Smart fortress

[mibe]

Non ci credo... Ieri mi sono preso un nuovo virus.

E' lo Smart Fortress. Da quello che ho potuto capire si è istallato e mi disattiva i sistemi di protezione (cliccando su Malwarebytes non si apre e nemmeno su Microsoft Security Essentials) esegue una finta scansione dove trova qualsiasi cosa brutta che si possa immaginare e poi chiede di rimuoverla perchè è una minaccia. Io ovviamente non ho dato l'ok (sò bravo, eh?).

Mi chiedo anche: prima di aprire qualsiasi sito esiste (oltre ad avere tutti i sistemi di protezione attivi, ovviamente) qualche sistema di prevenzione (prima proprio del click sul tasto di apertura del sito)?

Non mi resta che ringraziare in anticipo se anche questa volta sarete disponibili a darmi una mano.

[FrancescoFDAC]

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● una volta avviato clicca il pulsante Accetto: conferma cliccando Ok due volte
● segui le istruzioni che verranno rilasciate per eseguire la scansione:
"Tipicamente non impiega più di 10 minuti
Su pc molto infetti il tempo di scansione può raddoppiare facilmente"
● nel caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare (clicca il pulsante No)
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato dopo l'utilizzo del programma stesso.
Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, dovrai avviarla manualmente dalle Risorse del computer.

Se non riesci ad eseguirlo in modalità normale, prova in quella provvisoria.
Francesco

[mibe]

Grazie francesco. Non ho ancora fatto nulla perché ho paura che non posso disattivare firewall e antivirus perché il virus che ho preso me li ha annullati. Non vedo nella barra bassa l'icona piccola dell'antivirus.se provò a cliccare invece sull'icona di malwarebytes o microsoft essential antivirus non si aprono. Combofix richiede che siano disattivati ma come faccio se non posso accedervi ?

[Luke57]

Ciao, esegui ugualmente combofix, ignorando la disattivazione.

[mibe]

Ecco il report:

ComboFix 12-05-12.01 - Mio 12/05/2012 15.41.14.7.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1627 [GMT 2:00]
Eseguito da: H:\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E
c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E\529C536900002757423A83D2D151FC4E
c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E\529C536900002757423A83D2D151FC4E.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-12 al 2012-05-12 )))))))))))))))))))))))))))))))))))
.
.
2012-05-12 13:36 . 2012-05-12 13:36 56200 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{0FD9F90E-C2D5-4FB6-8904-89698C273707}\offreg.dll
2012-05-12 13:36 . 2012-05-12 13:36 29904 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{0FD9F90E-C2D5-4FB6-8904-89698C273707}\MpKsl3d11a43d.sys
2012-05-12 13:34 . 2012-04-12 22:36 6734704 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{0FD9F90E-C2D5-4FB6-8904-89698C273707}\mpengine.dll
2012-05-07 19:41 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-05-07 19:41 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-05-02 19:59 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-04-14 18:18 . 2012-04-14 18:19 -------- d-----w- c:\programmi\FastStone Photo Resizer
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-12 22:36 . 2012-03-19 21:02 6734704 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-03-17 13:04 . 2012-03-17 13:04 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-29 14:10 . 2008-04-14 04:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2008-04-14 04:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"MSC"="c:\programmi\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Mio\\Desktop\\utorrent.exe"=
.
R1 MpKsl3d11a43d;MpKsl3d11a43d;c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{0FD9F90E-C2D5-4FB6-8904-89698C273707}\MpKsl3d11a43d.sys [12/05/2012 15.36.19 29904]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 Installer Service;Installer Service;c:\documents and settings\All Users\Dati applicazioni\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}\Installer\InstallerService.exe [11/03/2012 21.51.53 125952]
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - MPKSL3D11A43D
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
2012-05-12 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
AddRemove-Smart Fortress 2012 - c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E\529C536900002757423A83D2D151FC4E.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-12 15:49
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2012-05-12 15:51:53
ComboFix-quarantined-files.txt 2012-05-12 13:51
.
Pre-Run: 48.065.712.128 byte disponibili
Post-Run: 48.467.808.256 byte disponibili
.
- - End Of File - - 4E90737C18511813E7E4AAFC387B34D2

[FrancescoFDAC]

Hai eseguito ComboFix da qui: H:\ComboFix.exe anzichè dal Desktop come ti avevo più volte suggerito.

Hai due antivirus installati, appena il PC riprende a funzionare (già ora a mio avviso, contraddicimi se sbaglio), disinstalla Avira:

Disinstalla Avira:
● cessane l'esecuzione dalla Traybar (vicino all'orologio)
● clicca su Start - Pannello di Controllo - Installazione Applicazioni e disinstalla Avira

Scarica Avira Registry Cleaner: http://dlpro.antivir.com/package/regcle ... ner_en.zip
● posiziona il file sul Desktop
● estrai il contenuto del file zippato sempre sul Desktop
● doppio click su RegCleaner
● clicca in basso a destra sul bottone Scan for keys
● una volta individuate le voci, clicca in basso a destra su Delete
● riavvia il sistema

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Nota - riguardo al programma:
TFC by OldTimer serve ad eliminare i file temporeanei di tutti gli utenti, con facilità e velocemente

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Nota - riguardo al programma:
OTC by OldTimer serve ad eliminare i programmi che abbiamo utilizzato per la pulizia (ComboFix in particolare) in modo automatico e preciso: al riavvio non noterai più l'icona di ComboFix, è del tutto normale

Il PC è a posto.
Se non riscontri altri problemi, possiamo chiudere qui.
Francesco

[mibe]

Adesso procedo. Se Avira è ancora, in qualche modo presente, lo è ma non lo dà a vedere (perchè già tempo fa lo avevo disinstallato ...); infatti nella traybar io non lo vedo. E neanche in Start - Pannello di Controllo - Installazione Applicazioni c'è.

[mibe]

Eseguite le tre operazioni indicate.

Se abbiamo concluso, ricolgo l'occasione di ringraziarvi Francesco e Luke.

Ciao.

[FrancescoFDAC]

Ciao Mibe.
Stammi bene!
Francesco

[mibe]

Il rompi è tornato poco fa. Quindi o non lo avevo eliminato del tutto oppure me lo sono ribeccato
Tra l'altro adesso non mi fa aprire le pagine internet perchè subito dopo esce un messaggio nella pagina che dice che che il file che sto cercando di aprire può nuocere al PC e di attivare Smart Fortress ... Certo che è una rottura!!
Ho provato a lanciare Combofix (dal desktop Francesco) ma non me lo lascia lanciare e mi dice che è (ComboFix) infetto.
Provo a lanciarlo in modalità provvisoria?

[mibe]

Ho provato senza successo 5-6 volte a accendere o riavviare il pc in modalità provvisoria cliccando più volte e anche tenendo premuto F8 senza successo. Non so se sia SF (SmartFortress) ad impedirlo. Ho provato come l'altra volta a scrivere dopo aver premuto menù ed esegui e poi msconfig e poi come viene suggerito anche qui http://www.megalab.it/2556/3/come-avvia ... rovvisoria ma non me lo lascia fare dice che è infetto.

[mibe]

Sono riuscito a lanciarlo ora.

[mibe]

Ecco il report:

ComboFix 12-05-18.03 - Mio 18/05/2012 23.45.38.8.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1634 [GMT 2:00]
Eseguito da: c:\documents and settings\Mio\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Mio\Impostazioni locali\Dati applicazioni\dzlayxgjb.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-04-18 al 2012-05-18 )))))))))))))))))))))))))))))))))))
.
.
2012-05-18 21:43 . 2012-05-18 21:43 56200 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{671A074B-67BA-4E9E-A0B7-668F01FE226A}\offreg.dll
2012-05-18 21:42 . 2012-05-18 21:42 29904 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{671A074B-67BA-4E9E-A0B7-668F01FE226A}\MpKsled299b4d.sys
2012-05-18 21:32 . 2012-05-08 16:40 6737808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{671A074B-67BA-4E9E-A0B7-668F01FE226A}\mpengine.dll
2012-05-18 20:23 . 2012-05-18 20:23 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E
2012-05-18 19:35 . 2012-05-18 19:35 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-05-07 19:41 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-05-07 19:41 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-05-02 19:59 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-08 16:40 . 2012-03-19 21:02 6737808 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-03-17 13:04 . 2012-03-17 13:04 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-02-29 14:10 . 2008-04-14 04:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2008-04-14 04:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"MSC"="c:\programmi\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\Mio\\Desktop\\utorrent.exe"=
.
R1 MpKsled299b4d;MpKsled299b4d;c:\documents and settings\All Users\Dati applicazioni\Microsoft\Microsoft Antimalware\Definition Updates\{671A074B-67BA-4E9E-A0B7-668F01FE226A}\MpKsled299b4d.sys [18/05/2012 23.42.59 29904]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14.16.28 130384]
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 18.30.57 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18/05/2012 21.35.57 40776]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14.16.28 753504]
S4 Installer Service;Installer Service;c:\documents and settings\All Users\Dati applicazioni\NokiaInstallerCache\ProductCache\{D5878294-C113-43c5-A24F-FC333C52015A}\{92D1CEBC-7C72-4ECF-BFC6-C131EF3FE6A7}\Installer\InstallerService.exe [11/03/2012 21.51.53 125952]
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - MPKSLED299B4D
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-05-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2012-05-18 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
2012-05-18 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-18 23:53
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2012-05-18 23:55:17
ComboFix-quarantined-files.txt 2012-05-18 21:55
.
Pre-Run: 37.954.256.896 byte disponibili
Post-Run: 38.230.835.200 byte disponibili
.
- - End Of File - - ADB874C25AD3704C5DF683F06E8A9F03

[nikita75]

http://www.enigmasoftware.com/downloade ... taller.exe
http://www.enigmasoftware.com/downloade ... taller.exe
http://www.enigmasoftware.com/
è un rogue un virus canaglia . fai una scansione con spy hunter

i risultati delle scansioni vengono falsate dal virus


http://www.myantispyware.com/2012/02/29 ... 012-virus/

[mibe]

Grazie. Sta eseguendo la scansione.

A fine scansione cosa è consigliato fare (non si legge bene la parte in italiano in cui si descrive cosa fare, nel senso che dove consiglia cosa fare c'è, al posto della parola, "&quot") ripara o ripara selezionati (o altro?).

In pratica dice: "Di seguito è riportato un elenco di oggetti malware pericolosi che stanno attualmente infettando il computer. Una volta completata la scansione, clicca su &quot, Ripara le minacce" o" Ripara Selezionati" per eliminare questi oggetti".

Ha finito la scansione: ho cliccato sul tasto per rimuovere però è uscita una finestra in cui si dice che "Al fine di utilizzare la funzionalità di rimozione di SpyHunter, è necessario acquistare la versione completa.
Dopo esserti registrato riceverai:
...
In fondo ci sono tre possibilità: "Ho già acquistato" "cancella" o "registrati adesso!"

Che devo fare?

[nikita75]

Non fare niente
segui l'altro che ti ho indicato sotto . trovi la procedura per rimuoverlo .

la pagina e' in inglese ..io con Google translate ho potuto tradurla . e' facile il procedimento e intuitivo

http://www.myantispyware.com/2012/02/29 ... 012-virus/

Devi entrare in modalita provvisoria con F8

..-Avviare Internet explorer e andare alle opzioni Internet da STRUMENTI



dopo devi andare in CONNESSIONE


poi andare su Lan e Deseleziona "Utilizza un server proxy" box. Fare clic su OK per chiudere Impostazioni Lan e fare clic su OK per chiudere le impostazioni di Internet Explorer.

Passo 3. Riparazione "in esecuzione di file con estensione exe".

Scaricare il seguente file fixexe.zip ed estrarre sul desktop. Fare clic destro per fixexe.inf e selezionare Installa.
Riavviare il computer.


Fase 4. Rimuovere intelligente Fortress 2012 di malware associato

Scarica Malwarebytes Anti-Malware (mbam). Una volta scaricato, chiudere tutti i programmi e le finestre sul vostro computer.

Fare doppio clic sull'icona sul desktop denominata mbam-setup.exe. Verrà avviata l'installazione di Malwarebytes Anti-Malware sul vostro computer. Quando l'installazione inizia, continuare a seguire le istruzioni per proseguire con il processo di installazione. Non apportare modifiche alle impostazioni predefinite e quando il programma ha finito di installare, assicurarsi che sia un segno di spunta posto accanto alla "Aggiorna Malwarebytes 'Anti-Malware" e lanciare "Malwarebytes' Anti-Malware". Quindi fare clic su Fine.

Malwarebytes Anti-Malware ora avviato automaticamente e verrà visualizzato un messaggio che indica che è necessario aggiornare il programma prima di eseguire una scansione. Se un aggiornamento viene trovato, verrà scaricato e installato l'ultima versione.
http://download.cnet.com/Malwarebytes-A ... 03e9e9f699

Come Malwarebytes Anti-Malware si aggiornerà automaticamente dopo l'installazione, è possibile premere il pulsante OK per chiudere quella scatola e si sarà ora nel menu principale. Vedrete finestra simile a quella riporta



Assicurarsi che l'opzione "Esegui scansione rapida" sia selezionato e quindi fare clic sul pulsante Scan per avviare la scansione del computer per smart Fortress 2012 l'infezione . Questa procedura può richiedere un certo tempo, quindi per favore sii paziente.

Quando la scansione è terminata una finestra di messaggio verrà visualizzato che la scansione è stata completata con successo. Fare clic su OK. Ora cliccate "Mostra risultati". Verrà visualizzato un elenco di elementi infetti simili come illustrato di seguito.
Nota: elenco di elementi infetti può essere diverso da ciò che viene mostrato nell'immagine qui sotto.



Assicurarsi che tutte le voci hanno un segno di spunta alla loro sinistra e fare clic su "Rimuovi selezionati" per rimuovere intelligente Fortress 2012 . Malwarebytes Anti-Malware ora rimuovere tutte associate intelligenti Fortress 2012 file e chiavi di registro e aggiungerli alla quarantena dei programmi. Quando Malwarebytes Anti-Malware ha terminato la rimozione dell'infezione, si aprirà un registro nel Blocco note e si può essere richiesto di riavviare.

Smart Fortress 2012 rimozione note
Nota 1: se non riesci a scaricare, installare, eseguire o aggiornare Malwarebytes Anti-malware, quindi seguire le istruzioni: Malwarebytes vinto `t installare, eseguire o aggiornare - Come risolvere il problema .

Nota 2: se hai bisogno di aiuto con le istruzioni, poi inviare le vostre domande al nostro forum Spyware Removal .

Nota 3: il tuo antispyware corrente e lasciare che il software antivirus infezione attraverso? Poi si può prendere in considerazione l'acquisto della versione FULL di Malwarebytes Anti-malware per proteggere il vostro computer in futuro.


prova

[Luke57]

@Nikita
Capisco le buone intenzioni, ma suggerire spy hunter....
@Mibe
Ciao, lascia stare spy hunter, disistallalo subito.
Cerca ed elimina questa cartella:
c:\documents and settings\All Users\Dati applicazioni\529C536900002757423A83D2D151FC4E
Hai sempre problemi?

[mibe]

Ciao. Ho eliminato la cartella e disinstallato spy hunter.

Non so se sono rimba io ...Non riesco mai a entrare in modalità provvisoria con F8 (e se entro da start, esegui msconfig ...non posso utilizzare internet).
So che si deve premere F8 subito dopo l'iniziale beep che si sente. Ma premerlo brevemente e poi rilasciare, oppure tenerlo premuto per alcuni secondi, oppure ancora premerlo brevemente ripetutamente? Ho provato molte volte senza riuscirci (tanto da temere che sia il rompi di Smart Fortress a impedirmelo; non so se ciò sia possibile...).

L'icona di Smart Fortress è ancora lì. E' apparentemente quiescente (e non parte da solo ultimamente) ... ma presumo pronto a fare altri danni ...

[FrancescoFDAC]

Devi premere F8 ripetutamente, quasi ininterrottamente.
Bada però che ciascun Computer ha il tasto di Accesso alla modalità provvisoria diverso: il mio è f8, per il netbook di mio padre Esc, o Canc.. varia da modello a modello.

[nikita75]

per win xp se non funziona F8 entra direttamente dal prompt dei comandi
segui questo link

http://www.carloneworld.it/Informatica- ... isoria.htm


verrà visualizzata l'"Utilità Configurazione di sistema";
andare in "BOOT.INI" e selezionare "/SAFEBOOT" premere ok e poi riavviare .

Per far ripartire il computer in modalità normale bisogna ripetere tutti i passaggi sopra illustrati e DESELEZIONARE la voce "/SAFEBOOT"; quindi chiudere tutti i programmi e riavviare il computer.

grazie carloneworld