 ha scritto: | Le opinioni sui vari software di difesa, anche se non condivise, sono tutte rispettabili.
Riguardo DriveCleaner 2006, riporto una frase di un moderatore di questo forum:
"Non c'è cosa peggiore che cercare un virus che non c'è"
E a mio modesto avviso, ha perfettamente ragione. |
Non so a chi appartenga la frase ma, in casi come questo, non c'è cosa peggiore che utilizzare il fai da te ...... con un pò di pazienza, si sarebbe, tranquillamente, evitata la formattazione. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 12 Gen 2009 18:14 Oggetto: |
|
|
Riverside ha scritto: | R1 ha scritto: | Le opinioni sui vari software di difesa, anche se non condivise, sono tutte rispettabili.
Riguardo DriveCleaner 2006, riporto una frase di un moderatore di questo forum:
"Non c'è cosa peggiore che cercare un virus che non c'è"
E a mio modesto avviso, ha perfettamente ragione. |
Non so a chi appartenga la frase ma, in casi come questo, non c'è cosa peggiore che utilizzare il fai da te ...... con un pò di pazienza, si sarebbe, tranquillamente, evitata la formattazione. |
Non fare il finto tonto Riverside. (visto che tonto proprio non lo sei)
Lo sai benissimo chi l'ha detta quella frase.
Per quanto riguarda "il fai da te" non è una cosa che mi riguarda,visto che ho consigliato uomodeighiacci ad appettare il parere di un moderatore.
Se poi lui aveva fretta,e ha formattato, vuol dire che gli andava bene cosi'.
Certo, dispiace vedere un utente che formatta per un falso positivo di SpyBot. |
|
Top |
|
|
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 12 Gen 2009 19:21 Oggetto: |
|
|
la mia prima frase (di questa pagina) era riferita all'ultima domanda di chemicalbit (in fondo alla pagina precedente) (per questo non l'ho riportata, pensavo si capisse..) e riguardava il pc fisso.
Poi, appunto, dicevo che lì (il pc fisso, quello appena formattato) è "pulito" (formattato) ed infatti lo spybot non segna drivecleaner 2006.
il portatile è tale quale a prima e non mi azzarderei a formattarlo per questo..
troverei poco rispettoso formattare mentre ancora state riflettendo sul problema, vi farei solo perdere tempo, se e quando formatto avviso prima (comme nell'altra discussione)
scusate per l'equivoco |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 12 Gen 2009 22:50 Oggetto: |
|
|
Ciao uomodeighiacci.
Scusami tu, io ho inteso che avevi formattato anche il portatile.
Ho frainteso.
Comunque uomodeighiacci, il drivecleaner 2006 che ti segnala SpyBot,non è niente di grave.
Io (quando usavo SpyBot) me lo sono portato 2 mesi sul groppone,finchè, per non vederlo più ho messo "ignora".
Nel frattempo, ho rovesciato il pc come un calzino, per vedere perchè SpyBot (e solo lui) mi segnalava questo pseudo virus.
Risultato: Zero.
Ti dirò di più, nemmeno se risalissi a quella chiave, non risolvi niente.
Però puoi provare,se vuoi toglierti la curiosità.
Naturalmente ti consiglio di aspettare le indicazioni di un moderatore.
In definitiva, ho ancora usato SpyBot per 1 anno, e non ho avuto nessun problema, anche se sapevo che continuava a segnalarmi quel virus.
Per questo motivo troverei assurdo che tu formattassi.
Ciao. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 12 Gen 2009 23:06 Oggetto: |
|
|
R1 ha scritto: | Io (quando usavo SpyBot) me lo sono portato 2 mesi sul groppone,finchè, per non vederlo più ho messo "ignora".
Nel frattempo, ho rovesciato il pc come un calzino, per vedere perchè SpyBot (e solo lui) mi segnalava questo pseudo virus.
Risultato: Zero. | Puoi provare a segnlarlo al produttore di SpyBot S&D. |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 13 Gen 2009 10:21 Oggetto: |
|
|
R1 ha scritto: | Non fare il finto tonto Riverside. (visto che tonto proprio non lo sei) Lo sai benissimo chi l'ha detta quella frase. |
Sulla questione tonto, direi, decisamente, che non lo sono.
Sulla questione frase, non so proprio a chi appartenga (di certo non a me).
Per il resto, ora vi date, tutti, una calmata e, vediamo di risolvere il problema, visto che siamo in presenza di un probabile rogue application.
Quindi @uomodeighiacci:
1) allega un log di Hthis;
2) dimmi dove viene localizzato il famigerato drivecleaner2006, da spybot.
Intanto, per pignoleria esegui questi controlli:
> Start
> Cerca
> avvia la ricerca (singolarmente) di questi voci (sono gli eseguibili di Drivecleaner:
udc2006.exe
updater.exe
unins000.exe
pv.exe
installdrivecleanerstart.exe
installer.exe
insthelp.exe
dcsm.exe
e dimmi se anche una sola di quelle è presente sul Computer
Poi, esegui questo altro controllo:
> Start
> Esegui
> nella casella di dialogo digita Regedit e nella directory, segui questo percorso:
> HKEY_LOCAL_MACHINE
> SOFTWARE
> Microsoft
> Windows NT
> CurrentVersion
> Winlogon
> seleziona Winlogon e nella finestra di destra fai doppio click sulla chiave Userinit
> nella finestra che si apre c'è la stringa contenente il valore di Userinit, che deve essere: c:\windows\system32\userinit.exe, verifica bene che la chiave presente sia uguale a quella che ti ho indicato. |
|
Top |
|
|
uomodeighiacci Dio minore
Registrato: 01/01/09 19:29 Messaggi: 769
|
Inviato: 14 Gen 2009 17:23 Oggetto: |
|
|
ecco il log hijackthis.log
Riverside ha scritto: |
dimmi dove viene localizzato il famigerato drivecleaner2006, da spybot |
l'unica cosa che vedo è il messaggio dello spybot che ho riportato nel primo messaggio di questa discussione:
DriveCleaner 2006
(SBI $7E4FBD6E) ID di classe
HKEY_CLASSES_ROOT\CLSID\InprocServer32
fatti tutti i controlli e ho trovato alcuni dei file elencati ma nulla che non fosse stato installato da me (updater.exe unins000.exe installer.exe sono nomi comuni)
il file nel registro è uguale a quello che hai indicato
Non so se può aiutare a capirci qualcosa ma ho verificato che drivecleaner 2006 ci mette una quindicina di secondi a ricomparire dopo averlo eliminato.
(ho disabilitato dallo spybot tutti i moduli di ricerca tranne PUPS.sbi (per fare una scansione rapidissima ma mirata), fatta la scansione ho eliminato drivecleaner 2006 e ne ho subito cominciata un'altra. drivecleaner 2006 sparito. fatta un'altra scansione era ricomparso. tempo totale trascorso meno di un minuto.) |
|
Top |
|
|
Riverside Ban a tempo indeterminato
Registrato: 29/02/08 21:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 14 Gen 2009 22:44 Oggetto: |
|
|
uomodeighiacci ha scritto: | l'unica cosa che vedo è il messaggio dello spybot che ho riportato nel primo messaggio di questa discussione:
DriveCleaner 2006
(SBI $7E4FBD6E) ID di classe
HKEY_CLASSES_ROOT\CLSID\InprocServer32 |
Mi scoccia dirlo .... ma, raramente, sbaglio 8)
Citazione: | fatti tutti i controlli e ho trovato alcuni dei file elencati ma nulla che non fosse stato installato da me (updater.exe unins000.exe installer.exe sono nomi comuni)
il file nel registro è uguale a quello che hai indicato |
Eh lo credo bene che non lo hai installato tu, almeno non volontariamente.
[edit: dopo aver visto il log di Hthis, ho cambiato idea ed inizio a nutrire qualche dubbio]
Allora abbiamo due soluzioni:
la prima, una scansione con Rogue Remover;
la seconda meno immediata e, ci porterà via più tempo (sempre se la prima non risolve il problema) è farti rimuovere a mano, quel rogue application (e qui mi devi dare un pò di tempo per scrivere la procedura ..... diciamo fino a domani sera).
Ora, scarica ed installa Rogue Remover: clicca qui per il download
● una volta installato, clicca su Check for Updates per eseguire l'aggiornamento
● verrà rilasciato un messaggio: clicca su download per scaricare l'aggiornamento
● clicca su Scan per lanciare la scansione
● non verrà rilasciato alcun log, quindi, se dovesse rilevare ed eliminare qualcosa, fallo sapere
ho appena controllato il log di Hthis e sei davvero incasinato ... mi domando come fare a ridurre il computer in quel modo
Prima di procedere con la scansione, esegui questi passaggi (altrimenti non ne usciamo):
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino a quando non avremo risolto, definitivamente, il problema.
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) rilancia Hthis ed inizia a fixare queste voci (spunti la casellina in corrispondenza di ogni singola voce ed una volta spuntate tutte, clicca sul tasto FixChecked):
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: CountDown.lnk = ?
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra 'Tools' menuitem: Scaricando MP3 - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.scaricandomp3.com/link/" (file missing)
O9 - Extra button: Scaricando MP3 - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\Scaricando MP3 (file missing)
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra 'Tools' menuitem: Cersa Sul Web - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.cercasulweb.com/itmp3/" (file missing)
O9 - Extra button: ScaricaMP3 - {EF6D6AE3-2625-40D6-A5AB-920DFD2DAF8C} - C:\Documents and Settings\*nome utente*\Dati applicazioni\ScaricaMP3.exe (file missing)
O9 - Extra button: Cersa Sul Web - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\Cersa Sul Web (file missing)
Poi, disinstalla Virit
Per disinstallarlo segui questa procedura:
> cessi l'esecuzione di Virit dalla icona presente sulla traybar, accanto all'orologio;
> Start - tutti i programmi - cerca la voce che corrisponde a Virit, ti posizioni sulla voce con il mouse - nel menu a tendina che si aprirà verifica se è presente l'uninstall proprietario; se fosse presente, lo disinstalli da li, altrimenti procedi con la disinstallazione da Installazione Applicazioni
4) dopo aver fixato tutte le voci che ti ho indicato e disinstallato Virit, scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione (questo passaggio eseguilo più volte, fino a quando non verranno più rilevati problemi)
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Eseguiti tutti i passaggi, riavvia il sistema, ed esegui la scansione con Rogue Remover ed allega un nuovo log di hthis.
P.S.: ma tu gli aggiornamenti del sistema operativo non li scarichi ed installi mai? |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|