| Precedente :: Successivo |
| Autore |
Messaggio |
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
 Inviato: 13 Gen 2009 19:53 Oggetto: * trojan virtumonde |
 |
|
Buonasera a tutti... Da una scansione con spybot search & destroy è risultato che il mio computer è stato infetto da virtumonde.sci. Spybot non è in grado di eliminarlo, dato che questo ricompare sempre alla scansione successiva.
Ho come sistema operativo windows xp e come antivirus avast 4.8 quotidianamente aggiornato. Grazie a tutti coloro che mi risponderanno. |
|
| Top |
|
 |
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 14 Gen 2009 17:44 Oggetto: |
|
|
| Vorrei aggiungere che da oggi all'avvio del computer mi appare un messaggio con scritto "windows disco non presente". Clicco per due volte su continua e il desktop si carica normalmente ma, a intervalli più o meno lunghi, le icone e tutto il desktop spariscono completamente per poi ricomparire dopo 1-2 secondi. Questo succede per una decina di volte, poi tutti gli elementi del desktop spariscono completamente e sul task manager appare un processo "ciclo idle di sistema". per favore chiedo aiuto urgentemente.. non saprei proprio come fare!!! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 14 Gen 2009 17:47 Oggetto: |
|
|
Antivirus scadente ed antispyware/malware altrettanto scadende 
Benvenuto Marco 
Inizia con il seguire questa procedura:
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino a quando non avremo terminato l'assistenza
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) Scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 14 Gen 2009 18:04 Oggetto: |
|
|
| ciao riverside e grazie per la risposta.. Purtroppo però non riesco ad effettuare la connessione ad internet per il motivo che ho spiegato nel mio precedente messaggio: mi sparisce il desktop rimanendo solo lo sfondo e dopo 2 secondi ritorna ma sembra che il processo di connessione venga interrotto... per questo stò scrivendo da un altro computer.. sono riuscito appena in tempo a cancellare il contenuto della cartella prefetch. Come posso fare? |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 14 Gen 2009 21:55 Oggetto: |
|
|
Sono riuscito a fare ciò che mi hai detto riverside.. ecco i log:
Superantispyware: http://wikisend.com/download/913316/SUPERAntiSpyware Scan Log - 01-14-2009 - 19-16-08.log
MalwareBytes: http://wikisend.com/download/534882/mbam-log-2009-01-14 (20-36-19).txt
HiJackThis: http://wikisend.com/download/508314/hijackthis.log |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 14 Gen 2009 21:57 Oggetto: |
|
|
| Per quanto riguarda il ripristino configurazione di sistema, la voce Disattiva Ripristino configurazione di sistema è trasparente e non posso spuntarla.. accanto c'è però scritto "disabilitato da Criteri di" e continua ma non riesco a leggere oltre. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 14 Gen 2009 22:40 Oggetto: |
|
|
Allora sei decisamente messo male: sia Malwarebytes che SuperAntispyware hanno spazzato via parecchia roba ma, c'è ancora da lavorare (e non poco).
Armati di pazienza e vedrai che se ne esce.
L'unica cosa che ti chiedo (vista la situazione) è di seguire i suggerimenti che ti do.
Ora prosegui in questa maniera:
Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● accedi al sistema in modalità provvisoria, utilizzando l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in Modalità normale ed allega i due log rilasciati
Al termine, disinstalla ComboFix, in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop
| Citazione: | | Per quanto riguarda il ripristino configurazione di sistema, la voce Disattiva Ripristino configurazione di sistema è trasparente e non posso spuntarla.. accanto c'è però scritto "disabilitato da Criteri di" e continua ma non riesco a leggere oltre. |
Questo è un problema che risolviamo dopo. |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 15 Gen 2009 17:58 Oggetto: |
|
|
ok riverside ho fatto tutto quello che mi hai suggerito, ecco i logs:
http://wikisend.com/download/611448/ComboFix.txt
http://wikisend.com/download/540730/ComboFix-quarantined-files.txt |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 18:06 Oggetto: |
|
|
Mi serve una info:
| Citazione: | | non riesco ad effettuare la connessione ad internet per il motivo che ho spiegato nel mio precedente messaggio: mi sparisce il desktop rimanendo solo lo sfondo e dopo 2 secondi ritorna ma sembra che il processo di connessione venga interrotto... per questo stò scrivendo da un altro computer.. |
ora, dopo questa parte di procedura, il computer infetto, si connette regolarmente ad internet o sei sempre su un altro P.C.?
Intanto vediamo di ripristinare i Criteri di Gruppo in maniera che il Ripristino Configurazione di Sistema torni a funzionare, quindi procedi in questa maniera:
● Start
● Esegui
● nella casella di dialogo digita questo comando: gpedit.msc
● espandi Configurazione computer
● espandi Modelli amministrativi
● espandi Sistema
● seleziona Ripristino configurazione di sistema
● doppio click sulle due voci nel riquadro di destra e impostale su non configurato
● salva i cambiamenti se richiesto, riavvia il sistema e verifica se la funzione di Ripristino Configurazione di Sistema è a posto.
Poi, scarica ed installa Elibagla: clicca qui per il download
● scorri fino a fondo pagina e, clicca su Descargar Elibagla per scaricare il tool
● posiziona Elibagla all'interno di una apposita cartella creata sul Desktop
● lancia il tool
● se non è selezionata, seleziona la voce Eliminar Ficheros Automaticamente
● avvia la scansione
● al termine della scansione, verrà rilasciato un log dal nome InfoSat.txt reperibile in C:/
● allega il log
A questo punto, rilancia Hthis, ed allega uno nuovo log. |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 15 Gen 2009 20:19 Oggetto: |
|
|
ok ora tutto apposto.. riesco a connettermi dal mio P.C., quel problema della "sparizione" del desktop non si verifica più e il ripristino configurazione di sistema è disattivato... ecco i due log:
http://wikisend.com/download/631876/InfoSat.txt
http://wikisend.com/download/605764/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 22:00 Oggetto: |
|
|
Otimo lavoro Marco ma siamo solo a metà strada e ci sono diversi problemi ancora da risolvere.
Intanto ti faccio sostituire quella sottospecie di antvirus che è Avast, con un antivirus serio.
Quindi, si procede cosi:
1) cessa, completamente, l'esecuzione di Avast, dalla icona presente nella traybar accanto all'orologio;
2) verifica la presenza dell'uninstall proprietario, quindi:
> Start
> tutti i Programmi
> cerca la voce che fa riferimento ad Avast, la selezioni con il mouse - si aprirà un menu a tendina - controlla se tra le opzioni offerte è presente la voce Uninstall; se fosse presente, avvia la disinstallazione di Avast dal suo Uninstall - se non è presente lo disinstalli da Installazione Applicazioni
Poi, da Installazione Applicazioni disinstalla:
1) tutte le toolbar installate (sono portatrici di spyware);
2) Free download Manager (è portatore di virus);
3) Spybot Search & Destroy (non ti serve più, ti ho fatto installare Malwarebytes e Superantispyware che sono, decisamente, migliori)
4) Adobe Reader;
5) Adobe Flash Player (comprese le eventuali le versioni marcate Macromedia);
6) tutte le versioni di JavaSun;
(per queste ultime tre, ti farò installare le versioni più aggiornate).
Una volta eseguiti tutti i passaggi, esegui una pulizia con CCleaner (sia normale che pulizia dei problemi - questa ultima eseguila piu volte, fino a quando non verranno rilevati più problemi)
Fatto questo, riavvia il sistema e pubblica un nuovo log di Hthis (dopo ti farò installare un antivirus serio). |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 15 Gen 2009 22:37 Oggetto: |
|
|
Ho eseguito tutte le tue istruzioni riverside, anche se dal log di hijack ho visto che ci sono ancora due toolbar che non riesco a disinstallare.. ecco il log:
http://wikisend.com/download/547902/hijackthis.log |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 23:35 Oggetto: |
|
|
Rilancia Hthis e fixa queste voci:
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
Poi abbiamo un problema un pò più serio, ma ci devo ragionare sopra (questo non lo devi toccare):
| Citazione: | | O23 - Service: Microsoft MDHCP Client COM Interface (mdhcp32) - Unknown owner - rundll32.exe (file missing) |
Dopo aver fixato le voci che ti ho indicato, nuovo log di Hthis, Marco. |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 15 Gen 2009 23:50 Oggetto: |
|
|
Ho fixato tutte le voci che mi hai indicato:
http://wikisend.com/download/971818/hijackthis.log
Aspetto tue notizie riguardo quel problema... ti volevo comunque intanto ringraziare per il prezioso aiuto che mi stai fornendo! |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 15 Gen 2009 23:56 Oggetto: |
|
|
Perfetto Marco, andiamo avanti, procedendo un passo alla volta.
Da Installazione Applicazioni disinstalla:
1) Adobe Reader;
2) Adobe Flash Player (comprese le eventuali voci marcate Macromedia)
3) tutte le versioni di JavaSun installate (partendo dalla più vecchia fino alla più recente).
Poi ti farò installare le versioni aggiornate.
Una volta eseguite le disinstallazioni, esegui una nuova pulizia dei problemi con CCleaner rilancia Hthis e fixa queste due voci che mi sono sfuggite:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programmi\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
ed allega un nuovo log di Hthis.
Inoltre mi serve una info: il tuo computer ha un processore AMD o Intel? |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 16 Gen 2009 00:17 Oggetto: |
|
|
Ecco il nuovo log:
http://wikisend.com/download/493016/hijackthis.log
Ho un AMD. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 16 Gen 2009 00:26 Oggetto: |
|
|
Fixa, ancora questa voce:
O16 - DPF: {CAFEEFAC-0014-0001-0007-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_07) -
| marco147* ha scritto: | | Ho un AMD |
Questo potrebbe essere un problema per l'installazione del SP3 del Sistema Operativo: il computer è un portatile o un fisso? (se fosse un portatile, dimmi il nome della marca ed il modello). |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 16 Gen 2009 00:47 Oggetto: |
|
|
| Ho fixato anche l'ultima voce. Il computer è un fisso |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 16 Gen 2009 01:25 Oggetto: |
|
|
| marco147* ha scritto: | | Il computer è un fisso |
Mi sembra non sia il caso di correre dei rischi e trovarsi a formattare, quindi evitiamo, almeno per ora, l'installazione del SP3 per Windows XP.
Procedi in questo modo:
> scarica e salva sul desktop Service Pack Blocker: clicca qui per il download
> posiziona ed estrai il file scaricato all'interno di una apposita cartella (chiamala Service Pack Blocker) che poi conserverai all'interno della tua cartella documenti;
> lancia il tool;
> verrà mostrata la finestra principale del software;
> metti la spunta alla voce Block service pack install
Questo ci permetterà di non visualizzare, in Windows Update, la richiesta di installazione del SP3.
Poi, quando in AMD, si decideranno a risolvere il problema e potrai installare il SP3, sarà sufficiente ripetere l'operazione,
spuntare la voce Allow service pack install e verrà sbloccato il download del SP3.
Fatto questo, da Windows Update scarica ed installa tutti gli aggiormenti disponibili.
Ne avrai per un pò, visto che non hai mai aggiornato il sistema operativo; riavvia il sistema ogni volta che ti verrà richiesto.
Una volta scaricati ed installati tutti gli aggiornamenti disponbili, esegui una pulizia dei problemi con CClenaer, riavvia ed allega un nuovo log di Hthis. |
|
| Top |
|
|
marco147*
Eroe in grazia degli dei
Registrato: 13/01/09 19:13
Messaggi: 196
Residenza: Arezzo
|
| Inviato: 16 Gen 2009 18:45 Oggetto: |
 |
|
ok, ho eseguito tutte le tue istruzioni e ho scaricato tutti gli aggiornamenti (74) da windows update.. eco il nuovo log:
http://wikisend.com/download/913502/hijackthis.log |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
