Precedente :: Successivo |
Autore |
Messaggio |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 19 Gen 2009 11:35 Oggetto: pc infetto |
|
|
ciao a tutti, sono di nuovo qua.
pc vecchiotto, OS windows xp, avira free come antivirus, usato praticamente soltanto per la stampante in rete.
ho fatto una scansione con panda active scan e mi ha trovato 3 files infetti.
ActiveScan.txt
uno l'ho tolto-quello nelle chiavi di registro- gli altri 2 non li trovo. la cartella è visibile ma non posso aprirla.
ho messo in modalità provvisoria, ripulito con atf cleaner,ccleaner e eusing free ed ho fatto hijackthis
hijackthis.log |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 19 Gen 2009 12:45 Oggetto: |
|
|
Per quale ragione apri due discussioni? anche se si tratta di due computer diversi, possiamo proseguire in una sola discussione.
Chiudo la seconda e si prosegue qui.
Questa la procedura che devi, inizialmente, eseguire sul primo computer (quello più vecchiotto); poi, una volta risolti i problemi su quello, vediamo di risolvere quelli del secondo.
1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura
2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
3) Scarica ed installa Hijackthis:
clicca qui per il download
4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato
7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.
Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 19 Gen 2009 19:25 Oggetto: |
|
|
http://wikisend.com/download/509130/mbam-log-2009-01-19
http://wikisend.com/download/524764/hijackthis.log]hijackthis.log
superantispyware non ha trovato nulla e nemmeno mbam, ma ho messo lo stesso il log, visto che me lo ha aperto.
attendo.
grazie e mi scuso per i 2 post, pensavo di creare meno caos...  |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 19 Gen 2009 22:17 Oggetto: |
|
|
@ bimicky, cerchiamo di capirci fin da subito: a me non interessa che tu mi dica che Superantispyware (o chi per esso) non ha trovato nulla; ti ho chiesto di allegare il log (e ci sarà una ragione), lo alleghi comunque esso si presenti.
Recupera il log prodotto da Superantisypwarei:
> lancia Superantispyware
> clicca su Preferenze
> clicca sulla voce Statistiche/Registri
> nella finestra centrale, individua il log e lo selezioni con il mouse
> clicca su Visualizza Registro e si aprirà un file di testo (quello è il log); salva il file di testo e lo alleghi. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 20 Gen 2009 00:18 Oggetto: |
|
|
http://wikisend.com/download/490372/SUPERAntiSpyware
grazie |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 21 Gen 2009 00:10 Oggetto: |
|
|
vedo che siete tutti impegnatissimi...comunque ho postato il log mancante.
buon lavoro! |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 21 Gen 2009 00:29 Oggetto: |
|
|
bimicky ha scritto: | vedo che siete tutti impegnatissimi... |
Più semplicemente, in attesa del log mancante.
Dal log di Hthis vedo che come Antivirus utilizzi Avira, quindi prosegui in questa maniera: scarica la Guida per configurare Avira Antivir: clicca qui per il download
Dopo averlo configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo.
Poi, mi serve una info:
bimicky ha scritto: | uno l'ho tolto - quello nelle chiavi di registro - gli altri 2 non li trovo. la cartella è visibile ma non posso aprirla |
nome e posizione della cartella in questione. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 21 Gen 2009 19:21 Oggetto: |
|
|
questo è il percorso della cartella che non posso aprire( e che risulta essere vuota, oltretutto, passandoci sopra col mouse)
C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP299\A0032018.dll
C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP257\A0029424.exe[fcatgcjme.exe]
e questo è il log di avira
http://wikisend.com/download/478274/AVSCAN-20090121-143420-E144BF0D.LOG |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 22 Gen 2009 04:01 Oggetto: |
|
|
Scarica Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● accedi al sistema in modalità provvisoria con l'account Amministraore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log
Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
Verranno creati due log in C:\
● combofix.txt
● ComboFix-quarantined-files.txt
Riavvia il sistema in modalità normale ed allega i due log
1) disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop
Allega anche, un nuovo log di Htihs, per favore. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 22 Gen 2009 21:49 Oggetto: |
|
|
ho eseguito combofix. ha riavviato il pc e poi ha lasciato il log, che è questo:
http://wikisend.com/download/556436/ComboFix.txt
in C:\ però ho trovato un solo questo, l'altro ( ComboFix-quarantined-files.txt ) non c'è, ma viene nominato infondo all'altro.txt.
e questo è il nuovo log hijackjthis:
http://wikisend.com/download/471186/hijackthis2.txt |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 22 Gen 2009 23:20 Oggetto: |
|
|
Allora ci sono un paio di cose che non mi quadrano.
Questo servizio in missing:
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
Quel servizio fa riferimento a Psexec uno dei tool della Suite di PSTools di SysInternals.
Vediamo si sistemarlo.
L'ultima modifica di Riverside il 23 Gen 2009 13:47, modificato 1 volta |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 23 Gen 2009 00:05 Oggetto: |
|
|
non ho la minima idea di cosa sia questa roba-tranne il superantispyware che mi hai fatto installare e non conoscevo.
che programma è quello di cui parli?a che serve?il pc lo abbiamo comprato nuovo 5 anni fa mi pare, in un negozio compy, quindi non è stato maneggiato da altri.mai portato in assistenza.
booh...posso averlo scaricato in qualche modo?l'unica cosa che avevo installato io era microsoft office 97-se non erro- che era di mio papà (la copia del pc dell'ufficio), è l'unica cosa non consumer, se ho inteso bene quello che intendi con consumer.
e poi programmi per gestire file musicali, quelli tanti,provati ed eliminati. ma non credo c'entri molto
edit: ho anche installato dei programmi che erano sul cd che accompagnava il portatile che abbiamo preso 2 anni fa. quella suite di cui parli poteva essere tra i programmi free-insieme a works, per intenderci? |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 02:08 Oggetto: |
|
|
Prosegui in questo modo:
> Start
> Esegui
> nella casella di dialogo digita msconfig e conferma con OK
> nella maschera che si aprirà accedi alla scheda Servizi
> metti la spunta in basso su Nascondi tutti i servizi Microsoft
> cerca, nell'elenco, PsExec , togli la spunta nella casella corrispondente e conferma con OK
A questo punto riavvia il Computer, dopo il riavvio ti apparirà una finestra con un messaggio: spunta l?unica casella disponibile e clicca su OK
Al termine riavvia ed allega un nuovo log di Hthis.
Poi controlla se Superantispyware funziona regolarmente e fammi sapere. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 23 Gen 2009 13:35 Oggetto: |
|
|
log di hjt
http://wikisend.com/download/515880/hijackthis3.txt
e log di superantispyware, che pare funzionare bene
http://wikisend.com/download/563698/SUPERAntiSpyware Scan Log - 01-23-2009 - 12-26-17.log |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 13:44 Oggetto: |
|
|
Ottimo ed abbondante direi
Rilancia Hthis è fixa queste voci e sei a posto.
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [MagicSpeed] C:\Programmi\SamsungODD\Magic Speed\MagicSL.exe /autorun
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [YSearchProtection] C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [Search Protection] C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [HeavyWeatherPublisher] C:\HeavyWeather\HeavyWeatherPublisher.exe -minimized
O4 - Global Startup: ZDWlan.lnk = ? |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 23 Gen 2009 13:55 Oggetto: |
|
|
grazie!!!dopo pranzo mi applico...ma lo so che sono una rompina...mi spieghi cosa diavolo gli era successo?e come?sempre che non sia troppo disturbo, ho visto che siete davvero pieni di lavoro
ed infine...
chhe faccio col portatile, stessa trafila del pc per i primi log?
grazie ancora!! |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 14:36 Oggetto: |
|
|
Active Scan aveva trovato questa roba:
Citazione: | C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP299\A0032018.dll
C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP257\A0029424.exe[fcatgcjme.exe] |
all'interno della cartella del Ripristino Configurazione di Sistema;.
Una volta disattivato il Ripristino , tutti i punti di ripristino precedente vengono annullati ed il problema si risolve con una semplice operazione generale di pulizia (ciò che abbiamo fatto).
bimicky ha scritto: | che faccio col portatile, stessa trafila del pc per i primi log? |
Se il sistema operativo è Windows XP, esegui la procedura preliminare che ti avevo indicato all'inizio ed allega tutti i log.
La domanda è: che problema ha il portatile?. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 23 Gen 2009 14:48 Oggetto: |
|
|
a dir la verità nessuno in particolare, è solo un pò più lento ed anche in questo caso panda scan aveva trovato un adware che però dovrei aver eliminato. dico dovrei perchè in realtà non avevo disabilitato il ripristino di configurazione del sistema- e da quel che ho capito invece è fondamentale. |
|
Top |
|
 |
Riverside Ban a tempo indeterminato

Registrato: 29/02/08 22:32 Messaggi: 4396 Residenza: Riverside House
|
Inviato: 23 Gen 2009 15:02 Oggetto: |
|
|
Esegui la procedura e diamo una occhiata. |
|
Top |
|
 |
bimicky Semidio

Registrato: 17/05/07 08:26 Messaggi: 336
|
Inviato: 23 Gen 2009 20:21 Oggetto: |
|
|
ho un problema: superantispyware ha trovato 2 adware che ha processato e "separato". ma non mi apre il log dalle preferenze...che faccio? |
|
Top |
|
 |
|