Precedente :: Successivo |
Autore |
Messaggio |
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 29 Apr 2008 16:55 Oggetto: |
|
|
Il computer ha finito la scansione che avevi detto di fare, bdoriano. Dovrei notare qualcosa di particolare?
Come procediamo adesso?
Poi avrei una domanda, anche per chemicalbit se vuole: vi siete fatti un idea di quello che ho?
Insomma da ignorante mi pare di aver capito che, malgrado AVG, diversi virus (spyware, malware o vattelapesca) si sono comunque ambientati in diverse parti del mio pc. Qualcosa col Tool di Kaspersky abbiamo tolto, qualcosa credo rimanga, visto che ho ancora problemi.
Mi dite sinceramente la vostra opinione?
Grazie mille per la pazienza! |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 29 Apr 2008 18:37 Oggetto: |
|
|
quasar186 ha scritto: | chemicalbit ha scritto: | Puoi provare a partire da una distribuzione live di Linux (quindi senza caricare nulla dai tuoi dischi, interni e esterni) |
...non ho capito... | Esistono alcune distribuzioni di Linux (anzi GNU/Linux) che sono fatte apposta per essere eseguite da CD (o DVD), senza bisogno d'installarle. Si accende il computer facendolo avviare (bootstrap) dal CD (o DVD).
Una delle più famose è Knoppix.
Alcune distribuzioni "normali" hanno i CD d'instalalzione che possono essere usati anche come "live", es. Ubuntu.
Per maggiori informazioni guarda nel forum Linux,
se non trovi una discussione al riguardo (ma penso priorio che ce ne sia, anzi magari più di una) aprine pure una. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 29 Apr 2008 18:50 Oggetto: |
|
|
quasar186 ha scritto: | Poi avrei una domanda, anche per chemicalbit se vuole: vi siete fatti un idea di quello che ho? | Beh, io non sono abbastanza esperto.
L'unica cosa è che riguardando un po' alcuni dei log ho visto che le scansioni avevano trovato delel infezioni anche sul disco H: (è il disco esterno?)
Aspettiamo che bdoriano o qualcun altro leggano il log di SystemScan (l'ultimo, quella della nuova versione).
Nel frattempo, non so se possa essere utile, però potresti provare a rifare
*RogueRemoverFree (indicazioni precedentiqui qui)
*SmitFraudFix (indicazioni precedentiqui qui)
Dopo che li avevi eseguiti, hai fatto delle scansioni che hanno rimosso dei malware,
quindi ora potrebbero funzionare (ma non so quanto sia probabile).
-------
quasar186 ha scritto: | Il computer ha finito la scansione che avevi detto di fare, bdoriano. Dovrei notare qualcosa di particolare? | Intendi chkdsk ?
quello controlla l'integgrità del disco a livello "logico"
Ti ha segnalato qualche errore?
EDIT: mi correggo: chekdsk aveva anche l'opzione /r , quindi effettua anche un controllo dei settori danneggiati a livello "fisico" |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 29 Apr 2008 19:00 Oggetto: |
|
|
chemicalbit ha scritto: | Esistono alcune distribuzioni di Linux (anzi GNU/Linux) che sono fatte apposta per essere eseguite da CD (o DVD), senza bisogno d'installarle. Si accende il computer facendolo avviare (bootstrap) dal CD (o DVD).
Una delle più famose è Knoppix.
Alcune distribuzioni "normali" hanno i CD d'instalalzione che possono essere usati anche come "live", es. Ubuntu.
Per maggiori informazioni guarda nel forum Linux,
se non trovi una discussione al riguardo (ma penso priorio che ce ne sia, anzi magari più di una) aprine pure una. |
Si, sul forum di Linux ho trovato alcune cose, ma obiettivamente non credo di avere le capacità di base per comprendere molte delle cose che si danno per scontate...
Considera che, generalmente parlando, per me computer = windows, ovvero sfruttamento di un sistema operativo per mio diletto, ciò che conosco in più è direttamente connesso con la necessità di risolvere i problemi che, purtroppo, si presentano.
Riguardo Linux poi non ho problemi ad ammette di esserne indigesto. Considera che sul computer ho installato cygwin (ambiente linux, ma credo che tu lo conosca) perchè mi serviva un compilatore per esercitarmi per un corso di programmazione in C all'università: il corso l'ho passato ma cygwin non l'ho tolto perchè mi diverto con emacs, comunque ad oggi so accedere esclusivamente a quello e stop.
Toglimi una curiosità, c'è qualcosa che mi consiglieresti di leggere (possibilmente su internet) per i neofiti che vogliono impratichirsi di linux?
Tu come ti ci sei avvicinato?
Spero non ti dispiaccia parlarne. Ciao! |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 29 Apr 2008 19:29 Oggetto: |
|
|
chemicalbit ha scritto: |
L'unica cosa è che riguardando un po' alcuni dei log ho visto che le scansioni avevano trovato delel infezioni anche sul disco H: (è il disco esterno?)
|
Si, il disco H è l'hd esterno, comunque qualcosa da lì con Kaspersky ho già eliminato.
chemicalbit ha scritto: |
Nel frattempo, non so se possa essere utile, però potresti provare a rifare
*RogueRemoverFree (indicazioni precedentiqui qui)
*SmitFraudFix (indicazioni precedentiqui qui)
|
Secondo te è il caso che li faccio con l'hd esterno collegato?
Devo ammettere che non capisco più a cosa è dovuto il problema dei riavvii del pc, adesso è tutto il pomeriggio che non mi si ripresenta più, temo che se collegassi l'hd esterno lo rifarebbe. Tu che ne pensi?
chemicalbit ha scritto: |
Ti ha segnalato qualche errore?
|
La scansione è andata tranquilla, mi pare: devo ammettere di non essere stato tutto il tempo a fissare lo schermo mentre le percentuali della varie fasi scorrevano (qualcosina da fare ce lo avevo anch'io... ), comunque sono tornato a vedere il computer a intervalli e la scansione si è svolta correttamente. Poi si è aperto normalmente windows con la schermata sul desktop senza alcun messaggio o finestra particolare...
Avrebbe dovuto esserci qualcosa? |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 29 Apr 2008 20:31 Oggetto: |
|
|
prova con Linux "Live CD"
quasar186 ha scritto: | chemicalbit ha scritto: | Esistono alcune distribuzioni di Linux (anzi GNU/Linux) che sono fatte apposta per essere eseguite da CD (o DVD), senza bisogno d'installarle. Si accende il computer facendolo avviare (bootstrap) dal CD (o DVD). |
Si, sul forum di Linux ho trovato alcune cose, ma obiettivamente non credo di avere le capacità di base per comprendere molte delle cose che si danno per scontate...
Considera che, generalmente parlando, per me computer = windows, | Ma non dicevo di passare a Linux,
dicevo solo di fare una prova:
partire da unodi quei Live CD , usarlo per un po' (in modo da "sforzare" cpu, dischi, ecc. come quando usi Windows) per vedere se il problema si presenta anche così.
Se il problema si presenta, non dipende da Windows né da un'infezione di malware in ambiente Windows.
quasar186 ha scritto: | Riguardo Linux poi non ho problemi ad ammette di esserne indigesto. Considera che sul computer ho installato cygwin (ambiente linux, ma credo che tu lo conosca) perchè mi serviva un compilatore per esercitarmi per un corso di programmazione in C all'università: il corso l'ho passato ma cygwin non l'ho tolto perchè mi diverto con emacs, comunque ad oggi so accedere esclusivamente a quello e stop. | Beh, hai inziato di certo non dalla cosa più facile,
le distribuzioni di Linux di oggi hanno un ambiente grafico molto simile a quello di Windows e a quello di Mac
quasar186 ha scritto: | Toglimi una curiosità, c'è qualcosa che mi consiglieresti di leggere (possibilmente su internet) per i neofiti che vogliono impratichirsi di linux?
Tu come ti ci sei avvicinato?
Spero non ti dispiaccia parlarne. Ciao! | Ti conviene chiedere nel forum Linux.
Io non mi ci sono (ancora) avvicinato, nel seno che non lo uso (ancora). So giusto qualcosa al riguardo.
RogueRemoverFree, SmitFraudFix e disco fisso esterno
quasar186 ha scritto: | chemicalbit ha scritto: |
Nel frattempo, non so se possa essere utile, però potresti provare a rifare
*RogueRemoverFree (indicazioni precedentiqui qui)
*SmitFraudFix (indicazioni precedentiqui qui)
|
Secondo te è il caso che li faccio con l'hd esterno collegato? | Io direi di pulire prima il computer vero e proprio,
in modo che malware non si carichino in esecuzione,
e quindi non possano intralciare ill avoro dei programmi antivirus e simili.
Poi penseremo a pulire l'hard disk esterno.
Tra l'altro non so quanto durino quelle scansioni con RogueRemoverFree, SmitFraudFix.
Se durano parecchio mi dispiae farti buttare via tempo (in cui tra l'altro potresti forse fare girare antivirus o tool più utili). Ma se duranopoco una scansione con ognuno dei due del PC condisco fisso esternoscollegato si potrebbe fare.
quasar186 ha scritto: | Devo ammettere che non capisco più a cosa è dovuto il problema dei riavvii del pc, adesso è tutto il pomeriggio che non mi si ripresenta più, temo che se collegassi l'hd esterno lo rifarebbe. Tu che ne pensi? | Può essere sia una causa software che hardware.
Tieni presente che l'ha fatto anche alcune volte in cui l' hdd esterno non era collegato (ricordo giusto?)
chkdsk (check disk)
quasar186 ha scritto: | chemicalbit ha scritto: |
Ti ha segnalato qualche errore?
|
La scansione è andata tranquilla, mi pare: devo ammettere di non essere stato tutto il tempo a fissare lo schermo mentre le percentuali della varie fasi scorrevano (qualcosina da fare ce lo avevo anch'io... ), comunque sono tornato a vedere il computer a intervalli e la scansione si è svolta correttamente. Poi si è aperto normalmente windows con la schermata sul desktop senza alcun messaggio o finestra particolare...
Avrebbe dovuto esserci qualcosa? | Beh, alla fine dovrebbe esserci una sorta di "riassunto".
Se quello era tutto a posto, ok. |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 08:56 Oggetto: |
|
|
Solo 2 cosette, poi mi dedico a far girare quei 2 programmi (tanto, male non fanno di sicuro):
- il problema del riavvio mi si è presentato 5-6 volte durante tutta la mattina di ieri con hd esterno collegato poi l'ho staccato, nel giro di 15 minuti me l'ha rifatto 1 o 2 volte (quindi quando l'hd esterno era staccato da poco), dopodichè ho fatto la procedura chkdsk di bdoriano. Per l'intero pomeriggio e la sera non ha dato più problemi.
- chkdsk, da quanto ho visto io, non ha dato una schermata per ricapitolare, piuttosto man mano che faceva la scansione (era articolata in 5 fasi "controllo file", "controllo indici", ...) c'era la percentuale di avanzamento per ogni singola fase e ti posso dire che non ci sono stati messaggi di errore o intoppi, ogni singola parte della scansione è stata completata al 100%.
Altro non so dire... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Apr 2008 09:00 Oggetto: |
|
|
Ciao quasar186,
allora, nel log ho trovato riferimenti a 6 files di natura mooooolto sospetta.
L'unico problema è che non ho trovato il punto d'ingresso (dove vengono eseguiti) di questi files.
Purtroppo, oggi è una giornata particolarmente impegnativa.
Appena mi sarà possibile, ti posto le istruzioni per cercare ulteriori informazioni sul tuo pc. Così vediamo di stanarli definitivamente. |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 09:56 Oggetto: |
|
|
Ciao bdoriano!
Considera che da buon mortale adepto pendo dalle tue labbra, perciò già che mi dici di aver trovato qualcosa mi rende fiducioso.
Perciò fai pure con calma, io aspetto.
Comunque come mi suggeriva l'amico chemicalbit ho appena rifatto delle scansioni con RogueRemoverFree (secondo lui tutto ok, sebbene BPSSpywareRemover sia fra i programmi che dovrebbe trovare ed eliminare... ) e SmitFraudFix: su quest'ultimo ci sarebbe da parlarne!
Premetto che l'ho fatto girare due volte perchè la prima mi aveva dato dei messaggi di errore, ma andiamo con ordine:
- lancio SFF con la sua solita schermata blu.
- sotto la prima fase "killing process...", dove poi ho scoperto che avrebbe dovuto esserci la seconda fase "hosts...", compare la scritta:
"impossibile trovare il file - C:\windows\system32\drivers\etc\hosts
impossibile trovare il file specificato"
Comunque la scansione continua.
- quando arriva a "deleting infected files..." si apre per un nanosecondo una finestra, sono abbastanza sicuro che sia quella famosa finestra della disinstallazione di BPSSR.
- alla fase "deleting temp files..." si apre la finestra di pulitura del disco, poi scompare per conto suo quando la barra di procedimento arriva al 100%.
- all'ultima parte "clean the registry?" dopo aver premuto y e invio, compare per 6-7 volte la scritta:
"impossibile trovare il file specificato"
(questo me lo aveva già fatto l'altra volta...)
- tuttavia alla fine compare comunque la scritta:
"registry cleaning done
exit"
- infine si apre il report da cui, da comune mortale, mi sembra non esserci traccia di tutto ciò. Ecco perchè ho voluto essere un po' più esplicativo.
Come vi stavo dicendo ho fatto girare SFF una seconda volta:
- stavolta ha fatto regolarmente la seconda fase "hosts..." senza alcun messaggio riguardante quel file "hosts".
- anche stavolta è comparsa per un nanosecondo la finestra di BPSSR.
- idem per la finestra di pulitura del disco.
- fatto nuovo: sotto "deleting temp files..." è comparsa la scritta:
"impossibile trovare il file C:\docume~1\winxp\impost~1\temp\*.*"
- anche stavolta nel report sembra tutto normale... boh!
Fine del tema.
Ecco i due report:
Primo
SmitFraudFix v2.319
Scan done at 10:02:08.93, 2008-04-30
Run from C:\Documents and Settings\WinXp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Secondo
SmitFraudFix v2.319
Scan done at 10:09:26.12, 2008-04-30
Run from C:\Documents and Settings\WinXp\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\..\{64FACC80-3FDB-4C88-92AC-AFE9F903025E}: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=1.253.128.30 213.156.54.81
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Ciao e scusate la lunghezza... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Apr 2008 11:16 Oggetto: |
|
|
Intanto vediamo di farti fare altre pulizie:
- Scarica FixWareOut da uno di questi siti:
Sito 1 Sito 2 Sito 3
- Salvalo sul desktop
- Avvialo
- Clicca Next
- Clicca Install
- Assicurati che ci sia il segno di spunta su "Run fixit"
- Clicca Finish.
- Segui le indicazioni.
- Ti chiederà di riavviare il pc, fallo.
- Ci metterà parecchio a riavviarsi. Sii paziente.
- Alla fine dell'operazione, riavvia ancora il pc.
- Rifai il log di hijackthis e postalo insieme al file C:\fixwareout\report.txt
|
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 11:32 Oggetto: |
|
|
Fatto tutto:
Username "WinXp" - 2008-04-30 12:24:13 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Svuotata la cache del resolver DNS.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus D92 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIBZE.EXE /FU \"C:\\WINDOWS\\TEMP\\E_S88.tmp\" /EF \"HKCU\""
"swg"="C:\\Programmi\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30, on 2008-04-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Documents and Settings\WinXp\Google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamenext.it/online/online2/peggle/popcaploader_v10_en.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BrlAPI - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 3485 bytes |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 11:33 Oggetto: |
|
|
Ah, quel programma mi ha pure detto qualcosa riguardo al file dnsbak.reg, avrei dovuto cliccarci sopra se avessi avuto problemi con internet... comunque sembra tutto ok, perciò lascio stare.
Grazie! |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Apr 2008 11:39 Oggetto: |
|
|
Bene! Ora, riproviamo a utilizzare combofix:
Segui le istruzioni di questo topic per postare il log di combofix. |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 12:10 Oggetto: |
|
|
... niente da fare!
Caro bdoriano sto postando da un altro computer dato che su quell'altro sta girando combofix... purtroppo devo dirti che si è rifermato al solito punto: un ciclo continuo di finestre di windows perchè non riesce a trovare quello che gli serve per disinstallare BPSSR... mi chiede di indicargli una cartella o di inserire un cd, poi riprova per conto suo a disinstallarlo ma niente, e ritorna al puto di prima.
Che devo fare? Interrompo ed esco o provo a vedere se magari a lungo andare si "stanca" di rompere le scatole?
Dimmi tu... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Apr 2008 12:42 Oggetto: |
|
|
quasar186 ha scritto: | Che devo fare? Interrompo ed esco o provo a vedere se magari a lungo andare si "stanca" di rompere le scatole?
Dimmi tu... |
Per il momento, interrompilo.
Cercherò un'altra strada. |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 30 Apr 2008 12:48 Oggetto: |
|
|
quasar186 ha scritto: | Caro bdoriano sto postando da un altro computer dato che su quell'altro sta girando combofix... | Visto che hai un altro computer, se per te non è un problema,
sarebbe meglio che ti collegassi ad Internet con quest'altro,
anche se quello infetto fosse non impegnato (collegarsi ad Internet con un pc infetto non è una buona cosa... rischi anche che qualche malware scarichi dei malware supplementari o più aggiornati) |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Apr 2008 12:57 Oggetto: |
|
|
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
Codice: | Files to delete:
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\VCCLSID.exe
C:\WINDOWS\system32\WS2Fix.exe
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0BF1F54D-ECAC-4E46-A5A5-A60ED0332D3E} |
e clicca Proceed with removal
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt. |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 13:13 Oggetto: |
|
|
Per quanto riguarda l'accesso ad internet state tranquilli che ormai il pc infetto lo sto usando solo per comunicare con voi qui sul forum ed eseguire i vari programmi che mi consigliate, per il resto è inattivo.
Piuttosto, bdoriano ho un problema con lo script che mi hai dato da copiare: quando clicco "Proceed with removal" mi appare un messaggio di errore con scritto "Please copy and paste a valid script file"... colpa mia che sbaglio qualcosa? |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 30 Apr 2008 13:22 Oggetto: |
|
|
Anche in altre discussioni leggevo di casi in cui The Avenger (in questo caso lanciato da systemScan) dà errori per script che paiono essere scritti correttamente ... |
|
Top |
|
|
quasar186 Eroe in grazia degli dei
Registrato: 18/09/07 15:09 Messaggi: 136 Residenza: Ai confini dell'universo
|
Inviato: 30 Apr 2008 13:41 Oggetto: |
|
|
chemicalbit ha scritto: |
Anche in altre discussioni leggevo di casi in cui The Avenger (in questo caso lanciato da systemScan) dà errori per script che paiono essere scritti correttamente ... |
Strano... A che è legato questo fatto? Era una cosa risolvibile?
Comunque non avevo dubbi sul fatto che capitasse a me... con la fortuna che mi ritrovo... |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|