Olimpo Informatico

[Alliata]

antivirus avast e morto e disinstallato

[H5N1]

Per quanto riguarda DrWeb?
Hai seuguito le indicazioni di R1?

[R16]

Disistallalo in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /Uninstall
Attendi la fine dei lavori senza toccare tastiera, mouse o altro.

Fai una pulizia con CCleaner. (registro compreso)
Riavvia il pc.

Installa questa versione:
link

Fai la scansione.
Posta il log.
Finita la scansione, esegui lo script. (nelle modalità descritte.)
E posta il log che rilascia.

[Alliata]

in questo momento lo StoFacendo ...in Modalità provvisoria

[R16]

[Alliata]

R1 ha scritto:

Disistallalo in questo modo: Start Esegui nella finestra di dialogo, copia ed incolla questo comando: Combofix /Uninstall Attendi la fine dei lavori senza toccare tastiera, mouse o altro. Fai una pulizia con CCleaner. (registro compreso) Riavvia il pc. Installa questa versione: link Fai la scansione. Posta il log. Finita la scansione, esegui lo script. (nelle modalità descritte.) E posta il log che rilascia.

ComboFix: SWSC Non riconosciuto comando valido ...scansione .Dr.web ...in corso

[Alliata]

Ragazzi buongiorno,

vi ricordo che ancora sono senza tastiera per cui scrivo a monosillabi col mouse, mi ci vuole un'ora per un breve messaggio....

Mi date un programma alternativo a COMBOFIX o GMER da scaricare per provare a installare ? li ho disinstallati ovviamente.

Mi sto sempre più rassegnando a formattare...
grazie mille

[R16]

Ok, procediamo manualmente:
Clicca su:
Risorse del Computer.
Clicca su C:
Clicca: documents and settings
Clicca: All Users
Trova la cartella : BPK
All'interno della cartella trovi : bpkwb.dll
Lo elimini, e poi elimina la cartella : BPK

Adesso la parte più delicata:
Start\ Esegui\ digita regedit clicca ok.

Clicca sul + di: HKEY_LOCAL_MACHINE
Clicca sul + di: SOFTWARE
Clicca sul + di: Windows
Clicca sul + di: CurrentVersion
Clicca sul + di: Explorer
Clicca sul + di:Browser Helper Objects

Quando hai cliccato sul + di Browser Helper Objects, sotto, trovi dei valori.

Cerca e trova questo valore: {1d1b2879-99ff-11e3-8d96-d7acac95952a}

Cliccaci sopra con il tasto destro e scegli Elimina.
Chiudi il registro.
Svuota il cestino.
Riavvia il pc.
Tutto chiaro?

[Alliata]

Alla grande !!

Grazie, appena vado a casa lo faccio., dopo finito DrWeb (ancora in corso)

Drweb é sempre lì che gira da iera sera. Peccato che si blocca con pop-up quando trova roba sospetta o da eliminare.

Per il programma anti rootkit ?
Se me lo indichi faccio un check

[Alliata]

Ok, procediamo manualmente:
Clicca su:
Risorse del Computer.
Clicca su C:
Clicca: documents and settings
Clicca: All Users
Trova la cartella : BPK
All'interno della cartella trovi : bpkwb.dll
Lo elimini, e poi elimina la cartella : BPK FATTOAdesso la parte più delicata:
Start\ Esegui\ digita regedit clicca ok.

Clicca sul + di: HKEY_LOCAL_MACHINE
Clicca sul + di: SOFTWARE
Clicca sul + di: Windows
Clicca sul + di: CurrentVersion
Clicca sul + di: Explorer
Clicca sul + di:Browser Helper Objects

Quando hai cliccato sul + di Browser Helper Objects, sotto, trovi dei valori.

Cerca e trova questo valore: {1d1b2879-99ff-11e3-8d96-d7acac95952a} [color=red]NON TROvATO[/color]Dr.Web Scanner per Windows v5.00.10 (5.00.10.11260)
© Doctor Web, Ltd., 1992-2009
Log generati su: 2010-01-07, 21:13:48 [EZECHIELE][Owner]
Linea di Comando: "C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\c3769XP.exe" /lng:it-scan /ini:setup_XP.ini /fast
Sistema operativo: Windows XP Professional x86 (Build 2600), Service Pack 2
=============================================================================
DwShield avviato
Versione Engine: 5.00 (5.00.1.12222)
Versione API dell'Engine: 2.02
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\5caa47d1 - 2691 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\2e8946e6 - 8138 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\35eb41cd - 18725 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\887fc6df - 18429 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\8ea7d2aa - 872 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\00838df4 - 142240 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\1f19e129 - 66726 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\c7f49cb1 - 24512 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\c3444104 - 82762 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\734bb2d3 - 514157 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\1f5ba19d - 1415 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\47857850 - 2093 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\8c148753 - 2801 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\dff4d890 - 6197 virus records
[Virus base] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\873cf2cc - 28348 virus records
Totale virus records: 920106
[Self-checking] C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\c3769XP.exe
File Chiave: C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\setup.key
Numero della chiave della licenza: 0011097003
Registrato a nome di: An unauthorized User
Chiave della Licenza attiva: 2009-09-14
Scadenza della chiave della Licenza: 2010-03-17
Processi in memoria: System:4 - OK
Processi in memoria: C:\Documents and Settings\Owner\Desktop\drweb-cureit.exe:224 - OK
Processi in memoria: C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\vffuh5.exe:296 - OK
Processi in memoria: \SystemRoot\System32\smss.exe:308 - OK
Processi in memoria: C:\DOCUME~1\Owner\IMPOST~1\Temp\RarSFX0\c3769XP.exe:332 - OK
Processi in memoria: \??\C:\WINDOWS\system32\csrss.exe:432 - OK
Processi in memoria: \??\C:\WINDOWS\system32\winlogon.exe:456 - OK
Processi in memoria: C:\WINDOWS\system32\services.exe:500 - OK
Processi in memoria: C:\WINDOWS\system32\lsass.exe:512 - OK
Processi in memoria: C:\Programmi\Mozilla Firefox\firefox.exe:636 - OK
Processi in memoria: C:\WINDOWS\system32\svchost.exe:660 - OK
Processi in memoria: C:\WINDOWS\system32\svchost.exe:708 - OK
Processi in memoria: C:\WINDOWS\system32\svchost.exe:788 - OK
Processi in memoria: C:\WINDOWS\system32\svchost.exe:820 - OK
Processi in memoria: C:\WINDOWS\system32\svchost.exe:912 - OK
Processi in memoria: C:\WINDOWS\Explorer.EXE:1116 - OK
[Memory test] Nessun virus trovato
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
Master Boot Record HDD2 - OK
Master Boot Record HDD3 - OK
OS/2 or WinNT Boot Sector HDD3 - OK

[Scan path] C:\WINDOWS\system32
C:\WINDOWS\system32\$winnt$.inf - OK
-----------------------------------------------------------------------------
Statistiche delle Scansioni
-----------------------------------------------------------------------------
Oggetti controllati: 330510
Trovati oggetti Infetti: 2
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 12
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 2
Oggetti curati: 0
Oggetti cancellati: 1
Oggetti rinominati: 0
Oggetti spostati: 0
Oggetti ignorati: 0
Velocità di scansione: 29 Kb/s
Durata scansione: 20:06:37
-----------------------------------------------------------------------------

C:\ComboFix\List-C.bat - spostato
C:\Documents and Settings\Owner\Desktop\ComboFix.exe - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP1\A0000037.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP1\A0001058.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP1\A0001059.exe - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP1\A0001075.com - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP1\A0001129.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0001345.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0001507.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0002533.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0002582.exe - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0002618.bat - spostato
C:\System Volume Information\_restore{6C07CA5C-181E-42A9-8F10-F9F558466889}\RP2\A0002758.bat - spostato

=============================================================================
Statistiche totali della sessione
=============================================================================
Oggetti controllati: 339450
Trovati oggetti Infetti: 2
Trovato Oggetti modificati: 0
Trovato oggetti Sospetti: 12
Trovato Adware: 0
Trovato Dialer: 0
Trovato Joke: 0
Trovato Riskware: 0
Trovato Hacktool: 2
Oggetti curati: 0
Oggetti cancellati: 1
Oggetti rinominati: 0
Oggetti spostati: 13
Oggetti ignorati: 0
Velocità di scansione: 37 Kb/s
Durata scansione: 20:31:08
=======================================================================

[R16]

Nessun miglioramento?

[Alliata]

Disistallati eInstallati iDriver mancora sono senza tastieraGMERva oK ...E Ora??

[Alliata]

Avira AntiVir Personal
Data del file di report: venerdì 8 gennaio 2010 22:59Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 2
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:

Avvio della scansione dei file eseguibili (registro):
C:\Programmi\eMule\emule.exe -AutoStart
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Bagle.cij

Il registro è stato scansionato ( 54 file ).


Avvio della disinfezione:
C:\Programmi\eMule\emule.exe -AutoStart
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Bagle.cij
[NOTA] Il file è stato spostato in quarantena con il nome '4bbcab32.qua'!


Fine della scansione: venerdì 8 gennaio 2010 22:59
Tempo impiegato: 00:09 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
85 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
84 File non infetti
0 Archivi scansionati
0 Avvisi
1 Note

[R16]

Vedi se riesci a fare questa scansione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Carica i log di Systemscan
su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[Alliata]

[Alliata]

.in.Gestione periferiche .tastiera.È tuttavia impossibile trovare la periferica hardware. (Codice 41) Driver.TaStiera..con...filo...uSB NORTEk SFERA...sono..installati... reinstalla i driver della scheda madre oppure scaricare il chipset,generalmente succede quando il registro viene
modificato e quindi alcune chiavi si perdono o vengono alterate.???

[R16]

Ciao.
Il log di Systemscan è tagliato.
Manca tutta la parte centrale e finale.
Per la tastiera, sembra un problema serio.
E non possiamo fare un ripristino configurazione sistema.

[H5N1]

Ci sono due possibilità.
Nella prima c'è un problema di mancato riconoscimento dell'hardware risolvibile disinstallando e reinstallando non solo i driver della tastiera, ma anche (nel caso la tastiera fosse USB) l'intero hub principale USB.
Nel secondo ci troviamo di fronte ad un hook in cui il nostro beneamato keyologger si è sostituito alla tastiera stessa facendo funzione di "man in the middle" e avendolo eradicato il sistema non trova più l'host dal quale prelevare le informazioni di input.
Nella scheda Rootkit/Malware di GMER è possibile controllare eventuali Hook o SSTD presenti.
Sarebbe il caso, a mio avviso, di dargli un'occhiata.

[R16]

@Alliata:
Ok, prova a fare una scansione con GMER, seguendo le indicazioni, di questo topic:
http://forum.zeusnews.com/viewtopic.php?p=210548

@H5N1:
Grazie per la collaborazione.

[H5N1]

Mi scuso se in un mio intervento precedente sono sembrato critico, non volevo in alcun modo risultare offensivo. :)
Il fatto è che mi sembrava strano che non vi foste accorti del keylogger e, per esperienza diretta, posso dire che è sempre meglio prima intervenire su quelli per evitare questo tipo di conseguenze.