Olimpo Informatico

[pabloecobar]

c'è NESSUUNNOOOOO????????????

[bdoriano]

Ogni tanto ho anche una vita a cui devo rispondere.

Comunque, visto che non si riesce a ottenere nulla con gli interventi normali, direi di procedere con una scansione da CD.
Come riferimento, direi di utilizzare Kaspersky Live CD:
http://forum.zeusnews.com/viewtopic.php?p=458543#458543

[pabloecobar]

salve a tutti.
allora dopo tanti sbattimenti non ho risolto nulla, così ho optato per avviare un'immagine di ripristino che avevo fatto l'anno scorso.

Finito il ripristino,ho subito disinstallato avg che era allora l'antivirus installato.
Una cosa strana è che anche ora se avvio il cmd mi si apre spybot mi dice che c'è un processo strano "conhost.exe" che vuole essere avviato sotto il file winsober.. allego una foto del rapporto, e se non acconsento a questo processo, il cmd nnn funziona e da il solito erroe... come è possibile?
In più ho di nuovo i solito problemi che non mi si collega il pc alla rete wireless, o meglio si collega e si scollega di continuo, e in più se installa i drive della scheda video nvidea che ho, non mi si avvia windows, ma resta bloccato al logo iniziale. parte solo in modalità provvisoria senza caricar tali drive.

Perchè col sistema ripristinato, mi si riprsentano ancora i vecchi problemi?
Vi allego anche il nuovo log di otl..

problema winsober.PNG

OTL.Txt


Grazie e spero possiate aiutarmi

[bdoriano]

Da quel che leggo, non eri messo bene neanche prima dell'ultima infezione...
Il ripristino che hai fatto, è il classico ripristino di sistema di Windows o creato con un programma di genere simile?

Il consiglio è, comunque, di fare una scansione completa con il livecd di Kaspersky come ti avevo indicato prima.

Se non riesci, riprova la scansione con Combofix.

In ogni caso, manca il log extras.txt insieme a quello di otl.txt.

[pabloecobar]

Allora il ripristino l'ho fatto col disco di riprisitno di windows, ed è stato fatto con un'immagin che è durata circa 2 anni prima di questa infezione, quindi credo che quell'immagine non fosse infetta.

Kaspersky l'ho usato ma non ha risulto assolutamente nulla..
Il problema potrebbe dipendere da quel processo strano win.sober?

Chiedo scusa per la dimenticanza, ecco il file extras:
Extras.Txt

Perchè appena ripristino il sistema va tutto bene, e poco dopo non funziona più internet, il cmd richiede quel processo strano e i drive nvidia non fanno partire windows?

si possono risolvere questi problemi o bisogna formattare tutto?

[bdoriano]

Ciao pabloecobar,

credo di aver capito come vuoi procedere.

Giusto per chiarire, non esiste "un" tool che ripristina la situazione iniziale...
vanno fatte una serie di operazioni che possono riportare il pc a una situazione normalizzata.

Ovviamente, il live cd di Kaspersky non serve a "risolvere" il problema, ma a identificare e rimuovere le infezioni presenti per facilitare il resto delle operazioni.
Dopodiché è necessario procedere con altre operazioni per ripristinare la normale funzionalità del pc.

Tra un'operazione e l'altra, è consigliabile non usare il pc per navigare o installare programmi, per evitare di incappare in qualche altro problema.

Solo al termine delle varie operazioni e delle necessarie verifiche sarà possibile riprendere a utilizzare il pc nel modo abituale.

Se preferisci, puoi procedere con la formattazione e reinstallazione del sistema operativo.
Prima, però, di cominciare a installare i soliti programmi, dovrai installare tutti gli aggiornamenti di MS e un antivirus di buon livello.

[pabloecobar]

Allora, la procedura che volevo seguire io, era quella di ripristinare uno stato funzionante del pc, tramite il back up di windows, e poi reinstallare quei programmi mancanti,dato che l'immagine ha più di un anno.

Questo per me sarebbe meglio che formattare e reinstallare tutto da capo, perchè mi risparmierei tutti i drive e molti programmi già presenti sul back up.

Questa procedura ha funzionato benissimo appena fatta, quando internet funzionava bene, e il cmd pure.

Per migliorare le cose ho voluto disinstallare avg presente nel back up, perchè era una versione vecchia, per sostituire ora un antivirus più aggiornato.

Nel mentre mi è uscito l'avviso di spybot per quel file conohost, che ancora non ho capito cos'è, e tutti i relativi problemi, internet, drive nvidia ecc.

Mi spiegate cose c'è di sbagliato in questo ragionamento? Perchè sto avendo gli stessi problemi di prima del ripristino?
Un ripristino di sistema non dovrebbe essere efficace come una formattazione? Spero di essere stato chiaro.

[bdoriano]

Probabilmente, dopo aver fatto il ripristino e disinstallato l'antivirus, hai fatto qualche operazione che ti ha "incamerato" i problemi di cui stai parlando.

Ti consiglio di procedere così:

1. Ripristina il sistema
   
2. Scarica il nuovo antivirus, ovviamente dal sito ufficiale e non da siti strani.
   Naturalmente, il mio pensiero (se vuoi qualcosa di gratuito e affidabile) va ad Avira AntiVir.
   
3. chiudi le pagine internet
   
4. disinstalla il vecchio antivirus
   
5. riavvia il pc
   
6. installa il nuovo antivirus
   
7. aggiorna immediatamente l'antivirus
   
8. esegui una scansione completa del sistema con il nuovo antivirus
   
9. aggiorna immediatamente il sistema operativo
   
10. prova a usare normalmente il pc e vedi se il problema si ripresenta
    se il problema si ripresenta, vuol dire che qualche sito che visiti o programma che installi è infetto

[pabloecobar]

Salve...la procedura mni sembra buona,

ma credo di aver trovato il problema.. Spybot non si sbagliava, Win32.sober ho visto su internet che è un worm che si infiltra nel pc e infetta proprio il processo di sistema conhost.exe. E' strano perchè tutti i programmi di scansione che abbiamo usato non l'hanno rilevato. Cmq ho scaricato un'applicazione apposita della symantec per rimuoverlo, ma alla fine della scansione non l'ha trovato.

Sapete qualcosa a riguardo e qualche consiglio per rimuovere questo virus maledetto?
Grazie.

[bdoriano]

Sober è un virus piuttosto vecchiotto.

Se vuoi eliminarlo, fai i passaggi che ti ho suggerito prima:

[pabloecobar]

mhaa l'applicazione apposita non lo trova neanche in modalità provvisoria. Provo ora con kaspersky, sennò ripristino tutto pr l'ennesima volta..

[pabloecobar]

buon giorno..
Allora, come consigliatomi da bdoriano, prima di reinstallar tutto ho cercato di capire dove si annidasse il problema.. Ho usato kaspersky live cd, ma non ha trovato assolutament nulla.
Poi finalmente sono riuscito a lanciare combofix e ha eliminato 2 file nella cartella system32 che credevo fossero proprio i miei problemi. Invce dopo la scansione, se parto il cmd, mi esce ancora l'avviso di spybot col worm win32.sober, mentre per quanto riguarda intrnet ora riesco a collegarmi al modem, ma qualsiasi browser, anche portable, non funziona.

Vi allego il log di combofix, così vediamo se si capisce qualcosa:
ComboFix.txt

Fatemi sapere e grazie.

[bdoriano]

Se Kaspersky Live non trova nulla, ci sono ottime probabilità che non ci sia veramente nulla.

Combofix ha eliminato dei files ritenuti sospetti (perché in una posizione strana).
Uno dei 2 (avgfwdx.dll) si riferisce all'installazione di AVG. URTTemp, se non ricordo male, si riferisce a una cartella temporanea di Windows che viene creata durante l'installazione di alcuni aggiornamenti.
Propendo per un falso positivo di Spybot. A proposito, che versione usi? 1.6 o 2?

Se vuoi fare ulteriori verifiche, procedi così:

• disattiva TeaTimer e lascialo disattivato
  
• Segui le istruzioni di questo topic per usare MBAM

Ricordati di postare i logs che ottieni, altrimenti diventa molto difficile poterti aiutare.

[pabloecobar]

Ho fatto anche questa scansione ma non trova nulla..
La versione di spybot è la 1.5.2
Se questo fosse un falso allarme, allora perchè non mi funzionano i browser, e non part windows con i drive nvidia??

[bdoriano]

Stai usando Spybot 1.5.2 con Windows 7 Ultimate?

Non sarebbe meglio utilizzare una delle versioni più recenti?
(1.6.2 o 2.0)

Comunque, proviamo a sostituire il file user32.dll come mi ha fatto notare R16.

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[pabloecobar]

buon giorno
ho seguito le istruzione indicatomi, e dopo l'avvenuta scansione, al riavvio non si sono creati i log perchè si è ripresentato il solito errore 0x0000142 ecc.

Posso postare cmq il log di spybot che ad ogni scansione continua a trovare il worm win32.sober inserito all'interno del file conhost.exe.

Log di SPybot.txt

Fatemi sapere...

[R16]

Scusate l'intrusione.
@pabloecobar:
Dovresti seguire alla lettera le indicazioni che ti vengono date.
Ed eseguire SOLO quelle.
Per esempio non puoi tenere SpyBot in versione MOLTO vecchia su un pc relativamente nuovo. (altrimenti a cosa servono le versioni successive?)
Lo devi disistallare,(compreso il Tea Timer) lasciarlo disistallato, e reistallarlo SOLO a bonifica avvenuta.
Per verificare se se la scansione di Combofix ha avuto successo, fai un'altra scansione (con Combofix) normale e posta il log.
Saluti.

[pabloecobar]

Ok Sembra che la panacea di tutti i mali fosse spybot. L'ho disinstallato, e questo è il log con combofix:
log combofix.txt

Morale della favola, sono rimasti sempre gli stessi probelmi, e il virus non si è trovato..... come mai???

[bdoriano]

Ri-ciao pabloecobar,

se il virus non è stato trovato né da una scansione con cd live, né da MBAM e neanche ComboFix ha evidenziato elementi pericolosi... direi che ci sono buone probabilità che il virus non esista.

I programmi di sicurezza devono essere aggiornati frequentemente per ovviare a eventuali problemi e sistemare falle rilevate con il tempo.
Spybot non fa eccezione. La versione che utilizzavi era vecchio (2008) e non veniva aggiornata da 4 anni... quindi, poteva tranquillamente falsare i risultati di qualsiasi scansione attiva (MBAM, Combofix) o di ripristino dei servizi.

Ora possiamo vedere se otteniamo qualche effetto con Tweaking Windows Repair:

• scarica Windows Repair (All In One), ti consiglio la versione portable.
  
• scompatta il file scaricato
  
• avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
  
• vai direttamente allo Step 2
  Check File System(optional) Very important If Doing File Permission Repair
  
• clicca Do It
  
• il pc si riavvierà per effettuare il controllo

• avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
  
• vai direttamente allo Step 3
  System File Check (optional)
  
• clicca Do It
  
• attendi il termine delle operazioni e riavvia il pc

• avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).
  
• vai direttamente allo Step 4
  ERUNT Registry Backuo & System Restore (optional)
  
• clicca Create sotto System Restore
  
• clicca Backup sotto Erunt
  
  
• vai alla voce Start Repairs
  
• clicca Start
  
• metti il segno di spunta a Restart/Shutdown System When finished
  
• clicca Start
  
• al termine delle operazioni il pc si riavvierà da solo

Prima di fare altro, confermami che sei riuscito a eseguire queste operazioni.

[pabloecobar]

Salve a tutti.

Alla fine di tutti i tentativi e le scansioni fatte, non ho risolto i problemi. Ho optato così a non fare più un ripristino di un'immagine, ma alla formattazione da zero. Incredibilmente, anche appena formattato provo a collegare la wireless, inserisco la password del modem, e il pc non si riesce a collegare. Non riesco più a spiegarmi cosa succede, perchè il computer dal quale vi sto scrivendo è collegato allo stesso modem, e funziona perfettamente. Anche col cellulare riesco a collegarmi. Il modem in questione è quello classico Alice, e non ha nessuna protezione particolare, tranne la wpa standard stampata sotto lo stesso.

C'è qualche impostazione che mi consigliate di controllare? La mia scheda wireless è impostata con i protocolli tcp con le impostazioni di aquisizione in automatico dell'indirizzo ip e dei Dns.

Cosa devo controllare altro? Ho pure provato a reinstallare gli stessi driver della scheda wirless ma nulla..

Mi affido a voi, grazie.