Olimpo Informatico

[stef]

gmer scan rootkit.log
qui sopra ce un po di materiale per chi volesse aiutare..tutto è iniziato con una pagina google.heddy.com o simile invece della preinpostata google.com, visto che non capisco di virus..spero possiate confermare la pulizia del pc.
grazie
stef
ps. mi affido a voi come un non vedente al suo cane graziee!!

[stef]

sono sempre io stef e allego il materiale giusto..e piu ricco!
scusate e grazie per laiuto..dovrei reinstallare 200 programmi e lavorado nel 3d + dovendo andare in cina x lavoro..spero non devo resettare tutto ma voi potete aiutare.
umilmente grazie


scansione con gmer.txt (edit by bdoriano: in realtà comprende diverse scansioni)

[bdoriano]

Ri-ciao stef,

Prima di andare a cominciare, alcuni consigli:

1. Quando fai le scansioni, chiudi tutti i programmi.
   
2. Posta i logs separati per ogni scansione e nella forma consigliata (ad esempio, per Kaspersky, è più leggibile in formato HTML)
   
3. Di solito, è meglio cominciare con i logs semplici (ad esempio hijackthis) per poi approfondire l'analisi con programmi più "complessi"

Ora, vediamo di combinare qualcosa...

• Scarica FixWareOut da uno di questi siti:
  Sito 1
  Sito 2
  Sito 3
  
• Salvalo sul desktop
  
• Avvialo
  
• Clicca Next
  
• Clicca Install
  
• Assicurati che ci sia il segno di spunta su "Run fixit"
  
• Clicca Finish.
  
• Segui le indicazioni.
  
• Ti chiederà di riavviare il pc, fallo.
  
• Ci metterà parecchio a riavviarsi. Sii paziente.
  
• Alla fine dell'operazione, riavvia ancora il pc.
  
• posta il contenuto del file C:\fixwareout\report.txt

Segui le istruzioni di questo topic per postare il log di combofix.
Segui le istruzioni di questo topic per postare il log di hijackthis.

[stef]

grazie umilmente..
cercherò di fare tutto di quanto indicatomi anche se non sono un "mastro" del backstage del pc.. come visto credo ! !! comunque scusa il ritardo il lavoro e la partenza per la cina mi prendono molto tempo.

se non rispondo subito quindi, oltre a tenermi il problema , non voglio sembrarti scortese..--risottolineo grazie.
come direbbbe benigni ne" non ci resta che piangere" -lettera a savonarola -mi pongo sotto i suoi piedi e si puo anche muovere !!
ciao e ri-posto appena scaricato il programma.
..cmq da cio che ho postato si capisce qualche cosa o pure meno?

[stef]

ho ritrovato il tuo vecchio messaggio dove mi spiegavi lupload sul sito e ho usato quel link li..spero sia ok per inviarti i due rapporti con i programmi da te indicati:

report fixwareout2.txt

...................................secondo......................

hijackthis report.txt
mi hai indicato html come sistema per inviare i file di kaspersky..come faccio? non basta salvorlo sul documento di testo?.. sorry.. spiegami come va salvato il report per darvi le giuste info per poter operare.
ti ringrazio e vi ringrazio.. l'umilmente va di defoult 8)

[stef]

kaspersky21.txt

questo è cio che ho trovato aprendo kaspersky e cliccando su rapporto..
tra i rilevati ci sono queste 10 voci e basta, nessun elemento isolato:
rilevato: riskware Invader Processo in esecuzione: C:\WINDOWS\Explorer.EXE
rilevato: riskware Invader Processo in esecuzione: C:\WINDOWS\system32\nvsvc32.exe
rilevato: riskware Invader Processo in esecuzione: C:\VEXPLITE\viritsvc.exe
rilevato: riskware Invader Processo in esecuzione: C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
rilevato: riskware Invader Processo in esecuzione: C:\WINDOWS\system32\svchost.exe
rilevato: riskware Invader Processo in esecuzione: C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\Stefano\desktop\sdsetup.exe
rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\Stefano\Impostazioni locali\Temp\is-7DM8P.tmp\sdsetup.tmp
rilevato: riskware Invader Processo in esecuzione: C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
rilevato: riskware Invader Processo in esecuzione: C:\Documents and Settings\Stefano\Temporary Internet Files\Content.IE5\Y1OA7L8T\Autoruns[1]\autoruns.exe
danke stef

[bdoriano]

Ucci, ucci....

Fai questa scansione con FindAWF.

[stef]

questo è quanto mi dice awf:
http://www.freefilehosting.net/download/3d2bj
lanciato il prog. mi è apparsa una schermata blu con scritto premi 1 ed enter x iniziare scansione..l'ho fatto ed il report è al quanto scarno..
ho toppato qualche cosa io?
cerano alche altre opzioni ma credo la prima sia quella giusta.. dimmi te
e graz sempre..
ciao stef

[stef]

ho scaricato anche avenger e mi diceche nonha trovato nulla:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.

No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
cosa mi consigli di fare..il pc è pulito o sporco? stando a kaspersky ci sono delle intrusioni..
grazie mille sempre
aspettando una tua risposta ti saluto cordialmente
stef

[bdoriano]

La cosa curiosa è che Kaspersky (apparentemente) identifica qualcosa...
Il log di findAwf dovrebbe essere normale.

Segui le istruzioni di questo topic per postare il log di combofix.

[stef]

http://www.freefilehosting.net/download/3d2jj
http://www.freefilehosting.net/download/3d2jk
qui trovi la nuova scansione con combo e hijackths update a 3sec fa..
riprovo a fare una scansia con kaspersky e vedo cosa dice.. oppure aspetto tue news.
danke//sempre
ciao stef

[stef]

http://www.freefilehosting.net/download/3d2jj
http://www.freefilehosting.net/download/3d2jk
qui trovi la nuova scansione con combo e hijackths update a 3sec fa..
riprovo a fare una scansia con kaspersky e vedo cosa dice.. oppure aspetto tue news.
danke//sempre
ciao stef

[bdoriano]

Tagliamo la testa al toro... povero toro!!

Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[stef]

http://www.freefilehosting.net/download/3d302
here You are doriano.. questa è la testa del povero toro.
la scansione con lultimo progs da te indicato systemscan o simile.
spero ti aituti a dirmi cosa e sopratutto "COME" pulise il pc se infetto .
danke
stef

[Riverside]

@ stef, ciao.
Intanto, una massima che non guasta: chi è causa del suo mal pianga se stesso (scherzo, naturalmente).
Poi, vediamo di uscire indenni da questa discussione

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

rilancia HThis e pulisci, prima di tutto, gli eventuali ADS quindi:
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Scarica ed installa CCLEANER: clicca qui per il download
● clicca sulla icona di Setup, si avvierà il Wizard di installazione
● durante l'installazione, tra le diverse opzioni, verrà, anche, richiesta l'installazione della Toolbar di Yahoo
togli la spunta alla relativa voce in maniera da non installarla
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Scarica ed installa PANDA ANTIROOTKIT: clicca qui per il download
Posizionalo sul Desktop e lancialo:
● nella maschera principale spunta la voce Automatic Update
● esegui una scansione
● se verranno rilevati rootkit, il tool provvederà a rimuoverli

Scarica ed installa SUPER ANTI SPYWARE: clicca qui per il download
una volta installato, da Preferences accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:
● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato

Al termine riavvia il sistema, rilancia HThis è fixa queste voci:

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /nodetect

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" ?atboottime

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5087/mcfscan.cab

ed allega un nuovo log di Hthis.

Una curiosità che è strettamente legata alla massima citata in apertura: hai patchato XP per renderlo graficamente simile, a Vista?

Infine, aggiorna JAVASUN (sei indietro di 2 aggiornamenti, anche se la versione 1.6.04 non è ancora stata localizzata, te lo farà aggiornare alla versione 1.6.03)
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

[stef]

grazie per le info step by step..e grazie dell'aiuto a tutta la comunità. tra motociclisti una volta ci si lampeggiava per salutarsi ora non piu tanto..a voi vi saluto con un " click"
cercherò di eseguire tutto come mi hai/avete detto e la rispsota è no, alla domanda sulla patch di windows.. non saprei neanche dove iniziare! il pc per me deve essere veloce x i calcoli in 3d la grafica di windows non mi interessa. so che per un periodo windows mi ha chiesto un casino di aggiornamenti ma non so.. sai facendo download di 3d da i siti piu disparati e plug in varie scarichi di tutto e ti devi "fidare" di molti file che scarichi..cmq grazie x l'aiuto.
danke
stef

[Riverside]

[stef]

si quello lho installato io, ma non sapevo fosse un problema..ha un comodo allarme e un calendario su cui fissare gli appuntamenti e mi rimane buono per gestire app. di lavoro e telefonate varie..far away from visto. almeno credevo "sorry". quando ti ho risposto ero in buona fede.
mi dispiace se costituisce un problema devo rimuoverlo? al limite sai consigliarmi un'altro orologio con allarme e mini agenda x gestire appuntamenti senza intaccare il pc?

ho scansionato con panda e "superAntiSpy" ma non è stato trovato nulla..perquanto riguarda la tua/vostra dettagliata spiegazione su come e cosa fare, vi Ti ringrazio visto che era kiarissima.. mi sono perso un attimo alla fine.
"
Scarica ed installa SUPER ANTI SPYWARE:
etc..

● al termine della scansione avrai la possibilità di salvare il relativo log
allega il log che verrà rilasciato ""
.....mi ha solo detto che non era stato trovato nulla niente report

Al termine riavvia il sistema, rilancia HThis è fixa queste voci:
"che significa fixa" come posso fissare quanto segue?

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /installquiet /nodetect

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" ?atboottime

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5087/mcfscan.cab

ed allega un nuovo log di Hthis.

grazie ragazzi potreste spiegarmi elementarmente come procedere per quest'ultimo passaggio (vedi sopra dopo fixa)
danke
stef

[stef]

il genio aggiunge..
dove devo salvare i file ad esempio http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
dopo aver cliccato su apri?
non ci capisco molto e quindi vorrei essere guidato per bene come un cieco dal suo cane.. scusato ma non è il mio campo (si vede?!) non sono un genio della materia. voi si, veramente nei tutorial finestra x finestra siete bravi a far capire anche ai profani cosa spuntare etc..grazzz
grazie e siete ingambissima
danke
stef

[Riverside]