| Precedente :: Successivo |
| Autore |
Messaggio |
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
 Inviato: 15 Gen 2009 16:17 Oggetto: file impossibile da cancellare |
 |
|
Dopo aver beccato virtumonde et similia grazie alle letture sul forum sono riuscito a pulire abbastanza il sistema, anche se non credo del tutto.
so:win xp sp3 aggiornato
antivirus: fino a ieri avg8, ora avira free
antispy: spybot S&D
In seguito a comportamenti strani, come aprire pagine web che voleva lui e problemi allo spegnimento con processi da terminare, ecc. facendo scansioni con spybot ho trovato virtumonde, vundo, doubleclick e Adware.Tracking Cookie.
fatto scansioni e pulizia con superantispyware, ccleaner, hijack
Adesso mi sembra quasi a posto, la macchina va bene ma ci deve essere ancora qualche problemino.
C'è un file di nome _cellulari_ seguito da un infinità di caratteri.htm impossibile da cancellare anche con killbox
Si trova nella cartella \temp\temporary internet file\content ie.5\plsxf0gp\
Oddio, magari c'era già da prima, ma vorrei risolvere.
Allego il log di hijack, se qualcuno mi da un parere, non vorrei impestarmi di nuovo.
Grazie 1000 !!!
Logfile of Trend Micro HijackThis v2.0.2: http://wikisend.com/download/516560/LogHthis.txt |
|
| Top |
|
 |
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 16:35 Oggetto: Re: file impossibile da cancellare |
|
|
| erny61 ha scritto: | Adesso mi sembra quasi a posto, la macchina va bene ma ci deve essere ancora qualche problemino.
C'è un file di nome _cellulari_ seguito da un infinità di caratteri.htm impossibile da cancellare anche con killbox
Si trova nella cartella \temp\temporary internet file\content ie.5\plsxf0gp\
Oddio, magari c'era già da prima, ma vorrei risolvere. |
Bene, allora si riparte dall'inizio, seguendo questa procedura (i programmi che hai già installato non li devi reinstallare ma solo aggiornare e/o configurare come indicato):
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) Scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 15 Gen 2009 19:45 Oggetto: |
|
|
Ciao, ho fatto. Allego i log.
nel frattempo avira mi ha trovato un virus nel pacchetto "smitfraudfix" che avevo scaricato un paio di giorni fa. L'ho cancellato.
...................................................................................................
Virus or unwanted program 'HIDDENEXT/Crypted [heuristic]'
detected in file 'C:\Documents and Settings\erny\Desktop\SmitfraudFix\Agent.OMZ.Fix.exe.
Action performed: Delete file
..................................................................................................
Superantispyware: http://wikisend.com/download/500118/SUPERAntiSpyware Scan Log - 01-15-2009 - 17-06-51.log
MalwareBytes: http://wikisend.com/download/557176/mbam-log-2009-01-15 (18-01-27).txt
HiJackThis: http://wikisend.com/download/512144/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 22:09 Oggetto: |
|
|
Scarica ed installa Elibagla: clicca qui per il download
● scorri fino a fondo pagina e, clicca su Descargar Elibagla per scaricare il tool
● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log
Scarica ed installa Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● accedi al sistema in modalità provvisoria, utilizzando l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in Modalità normale ed allega i due log |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 16 Gen 2009 10:42 Oggetto: |
|
|
Ciao, fatto!
Con il beneficio di inventario mi sembrerebbe a posto.
Il log di hijack era a posto al 100% o c'era qualcosa di strano?
Il file che non si cancellava è sparito, ma non ho capito se è stato combofix o cosa 
Comunque allego i log.
Il log di EliBagle è pulito.
http://wikisend.com/download/889404/InfoSat.txt
Solo mi diceva accesso negato alla seguente cartella:
..................................................................................
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\eHome\EPG\tracehelper
la quale contiene un file: DefaultDomain-SYSTEM.xml
..................................................................................
probabilmente è normale e non lo ho toccato perchè normalmente riesco ad accederci.
combofix ne ha fatto solo uno:
http://wikisend.com/download/488508/ComboFix.txt
mi diceva che non è installata la console di emergenza. E' da installare o non importa?
Ultima cosa:
Lascio installato Spybot S&D 1.5, lo aggiorno a 1.6 o lo disinstallo e lascio solo SuperAntiSpyware?, però non so se ha la protezione in tempo reale.
GRAZIE 1000 anzi 2000 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 16 Gen 2009 10:59 Oggetto: |
|
|
Bene, Combofix ha spazzato via un pò di roba:
| Citazione: | ComboFix 09-01-15.01 - Administrator 2009-01-16 9.01.22.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1022.823 [GMT 1:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\combofix\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: Norton Internet Worm Protection *disabled*
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
((( Altre eliminazioni )))
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat
C:\InfoSat.txt
c:\windows\system32\Cache
c:\windows\system32\ifihtkwk.ini
c:\windows\system32\tmp.reg
----- BITS: Possibili siti infetti -----
hxxp://childhe.com |
Allega un nuovo log di Hthis, per favore.
| Citazione: | | Ultima cosa: Lascio installato Spybot S&D 1.5, lo aggiorno a 1.6 o lo disinstallo e lascio solo SuperAntiSpyware?, però non so se ha la protezione in tempo reale. |
A mio parere, di SpyBot ne puoi fare a meno.
Con MalwareBytes e SuperAntispyware (nessuno dei due ha protezione in tempo reale) sei più che a posto, trattandosi di due dei migliori software del tipo in circolazione. Devi solo avere cura di tenerli, entrambi, costantemente aggiornati. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 16 Gen 2009 14:16 Oggetto: |
|
|
Allego nuovo log hithis
http://wikisend.com/download/535200/hijackthis_160109_1305.log
(ho installato firefox. da ora metterò in pensione ie)
Mi dici se ci sono righe sospette?, mi piacerebbe riuscire ad interpretarlo da me, almeno per le cose principali.
Ciao. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 16 Gen 2009 14:27 Oggetto: |
|
|
| erny61 ha scritto: | | Mi dici se ci sono righe sospette?, mi piacerebbe riuscire ad interpretarlo da me, almeno per le cose principali. |
 facciamo al contrario: tu posta qui tutto ciò che, dal log, ritieni sospetto ed io ti dirò se lo è o meno  |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 16 Gen 2009 15:10 Oggetto: |
|
|
| Riverside ha scritto: | | erny61 ha scritto: | | Mi dici se ci sono righe sospette?, mi piacerebbe riuscire ad interpretarlo da me, almeno per le cose principali. |
facciamo al contrario: tu posta qui tutto ciò che, dal log, ritieni sospetto ed io ti dirò se lo è o meno |
Eh, al momento non ho la competenza necessaria.
Mi avevano attirato questi:
righe presenti ancora:
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
questo c'era prima di fare le pulizie e ora non più:
O20 - Winlogon Notify: awtspPiH - awtspPiH.dll (file missing)
Mi studierò un pò HijackThis e se ho qualche dubbio ti chiederò in seguito.
p.s. stavo per togliere la spunta a "disattiva ripristino configurazione di sistema" e era già tolto!!!. Ma si toglie ogni reboot o qualche tool l'ha fatto?
Ciao e grazie ! |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 17 Gen 2009 19:15 Oggetto: |
|
|
ho "studiato" un pochino.
Dammi un parere su questa:
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
grazie! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 18 Gen 2009 10:54 Oggetto: |
|
|
Per ora direi di accantonare la questione log di Hthis.
Da Installazione Applicazioni disinstalla:
1) Adobe Reader
2) Adob Flash Player (comprese le eventuali versioni marcate Macromedia
3) Javasun (tutte le versioni che trovi patendo dalla meno recente)
4) dinsinstalla, anche, tutte le toolbar installate
Eseguite le disinstallazioni, effettua una pulizia dei problemi con CCleaner e riavia il sistema.
Dopo il riavvio, installa le versioni aggiornate di:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download
Fai attenzione: in fase di installazione, tutti e tre i software richiederanno se vuoi installare, anche, la toolbar di Google;
non la installare (quindi togli la spunta alla relativa voce).
Dopo aver eseguito le installazioni, allega un nuovo log di Hthis. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 18 Gen 2009 14:39 Oggetto: |
|
|
Ciao, fatto!
Credevo però fosse a posto.
Che problema c'era?
Solo Java sun mi ha chiesto se volevo installare la toolbar di yahoo. gli altri due non mi hanno richiesto niente.
Però sui browser sono restate le toolbar di google, sono proprietarie dei browser o perchè ci sono ancora nonostante le avessi disinstallate?
Log di hthis: http://wikisend.com/download/539172/hijackthis_18012009.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 18 Gen 2009 19:01 Oggetto: |
|
|
Rilancia Hthis in inizia con il fixare queste voci (devi spuntare la casellina in corrispondenza di ogni singola voce che ti inidicherò e, una volta spuntate tutte, clicca sul tasto FixChecked):
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programmi\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programmi\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programmi\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en/
| erny61 ha scritto: | | Però sui browser sono restate le toolbar di google, sono proprietarie dei browser o perchè ci sono ancora nonostante le avessi disinstallate? |
Dal log non vedi più nessun riferimento alle toolbar.
Ora esegui una scansione completa del sistema con Avira e, al termine, allega il Report che verrà rilasciato. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 18 Gen 2009 21:11 Oggetto: |
|
|
In effetti ho visto che erano le caselle di ricerca di google dei browser e non la toolbar, non sapevo della differenza, scusa.
http://wikisend.com/download/493936/AVSCAN-20090118-193027-AE79F464.LOG
Che parto |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Gen 2009 00:09 Oggetto: |
|
|
| erny61 ha scritto: | | Che parto |
Se pensi che sia finita ti sbagli ....... c'è ancora qualcosa che non mi convince 
1) disinstalla SmitfraudFix ed elimina le eventuali cartelle di riferimento;
2) disinstalla:
> Adobe Reader;
> Adobe Flash player (comprese le eventuali versioni marcate Macromedia)
> Javasun (tutte le versioni eventualmente presenti, partendo dalla più vecchia).
Eseguite le disinstallazioni, svuota il cestino ed esegui una pulizia dei problemi con CCleaner (ripeti l'operazione più volte, fino a quando non verranno più rilevati problemi) ed al termine riavvia il sistema.
Dopo il riavvio installa le versioni più recenti di:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download
Fai attenzione: in fase di installazione, tutti e tre i software richiederanno se vuoi installare, anche, la toolbar di Google;
non la installare (quindi togli la spunta alla relativa voce).
Poi, Scarica la Guida per configurare Avira Antivir: clicca qui per il download
Dopo averlo configurato, riesegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo.
Ed allega, anche un nuovo log di Hthis eseguito dopo la nuova scansione completa. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 19 Gen 2009 09:37 Oggetto: |
|
|
1) disinstalla SmitfraudFix ed elimina le eventuali cartelle di riferimento;
non è mai stato installato, era un tool con un eseguibile e poco più che avevo lanciato dal desktop.
L'avevo cancellato quando avira mi aveva trovato dentro un virus (prima avevo avg8 e non mi segnalava un tubazzo)
Però ho visto che è rimasta una chiave nel registro.
hkey current user\software\microsoft\search assistant\ACMru\5603\000
REG_SZ smitfraudfix
Cancello e vado con il resto o lascio così e continuo? |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Gen 2009 10:36 Oggetto: |
|
|
| Elimina la chiave (e, anche le eventuali cartelle create SmitfraudFix, ed ovviamente l'eseguibile, se lo hai salvato da qualche parte) pulisci il cestino e prosegui con il resto. |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 19 Gen 2009 15:12 Oggetto: |
|
|
come al solito solo l'installazione di java mi chiede di non installare la toolbar di yahoo.
Mi si è creata una cartella vuota: c:\programmi\nos
Mi è capitato due o tre volte di sentire il suono dell'arresto critico (arresto critico.wav) ma a video non si nota niente.
per il resto tutto funziona correttamente.
Allego log avira e hithis:
http://wikisend.com/download/243912/AVSCAN-20090119-132016-6CB303F3.LOG
http://wikisend.com/download/563138/hijackthis190109_1359.log
ciao. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 19 Gen 2009 15:50 Oggetto: |
|
|
| erny61 ha scritto: | | Mi si è creata una cartella vuota: c:\programmi\nos |
Lasciala dove si trova: è la cartella di riferimento del GetPlus di Adobe Reader.
Rilancia Hthis e fixa queste voci:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
| Citazione: | | per il resto tutto funziona correttamente |
Speriamo sia cosi anche in futuro.
Abbiamo finito, il tuo computer ora è a posto.
Ciao e buona giornata |
|
| Top |
|
|
erny61
Mortale pio
Registrato: 15/01/09 15:44
Messaggi: 15
|
| Inviato: 19 Gen 2009 16:09 Oggetto: |
 |
|
Ti devo 2 birre!
se passi da SAONE (TN) (cerca meteo saone con google) passa a riscuotere.
ciao !!! |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
