www.MegaLab.it

[ripgsm]

Salve, ho fatto una scansione con Hijackthis ieri, dopo aver postato il log, mi e' stato detto cosa "Fixare", cosa disinstallare e di fare una scansione Rapida con "MalwareBytes" del sistema, dopo aver Fixato le voci che vi mostrero' sotto, ho disinstallato come da istruzioni, infine ho scansionato con il programma sopra, risultato, mi ha trovato una sola voce e dopo aver visto di cosa si trattava, andando alla fonte sul reg. di windows, ho visto che era un "Adware.2020se..." categoria "Registry Key", Elemento: "HKEY_CLASSES_ROOT\downloader.downloaderctrl1" di cui allego il LOG completo della scansione, ho messo il file in quarantena e nn so cosa fare se eliminarlo o meno.
Per precisione, in ordine cronologico, vorrei mettere tutto chiaro, in modo da capire tutti il problema, ok, parto con il primo LOG di HijackThis del 5/10:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.46.04, on 05/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Nero\Update\NASvc.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RaConfig2500.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Eps_Reg.exe] C:\DOCUME~1\ripgsm\IMPOST~1\Temp\Eps_Reg.exe /L /NSmartCard2000
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RaConfig2500.lnk = C:\WINDOWS\system32\RaConfig2500.exe
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.google.it
O15 - Trusted Zone: http://www.gsmserver.com
O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.gsmserver.com/smartclip/SmartClip.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 9034656234
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: @C:\Programmi\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Programmi\Nero\Update\NASvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7107 bytes

Mi sono state consigliate queste Azioni da fare,
Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked
con queste voci da Fixare:

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Eps_Reg.exe] C:\DOCUME~1\ripgsm\IMPOST~1\Temp\Eps_Reg.exe /L /NSmartCard2000
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: http://www.google.it
O15 - Trusted Zone: http://www.gsmserver.com
O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.gsmserver.com/smartclip/SmartClip.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 9034656234
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

e POI,
Disinstalla:
--- Guida per l'accesso a Windows Live,

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.

FATTO TUTTO
1) questa e' la scansione odierna di HIJACK dopo aver eseguito alla lettera tutto, e se e' rimasta ancora qualche voce da eliminare, se cortesemente mi potete suggerire quale finisco di Fixare il resto, o se devo disinstallare/re-installare programmi:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.24.22, on 06/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Update\NASvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Microsoft ActiveSync\Wcescomm.exe
C:\WINDOWS\system32\RaConfig2500.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: RaConfig2500.lnk = C:\WINDOWS\system32\RaConfig2500.exe
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: @C:\Programmi\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Programmi\Nero\Update\NASvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5679 bytes

Questi sono tutti i files di Backup che ho ottenuto Fixando le Voci suggerite e altre che avevo fixato io il giorno prima su indicazione dei vostri Thread:

backups.rar

Questo e' il LOG di MalwareBites:

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 4747

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/10/2010 16.45.46
mbam-log-2010-10-05 (16-45-46).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 139506
Tempo trascorso: 14 minuti, 18 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\downloader.downloaderctrl.1 (Adware.2020search) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

Adesso e' in Quarantena, non so, nn conoscendo il programmino, che si e' rivelato "Ottimo", perche' prima chiede cosa fare, ti porta anche sul punto di registro dove c'e' il file infetto, (nel mio caso), puoi vedere con HELP di cosa si tratta e la pericolosita', ma soprattutto, puoi Ripristinarlo in caso di errore, quindi vorrei sapere cosa fare del file infetto, se "Eliminarlo definitamente" o lasciarlo dove sta, grazie

Premetto che i programmi funzionano tutti, anche se nn li ho testati materialmente, ma solo aperti, le BOX e tutte le registrazioni nn sono state danneggiate e non ho perso crediti o altro, ma cambiamenti notevoli, devo essere sincero nn li ho rilevati, soprattutto nn e' come era prima il pc all'apertura, caricava in ordine "Vero", Antivirus, scanner (sentivo il rumore dell'accensione), Actyve Syncronie, Rete, Skype, Windows Live ecc..., ora invece, mi carica in quest'ordine: Antivirus, Actyve Sincronye, icona volume, scanner (sento il rumore di accensione solo dopo l'avvio di queste altre opzioni), Skype, Windows Update, RETE (anche se nn mi da' l'icona, vedo che ha caricato perche' l'icona si skype diventa VERDE, quindi e' on-line) e Windows Live.
ripgsm

[Ale2695]

Se il sistema operativo da quando hai messo la chiave in quarantena funziona bene, non vedo perché non dovresti eliminarlo definitivamente. Cancellalo pure senza problemi!

[ripgsm]

E' quello il punto, si, quella la posso eliminare definitivamente, ma nn ho risolto i problemi, che avevo, il SO nn va come dovrebbe, lo ho scritto in fondo al post,
cordialmente
ripgsm

[FDAC]

Scarica ComboFix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\pippo.exe" /killall
Premi OK, si dovrebbe avviare la scansione.

[Ale2695]

E' quello il punto, si, quella la posso eliminare definitivamente, ma non ho risolto i problemi, che avevo, il SO non va come dovrebbe, lo ho scritto in fondo al post,
cordialmente
ripgsm

Hai ragione, non avevo letto l'ultima parte, segui quello che ti ha consigliato di fare FDAC e facci sapere

[ripgsm]

Solo una domanda, e lo ribadisco perche' ho troppi programmi importanti e BOX connesse che costano fior di soldini, se e' un file di immaggine e tutto si puo' ripristinare, allora posso dirvi che ho usato un BOOT-IMMAGE, ma purtroppo e' partito masterizzandolo una volta, poi ora se ci clicco sopra mi dice che le dimensioni sono troppo grandi, su un cd da 700MB ed il file e' grande, ma nn supra di certo il cd, la prima volta me lo ha masterizzato senza nessun problema.
Ecco, mi interessava sapere se si trattava di qualcosa del genere, perche' mi piace conoscere cosa vado a fare, inteso che nn e' per mancanza di fiducia, ma sapere cosa faccio mi rende MOLTO piu' tranquillo, specie su un pc di lavoro, scusate e grazie

[FDAC]

Combofix è un Tool che si occupa di rimuovere delle componenti dannose dal tuo sistema.

[Ale2695]

Combofix è un Tool che si occupa di rimuovere delle componenti dannose dal tuo sistema.

preciso: un Tool da usare in locale sul pc, con il sistema operativo avviato, semplicemente aprendo il file .exe, senza bisogno di alcuna immagine CD.

[Uomo_Senza_Sonno]

Combofix è un Tool che si occupa di rimuovere delle componenti dannose dal tuo sistema.

C'è da considerare che combofix è un'arma a doppio taglio: si deve utilizzare solo in casi di reale necessità, e a volte è preferibile non impiegarlo poichè in pc particolarmente infetti potrebbe renderlo inutilizzabile dal momento che non ci va tanto per il sottile con la rimozione di files infetti, che siano di sistema o meno (a me è successo).
Inoltre c'è da tenere presente che apporta alcune modifiche al registro, come la disabilitazione dell'autorun dei dispositivi esterni (cd, pendrive, HD esterni e via dicendo); questo non è un male, tuttavia l'autoplay può essere impiegato e quindi va ripristinato modificando alcuni valori di registro dopo l'utilizzo di combofix.

preciso: un Tool da usare in locale sul pc, con il sistema operativo avviato, semplicemente aprendo il file .exe, senza bisogno di alcuna immagine CD.

Io però non credo che in questo caso sia necessario utilizzare combofix, in quanto dai log non si evince nulla di particolarmente pericoloso per il sistema. A parte l'adware rimosso da mbam, non viene rilevato nulla. Se proprio necessario, sarà meglio utilizzarlo dopo aver fatto un controllo con il rescue disk di kaspersky, che nel caso provvederà a fare alcune pulizie senza fare danni.

soprattutto non e' come era prima il pc all'apertura, caricava in ordine "Vero", Antivirus, scanner (sentivo il rumore dell'accensione), Actyve Syncronie, Rete, Skype, Windows Live ecc..., ora invece, mi carica in quest'ordine: Antivirus, Actyve Sincronye, icona volume, scanner (sento il rumore di accensione solo dopo l'avvio di queste altre opzioni), Skype, Windows Update, RETE (anche se non mi da' l'icona, vedo che ha caricato perche' l'icona si skype diventa VERDE, quindi e' on-line) e Windows Live.

Per quanto ne so, può dipendere da installazioni, rimozioni, modifiche al registro... ma l'importante è che il sistema venga caricato correttamente e senza errori. L'ordine di caricamento dipende da tanti fattori, ma non ci vedo un problema in tutto questo. Poi, posso pure sbagliarmi.

[Ale2695]

soprattutto non e' come era prima il pc all'apertura, caricava in ordine "Vero", Antivirus, scanner (sentivo il rumore dell'accensione), Actyve Syncronie, Rete, Skype, Windows Live ecc..., ora invece, mi carica in quest'ordine: Antivirus, Actyve Sincronye, icona volume, scanner (sento il rumore di accensione solo dopo l'avvio di queste altre opzioni), Skype, Windows Update, RETE (anche se non mi da' l'icona, vedo che ha caricato perche' l'icona si skype diventa VERDE, quindi e' on-line) e Windows Live.

Per quanto ne so, può dipendere da installazioni, rimozioni, modifiche al registro... ma l'importante è che il sistema venga caricato correttamente e senza errori. L'ordine di caricamento dipende da tanti fattori, ma non ci vedo un problema in tutto questo. Poi, posso pure sbagliarmi.

Lo volevo dire pure io, ma un controllino non fa mai male (e poi FDAC mi ha preceduto...)

[FDAC]

Alcune infezioni non vengono rilevate ne' da Hijackthis ne' da Malwarebytes.

[Uomo_Senza_Sonno]

Alcune infezioni non vengono rilevate ne' da Hijackthis ne' da Malwarebytes.

Assolutamente vero, ecco perché nel post precedente ho indicato il rescue disk di kaspersky. Oltre a HJT e MBAM non c'è solo combofix... e visto il caso, è meglio andare con i piedi di piombo.

[ripgsm]

Allora, io ho scaricato "combofix" e gia' rinominato in "pippo", ma....leggendo un attimo bene anche tutti gli altri interventi e basandomi su discrete esperienze in merito, e anche dopo aver letto questo:

C'è da considerare che combofix è un'arma a doppio taglio: si deve utilizzare solo in casi di reale necessità, e a volte è preferibile non impiegarlo poichè in pc particolarmente infetti potrebbe renderlo inutilizzabile dal momento che non ci va tanto per il sottile con la rimozione di files infetti, che siano di sistema o meno (a me è successo).
Inoltre c'è da tenere presente che apporta alcune modifiche al registro, come la disabilitazione dell'autorun dei dispositivi esterni (cd, pendrive, HD esterni e via dicendo); questo non è un male, tuttavia l'autoplay può essere impiegato e quindi va ripristinato modificando alcuni valori di registro dopo l'utilizzo di combofix.

Vedo che i miei sospetti, ripeto basati gia' su altre prove di questo tipo, quali un AVG che si e' portato via 3/4 di file .exe del PC, o un "kaspersky", che ha fatto la stessa identica cosa del primo, con l'unica differenza che per disinstallarlo, sono dovuto ricorrere ad una terza formattazione, risolvendo il tutto, semplicemente mettendo un antivirus del tipo "avira", settato in modo da NON distruggere prima e poi chiedere, e un piccolo Antispyware e Malware, sempre settati in modo da "Chiedere prima" cio' che vorrebbero togliere.
Ma la cosa che mi lascia piu' perplesso, (del resto per far pulizia come si deve, ci sono solo questi modi), e' il fatto che:

in pc particolarmente infetti potrebbe renderlo inutilizzabile dal momento che non ci va tanto per il sottile con la rimozione di files infetti, che siano di sistema o meno

e pure questo:

Inoltre c'è da tenere presente che apporta alcune modifiche al registro, come la disabilitazione dell'autorun dei dispositivi esterni (cd, pendrive, HD esterni e via dicendo);

della quale io sono super fornito, ripeto per il mio lavoro.
Quindi, una volta che questo programma, senza avere un file di immaggine che posso riportare tutto come sta, anche adesso, nn credo mi ritorni molto utile il fatto che mi cambia le varie lettere su HD esterni, CD, Pendrive ecc..., su cui ho una barca di DATI e che gia' ne conosco il risultato, cambiando le lettere, diventano file Inaccessibili o Vuoti in apparenza, credo proprio nn mi possa permettere di usare un programma di questo tipo.

E' verissimo che e' cambiato il modo di caricare, ma come giustamente viene sottolineato, "importante che carichi correttamente", ci sono i valori di registro cambiati, sono daccordo anche su questo, ma gia', con il FIX fattomi fare con Hijachthis, ho rimosso buona parte di roba, (ved. Backup), inoltre l'altro programmino, lavora pulito, chiede prima cosa fare e sinceramente, sto pensando semplicemente di disinstallare e re-installare le applicazioni o programmi con valori sballati, pensate che rimettendo tutto dal loro start iniziale, nn vadino a sistemare voci di registro alterate? , chiedo, sapete, io mi occupo di telefonia e prima di fare una qualsiasi cosa che possa far perdere tutti i dati al cliente, CHIEDO, se posso farlo, perche' lanciando un programma del genere, io credo sia esattamente la stessa identica cosa.
Per cui, ammiro e apprezzo lo sforzo e l'aiuto , TUTTO in POSITIVO, datomi fino ad oggi da FDAC , ma farmi lanciare al buio un programma che sono certo, mi va a cancellare tutti gli exe perche' vede tutto in modo molto approfondito, preferirei piuttosto una soluzione meno "Invasiva", questo e' il mio pensiero, cosa c'e' da suggerirmi a parte "kaspersky", o soluzioni molto invasive?, in fondo sta camminando, ci sto lavorando, certo, ho un bel po' di Trojan, ma sfido chi nn li ha oggi sul suo pc, anche con i migliori antivirus o anti.....che esistano, basta leggere una email anche da un amico inconsapevole, ed ecco che ci siam beccati un Trojan.
Quindi, c'e' un altro modo per sistemare questi errori che vedo anche da "Gestione Computer", su false directory o root che nn si trovano o DLL miracolosamente sparite o rinominate?
Grazie mille
ripgsm

[ripgsm]

Dimenticavo, ho tentato di scaricare "il rescue disk di kaspersky", ma e' partito un file ISO, come funziona questo programma?

[farbix89]

Dimenticavo, ho tentato di scaricare "il rescue disk di kaspersky", ma e' partito un file ISO, come funziona questo programma?

Devi masterizzarlo su CD e avviarlo nel lettore prima del sistema operativo,all'avvio del PC.

[The Doctor]

Dimenticavo, ho tentato di scaricare "il rescue disk di kaspersky", ma e' partito un file ISO, come funziona questo programma?

Lo scarichi e lo masterizzi. Cliccandoci sopra si dovrebbe aprire automaticamente il programma di masterizzazione che usi

[FDAC]

Combofix mica elimina tutti gli exe; diciamo che qualche volta, ma assai raramente, elimina un file riferito ad un programma lecito particolare.
Prova con il Rescue CD, certo, ci metterà giusto un poco di più di Combofix ma se hai tempo da dedicarci su.
Ciao :)

[Uomo_Senza_Sonno]

cosa c'e' da suggerirmi a parte "kaspersky", o soluzioni molto invasive?

Per quanto possa valere la mia opinione, il kaspersky tra i migliori antivirus in commercio, se non, il migliore. Tra quelli free se la giocano Avira e Avast e il secondo in certi frangenti si comporta meglio del primo.
Tuttavia l'iso che ti ho consigliato non fa tutto in automatico (per fortuna), ma a seconda di quello che trova puoi ignorare, aggiungerci eccezioni ecc ecc. Questo controllo serve per verificare la presenta di elementi davvero nocivi nel sistema, e non si comporta assolutamente come combofix. Ma ad ogni modo, se vuoi provare con qualche altro rescue disk, come quello di avira.

Combofix mica elimina tutti gli exe; diciamo che qualche volta, ma assai raramente, elimina un file riferito ad un programma lecito particolare.

Io parlo per esperienza diretta, e ti assicuro che non è tanto simpatico avere il sistema compromesso dopo una scansione con combofix. In genere, per uccidere una mosca non si utilizza la bomba atomica.

[ripgsm]

Ok, ragazzi, grazie di tutto, visto che adesso bene o male sta camminando, si e' un po' piu' lento e vedo delle directory "Nuove" mai create sul registro, ma visto che tutto sommato sta tirando e che mi serve, ripeto, per lavoro, preferisco fare qualche operazione sopra descritta, nn appena ho un po' di tempo per testare ed essere soprattutto preparato con la copia di tutto cio' che e' importante, grazie ancora
ripgsm