Ciao, innanzitutto ti do un consiglio. Quando la guard segnala qualcosa, invece di cliccare su "nega accesso" che semplicemente nega in quel momento al file di avviarsi, dovresti provare a spostarlo in quarantena o eliminarlo.

In ogni caso comunque questo file si trova nel ripristino di sistema, zona protetta e dunque incancellabile.

Per risolvere devi disattivare il ripristino configurazione di sistema, riavviare il pc, riattivare il ripristino e creare un nuovo punto se il pc funziona bene.

ps: se non sai disattivarlo si fa così:**
**Start--->tasto dx su risorse del computer-->scheda ripristino configurazione di sistema-->seleziona la voce disattiva ripristino...

Operazione inversa per riattivarlo.

****pps: gli altri problemi li hai risolti?

Ciao ragazzi, è da circa una settimana che ho riaperto il mio sito dopo alcuni mesi di chiusura dovuta a mancanza di tempo per gestirlo.

Adesso però sorge un problema: non posso più accedere a php-stats. In particolare inserisco la password e restituisce sempre l'errore "ATTENZIONE: password non valida." Ho provato anche reimpostandola tramite attivazione via mail, ma anche inserendo la nuova pass l'errore rimane.
Come posso fare a risolvere questo problema, senza perdere tutti i dati vecchi delle statistiche?
ps: l'e-mail con il resoconto settimanale dei dati arriva comunque.
pps: se può servire questo è l'indirizzo di php-stats http://soccerclub.altervista.org/stats/admin.php

[...] è un nuovo sistema energetico in card o bracciale che sembra avere effetti ancora migliori dell'ormai famosissimo Power Balance .

Per acquistare [...] basta cliccare su questo link e inserire nome e e-mail; dopo di che comparirà una pagina dove è possibile acquistare in tutta sicurezza il prodotto godendo anche della garanzia soddisfatti o rimborsati.

Ma non è finita! Tramite un programma di affiliazione è possibile guadagnare semplicemente sponsorizzando il prodotto e, dicono ma non ho ancora capito come, facendo iscrivere nuova gente.

Sinceramente ho letto solo opinioni positive riguardo sia l'efficacia del prodotto sia il programma di affiliazione.

Volevo farvelo conoscere e avere un vostro parere.

[**************]

Fammi sapere il pc come va e se vuoi per scrupolo riposta un log hijackthis.

In ogni caso fai anche una scansione dell'HD esterno con il tuo antivirus per evitare il reistaurarsi di una nuova infezione;)

Bene, allora combofix ha eliminato due file infetti, tra cui l'autorun della periferica "I:" che cos'è? (pen drive, Hd esterno..)
Quell'autorun poteva provocarti il restaurarsi di una nuova infezione.

Per il resto dal log non mi convince questo:
c:\documents and settings\Andy\Impostazioni locali\Dati applicazioni\btjbivryp

Controlla se è un file o una cartella. Se è una cartella eliminala, se è un file fallo controllare qui www.virustotal.com e posta il link con i risultati.

Altra cosa che non mi convince è questo:
c:\documents and settings\Andy\Dati applicazioni\EasySearch

Easy serch è uno spyware, elimina anche questa cartella e dai una ripulita dei file temporanei con Ccleaner.

Inoltre, so che non vuoi installare nuovi software, ma farei anche una scansione con malwarebytes se non l'hai ancora fatta che è più efficace di superantispyware (te lo posso garantire essendo un "malware hunter" proprio per Malwarebytes, ha un supporto nella ricerca di nuovi malware eccezionale);)

@calcioscacchi said:

Mh...bhè dato che il processo iexplore non sembra più dare problemi, mi sembra inutile fare tremila scansioni con tremila antimalwares.

Adesso sto cercando di capire il problema che ho con la connessione all'avvio.
Se non vuoi farala sono tue scelte, ma combofix è davvero un ottimo tool e non so se anche il problema della connessione potrebbe dipendere da un rimasuglio di infezione.

Comunque il problema del processo iexplore, se è quel bootkit che ti dicevo che si sta diffondendo in questo mese, di certo non è stato risolto dalle precedenti scansioni ma è molto più ostico.

Ciao, calcioscacchi, effettua una scansione con combofix http://www.bleepingcomputer.com/download/anti-virus/combofix salvalo sul desktop, chiudi tutte le applicazioni, disattiva il real time dell'antivirus e avvia combofix. Seui le istruzioni a video per iniziare la scansione. Al termine il pc si riavvierà e dopo un po' comparirà un log, caricalo su mediafire e dacci l'indirizzo.
**NB: combofix potrebbe sembrare bloccarsi soprattutto dopo il riavvio nella creazione del log: è normale sta lavorando l'importante è che non tocchi assolutamente il pc, neanche muovendo il mouse.

**Poi puoi spiegare meglio il poblema del processo iexplore.exe? Questo mi fa pensare tanto ad un bootkit che si sta diffondendo molto ostico da eliminare.

Ciao, ti sei beccato davvero una brutta minaccia. E' un rootkit che si annida nell'mbr diventano in pratica irriconoscibile (quasi) da qualsiasi software antivirus e difficilissimo da rimuovere.
Prova questa procedura a tuo rischio! In altri casi ha funzionato ma il software in questione può creare in pochi casi alcuni problemi nell'avvio.

Scarica bootkit remover da qui esagelab.com/files/bootkit_remover.rar salvalo in C:\ ed estrailo lì. Avvialo e vai su start-->esegui--> e copia incolla questo:
C:\remover.exe fix \.\PhysicalDrive0
Ti ripeto per ora è l'unica soluzione che conosco all'infezione ma dopo può esserci qualche problema nell'avvio del pc risolvibile attraverso la console di rpristino.

@BANG80 said:

Certo per controllare cosa c'è in avvio basta hijackthis o start-->esegui-->msconfig .
Che c'entrano le connessioni col firewall? Internet va e il firewall di windows no, giusto?
Edit: ho riletto meglio il tuo messaggio, per caso sei stato infettato da bagle di recente?

Dal log puoi fixare questo:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)

Più eventualmente le voci 016 riferite a gamedesire se non giochi più a quei giochi o almeno non frequentemente.

Per il resto il log è pulito, dovremmo aver risolto:)

Combofix ha eliminato un bel po' di schifezze rimaste.
Ripulisci i file temporanei con CCleaner e posta un nuovo log di hijackthis.

Fai anche la scansione con combofix;)

Questo non andava fixato; è una voce relativa a windows live:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Vedi di ripristinarlo dai backup di hijackthis.

Dal log di malwarebyte's sembra che non hai effettuato azioni: hai scelto di cancellare le infezioni?

Comunque scarica cambofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop, disconnettiti, disattiva l'AV e chiudi tutti i programmi.
Quindi avvia combofix ed inizia una scansione. AL termine,dopo il riavvio,posta il log che comparirà a video sempre su quel sito.
**NB: potrebbe essere rilevato come infetto dall'AV, ignora l'avviso e disattiva l'AV.
Potrebbe metterci del tempo, lascialo lavorare e non toccare il pc mentre scansiona
**

Ciao, purtroppo non riesco a scaricare nessun log perchè filefactory mi reindirizza ad altri file:?
E' un problema solo mio? Prova a riupparli.

Ciao, sei ancora un po' infetto.
Scarica avenger http://swandog46.geekstogo.com/avenger2/download.php e salvalo sul desktop.
Avvialo e nella casella bianca copia/incola questo:

Files to delete:
C:\DOCUME~1\ALBERTO\IMPOST~1\Temp\olhrwef.exe
C:\WINDOWS\AhnRpta.exe

Folders to delete:
****C:\DOCUME~1\ALBERTO\IMPOST~1\Temp
C:\Windows\Temp
C:\Windows\TasksTogli la spunta da search for rootkit e premi execute: il pc si riavvierà. All'accensione comparirà un log che devi postarci.

Poi avvia hijackthis e fixa queste voci se ancora presenti:

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=%s
O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\ALBERTO\IMPOST~1\Temp\olhrwef.exe

Quindi alla fine posta un nuovo log hijackthis e il log di avenger.;)

Ad-Aware puoi anche toglierlo non è molto efficace.
Meglio malwarebyte's e SuperAntiSpyware.
Edit: comunque non ho capito il senso delle operazioni che ti sono state consigliate: è possibile fixare tutto con hijackthis e poi file missing vuol dire che il file non c'è.

Da hijackthis clicca su do a system scan only e nella lista metti la selezione accanto a queste voci e premi in basso fix checked:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;
O2 - BHO: C:\WINDOWS\system32\had73sfdfd.dll - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had73sfdfd.dll (file missing)
O4 - HKLM..\Run: [LSA Shellu] C:\Documents and Settings\marta\lsass.exe
O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll
O20 - Winlogon Notify: __c00A0B2E - C:\WINDOWS\system32__c00A0B2E.dat (file missing)
O20 - Winlogon Notify: __c00FBEF1 - C:\WINDOWS\system32__c00FBEF1.dat (file missing)
O22 - SharedTaskScheduler: sdfsefsfdvdubgiungfuyd - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\afnoinkdsfe.dll (file missing)
O22 - SharedTaskScheduler: gsf87hfunf98398jd - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had73sfdfd.dll (file missing)
O23 - Service: avast!Antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe (file missing)

**NB: può essere che non trovi qualcuna di queste voci.

**A questo punto collegati sul sito www.virustotal.com e fai analizzare questo file:

c:\programmi\ThunMail\testabd.dll

Quindi postaci il link con i risultati di virustotal.

A questo punto riavvia il pc e posta un nuovo log hijackthis.

@DigitalDesign said:

Piuttosto quello che mi preoccupa un pò è

NAME: (no name)
KEY: {5C255C8A-E604-49b4-9D64-90988571CECB}
PATH: (no file)

Nei BHOs (Browser Helper Objects).
Questa è una voce inutile che può essere tranquillamente fixata con hijackthis.

Perché il log ti sembra incompleto?
E' stato riscontrato un solo rilevamento dell'euristica; il file è pulito quindi.

@ piggio: esegui anche combofix come ho suggerito nell'altra discussione;)

Prima di procedere con la scansione con malwarebytes fai così:
Clicca su start-->esegui e digita regedit.
Usando le caselline col segno + naviga fino a:
HKEY_LOCAL_MACHINE-->Software-->Microsoft-->Windows NT-->CurrentVersion
Ora clicca su Winlogon, a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e clicca su modifica, elimina quindi nella stringa di testo il valore:** C:\WINDOWS\system32\twext.exe, **
Deve quindi rimanere solo:
c:\windows\system32\userinit.exe,
Ricorda, deve rimanere la virgola!
Poi clicca su OK e riavvia il PC.

A questo punto scarica cambofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop,_disconnettiti, disattiva l'AV e chiudi tutti i programmi.
Quindi avvia combofix ed inizia una scansione. AL termine,dopo il riavvio,posta il log che comparirà a video sempre su quel sito.
**NB: potrebbe essere rilevato come infetto dall'AV, ignora l'avviso e disattiva l'AV.
Potrebbe metterci del tempo, lascialo lavorare e non toccare il pcmentre scansiona

Facci sapere
**

@Ilprincipino89 said:

Se hai un virus consiglio di effettuare una scansione antispyware (consiglio adaware), una scansione antivirus (consiglio avira antivir) e, infine, una pulizia del registro con ccleaner.

Spero possa tornarti utile
Probabilmente queste soluzioni le ha già provate, ma spesso non basta per eliminare virus più radicati che disabilitano i programmi di sicurezza!;)