Olimpo Informatico

[boccia]

ciao

avira oggi mi ha dato delle rogne.
inizialmente mi mi faceva effettuare l'aggiornamento, dicendomi " lo scheduler non è attivo"

poi invece non era possibile proprio aprirlo, e mi visualizzava tale finestra:
messaggio errore avira.JPG


i logs di otl:
OTL.Txt
Extras.Txt

[R16]

Disistalla Avira seguendo la procedura di disistallazione:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228

Se un antivirus fà storie, lo si sostituisce.
Installa Avast!:
link

[boccia]

ho disinstallato avira secondo l'iter.

provo a rimetterlo per vedere se la situazione cambia; finora mi trovo bene ,caso a parte, con avira.

[boccia]

ho disinstallato avira secondo l'iter.

provo a rimetterlo per vedere se la situazione cambia; finora mi trovo bene ,caso a parte, con avira.

[R16]

Come vuoi.
Al limite hai l'alternativa.

[boccia]

si se mi si reimpalla metto in pratica il tuo consiglio

[boccia]

Ciao
Mi si è ripresentato un problema con avira. Questa volta però ho beccato un virus.

Inizialmente mi si sono bloccati la protezione in tempo reale, quella web e quella mail.
Riavvio il pc e “sembrerebbe” essere tornata la normalita.
Faccio una scansione con malwarebytes e non rileva nulla.
Poi prima di andare a dormire lancio quella di avira e questa mattina appena mi alzo do una controllata e vedo che la scansione non è finita perché c’è una finestra che mi dice “c’è un programma nascosto e che serve il cd rescue di avira”.
Finisce la scansione e non rileva nulla (strano!)

Poi nel log di avira stesso trovo questo scritto che mi preoccupa:
“Driver nascosto
[NOTA] È stata rilevata una modifica della memoria che potrebbe essere sfruttata per accessi nascosti ai file.”

Inoltre mi si apre autonomamente questa finestra
finestra connessione.JPG

scan avira.txt

mbam-log-2012-02-05 (20-21-33).txt

OTL.Txt
Extras.Txt

[R16]

Il pc è infetto.
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop


Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224

Posta i vari log con le solite modalità.

[boccia]

combofix.txt

MBRCheck_02.06.12_20.44.49.txt

TDSSKiller.2.7.9.0_06.02.2012_20.39.26_log.txt

ho dato uno sguardo al log di mbrcheck e mi sembra di capire che il mio mbr è infetto. il mio coinquilino (a cui stai dando già una mano tramite questa sezione del forum; è l'utente col nome pisiattu) ha lo stesso problema: può essere che mi ha passato l'infezione con ponte il modem o una chiavetta usb con cui interagiamo?

se il mio problema è il medesimo suo devo ricorrere anch'io all'utilizzo del tool aswmbr?

[R16]

[boccia]

finalmente ce l'ho fatta a completare la scansione (il tool si è bloccato dopo ore di scansione tre volte e alla fine ho dovuto eliminare la cartella capiente dove si inceppava la scansione; era una cartella molto capiente che conteneva numerosissime altre sottocartelle).


aswMBR.txt

Nel corso della scansione mi ha fatto una segnalazione in giallo e due in rosso:

Quella in giallo:
Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32


Quelle in rosso:
ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x846551f8]<<

\Driver\atapi[0x850254c8] -> IRP_MJ_CREATE -> 0x846551f8



vorrei poi chiederti un'altra cosa:
ho un hard disk esterno, ora non so se gli ho passato anche a questo l'infezione.
come posso verificare in tal senso? in caso fosse cosi come posso ripulirlo senza doverlo formattare e quindi perdere tutti i file?

[R16]

[boccia]

Result.txt

[R16]

Fai la scansione con aswMBR.
Finita la scansione clicca su "FIXMBR".
Accetta la nuova riscrizione del MBR.
Riavvia il pc
Ripeti la scansione con aswMBR.
E ripeti la scansione con MBRCheck.
Posta i log.
Attenzione a non confonderli con le scansioni precedenti.

[boccia]

MBRCheck_02.08.12_20.34.01.txt

aswMBR.txt


ho letto il log di mbrcheck e mi sembra di capire che l'infezione c'è ancora..
com'è possibile?
posso aver sbagliato qualcosa? eppure ho fatto come mi hai indicato: scansione con aswmbr, poi fixmbr, poi riavvio del computer..

[R16]

[boccia]

quindi l'mbr non è più infetto?

te lo chiedo perchè alla fine del log di mbrcheck leggo queste due scritte che mi preoccupano:
hysicalDrive0 "UNKNOWN MBR CODE"
SHA1: 16698ED1C8962A954D7784AE30808EE2CB073E81


"FOUND NON-STANDARD OR INFECTED MRB."


e sui rilevamenti "colorati" di aswmbr cosa devo fare poi?

intendo quello giallo:
Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32

e quelli rossi:
ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x846551f8]<<


\Driver\atapi[0x850254c8] -> IRP_MJ_CREATE -> 0x846551f8

[R16]

[boccia]

ok ho capito perdona la mia insicurezza

per quanto riguarda il computer, ho lanciato la scansione di avira e dopo poco che è iniziata mi ha rivisualizzato questo enigmatico messaggio:
messaggio avira.JPG

come trovo/elimino questo virus nascosto o programma indesiderato?

[R16]

Avira vuole che tu usi questo:
http://forum.zeusnews.com/viewtopic.php?t=40144
Devi creare un CD-live, e seguire le istruzioni del link.