Olimpo Informatico

[lele76]

ho istallato da poco avg prima avevo avast ma mi è styato consigliato di disinstallarlo..insomma adesso acg all'apertura rileva delle minacce su un file chiamato themida o qualcosa del genere che si trova nella cartella sistem32, qualsiasi cosa io tenti mi appare il messaggio che eliminarlo potrebbe causare istabilità all sistema..adesso non so cosa fare e temo che stia provocando qualche casino perchè da quando avg ha rilevato queste minacce il computer ha dei comportamenti strani tipo si spegne oppure cosa inspiegabile dopo lo screen saver quando vado ad aprire il mio account c'è una paswoord che io non ho mai messo e per popter accedere devo per forza spengere e riaccendere. ..puo essere un virus o un derivato a acresrmi questi problemi?

[baciami]

themida mi pare sia un programma di protezione..dovresti saperlo se l'hai scaricato..

[Riverside]

Ciao Lele per ora, limitiamoci a fare una rapida verifica, quindi, scarica ed installa Hijackthis:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Una volta installato:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un log
● salva il log sul desktop ed allegalo, utilizzando questo servizio di upload: http://www.wikisend.com/
pubblicando, proseguendo in questa discussione, il link che ti verrà proposto dopo il carimento.

[lele76]

c'è un piccolo problema non mi va istallare Hijackthis...si blocca l'istallazionepa praticamente subito..

[Riverside]

[lele76]

windows xp professional versione 2002 con servece pack2

[Riverside]

Ok @ Lele, si procede cosi, per ora:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) scarica ed installa SuperAntispyware:
http://www.superantispyware.com/
devi scaricare la versione free - e la configuri come ho spiegato ad una altra utente in questo post: http://forum.zeusnews.com/viewtopic.php?t=35216
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

4) scarica ed installa MalwareBytes:
http://www.malwarebytes.org/
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

5) eseguiti i passaggi da 1) a 4), scarica ed installa CCleaner:
http://www.ccleaner.com/download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

A questo punto, disattiva il tuo Antivirus (o cessane l'esecuzione) e:

Scarica ed installa Kaspersky Virus Removal tool:
http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/

● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona le partizioni (C: ed eventualmente altre) da scansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi

Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà.

Ora prova ad installare Hijackthis e:

lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate md5 checksum of streams
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Riavvia il sistema e, dopo il riavvio rilancia Hijackthis:

● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i log richiesti (quello di SuperAntispyware, MalwareBytes, Kaspersky e Hijackthis) utilizza questo servizio di upload:
http://www.wikisend.com/
I link ai log pubblicali in un unico post, proseguendo qui.

[lele76]

sto tentando ..

[lele76]

è da ieri che provo a passare SUPERAntiSpyware Free Edition ma a metà si interrompe e mi appare la schermata blu che midice arresto improvviso del sistema...dice che il fai che ha problemi si chiama srosa.sys ho spento e riacceso e dice che ci sono problemi su questi 2 file
H:\DOCUME~1\EMANUE~1\IMPOST~1\Temp\WER27dd.dir00\Mini093008-03.dmp
H:\DOCUME~1\EMANUE~1\IMPOST~1\Temp\WER27dd.dir00\sysdata.xml
non riesco ad andare avanti..

[Riverside]

Scarica ed installa Elibagla:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
(scorri fino a fondo pagina e clicca su Descargar Elibagla per scaricare il tool)

● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log

[lele76]

ho fatto te volte la scanzione con Descargar Elibagla ma mai mi ha rilasciato un log..ho provato a cercarlo con cera dal menu start ma non esiste comunque se puo interessare dice che non c'è nessun file infetto

[lele76]

continuo a farlo ma niente log...

[Sante62]

[Riverside]

[lele76]

allora Infosat.txt non c'è sul computer ormai sono 3 giorni che lo cercoma niente non vi è traccia
stasera provo a rifare la procedura che mi hai consigliato prima vediamo che succede ti faccio sapere se ci riesco

[lele76]

scusate per il ritardo della riposta ma per motivi di lavoro non potevo..sono riuscito a capire che il roblema è il file srosa.sys che dicono sia un virus bastardo...appart che mi ha disativato avg poi mi ha tolo dal sistema la possibilità di attivare dal menu strumenti i file e le cartell nascoste...dicono che per risolvere questo problema bisogna andare sul registro di sistema e modificare/cancellare delle voci...voi ne sapete di sicuro più i me..AIUTO non voglio formattare ilcmputer..

[Sante62]

Non disabilitare il ripristino di sistema, se non l'hai già fatto, perchè il file srosa fa parte del bagle, quindi è pericoloso;

Hai detto che Elibagla non scansiona a quanto pare;

Individua l'eseguibile di Elibagla e prova a cambiarne il nome totalmente, lasciando invariata l'estensione ".exe";

Vedi poi se riesci a fare queste altre scansioni:

• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

[lele76]

grazie adesso tendo di fare anche questa operazione...fa differenza se vi dico che ho windoes vista..

[Sante62]

No, nessuna differenza per queste operazioni...

[lele76]

sono riuscito a passa solo MBAM gli altri 2 mi dice che il file non un operazione win32 valida e non me lo fa aprire