Olimpo Informatico

[pietruzzzo]

Ciao a tutti..
vi scrivo per chiedervi lumi su un pc che sto provando a resuscitare:
sistema operativo : XP
sintomi: lentezza, messaggi d'errore del sistema, virus alert, impossibilità ad accedere a cartelle e programmi.

cos'ho fatto:
installato e avviato combofix, kaspersky, MBAm, vundo, elibagla, e infine HJT di cui posto il log
http://wikisend.com/download/464550/hijackthis.log

ho eliminato un bel po di roba ma i problemi, anche se ridotti, rimangono. Qualche cosa, come rootkit, KS non è stato in grado di eliminarlo. poi non so se c'è da metter mano nelle chiavi di registro o che altro.

qualcuno mi sa dire che altro fare?

grazie a tutti in anticipo

[lorenaino]

ciao,in attesa degli esperti potresti fare una scansione con prevx per individuare eventuali rootkit:

http://info.prevx.com/downloadcsi.asp

[R16]

Ciao.

[pietruzzzo]

[pietruzzzo]

ho fatto la scansione con PrevX
ha trovato due malware medium risk, ma per cancellarli chiede la licenza

i nomi dei file identificati sono ba.exe e q0.exe....

attendo news
grazie

[lorenaino]

ciao,segui i consigli di R1 (affidati a lui) e posta almeno il log di combofix,prevx senza licenza serve solo per individuare eventuali rootkit.
Una domanda che antivirus hai?

[pietruzzzo]

il log di comofix : ComboFix.txt

e quello di HJT:
hijackthis.log

nel pc (non è mio) non ci stanno antivirus. Ora ci installo avira

[R16]

Il log di Combofix non è completo.

Apri un file di testo con il Block Note, sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[pietruzzzo]

[R16]

Ciao.
L'infezione si trova in una chiavetta, o partizione dell HD: (E:)
Segui il percorso di questa chiave:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
Clicca una volta sulla cartellina E.
Sulla pagina a destra dovresti trovare queste voci:
\Shell\AutoRun\command - E:\ba.exe
\Shell\open\Command - E:\ba.exe
Tasto destro sulle voci, e scegli Elimina.
Riavvia il pc.

Poi:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HD esterni)
Clicca su :
Risorse del computer.
Clicca con il tasto desto, sulla lettera a cui fà riferimento la periferica estena.
E scegli: Scansiona con....(il tuo antivirus) e poi, quando è finita la scansione, fai un'ulteriore scansione con Malwarebytes.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.

[pietruzzzo]

Ciao R1
grazie dei consigli utilissimi.
ho fatto tutto, o trovato un ultimo spyware nella usb drive... e l'ho eliminata

posto qui il log di combofix, sperando che sia tutto a posto: combfix.txt

Ancora grazie a te e tutte le persone che partecipano a questo fantastico forum

[R16]

Ok, direi che ci siamo. 8)
Scarica TFC by OldTimer sul desktop
link
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Fai una deframmentazione del HD.
Esegui anche uno Scandisk.

Poi:
Disattiva il ripristino configurazione di sistema, http://forum.zeusnews.com/viewtopic.php?t=22084

Riavvia il pc.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Ciao.

[pietruzzzo]

ciao tutti... volevo ringraziare R1 per il suo aiuto preziosissimo. E' incredibile come pensi di essere perduto e invece con l'intervento di qualcuno, tutto si risolve. E in questo forum di persone in gamba ce ne sono parecchie.

grazie ancora

a presto