www.MegaLab.it

[Francesco 67]

javascript:emoticon('[cry+]')Per favore aiutatemi. I sintomi sono questi: si aprono finestre da sole di siti tipo casinò online o simili
non funziona più la ricerca con google yahoo
non mi si aprono più le pagine di gmail myspace facebook
tutto ciò con firefox
con I Explorer invece google ricerca molto lentamente e si aprono molte più pagine di casinò poker etc e mi si chiede l'installazione di un java.
Questo è il log di hijackthis
http://www.mediafire.com/?l9mxby31mjl

[crazy.cat]

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\csrsr.dll
C:\WINDOWS\system32\mjeinodc.dll
C:\DOCUME~1\ETERNA~1\IMPOST~1\Temp\rbnpsrv.exe
C:\WINDOWS\system32\krlnvwxe.dll
C:\WINDOWS\system32\jqjvjcbk.dll

Folders to delete:
C:\Programmi\AntiSpywareBot


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.


Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix cheked per rimuoverle.

O2 - BHO: (no name) - {16C05D3D-E7E3-4319-97AE-82AA8AEF1565} - C:\WINDOWS\system32\ranhhhwf.dll (file missing)
O2 - BHO: (no name) - {28874DA5-633F-476B-B2D8-23B842EBA146} - C:\WINDOWS\system32\csrsr.dll
02 - BHO: {e91cf278-84f9-0e2a-3534-e116239f4777} - {7774f932-611e-4353-a2e0-9f48872fc19e} - C:\WINDOWS\system32\mjeinodc.dll
O2 - BHO: (no name) - {BC53E890-2693-4906-B6BD-BC2E293079F0} - C:\WINDOWS\system32\vtUklkIa.dll (file missing)
O2 - BHO: (no name) - {C7998812-8422-4133-A51D-381115B92C79} - C:\WINDOWS\system32\xxyawuvW.dll (file missing)
O2 - BHO: QXK Olive - {CBEAE823-62A1-42F5-BB5A-9C3DD83BD3EB} - C:\WINDOWS\boqnrwdmbqn.dll (file missing)
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\ETERNA~1\IMPOST~1\Temp\rbnpsrv.exe/r
O4 - HKLM\..\Run: [381bff62] rundll32.exe "C:\WINDOWS\system32\krlnvwxe.dll",b
O4 - HKLM\..\Run: [BM3b28ccfe] Rundll32.exe "C:\WINDOWS\system32\jqjvjcbk.dll",s
O4 - HKCU\..\Run: [AntispywareBot] C:\Programmi\AntiSpywareBot\AntispywareBot.exe -boot

ti scarichi anche vundofix e fai una scansione
http://vundofix.atribune.org/

Riavvii il pc e vedi come va e ci fai poi sapere.

[Francesco 67]

Grazie per la risposta ! Ho seguito le istruzioni e vi riporto i log
avenger http://www.mediafire.com/?eyduztmz9vf
hijack http://www.mediafire.com/?gnyjyumrcwn
si sono risolti i problemi di connessione e ricerca
rimane il problema di quasto csrsr.dll che sembra incancellabile
vundo fix non ha trovato niente.

[crazy.cat]

Fai analizzare il file csrsr.dll sul sito www.virustotal.com e vediamo di capire di che bestiaccia si tratta.
Poi puoi provare con unlocker ad eliminarlo, se rispunta fuori c'è qualcosa che lo ricrea.

[Francesco 67]

virustotal mi dice che ho caricato un file vuoto 0 byte
AVG lo chiama Troyan Horse BHO.BON ma non riesce a cancellarlo

[crazy.cat]

prova con unlocker
http://ccollomb.free.fr/unlocker/

[Francesco 67]

provato unlocker ma niente da fare, ho provato anche vari programmi di deletamento..niente
il file è riconosciuto da symantec come infostealer.BZUP ma neppure il metodo di rimozione scritto da Elia Florio per symantec sembra funzionare...

[ste_95]

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

[Francesco 67]

Eccoli !
http://www.freefilehosting.net/download/3ih51
http://www.freefilehosting.net/download/3ih53

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\csrsr.dll
C:\WINDOWS\system32\drivers\cdlinofl.dat

Regustry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\pujardkr

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[Francesco 67]

Error: file "C:\WINDOWS\system32\csrsr.dll" not found!
Deletion of file "C:\WINDOWS\system32\csrsr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

File "C:\WINDOWS\system32\drivers\cdlinofl.dat" deleted successfully.

Error: file "Regustry keys to delete:" not found!
Deletion of file "Regustry keys to delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
the object does not exist

[Francesco 67]

Il maledetto csrsr.dll sembra non esserci più...
grazie a tutti siete bravissimi !!!

[ste_95]

Ok, una chiave non si è tolta, esegui ancora questo:

Codice: Seleziona tutto

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\pujardkr