Olimpo Informatico

standbyme · Inviato: 21 Apr 2010 13:58 Oggetto: TR\Downloader.gen

Ciao a tutti, sono Vincenzo e più di una volta sono stato aiutato da voi e ho risolto alla grande i miei problemi.
eccomi ancora qui...dunque....questa volta mi è successo questo:
1) mi compare dopo un tot di tempo il rilevamento da parte di antivir del cavallo di troia TR\Downloader.gen e TR\spy.gen allocati (stando ad antivir) rispettivamente in C:\windows\temp\hofh.tmp\svchost.exe e C:\windows\system32\youma1.dll
2) da quando ricevo questi avvisi, mi si aprono pagine web (popup?) del tipo http://spyware-sweep2i...... sia in firefox che in explorer.
questa è la configurazione del mio pc:
pentium dual core cpu
e5200 @ 2.50 GHz
2.50 GHz, 1,99 Gb RAM
estensione indirizzo fisico
XP Professional SP2
confidando in un vostro aiuto, ringrazio anticipatamente. Vincenzo.
PS: aggiungo che la pagina di google all'indirizzo www.google.it mi viene fuori in inglese e che non si visualizza più la personalizzazione www.google.it\ig... anche le news sono in inglese...sia su firefox che explorer....
Sad

(((
PS2: aggiungo che quando avvio il pc...appena compare la schermata di avvio di windows xp...esce sul video NO SIGNAL e la macchina si riavvia da sola...senza quel BIP che di solito si sente quando si avvia normalmente il pc.
dopo pochi secondi mi compare la schermata nera dove devo scegliere come avviare windows, dato che il riavvio non è andato a buon fine...sclelgo ULTIMA CONFIGURANZIONE FUNZIONANTE...ed eccomi qua...che sta succedendo?
Sad

grazie infinite!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Non sei messo bene.....
Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware .
link

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Segui le indicazioni alla lettera della guida.
Rinimina Combofix, con un nome di fantasia.
Posta il log, con: link

standbyme · Inviato: 22 Apr 2010 01:58 Oggetto:

fatto tutto.
ecco qui il log:
log1.txt
Sad

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

standbyme · Inviato: 22 Apr 2010 13:51 Oggetto:

eccolo:
combo.txt
procedo adesso con mbam.
devo dire che mi sembra sia tornato tuttok!
1) avvio di windows xp normale.
2) funzionamento browser normale.
3) nessuna notifica di virus.
4) nessun popup.
resto in attesa di eventuali ulteriori info.
GRAZIE!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Posta il log di Mbam.
Poi fai una scansione con Avira. (aggiornalo prima)
E posta anche il log.

standbyme · Inviato: 22 Apr 2010 20:40 Oggetto:

ecco il log di mbam.
mbam-log-2010-04-22 (20-33-00).txt
a breve anche quello di avira.
Grazie.
PS: durante la scansione con mbam ci sono stati dei rilevamenti di avira.

standbyme · Inviato: 22 Apr 2010 23:33 Oggetto:

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ok.
Disattiva il ripristino configurazione di sistema, e tienilo diattivato.
http://forum.zeusnews.com/viewtopic.php?t=22084

Posta un log di hijackthis.

standbyme · Inviato: 23 Apr 2010 00:40 Oggetto:

fatto!
hijackthis.log

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Il log di HJT può andare bene così.

Fai queste operazioni di pulizia:
Disattiva il ripristino configurazione di sistema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Fai una deframmentazione del HD.
Esegui anche uno Scandisk.

Per concludere:
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

standbyme · Inviato: 24 Apr 2010 10:42 Oggetto:

fatto tutto.
unica difficioltà: nell'effettuare lo scandisk dell'unità C:, non ho potuto spuntare la casella "correggi automaticamente gli errori del file system".
ecco il log di avira.
AVSCAN-20100424-010342-4831DBD9.LOG
grazie.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Bene, il log è pulito.
Prova a fare lo ScanDisk in modalità provvisoria.
Devi però avere pazienza, perchè potrebbe essere molto lungo.

standbyme · Inviato: 24 Apr 2010 17:52 Oggetto:

ho riavviato in modalità provvisoria e ho effettuato lo scandisk.
mi diceva la stessa cosa della modalità normale; ho premuto su ESEGUI AL RIAVVIO...e cosi ha fatto; credo che l'avrebbe fatto anche in modalità normle...
prima però...ho notato una dicitura strana in msconfig.
sotto la scritta
[operating systems]
c'è scritto:
C:\CMDCONS\BOOTSECT.DAT="Microsoft Recovery Console" /cmdcons
e poi sotto ancora:
multi(0)disk.... che è una voce che ricordavo....
E' tutto normale?
grazie.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

standbyme

sembra tuttok.
ho aspettato un pò per vedere se mi dava altri problemi.
come sempre siete eccezionali!!!
Grazie ancora, Vincenzo.

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129