Olimpo Informatico

[Annamaria]

Per chi legge questo topic per la prima volta e ci vuole capire più chiaramente può andare al topic intitolato "L'audio salta come se fosse un disco che s'impunta"‏ a pagina 9.

Dunque appena spuntato la configurazione di ripristino del sistema ho riacquistato la funzione manuale del cursore ma l'ho ripersa subito tentando di avviare Combofix.


Combofix non me lo lascia fare, ci ho provato 4 volte, ho seguito il topic di bDoriano, l'ho rinominato come dice lui in fase di scaricamento ma niente: praticamento dopo che mi chiede l'esonero e clicco si, non mi si apre nessuna finestra, non fà nulla se non bloccarmi tutto tranne il movimento del cursore, però ho dovuto spegnerlo manualmente tutte le volte.

Son fritta, eh?

Di seguito i due logs

SUPERAntiSpyware Scan Log - 11-08-2010 - 13-08-10.log

MBAM.txt

Grazie per il momento e io ...speriamo che me la cavo!

[Annamaria]

Ah...dimenticavo: nonostante Superantispyware abbia eliminato due infezioni i problemi sono rimasti gli stessi....naggia!

[R16]

Ciao.
I log sono puliti. (non sono infezioni quelle che ha trovato Superantispyware, solo cookie.

Hai provato a vedere se Combofix funziona in Modalità provvisoria?

Se non funziona, fai una scansione con Systemscan.
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

[Annamaria]

No. Io faccio solo quello che mi dici te perchè non sò cosa fare da sola anche se in effetti mentre stavo aspettando risposta ho letto il topic sul Combofix che parlava di questa modalità provvisoria. Ho solo una domanda. Devo anche scaricarlo in modalità provvisoria o lo scarico normalmente e poi prima di usarlo metto il Pc in modalità provvisoria? Benedetta ignoranza...Sigh!

Abbi pazienza....

[R16]

[Annamaria]

Lllè!

report.txt

Comunque non ho capito perchè Combofix non ha funzionato neanche in modalità provvisoria.

[R16]

Ciao.
Conosci, oppure hai installato tu questo programma?
C:\Programmi\cacaoweb
A me risulta un programma nocivo.

Poi hai un'infezione da Rootkit.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5EFFC02-20FF-FA8D-3E65-CDDB048F4794}]
"nadfpgbhieflpokfhohnldhcadmf"=hex:6a,61,67,62,6b,68,62,70,66,6e,70,64,64,6e,6b,69,62,6b,6b,64,00,..
"manefhoebfmaealmfeeanehgol

Quelli segnati in grassetto sono rootkit.

Te li levo domani, per cause di forza maggiore devo "scappare".

[Annamaria]

Immaginavo la presenza dei mostri perchè và tropo male. Comunque grazie R16uccio mio di aver guardato. Anch'io ti spiego domani adesso volevo solo ringraziarti e visto che ci sono ti dò la buonanotte.

Sciao, Miao

[Annamaria]

Ma buongiorno!

Cacaoweb eh!

Allora circa due o tre settimane fà comincio ad usare coolstreaming che mi fà vedere i film con megavideo che però dopo 72 minuti interrompe tutto a meno che non usi illimitux che però per funzionare ha bisogno che tu abbia istallato cacaoweb. Insomma è tutto un giro. Quindi cacaoweb non lo uso mai in sè e per sè per scaricare ma lo apro e lo lascio lì aperto altrimenti illimitux non mi funziona.

Però i problemi c'erano anche prima di aver istallato ( o installato? Boh? Non mi ricordo) cacaweb se poi la causa per cui i problemi sono peggiorati è da imputarsi a cacaoweb o a vari rootkits che si nascondono in qua e in là questo non lo sò... può anche essere.

Ma tu cosa vuoi dire quando dici che è nocivo? Che problemi dà? Io sò che in alcuni casi con alcuni antivirus risulta come falso positivo della serie troyan, e che però un generatore di troyan reale non è. O lo è per davvero? Illuminami.

EPPOI perchè non trovo la manina che saluta qui nelle emoticons?

[R16]

Ciao.
Guarda, questo cacaoweb, in rete, tutti i maggiori siti di difesa, dicono che è dannoso.
Per cui, io lo eliminerei, ma devi essere tu, (visto che ti serve) a dirmelo.
Per avere delle conferme, basta che Googli "cacaoweb.exe", e i risultati non sono confortanti.

[Annamaria]

Facciamo così. Siccome io mi fido di te cancella anche Cacaoweb. Però siccome sto add on mi serve e dato che ci sarà da bonificare anche il vecchio Pc io lo rimetto sul vecchio lo uso per un pò e poi vediamo che problemi mi dà e se me li dà. E facciamola un pò di sperimentazione, no? Serve pure agli altri e visto che io sono così temeraria da prestarmi, perchè no! Massìììììììì, osiamo

Dottore quando è pronto possiamo cominciare. Mettiamoli al tappeto questi mostri

Grazie R16, come al solito.

[R16]

Avvia nuovamente SystemScan

Metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed

clicca su Removal Script .

Nel riquadro inserisci il seguente script: (non copiare la parola Codice)

[Annamaria]

Non me lo fà fare.

Ho copiato esattamente come mi hai detto. Quando clicco" Proceed with removal" mi dice "SCRIPT ERROR.- Please copia e incolla un file script valido.

Ho cliccato su quick script help e , mi pare che il tuo script non abbia niente di sbagliato...però potrebbe essermi sfuggito qualcosa...voglio dire...per quel che ne capisco io.

Non aggiungo altro. Sono stanca, vado a letto.

[Gbr_Mone]

Intervengo per velocizzare le operazioni. Nello script mancano i due punti dopo Registry values to replace with dummy. Riprova aggiungendo i due punti (come sotto) e vedi se funziona.
Registry values to replace with dummy:

[Annamaria]

Ollapeppa e tu da dove sbuchi fuori? Comunque piacere di conoscerti e grazie per l'aiuto. Purtroppo anche mettendo i due punti come hai consigliato mi dice sempre la stessa storia: inserire uno script file valido.
Ho provato anche a mettere uno spazio prima dei puntini, stesso risultato, ho provato a togliere i due rootkits separandoli da cacaoweb e viceversa, cioè a toglierli separatamente, ma niente anche così. Una domanda stupida: il fatto che il file copiato diventi rosso vuol dire qualcosa o è normale?



Ci riprovo fra un pò...ma la vedo nera!

[Annamaria]

Niente. I give up!

[R16]

@Annamaria
Prova questo script:

[Annamaria]

Ho capito: riprovo con Systemscan ma con un altro codice. OK. Vado e lo... ffaccio

[Annamaria]

NIENTE-NADA DE NADA.

Dice sempre di inserire uno script valido

[Annamaria]

@R16

Che faccio adesso?