Olimpo Informatico

[fabiobuc]

ho sempre errore appena accendo il pc e si carica xp, come posso risolvere? mi hanno detto di ripostare qua, visto che dovrebbe essere un virus al 90%

grazie

[Riverside]

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) scarica ed installa Hijackthis:
clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:





6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui.

[fabiobuc]

http://wikisend.com/download/552102/MB.txt

http://wikisend.com/download/175494/Super.txt

http://wikisend.com/download/511084/Hthis.txt

[Riverside]

Bel casino, non cè che dire
La prossima volta, i log pubblicali come richiesto e non con un copia/incolla, per favore.

1) disinstalla tutte le toolbar installate;

2) disabilita, temporaneamente, Nod32, scarica ed installa Kaspersky Virus Removal tool:
clicca qui per il download

● al termine della installazione verrà mostrata la schermata principale del tool
● seleziona la partizione da cansionare e clicca su Scan per avviare la scansione
● terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
● si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
● metti la spunta su Apply to all e clicca su Quarantine
● per salvare il Report che verrà rilasciato, clicca sul tasto Reports, salvalo sul Desktop e lo alleghi.

Terminate tutte le operazioni, chiudi il programma che si autodisinstallerà.

3) allega un nuovo log di Hthis.

[fabiobuc]

http://www.wikisend.com/download/602286/hijackthis0000.txt

[Riverside]

Fabio, manca il log di Kaspersky: allegalo, per favore.

Altra cosa: Nod32 è regolarmente licenziato o stai utilizzando la versione trial (oppure è una versione craccata)?.

Per ora prosegui in questo modo:

1) rilancia Hthis ed inzia a fixare queste voci:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programmi\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Programmi\Digital Line Detect\DLG.exe
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

2) disabilita CTFMON, eseguendo questa procedura:
● Start
● Pannello di controllo
● Opzioni internazionali e della lingua
● Seleziona: Lingue---> Dettagli --->Avanzate
● metti la spunta a Disattiva servizi di testo avanzati
● conferma con Applica

Eseguito il passaggio indicato sopra, prosegui in questo modo:
● Start
● Esegui
● nella casella di dialogo digita msconfig
● nella maschera che si aprirà accedi alla scheda Avvio
● nella lista che apparirà verifica se è presente CTFMON[b]
● se è presente togli la spunta alla relativa casellina, conferma l'operazione [b]e rivvia il Computer
● una volta riavviato, verrà proposta una finestra di messaggio: metti la spunta all'unica casella disponibile e conferma.
● Se CTFMON non fosse presente, chiudi tutte le fineste aperte, senza confermare nulla.

3) disinstalla le vesioni superate di Adobe Reader e Javasun ed installa quelle aggiornate:

Adobe Reader: clicca qui per il download

JAVASun: clicca qui per il download

Verifica che versione di Adobe Flash Player è installata; se fosse pesente disinstallala ed anche qui, installa la versione più recente:

Adobe Flash Player: clicca qui per il download

tutti e tre i componenti richiedono la installazione della toolbar di Google: non la installare (quindi togli la spunta alla voce, quando viene proposta)

4) al termine, esegui una nuova pulizia con CCleaner (sia pulizia normale che pulizia dei problemi), riavvia il computer ed allega un nuovo log di Hthis.

Poi, una volta risolto il problema con csrss.exe sarà anche necessario aggiornare il sistema operativo al SP3.

[fabiobuc]

scusa se sono lento a rispondere, ma il pc infetto lo ho sotto mano solo la sera. Intanto faccio come mi hai detto e ti allego appena possibile il log Kasperky.

Nod 32 è originale, ma è installato contemporaneamente in 2 pc (uno dei due è quello infetto).

Sta sera appea ho news ti mando il log ed eseguo le nuove istruzioni

[fabiobuc]

http://www.wikisend.com/download/507384/report111.txt

[fabiobuc]

hijackthis26_11_08.txt


http://www.wikisend.com/download/685184/hijackthis26_11_08.txt

[Riverside]

Scarica ed installa AVENGER:
clicca qui per il download

scompatta Avenger all'interno di una apposita cartella creata sul Desktop
> lancia Avenger
> metti la spunta alla voce Scan for Rootkits
> all'interno del box IMPUT SCRIPT HERE, copia ed incolla lo script indicato sotto, in rosso:

files to delete:
C:\WINDOWS\Config\csrss.exe

> clicca su Execute
Il Computer dovrebbe riavviarsi da solo; in caso contrario, riavvialo manualmente

Poi, prosegui in questo modo:

> Start
> Esegui
> nella casella di dialogo digita regedit per accedere al Registro di Sistema e segui questo percorso:

> HKEY_LOCAL_MACHINE
> SOFTWARE
> Microsoft
> Windows NT
> CurrentVersion
> Winlogon

> clicca su winlogon una sola volta e, nella finestra di destra, individua questa chiave:
"Shell"="Explorer.exe C:\\WINDOWS\\Config\\csrss.exe"

> clicca 2 volte su shell e, nella finestra di dialogo che si aprirà, cancella, manualmente solo questa parte di chiave:

C:\\WINDOWS\\Config\\csrss.exe

(quindi ciò che deve restare è: Nome = shell --> Valore = Explorer.exe)

> conferma la modifica con OK

> premi F5 e chiudi il regedit
> riavvia il Computer
> riaccedi al regedit come hai fatto prima
> segui lo stesso percorso e verifica che la chiave presente sia come è stata modificata

Se è tutto a posto, rliancia Hthis, individua (se ancora presente) questa voce e fixala:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe

in ogni caso, allega un nuovo log di Hthis

[fabiobuc]

ecco i log, comunque sembra tutto a posto adesso, non mi da più errore

hijackthis_27_11_08



http://forum.zeusnews.com/link/39702


grazie, sei in gamba

[Riverside]

[fabiobuc]

ok, ho fixato tutto, grazie.
Che programmi background suggerisci di sfoltire? tanto per evitare di togliere qualcosa di importante.

ancora grazie mille, il problema è comunque risolto

[Riverside]

Esclusi i riferimenti all'antivirus, all'eventuale firewall o altri software di prevenzione/protezione in realtime (Hips e/o Cips) e controllor audio, li puoi rimuovere tutti.