Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
pc infetto
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 19 Gen 2009 11:35    Oggetto: pc infetto Rispondi citando

ciao a tutti, sono di nuovo qua.
pc vecchiotto, OS windows xp, avira free come antivirus, usato praticamente soltanto per la stampante in rete.
ho fatto una scansione con panda active scan e mi ha trovato 3 files infetti.

ActiveScan.txt

uno l'ho tolto-quello nelle chiavi di registro- gli altri 2 non li trovo. la cartella è visibile ma non posso aprirla.
ho messo in modalità provvisoria, ripulito con atf cleaner,ccleaner e eusing free ed ho fatto hijackthis
hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 19 Gen 2009 12:45    Oggetto: Rispondi citando

Per quale ragione apri due discussioni? anche se si tratta di due computer diversi, possiamo proseguire in una sola discussione.
Chiudo la seconda e si prosegue qui.
Questa la procedura che devi, inizialmente, eseguire sul primo computer (quello più vecchiotto); poi, una volta risolti i problemi su quello, vediamo di risolvere quelli del secondo.

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:





esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 19 Gen 2009 19:25    Oggetto: Rispondi citando

http://wikisend.com/download/509130/mbam-log-2009-01-19

http://wikisend.com/download/524764/hijackthis.log]hijackthis.log

superantispyware non ha trovato nulla e nemmeno mbam, ma ho messo lo stesso il log, visto che me lo ha aperto.
attendo.
grazie e mi scuso per i 2 post, pensavo di creare meno caos... Rolling Eyes
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 19 Gen 2009 22:17    Oggetto: Rispondi citando

@ bimicky, cerchiamo di capirci fin da subito: a me non interessa che tu mi dica che Superantispyware (o chi per esso) non ha trovato nulla; ti ho chiesto di allegare il log (e ci sarà una ragione), lo alleghi comunque esso si presenti.
Recupera il log prodotto da Superantisypwarei:
> lancia Superantispyware
> clicca su Preferenze
> clicca sulla voce Statistiche/Registri
> nella finestra centrale, individua il log e lo selezioni con il mouse
> clicca su Visualizza Registro e si aprirà un file di testo (quello è il log); salva il file di testo e lo alleghi.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 20 Gen 2009 00:18    Oggetto: Rispondi citando

http://wikisend.com/download/490372/SUPERAntiSpyware
grazie
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 21 Gen 2009 00:10    Oggetto: Rispondi citando

vedo che siete tutti impegnatissimi...comunque ho postato il log mancante.
buon lavoro!
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 21 Gen 2009 00:29    Oggetto: Rispondi citando

bimicky ha scritto:
vedo che siete tutti impegnatissimi...

Più semplicemente, in attesa del log mancante.
Dal log di Hthis vedo che come Antivirus utilizzi Avira, quindi prosegui in questa maniera: scarica la Guida per configurare Avira Antivir: clicca qui per il download

Dopo averlo configurato, esegui una scansione completa del sistema, salva il report che verrà rilasciato ed allegalo.

Poi, mi serve una info:
bimicky ha scritto:
uno l'ho tolto - quello nelle chiavi di registro - gli altri 2 non li trovo. la cartella è visibile ma non posso aprirla

nome e posizione della cartella in questione.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 21 Gen 2009 19:21    Oggetto: Rispondi citando

questo è il percorso della cartella che non posso aprire( e che risulta essere vuota, oltretutto, passandoci sopra col mouse)

C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP299\A0032018.dll

C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP257\A0029424.exe[fcatgcjme.exe]

e questo è il log di avira

http://wikisend.com/download/478274/AVSCAN-20090121-143420-E144BF0D.LOG
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 22 Gen 2009 04:01    Oggetto: Rispondi citando

Scarica Combofix: clicca qui per il download

● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
● accedi al sistema in modalità provvisoria con l'account Amministraore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Note: durante la scansione
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verranno creati due log in C:\

● combofix.txt
● ComboFix-quarantined-files.txt

Riavvia il sistema in modalità normale ed allega i due log

1) disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop

Allega anche, un nuovo log di Htihs, per favore.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 22 Gen 2009 21:49    Oggetto: Rispondi citando

ho eseguito combofix. ha riavviato il pc e poi ha lasciato il log, che è questo:

http://wikisend.com/download/556436/ComboFix.txt

in C:\ però ho trovato un solo questo, l'altro ( ComboFix-quarantined-files.txt ) non c'è, ma viene nominato infondo all'altro.txt.

e questo è il nuovo log hijackjthis:

http://wikisend.com/download/471186/hijackthis2.txt
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 22 Gen 2009 23:20    Oggetto: Rispondi citando

Allora ci sono un paio di cose che non mi quadrano.
Questo servizio in missing:

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

Quel servizio fa riferimento a Psexec uno dei tool della Suite di PSTools di SysInternals.
Vediamo si sistemarlo.


L'ultima modifica di Riverside il 23 Gen 2009 13:47, modificato 1 volta
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 23 Gen 2009 00:05    Oggetto: Rispondi citando

non ho la minima idea di cosa sia questa roba-tranne il superantispyware che mi hai fatto installare e non conoscevo.
che programma è quello di cui parli?a che serve?il pc lo abbiamo comprato nuovo 5 anni fa mi pare, in un negozio compy, quindi non è stato maneggiato da altri.mai portato in assistenza.
booh...posso averlo scaricato in qualche modo?l'unica cosa che avevo installato io era microsoft office 97-se non erro- che era di mio papà (la copia del pc dell'ufficio), è l'unica cosa non consumer, se ho inteso bene quello che intendi con consumer.
e poi programmi per gestire file musicali, quelli tanti,provati ed eliminati. ma non credo c'entri molto

edit: ho anche installato dei programmi che erano sul cd che accompagnava il portatile che abbiamo preso 2 anni fa. quella suite di cui parli poteva essere tra i programmi free-insieme a works, per intenderci?
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 23 Gen 2009 02:08    Oggetto: Rispondi citando

Prosegui in questo modo:

> Start
> Esegui
> nella casella di dialogo digita msconfig e conferma con OK
> nella maschera che si aprirà accedi alla scheda Servizi
> metti la spunta in basso su Nascondi tutti i servizi Microsoft
> cerca, nell'elenco, PsExec , togli la spunta nella casella corrispondente e conferma con OK

A questo punto riavvia il Computer, dopo il riavvio ti apparirà una finestra con un messaggio: spunta l?unica casella disponibile e clicca su OK

Al termine riavvia ed allega un nuovo log di Hthis.

Poi controlla se Superantispyware funziona regolarmente e fammi sapere.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 23 Gen 2009 13:35    Oggetto: Rispondi citando

log di hjt

http://wikisend.com/download/515880/hijackthis3.txt

e log di superantispyware, che pare funzionare bene

http://wikisend.com/download/563698/SUPERAntiSpyware Scan Log - 01-23-2009 - 12-26-17.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 23 Gen 2009 13:44    Oggetto: Rispondi citando

Ottimo ed abbondante direi Exclamation
Rilancia Hthis è fixa queste voci e sei a posto.

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [MagicSpeed] C:\Programmi\SamsungODD\Magic Speed\MagicSL.exe /autorun
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [YSearchProtection] C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [Search Protection] C:\Programmi\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [HeavyWeatherPublisher] C:\HeavyWeather\HeavyWeatherPublisher.exe -minimized
O4 - Global Startup: ZDWlan.lnk = ?
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 23 Gen 2009 13:55    Oggetto: Rispondi citando

grazie!!!dopo pranzo mi applico...ma lo so che sono una rompina...mi spieghi cosa diavolo gli era successo?e come?sempre che non sia troppo disturbo, ho visto che siete davvero pieni di lavoro Shocked
ed infine...
chhe faccio col portatile, stessa trafila del pc per i primi log?
grazie ancora!!
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 23 Gen 2009 14:36    Oggetto: Rispondi citando

Active Scan aveva trovato questa roba:
Citazione:
C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP299\A0032018.dll
C:\System Volume Information\_restore{376B20DE-F579-4734-BC01-C79051158390}\RP257\A0029424.exe[fcatgcjme.exe]

all'interno della cartella del Ripristino Configurazione di Sistema;.
Una volta disattivato il Ripristino , tutti i punti di ripristino precedente vengono annullati ed il problema si risolve con una semplice operazione generale di pulizia (ciò che abbiamo fatto).
bimicky ha scritto:
che faccio col portatile, stessa trafila del pc per i primi log?

Se il sistema operativo è Windows XP, esegui la procedura preliminare che ti avevo indicato all'inizio ed allega tutti i log.
La domanda è: che problema ha il portatile?.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 23 Gen 2009 14:48    Oggetto: Rispondi citando

a dir la verità nessuno in particolare, è solo un pò più lento ed anche in questo caso panda scan aveva trovato un adware che però dovrei aver eliminato. dico dovrei perchè in realtà non avevo disabilitato il ripristino di configurazione del sistema- e da quel che ho capito invece è fondamentale.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 23 Gen 2009 15:02    Oggetto: Rispondi citando

Esegui la procedura e diamo una occhiata.
Top
Profilo Invia messaggio privato
bimicky
Semidio
Semidio


Registrato: 17/05/07 08:26
Messaggi: 336

MessaggioInviato: 23 Gen 2009 20:21    Oggetto: Rispondi

ho un problema: superantispyware ha trovato 2 adware che ha processato e "separato". ma non mi apre il log dalle preferenze...che faccio?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2, 3, 4  Successivo
Pagina 1 di 4

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi