Olimpo Informatico

[alcy]

ragazzi aiuto!!ho acceso il pc ed e' comparso lo scudetto rosso(avviso di protezione,cosa che accade ultimamente pur avendo kaspersky) ma kaspersky non c'e'..di solito come accendevo internet subito si aggiornava invece ora non compare proprio giu' sulla barra...sono andato in programmi per portarmelo sul desktop ma c'e' solo la cartella con dentro il file di disinstallazione,guida ed un collegamento internet.non c'e' l'icona del programma da spostare....come devo fare?? perche' non compare?eppure ho comprato il numero di chiave per l'attivazione ed era passato solo un mese....ora sto facendo una scansione on line con bitdefender..kissa',se c'e' kaspersky me lo blocca e cosi' capisco che funziona ancora..boh?che faccio??
grazie ciao!

[Mr.Bean]

Lo scudetto rosso, si dovrebbe trattare di un avviso che windows non è aggiornato, per vedere se kaspersky è attivo, potresti scaricare hijackthis e postare il log?
link

[alcy]

ciao..allora ecco il log..mi pare kaspersky compaia ma in realta' non c'e' sul pc...anche quando guardo le email non ci sono piu' i controlli che di solito fa..quindi non e' attivo...cosa faccio?

[alcy]

dimenticavo il log..eccolo:

ops..faccio copia con tasto destro ma poi qui non mi fa piu' incolla...perche'....
mannaggia...sara' stato l'aggiornamento sp3?

[Mr.Bean]

Anche a me, ha dato problemi, per disinstallarlo vai in Installazione Applicazioni dal pannello di controllo e seleziona Windows XP Service Pack 3.
Ma questi, (spero di no!!!) sono i sintomi di......Beagle!!!

[Mr.Bean]

Se fosse beagle, procedi così:

Scarica la nuova versione di Avenger
http://swandog46.geekstogo.com/avenger.zip
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada.
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\windows\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\windows\system32\hldrrr.exe

Folders to delete:
C:\WINDOWS\system32\drivers\downld
%UserProfile%\Dati applicazioni\m

Registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.

Se ha funzionato reinstalla un antivirus, scaricando il nuovo file di installazione del programma, e fai una scansione completa del pc.

[Riverside]

@ Mr Bean: cosa è? andiamo per ipotesi? per favore, se non si conosce di cosa si tratta sarebbe opportuno evitare di dare suggerimenti.
Cerchiamo di seguire le corrette procedure anche per evitare di sommare problemi ai problemi che già potrebbero esserci.

Un modertore di sezione, potrebbe, per cortesia, spostare la discussione nella sezione di Assistenza Virus?

[Mr.Bean]

Ok,
Ma non c'è nessuno che dice se beagle c'è o non c'è.
Per ogni evegnenza, ho postato quella guida.
Se beagle non ci fosse, Avenger, non causerebbe alcun danno!!!

[Riverside]

[Mr.Bean]

[Riverside]

[bdoriano]

@Mr.Bean:
Come ha già fatto notare Riverside, prima di procedere con le istruzioni di rimozione specifiche è necessario conoscere con cosa si deve lottare.
E' per questo motivo che si chiedono i logs dopo aver fatto alcune operazioni di pulizia generica (MBAM, SuperAntiSpyware, etc...).

[Riverside]

Bd grazie per aver spostato la discussione.

@ Alcy, inizia con il procedere in questa maniera:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate md5 checksum of streams
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa SuperAntispyware:
http://www.superantispyware.com/
devi scaricare la versione free - e la configuri come ho spiegato ad una altra utente in questo post: http://forum.zeusnews.com/viewtopic.php?t=35216
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
http://www.malwarebytes.org/
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) a questo ounto disabilta, temporaneamente, il tuo antivirus e scarica ed installa Kaspersky Virus Removal tool:
http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/

● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da cansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi

Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà.

eseguiti i passaggi da 1) a 7), scarica ed installa CCleaner:
http://www.ccleaner.com/download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i log richiesti (quello di SuperAntispyware, MalwareBytes, Kaspersky e Hijackthis) utilizza questo servizio di upload:
http://www.wikisend.com/
I link ai log pubblicali in un unico post, proseguendo qui.

[alcy]

allora aggiornamento:
kaspersky ha fatto scansione ed ha rilevato due virus:

1)virus rootkit win32.protector.bd
2)virus rootkit win32.protector.bd

sembrerebbero identici e la loro collocazione e' C:/System Volume Information/_restore (eccetera)

di cosa si tratta?e' un trojan oppure un virus peggiore?cosa comporta?il fatto che siano stati disinfettati esclude una loro attuale operativita'?

grazie.
ciao

[Riverside]

[Riverside]

E disattiva e lascia disattivato il Ripristino di Configurazione di Sistema, fino a quando non avremo risolto il problema.

[chemicalbit]

[alcy]

allora riverside,sto seguendo il procedimento...sono al punto 4, Hijackthis.
L'ho lanciato ed ho fatto tutto,tranne l'ultima operazione:
"● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected"
e' venuto fuori un elenco che ora ti incollo e non so se vanno eliminati tutti oppure faccio un casino...quindi apsetto conferma per questo punto.
Prima di andare un ultima info sul punto 7:
"7) a questo ounto disabilta, temporaneamente, il tuo antivirus e scarica ed installa Kaspersky Virus Removal tool"
ma si tratta di kaspersky?no perche' io come antivirus ho prorpio kaspersky.
Rimango in attesa di responso...ciao e grazie mille!!!

Ecco il log di Hijackthis,dal quale non so se ci siano ADS da cancellare o siano tutit ADS...


C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data : extended (2073 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab\AVP8\Data : extended (2073 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 20C3AB27 (94 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (118 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 20C3AB27 (94 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : 2A81F9CE (97 bytes)
C:\Documents and Settings\All Users\Dati applicazioni\TEMP : DFC5A2B2 (118 bytes)
C:\Documents and Settings\Colella\Dati applicazioni\Microsoft\Office\File recenti\costa.ars.pdf+dionisio+trace&hl=it&gl=it&ct=clnk&cd=4.url : favicon (1406 bytes)
C:\Documents and Settings\Colella\Preferiti\Collegamenti\WindowsMedia.url : favicon (3638 bytes)
C:\Documents and Settings\Colella\Preferiti\CWshredder.url : favicon (3750 bytes)
C:\Documents and Settings\Colella\Preferiti\Libero.url : favicon (318 bytes)
C:\Documents and Settings\Colella\Preferiti\News - Dettagli Notizia.url : favicon (12158 bytes)
C:\Documents and Settings\Colella\Preferiti\Olimpo Informatico Log in.url : favicon (894 bytes)
C:\Documents and Settings\Colella\Preferiti\PrezziShock - Compra e Vendi all'asta o a prezzo fisso.url : favicon (1406 bytes)

[Riverside]

[alcy]

ciao riverside..allora cancellato tutto..ma due non si lascinao cancellare...esce una piccola finestra in inglese in cui si dice(credo...)che sono in uso da un altro programma...mi pare di capire kaspersky....

quanto al punto 7 di cui ti parlavo(scaricare kaspersky removal...)io ho gia' kaspersky...non fa niente?e' una cosa diversa quella?
grazie mille...ciao.