| Precedente :: Successivo |
| Autore |
Messaggio |
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
 Inviato: 03 Ott 2010 18:27 Oggetto: Come cancellarli? |
 |
|
L'ultimo report della scansione completa pianificata di avg mi ha dato 6 minacce di cui 3 eliminate e 3 non accessabili...C'è un modo per cancellarli e cosa vuol dire quel memory_00110000...anche a cercarli direttamente non li trovo. Di seguito l'elenco delle minacce eliminate e quelle non accessibili.
"C:\Windows\System32\smss.exe (568):\memory_00110000";"Trojan Vundo.LP";"L'oggetto non è accessibile."
"C:\Windows\System32\smss.exe (568)";"Trojan Vundo.LP";""
"C:\Windows\system32\csrss.exe (684):\memory_00100000";"Trojan Vundo.LP";"L'oggetto non è accessibile."
"C:\Windows\system32\csrss.exe (684)";"Trojan Vundo.LP";""
"C:\Windows\system32\csrss.exe (752):\memory_00100000";"Trojan Vundo.LP";"L'oggetto non è accessibile."
"C:\Windows\system32\csrss.exe (752)";"Trojan Vundo.LP";""
Grazie in anticipo  |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 03 Ott 2010 19:10 Oggetto: |
|
|
Purtroppo anche a me (ho letto che succede ad altri) MBAM non parte, neanche in modalità provvisoria.
Ho fatto lo scan con Hijackthis e questo è il risultato:
log.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 03 Ott 2010 20:26 Oggetto: |
|
|
Prova a scaricare questo programma:
link
Il programma crea un nome temporaneo, e lo associa a MBAM.
Scaricalo nella stessa directory in cui è installato Malwarebytes.
In pratica, lo rinomina.
Se Mbam parte fai una scansione completa.
Posta il log.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
| Citazione: | R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\YouTube Downloader Toolbar\SearchSettings.dll
O2 - BHO: (no name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - (no file)
O3 - Toolbar: (no name) - {F3FEE66E-E034-436a-86E4-9690573BEE8A} - (no file)
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe"
O4 - HKCU\..\Run: [Software Suite] "C:\Program Files\Packard Bell\Software Suite\PBSoftSuite.exe" /RUN
O4 - HKCU\..\Run: [Packard Bell Software Suite] "C:\Program Files\Packard Bell\Software Suite\PBSoftSuite.exe" /run
O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
O9 - Extra button: Inizia a fare affari su eBay.it! - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/724-44559-9400-3/4 (file missing)
O9 - Extra button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=h ome (file missing)
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe |
Segui questo percorso ed elimina la cartella in rosso:
C:\Program Files\Application Updater\ApplicationUpdater.exe
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Poi:
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
SVUOTA IL CESTINO
Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223
Poi:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 04 Ott 2010 21:48 Oggetto: |
|
|
1) Ho provato ad usare il randmbam ma quando faccio partire il file con nome temporaneo questo è il messaggio di errore che mi spunta 
2) Eliminate tutte le voci da te segnate per hijackthis.
3) Eliminata la cartella Application Updater
4) Puliti file temporanei e file di registro (questi in un secondo momento, li avevo dimenticati  ) con CCleaner
5) Svuotata la cartella Prefetch
6) Eliminati tutti gli ADS con hijackthis
7) Usato Combofix....questo è il log:
ComboFix.txt
Spero che sia tutto ok...io come puoi immaginare non ci capisco granchè 
Mentre che ci sono, approfitto della tua gentilezza per chiederti se per caso questo fastidioso avviso che mi spunta molto spesso (anche mentre combofix lavorava) è dovuto a qualche virus e se c'è un modo per eliminarlo.
Grazie tante ancora |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 04 Ott 2010 22:25 Oggetto: |
|
|
Prova così:
Pannello di controllo
Strumenti di amministrazione
Servizi
Servizio trasferimento intelligente in background
tasto destro del mouse e clicca su Proprietà ed imposta il servizio come disabilitato
Eseguita questa operazione viene disabilitata, anche, la funzione di Aggiornamento Automatico
A questo punto, devi:
accedere a Windows Update, dal Pannello di controllo
scaricare tutti gli aggiornamenti disponibili
una volta scaricati gli agggiornamenti, riavviare il Computer
Dopo il riavvio, ripeti il procedimento indicato sopra per ripristinare il Servizio trasferimento intelligente in background su automatico |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 06 Ott 2010 00:15 Oggetto: |
|
|
| R16 ha scritto: | Prova così:
Pannello di controllo
Strumenti di amministrazione
Servizi
Servizio trasferimento intelligente in background
tasto destro del mouse e clicca su Proprietà ed imposta il servizio come disabilitato
Eseguita questa operazione viene disabilitata, anche, la funzione di Aggiornamento Automatico
A questo punto, devi:
accedere a Windows Update, dal Pannello di controllo
scaricare tutti gli aggiornamenti disponibili
una volta scaricati gli agggiornamenti, riavviare il Computer
Dopo il riavvio, ripeti il procedimento indicato sopra per ripristinare il Servizio trasferimento intelligente in background su automatico |
Fatto ed effettivamente ieri mi è andata liscia...ma stasera riaprendo il notebook ecco rispuntare quella odiosa finestrella di avviso  Ci sarà un modo per evitare ogni volta tutta quella procedura?....e poi ormai ho scaricato tutto dall'update di windows...quindi non saprei che fare
Poi volevo chiedere...verificando il log che ho postato ci sono ancora modifiche che devo fare per debellare del tutto i virus? Considerando anche che Mbam come ti dicevo non parte comunque, nonostante il file da te consigliato?
Scusami se rompo e che non so in questi casi, dopo aver postato il log del combofix, come mi devo comportare!?
Grazie ancora una volta in anticpo. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Ott 2010 22:08 Oggetto: |
|
|
Scusate il disturbo, 
direi di fare una passata con SuperAntiSpyware Portable
e poi di rifare la scansione completa con MBAM. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 06 Ott 2010 22:27 Oggetto: |
|
|
| bdoriano ha scritto: | Scusate il disturbo,
direi di fare una passata con SuperAntiSpyware Portable
e poi di rifare la scansione completa con MBAM. |
Questo lo metto nei Preferiti.  (se funziona)
Ciao bdoriano, e grazie! |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 12 Ott 2010 13:57 Oggetto: |
|
|
| bdoriano ha scritto: | Scusate il disturbo,
direi di fare una passata con SuperAntiSpyware Portable
e poi di rifare la scansione completa con MBAM. |
Effettuato lo scan (ma non ho capito come fare il log  ) ed eliminate tutte le porcherie trovate...sono riuscito finalmente a far partire Mbam (in modalità provvisoria e con un nome temporaneo associato).
Log 1° scan (senza aggiornamenti perchè non riuscivo a scaricarli)
mbam-log-2010-10-12 (10-13-29).txt
Log 2° scan (scansione veloce con gli aggiornamenti)
mbam-log-2010-10-12 (10-29-10).txt
Log 3° scan (scansione completa con gli aggiornamenti)
mbam-log-2010-10-12 (11-49-12).txt
Da quest'ultima scansione il PC risulterebbe lindo e pulito PERO', in attesa di capire se c'è ancora qualcosa, ho un gravissimo problema il portatile non riconosce più il lettore CD/DVD
Probabilmente è colpa mia, perchè ho eliminati i file messi in quarantena
Ora che faccio? Qualcuno sa dirmi cosa fare a riguardo??
Stanotte farò partire la scansione completa con AVG sperando che non ci siano più i Trojan Vundo.LP segnalati ad inizio thread. |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 13 Ott 2010 00:21 Oggetto: |
|
|
| Fatta la scansione completa di AVG e anche in questo caso non ci sono tracce di virus e questa è una gran cosa...però come dicevo continuo a non leggere più CD e DVD |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 13 Ott 2010 08:53 Oggetto: |
|
|
| Phoenix75 ha scritto: | | però come dicevo continuo a non leggere più CD e DVD |
Da quando? (cioè, dopo quale scansione?)
E cosa succede esattamente?
Se vai in risosrse del computer non vedi proprio le unità CD e DVD? |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 13 Ott 2010 16:34 Oggetto: |
|
|
| chemicalbit ha scritto: | | Phoenix75 ha scritto: | | però come dicevo continuo a non leggere più CD e DVD |
Da quando? (cioè, dopo quale scansione?)
E cosa succede esattamente?
Se vai in risosrse del computer non vedi proprio le unità CD e DVD? |
Dopo lo scan con mbam e la cancellazione dei file intaccati dai 3 virus rilevati (tutti relativi al lettore cd).
Esattamente se vado in risorse del computer vedo solo le due partizioni del disco rigido C: ed E:, delle unità CD/DVD nessuna ombra.
I file intaccati e cancellati, come puoi leggere dal primo log, sono:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom (chiave di registro)
C:\Windows\System32\drivers\cdrom.sys (file di sistema) |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2010 18:46 Oggetto: |
|
|
Ciao.
Vai nella quarantena di Malwarebyres, e vedi se li trovi. (sperando che non li hai eliminati anche dalla quarantena)
Se ci sono, li puoi ripristinare. (solo quelli relativi a cdrom)
Al limite, posta il log, (dell'eliminazione) e ti dico quali ripristinare. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 13 Ott 2010 19:39 Oggetto: |
|
|
I log sono nei messaggi precedenti.
Quello relativo alla rimozione incriminata lo trovi in questo messaggio , al link "mbam-log-2010-10-12 (10-13-29).txt"
Cos'è, pensi sia un falso positivo? |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 13 Ott 2010 20:27 Oggetto: |
|
|
| R16 ha scritto: | Ciao.
Vai nella quarantena di Malwarebyres, e vedi se li trovi. (sperando che non li hai eliminati anche dalla quarantena)
Se ci sono, li puoi ripristinare. (solo quelli relativi a cdrom)
Al limite, posta il log, (dell'eliminazione) e ti dico quali ripristinare. |
Purtroppo li ho eliminati |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 13 Ott 2010 21:45 Oggetto: |
|
|
@chemicalbit
| Citazione: | | Cos'è, pensi sia un falso positivo? |
Sì chemicalbit, penso che questa volta Mbam abbia "toppato".
@Phoenix75:
Si potrebbe fare un Ripristino configurazione sistema, e portare il pc a una data in cui sei sicuro che l'unità CD/DVD ti funzionava, ma rischi anche di ripristinare il virus.
Oppure tentare un sfc /scannow se hai il CD d'installazione. |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 14 Ott 2010 09:46 Oggetto: |
|
|
| R16 ha scritto: |
@Phoenix75:
Si potrebbe fare un Ripristino configurazione sistema, e portare il pc a una data in cui sei sicuro che l'unità CD/DVD ti funzionava, ma rischi anche di ripristinare il virus.
Oppure tentare un sfc /scannow se hai il CD d'installazione. |
Non ho un CD autoistallante ma nella partizione E: c'è conservata una cartella E:\HDDRecovery che immagino sia di supporto per l'applicazione Toshiba Recovery Disc Creator. Ma non l'ho mai usato quindi dovrei vedere come funziona e comunque credo che mi riporterebbe il PC al momento della prima accensione del notepad (quindi perderei le applicazioni installate)...la realtà è che non ne capisco molto
Purtroppo il ripristino configurazione di sistema mi da solo 2 opzioni, ma tutte dopo la cancellazione del virus |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 14 Ott 2010 09:51 Oggetto: |
|
|
| Phoenix75 ha scritto: | | R16 ha scritto: | Ciao.
Vai nella quarantena di Malwarebyres, e vedi se li trovi. (sperando che non li hai eliminati anche dalla quarantena)
Se ci sono, li puoi ripristinare. (solo quelli relativi a cdrom)
Al limite, posta il log, (dell'eliminazione) e ti dico quali ripristinare. |
Purtroppo li ho eliminati |
La domanda non è se li hai eliminati, ma se li hai eliminati poi anche dalla quarantena.
Lancia MBAM, clcicka sulla scheda "Quarantena". Vedi qualcosa elencato lì? |
|
| Top |
|
|
Phoenix75
Mortale pio
Registrato: 03/09/10 01:49
Messaggi: 18
|
| Inviato: 14 Ott 2010 10:15 Oggetto: |
 |
|
Si, sono elencati gli stessi indicati nel log postato da me (io credevo di averli cancellati), ovvero il file cdrom.sys e la chiave di registro relativa.
Mi si da l'opzione Ripristina e Ripristina tutto, che faccio? Per ora non tocco nulla, non vorrei fare ulteriore danno. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
