Precedente :: Successivo |
Autore |
Messaggio |
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 18:34 Oggetto: |
|
|
Ecco qua il log: link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 19:02 Oggetto: |
|
|
Suppongo che questo "Yontoo" tu lo conosca, e che lo usi. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 19:05 Oggetto: |
|
|
Mh, no.
Io Yontoo non lo uso, probabilmente mi si è installato da un'altra installazione di un altro programma...
quindi cosa posso fare ora? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 19:25 Oggetto: |
|
|
Riesegui RougeKiller
Finita la scansione, LASCIA la spunta a queste voci:
[RUN][SUSP PATH] HKCU\[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-448539723-839522115-1801674531-1003[...]\Run : Yontoo Desktop ("C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe") [7] -> Trovato
E TOGLI la spunta a TUTTE le altre.
Clicca su "Delete".
Finita l'eliminazione clicca su "Report".
Postalo qui.
Poi:
Esegui una scansione con OTL, seguendo gli stessi parametri della prima scansione.
Cambia SOLO questo parametro:
Clicca sulla freccettina di File Age e seleziona 60 Days
Posta il log. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 19:45 Oggetto: |
|
|
Il log di RougeKiller: link
Gli altri due log di OTL: Link 1, Link 2
Spero di aver fatto tutto giusto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 19:59 Oggetto: |
|
|
Sì hai fatto giusto.
Adesso porta pazienza che devo vedere dove si nasconde questo cesso di SpyHunter.
Potresti fare una cosa nel frattempo:
con la funzione Cerca di Windows digita in ambedue i campi:
SpyHunter
E vedi se trova qualcosa. (e se lo trova lo elimini)
Poi:fai Start\Esegui digita : regedit
Si apre il registro.
Clicca in alto su "Modifica" e poi su "Trova".
Nel campo scrivi SpyHunter e clicca invio.
Vedi se trova qualche chiave.
****************************************************************
Qualcosa ho trovato:
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
PRC - C:\Programmi\Yontoo\Y2Desktop.Updater.exe (Microsoft)
SRV - (Yontoo Desktop Updater) -- C:\Programmi\Yontoo\Y2Desktop.Updater.exe C:\Documents and Settings\Utente\Dati applicazioni\Yontoo\YontooDesktop.exe File not found
O4 - HKLM..\Run: [kbdsprt] File not found
[2013/05/01 09.42.14 | 000,720,896 | ---- | C] (Indigo Rose Corporation) -- C:\WINDOWS\iun6002.exe
[2013/04/28 08.01.10 | 000,000,000 | ---D | C] -- C:\Programmi\Phyxion.net
[2013/04/23 18.47.09 | 000,000,000 | ---D | C] -- C:\Programmi\AskPartnerNetwork
[2013/04/07 10.59.09 | 000,036,621 | ---- | C] () -- C:\spyhunter.fix
:Files
C:\Programmi\Yontoo
C:\Documents and Settings\Utente\Dati applicazioni\Yontoo
C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Tarma Installer
C:\Programmi\TornTV.com
C:\Documents and Settings\Utente\Dati applicazioni\Joyvy
C:\Programmi\SpyHunter_softarchive.net
C:\WINDOWS\System32\sh4native.exe
:commands
[purity]
[emptytemp]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Poi fai una scansione con Combofix che dovrebbe eliminare le chiavi di riferimento.
Posta il log.
L'ultima modifica di R16 il 14 Mag 2013 20:23, modificato 1 volta |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 20:22 Oggetto: |
|
|
Ho trovato qualcosa con "Cerca" e mi ha trovato questi file qua: "spyhunter.fix" e la cartella "SpyHunter_softarchive.net" che all'interno non c'era nulla.. e li ho cancellati.
Ho cercato nel Regedit e mi ha trovato:
1) Nome: (Predefinito), Tipo: REG_SZ, Dati: (valore non impostato)
2) Nome: IndividualSettings, Tipo: REG_DWORD, Dati: 0x00000000 (0)
E ora? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 20:24 Oggetto: |
|
|
Le istruzioni le ho postate sopra. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 20:48 Oggetto: |
|
|
Quando dopo che mi si è riavviato il pc per il RUN FIX di OTL, non c'erano più quelle scritte, comunque ho sempre fatto i log di entrambi i programmi per sicurezza.
OTL: Link
ComboFix: Link |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 20:52 Oggetto: |
|
|
Fai un'altro sforzo:
Spegni il pc.
Avvialo e vedi se quel messaggio compare ancora.
Poi dimmi se il pc funziona bene.
P.S:
Ma tu durante una bonifica scarichi un Keylogger ?
Spyrix Free Keylogger |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 14 Mag 2013 21:00 Oggetto: |
|
|
All'inizio il pc è un po' lentuccio, ma d'altronde ha anche ormai 6 anni...
Per il resto non è apparsa nessuna scritta all'avvio e funziona perfettamente, grazie per l'aiuto e della pazienza
Citazione: | P.S:
Ma tu durante una bonifica scarichi un Keylogger ?
Spyrix Free Keylogger |
Scusa l'ignoranza, ma non ho ben capito |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 14 Mag 2013 21:05 Oggetto: |
|
|
Tu oggi alle ore 17:23 hai scaricato questo programma: (scritto in rosso)
2013-05-14 17:12 . 2013-05-14 17:23 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Spyrix Free Keylogger
Che sarebbe questo:
link
Non sò a te, ma a me non mi sembra del tutto normale.
E non dirmi che non ne sai niente. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 15 Mag 2013 14:24 Oggetto: |
|
|
Ah bhe si... non avevo capito il termine KeyLogger...
Storia lunga... comunque grazie per tutto! |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 15 Mag 2013 16:25 Oggetto: |
|
|
Citazione: | Storia lunga... |
Non voglio sapere i fatti tuoi.
Ma sappi che durante una bonifica, è fortemente sconsigliato scaricare programmi (qualsiasi programma) , salvo quelli che ti vengono indicati per ripulire il pc.
Ultime indicazioni:
Apri OTL e clicca su Cleanup.
Si disistalleranno sia Combofix che OTL.
Ti chiederà il riavvio: acconsenti.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".
N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.
Abbiamo concluso. |
|
Top |
|
|
Dommar Eroe in grazia degli dei
Registrato: 11/08/12 10:56 Messaggi: 126 Residenza: Torriana (RN), Italy
|
Inviato: 15 Mag 2013 16:52 Oggetto: |
|
|
Ok ho fatto, grazie anche per questo! |
|
Top |
|
|
fergue Mortale devoto
Registrato: 01/08/14 10:30 Messaggi: 6
|
Inviato: 01 Ago 2014 10:39 Oggetto: |
|
|
Ho lo stesso problema.
quindi pensavo di poterlo postare qui.
Ho disinstallato spyhunter con ccleaner.
ho cancellato dal registro e dal computer spyhunter/enigma.
ho ustao Roguekiller/tdsskiller/Hijack
(ultimamente Mcafee non mi fa scaricare combofix quello buono)
ma rimane sempre quella scritta all'avvio.
Lanciato OTL :
Extras.Txt
OTL.Txt
come devo procedere?
grazie |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 01 Ago 2014 17:41 Oggetto: |
|
|
@fergue
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
DRV - (esgiguard) -- C:\Programmi\Enigma Software Group\SpyHunter\esgiguard.sys File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programmi\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O18 - Protocol\Handler\ipp - No CLSID value found
[2014/07/27 11.24.31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fernando\Desktop\Charlie Hunter
[2014/07/24 17.57.49 | 000,000,000 | ---D | C] -- C:\Programmi\SoftwareUpdater
@Alternate Data Stream - 400 bytes -> C:\Documents and Settings\Fernando\Impostazioni locali\Dati applicazioni\desktop.ini:3a96398c0f384e4adf5faa1736aeaf96
@Alternate Data Stream - 128 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\TEMP:A1EDB939
@Alternate Data Stream - 1248 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\Microsoft:TlKQ7CA1L3YOrJXHOPu
@Alternate Data Stream - 1196 bytes -> C:\Documents and Settings\All Users\Dati applicazioni\Microsoft:snzVb7X1nAxzbxp2qe5srglRKyQ
:Files
C:\Programmi\Enigma Software Group
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]
|
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log. |
|
Top |
|
|
fergue Mortale devoto
Registrato: 01/08/14 10:30 Messaggi: 6
|
Inviato: 02 Ago 2014 10:16 Oggetto: |
|
|
Al riavvio è apparsa la solita schermata (tra l'altro imita le schermate di windows con fondo verde/giallo ed in alto/basso due bande nere in alto a desta marchio windows xp)
C:\Documents and Settings\Fernando\Desktop\Charlie Hunter\Video folder moved successfully era la cartella di un pittore.
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. host se cancellato mi fa saltare la licenza di A.Photoshop
08022014_104146.log |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 02 Ago 2014 11:29 Oggetto: |
|
|
Citazione: | C:\Documents and Settings\Fernando\Desktop\Charlie Hunter\Video folder moved successfully era la cartella di un pittore. |
L'ho scambiata con qualcosa attinente a Spy Hunter.
Scusa.
Citazione: | C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. host se cancellato mi fa saltare la licenza di A.Photoshop |
Questa non potevo saperlo.
Di solito non si collega una licenza al file Hosts, perchè spesso viene resettato per ripulirlo.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440 |
|
Top |
|
|
fergue Mortale devoto
Registrato: 01/08/14 10:30 Messaggi: 6
|
Inviato: 02 Ago 2014 14:01 Oggetto: |
|
|
per la cartella ho immaginato ma l' ho recuperata.
Con CCleaner avevo già fatto la pulizia più volte dopo il riavvio, in avanzate
era già tolto la spunta sulle 24H, per le altre invece l'immagine sul forum non la vedo mi dice scaduta.
Le mando il report di hijackthis
hijackthis.log
grazie |
|
Top |
|
|
|