PDA

Visualizza versione completa : Commenti a: [Guida] Rimuovere i Rogue, Falsi AntiVirus


AMIGA
11-01-2012, 01.19.13
Bravo, qualche tempo fa, avevo fatto qualcosa di simile pure io QUI (http://www.plagimusicali.net/forum/chiacchiere-in-liberta/classifica-dei-falsi-antivirus-piu-pericolosi/), si tratta di esperienze capitatomi nel rimettere a posto PC di amici e colleghi (A gratis).

VincenzoGTA
11-01-2012, 09.17.04
Quando capitano quei casi Ŕ comodo poter lincare una guida ;)

Geppetto56
11-01-2012, 19.58.57
Resta sempre valido il calassico e miglior antivirus di sempre, il buon senso.
Con quello operativo si risolvono molti problemi :p

Mastro1
03-03-2012, 15.18.03
Salve scusate se riuppo questa discussione ma proprio ieri mi sono beccato questo virus(System Check) :/ ho cercato e ricercato e finalmente ho trovato la guida del signor vincenzo http://forum.wintricks.it/showthread.php?t=154890 spero di avere debellato il virus perchŔ nŔ il mio antivirus (avast) e nŔ malwarebytes mi indicano presenza di virus...per˛ continuo ad avere lo schermo nero e non posso modificarlo perchŔ ho un notebook piccolo e non ci sono le opzioni dello schermo e poi ho notato che sulla barra non ho pi¨ il giorno vicino all'ora e ho trovato questo: tB4TArn6aLSkEF.exe e mi da come fonte system check ha l'immagine del volume e non so come toglierlo si trova in Icone area modifica, ma sulla barra non compare...Se qualcuno pu˛ aiutarmi..non mi sento sicuro pi¨ ho paura anche di entrare nella mia casella elettronica casomai mi rubano la pasword...
Grazie per l'attenzione,spero qualcuno mi aiuti

VincenzoGTA
03-03-2012, 17.16.40
Il virus non c' Ŕ pi¨, quelli che sono rimasti sono gli "effetti collaterali"
della pulizia.

Che sistema operativo hai?
posta un log di hijackthis (scritto nella guida)

ripara il registro e pulisci i file temporanei con ccleaner (sempre scritto nella guida)

Mastro1
03-03-2012, 20.41.00
Grazie per la disponibilitÓ comunque uso windows 7 ,mi da errore se cerco di caricare il log come posso fare?

Ho notato che cliccando start e andando su tutti i programmi sono tutte cartelle vuote...per˛ il programma dovrebbe esserci...

VincenzoGTA
03-03-2012, 20.53.10
Scarica Unhide da questa pagina:
http://www.bleepingcomputer.com/download/anti-virus/unhide

Per eseguirlo correttamente su Seven, tasto destro del mouse sull'eseguibile>"esegui come amministratore"

Quando il tool ha finito di lavorare, riavvia il pc e dicci come va

Mastro1
03-03-2012, 23.22.48
Scusa il ritardo ma sono tornato adesso a casa...comunque ho riparato e pulito i file con ccleaner, e poi usato unhide,ma aimŔ quando vado su tutti i programmi le cartelle sono vuote...come posso fare a farti vedere il log di hijackthis? per˛ le cartelle sul dekstop sono ritornare menomale :)

VincenzoGTA
03-03-2012, 23.25.15
Che versione di Seven hai, 32 o 64 bit?

Mastro1
04-03-2012, 00.06.07
Il 32 bit

VincenzoGTA
04-03-2012, 09.04.20
Esegui questo fix (http://download.bleepingcomputer.com/grinler/fakehdd/win7-32-sm-reset.exe)


Riguardo hijackthis, disinstalla quello che hai ora e riscaricalo da qui:
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

Mastro1
04-03-2012, 10.11.13
Buongiorno ok ora eseguo il fix, ma devo eseguirlo in modalitÓ provvisoria con rete e con il ripristino disattivato? o Posso eseguirlo normalmente?

VincenzoGTA
04-03-2012, 12.45.29
Eseguilo normalmente poi reinstalla hijackthis, prova a salvare il log

e facci sapere come va il pc

Mastro1
04-03-2012, 15.11.42
Ho eseguito il fix ma mi sembra tutto uguale...ho fatto il log ma quando lo inserisco come allegato mi dice invalid file..come posso fare? Scusami se ti do stando tutti questi problemi

AMIGA
04-03-2012, 19.44.08
Hai giÓ provato a fare una scansione prima con Malwarebytes (http://www.filehippo.com/download_malwarebytes_anti_malware/) ben aggiornato, e poi con ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) ?, meglio se la fai da modalitÓ provvisoria, prima non dimenticare di disattivare il ripristino di Windows, altrimenti ad ogni riavvio rischi di infettarti nuovamente.

VincenzoGTA
04-03-2012, 20.09.33
Ho eseguito il fix ma mi sembra tutto uguale...ho fatto il log ma quando lo inserisco come allegato mi dice invalid file..come posso fare? Scusami se ti do stando tutti questi problemi

Copia il testo del log (tutto) ed incollalo in una nuova risposta ;)


che problemi ti da ancora il pc?

Mastro1
05-03-2012, 00.22.10
Malwarebytes si l'ho utilizzato,ma combofix non l'ho mai usato...ci provo e vi faccio sapere

Per vincenzo: il pc non mi da problemi,per˛ continuo ad avere lo schermo nero e se faccio tutti i programmi trovo le cartelle tutte vuote...comunque provo con combofix e vi aggiorno :) e posto il log

VincenzoGTA
05-03-2012, 08.51.00
Con combofix non li risolvi quei problemi, anzi se usato male incasini ancora di pi¨ il pc...

per lo schermo nero va reimpostato lo sfondo del desktop:
Click destro sul desktop>personalizza...

I collegamenti nelle cartelle del men¨ start vanno rimessi a manina,
come alternativa puoi reinstallare i programmi.

Mastro1
05-03-2012, 09.39.48
Ok allora appena torno dall'uni do un'altra controllatina con malwarebytes in modalitÓ provvisoria con ripristino disattivati e scrivo il log

Mastro1
06-03-2012, 15.09.28
Eccomi allora ho dato un'ultima controlata con malwarebytes..ora posto il log di hijackthis eccola:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:57:03, on 06/03/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_one&r=07b512093945l0344ww75w58j2352s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_one&r=07b512093945l0344ww75w58j2352s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0410&m=aspire_one&r=07b512093945l0344ww75w58j2352s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iSyncData] C:\Program Files\Acer\Android Manager\iSync.exe
O4 - HKLM\..\Run: [AndroidManager] C:\Program Files\Acer\Android Manager\AML.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Device Detection] C:\Program Files\miofotografo.it\myComposer\dd.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files\WebPocket\WebPocket
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Facebook Update] "C:\Users\user\AppData\Local\Facebook\Update\Facebo okUpdate.exe" /c /nocrashserver
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil11e_Pl ugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3DDD4A-1256-4B88-8627-F95C494C08AE}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D1366E-035D-4E53-81A1-B77285C9AC87}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAF89D63-9BE2-4362-8889-A37F7E2AD06A}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3DDD4A-1256-4B88-8627-F95C494C08AE}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B3DDD4A-1256-4B88-8627-F95C494C08AE}: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files\Acer\Registration\GregHSRW.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: Partner Service - Google Inc. - C:\ProgramData\Partner\Partner.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe

--
End of file - 10356 bytes

VincenzoGTA
06-03-2012, 15.30.59
Il log Ŕ pulito...
hai un sacco di programmi ad avvio automatico
che sicuramente ti rallentano l' avvio e l' uso del pc:

apri ccleaner>strumenti>avvio
lascia nell' elenco solo l' antivirus che usi e RtHDVCpl Realtek Audio, cancella tutte le altre voci

Mastro1
06-03-2012, 16.34.59
Ok grazie...ma basta che disattivo o devo proprio cancellare tutto tranne malwarebytes e RtHDVCpl Realtek Audio? Non trovo avira(mio antivirus) tra i programmi

VincenzoGTA
06-03-2012, 16.41.04
Cancella tutte le voci superflue
togli anche malwarebytes se hai la versione free
e lascia avira.


la voce relativa ad avira Ŕ questa avgnt

Mastro1
06-03-2012, 16.49.12
Ok fatto...grazie davvero per l'aiuto e per la pazienza che hai avuto..sei stato un Grande!
Grazieee :)

VincenzoGTA
06-03-2012, 17.04.20
Di nulla,

Torna a trovarci quando vuoi

ciao!!!