Olimpo Informatico

[Alliata]

Ciao

Ho beccato Bagle e solo dopo tanti sforzi, questo é quello che sono riuscito a fare:

Windows XP
Secondo vs guida, fino al punto del riavvio in modalità provvisoria ma
ESCLUSO Hijachthis (non me lo fa fare), questi i logs ottenuti:

http://wikisend.com/download/966360/Find1tris.doc
http://wikisend.com/download/457390/Find1quadris .doc

Poi non mi fa avviare NORMAN (in modalità provv.ria) perchè mi dice " enable to load NSAK.SYS.ERROR (0X00000001)"

poi, dalla modalità provvisoria sto provando a lanciare
GMER
Rootkit buster
AVAST

ma niente da fare

http://wikisend.com/download/564928/DDS.txt

PS: sono "attempato" e autodidatta quindi, come al solito vi capita, per favore aiutatemi con pazienza. Buon anno.

PS: Disinstallati i seguenti Cracks:
C:\Documents and Settings\Owner\Documenti\Downloads\Prevx 2.1.56 Incl Serial\InstallPREVX102001506.exe"
10/07/2008 08.27 |Size 10576600 |Crc32 d84311ea |Md5 b8bb154c579d0d0fdfaab4ea4aa5a986

"C:\Programmi\Wizard4 Software\SuperEnabler\esempio\crackami.exe"
11/01/2003 22.07 |Size 20480 |Crc32 6407ad67 |Md5 c79ca8f4a35f80e1cb45e7f70fcb308d

[R16]

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Hai eseguito Elibagla ?
Se NO, eseguilo come da guida.
Posta il log.

Disistalla questi software in quanto inutilizzabili: (più avanti, installeremo un altro antivirus)

Avast4
SUPERAntiSpyware
PartitionMagic 8.0
Virit .
Hijachthis

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO

Riavvia il pc.
Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Posta i log.

N.B:
Inutile dirti, che durante la bonifica del pc, NON devi assolutamente scaricare da E-mule e company.
E collegarti solamente in questo forum.
Limitati a scaricare quello che indico, e vedrai che risolviamo.

[Alliata]

Buongiorno e buona befana,

Ho seguito le istruzioni.
Ho operato in modalità normale (NON in provvisoria, non lo avevi specificato)

Alla faccia delle scansioni lente. Il bradipo diventa Flash al confronto...


Comunque:
Messo flag su DISATTIVA config.sistema...

Elibagla l'avevo già eseguito comunque l'ho rifatto:
http://wikisend.com/download/520928/Elibagla InfoSat.txt

Ho disinstallato:
Avast tramite pannelo di controllo - install.applicazioni-rimuovi etc etc
Hijachthis non l'ho trovato e l'ho rimosso manualmente da c:\windows\progarammi ets etc (ho eliminato la cartella)
Superaspyware + PARTITIONMAGIC + VIRIT non li ho trovati da nessuna parte (installati): dove li avevi visti ?

Fatto avvio di CCleaner

Svuotata cartella PREFETECH

Riavviato PC

Ecco i logs di MBAM (sono 2, l'ho fatto due volte):
http://wikisend.com/download/465362/mbam-log-2010-01-06 (00-18-41).txt
http://wikisend.com/download/704980/mbam-log-2010-01-06 (00-19-12).txt

Ecco il log di Combofix:
http://wikisend.com/download/969164/Combofix log.txt

PS: Dopo cCombofix mi ha fatto CHDSK (quell ocon la schermata blu etc etc) su F:\

Ora che famo ?
aspetto istruzioni, grazie (inutile dirlo ancora ma..)

ciao

[R16]

I software che non trovi, è il log di FindKill che mi dice che ci sono.
Comunque non ci sono neanche nel log di Combofix.

[Alliata]

nonvapiulaTaStiera http://wikisend.com/download/562886/Nuovo Documento di testo.txt http://wikisend.com/download/585390/hijackthis.log AIUToooo[/b]

[R16]

[Alliata]

TaStieraconfilouSB NORTEk SFERA. lucemaiuScolaACCESA....riavvia il pc : treWolte.Hai il CD originale di Windows?noo CD Copia. ma hoConsollRIPRIST.installaTa
Vedi :
Condivisione connessione Inernet (ICS) : nontrovato. Enon. CEla. faccio. più

[R16]

Ciao.
Hai la possibilità di provare un'altra tastiera, per verificare che non sia difettosa?

[Alliata]

[R16]

[H5N1]

Nessuno si è accorto che hai un Keylogger?
BPK: Perfect Keylogger.
E quello difficilmente si installa a caso da solo... In genere viene utilizzato da qualcuno che consapevolmente ha intenzione di controllare cosa la persona "digita" (e dà la possibilità di inviare le intercettazioni via email).
Rimozioni del keylogger senza il ripristino di Hook e SSDT al Kernel possono portare ad un malfunzionamento della tastiera.
Sarebbe stato opportuno prima rimuovere BPK con una procedura mirata.
Puoi provare a far tornare a funzionare la tastiera usando GMER o un altro tool che intercetti injection e rootkit e permetta di rimuoverli.

[Alliata]

Ciao

ovviamente non sono a casa.
tu sapessi che fatica scrivere col copia/incolla col mouse !
Appena posso lancio in modalità provvisoria i programmi che menzionavo.
comuqnue ho visto che Gmer partiva e che anche Combofix lavora con quello in DOS quindi..
Quello che non capisco è la tastiera. Se premo i tasti prima della caricazione di Windows XP, le luci delle maiuscole e numeri (blocco) si accendono/spengono e sembra quindi che i tasti funzionino. Poi con XP, rimane accesa la sola luce del blocco numeri e tutta la tastiera, escluso i tasti speciali in alto (volume e altri tastini in orizzontale che ci sono) non va più niente. Ripeto i tasti in alto vanno, tanto da poterli anche settare.

I driver li ho ricaricati, e ora compare tastiera standard ma con un punto esclamativo nero su base gialla (in periferiche dove si riscontrano ev. problemi - tasto dx esplora risorse etc etc). Punto esclamativo anche per la tastiera HID (che non so cosa sia, accidenti all'ignoranza..)

A questo punto, se la tastiera la risolviamo, riattaco il tutto normalmente scaricando l'antivirus AVIRA.

ciao

[R16]

Ciao H5N1

[Alliata]

aggiornamento

A casa ho lanciato comunque GEMER in mod.tà provv.ria e non parte ...! manca il tasto di avvio scan sullo screen del programma.
Roba da matti, comunque ho riavviato Combofix e ha rilevato un file infetto in Winlogon, o qualcosa del genere.
Stasera faccio come dici e posto anche il log di cui sopra.

a risentirci

[R16]

Ciao H5N1

[Alliata]

Scusa, in modalità normale va bene ?

[R16]

L'operazione con Combofix, la fai in Modalità normale.
Quella con DoctorWeb, sarebbe meglio farla in Modalità provvisoria.
Abbi pazienza, può risultare lunga.

[R16]

[Alliata]

ComboFix: NIRCMDC Non riconosciuto comando valido ...etc...etc...E Ora??

[H5N1]