Precedente :: Successivo |
Autore |
Messaggio |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 23 Gen 2012 19:12 Oggetto: avira non va |
|
|
ciao
avira oggi mi ha dato delle rogne.
inizialmente mi mi faceva effettuare l'aggiornamento, dicendomi " lo scheduler non è attivo"
poi invece non era possibile proprio aprirlo, e mi visualizzava tale finestra:
messaggio errore avira.JPG
i logs di otl:
OTL.Txt
Extras.Txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 24 Gen 2012 00:10 Oggetto: |
|
|
ho disinstallato avira secondo l'iter.
provo a rimetterlo per vedere se la situazione cambia; finora mi trovo bene ,caso a parte, con avira. |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 24 Gen 2012 00:12 Oggetto: |
|
|
ho disinstallato avira secondo l'iter.
provo a rimetterlo per vedere se la situazione cambia; finora mi trovo bene ,caso a parte, con avira. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 24 Gen 2012 19:03 Oggetto: |
|
|
Come vuoi.
Al limite hai l'alternativa. |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 25 Gen 2012 01:06 Oggetto: |
|
|
si se mi si reimpalla metto in pratica il tuo consiglio  |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 06 Feb 2012 14:47 Oggetto: |
|
|
Ciao
Mi si è ripresentato un problema con avira. Questa volta però ho beccato un virus.
Inizialmente mi si sono bloccati la protezione in tempo reale, quella web e quella mail.
Riavvio il pc e “sembrerebbe” essere tornata la normalita.
Faccio una scansione con malwarebytes e non rileva nulla.
Poi prima di andare a dormire lancio quella di avira e questa mattina appena mi alzo do una controllata e vedo che la scansione non è finita perché c’è una finestra che mi dice “c’è un programma nascosto e che serve il cd rescue di avira”.
Finisce la scansione e non rileva nulla (strano!)
Poi nel log di avira stesso trovo questo scritto che mi preoccupa:
“Driver nascosto
[NOTA] È stata rilevata una modifica della memoria che potrebbe essere sfruttata per accessi nascosti ai file.”
Inoltre mi si apre autonomamente questa finestra
finestra connessione.JPG
scan avira.txt
mbam-log-2012-02-05 (20-21-33).txt
OTL.Txt
Extras.Txt |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 06 Feb 2012 20:31 Oggetto: |
|
|
Il pc è infetto.
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che troverai sul desktop
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta i vari log con le solite modalità. |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 06 Feb 2012 23:08 Oggetto: |
|
|
combofix.txt
MBRCheck_02.06.12_20.44.49.txt
TDSSKiller.2.7.9.0_06.02.2012_20.39.26_log.txt
ho dato uno sguardo al log di mbrcheck e mi sembra di capire che il mio mbr è infetto. il mio coinquilino (a cui stai dando già una mano tramite questa sezione del forum; è l'utente col nome pisiattu) ha lo stesso problema: può essere che mi ha passato l'infezione con ponte il modem o una chiavetta usb con cui interagiamo?
se il mio problema è il medesimo suo devo ricorrere anch'io all'utilizzo del tool aswmbr? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 07 Feb 2012 15:20 Oggetto: |
|
|
Citazione: | può essere che mi ha passato l'infezione con ponte il modem o una chiavetta usb con cui interagiamo? |
Con il modem è difficile.
Con la chiavetta USB è più facile.
Consiglio di formattare tale chiavetta.
Citazione: | se il mio problema è il medesimo suo devo ricorrere anch'io all'utilizzo del tool aswmbr? |
Fai la scansione con aswmbr e posta il log. |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 08 Feb 2012 14:30 Oggetto: |
|
|
finalmente ce l'ho fatta a completare la scansione (il tool si è bloccato dopo ore di scansione tre volte e alla fine ho dovuto eliminare la cartella capiente dove si inceppava la scansione; era una cartella molto capiente che conteneva numerosissime altre sottocartelle).
aswMBR.txt
Nel corso della scansione mi ha fatto una segnalazione in giallo e due in rosso:
Quella in giallo:
Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
Quelle in rosso:
ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x846551f8]<<
\Driver\atapi[0x850254c8] -> IRP_MJ_CREATE -> 0x846551f8
vorrei poi chiederti un'altra cosa:
ho un hard disk esterno, ora non so se gli ho passato anche a questo l'infezione.
come posso verificare in tal senso? in caso fosse cosi come posso ripulirlo senza doverlo formattare e quindi perdere tutti i file? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 08 Feb 2012 14:54 Oggetto: |
|
|
Citazione: | ho un hard disk esterno, ora non so se gli ho passato anche a questo l'infezione. |
Questo problema lo affrontiamo in seguito.
Per il momento, non collegarlo al pc.
Scarica ListParts :
link
Esegui lo strumento, fai clic su Scan e allega il log (Result.txt). |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 08 Feb 2012 15:40 Oggetto: |
|
|
Fai la scansione con aswMBR.
Finita la scansione clicca su "FIXMBR".
Accetta la nuova riscrizione del MBR.
Riavvia il pc
Ripeti la scansione con aswMBR.
E ripeti la scansione con MBRCheck.
Posta i log.
Attenzione a non confonderli con le scansioni precedenti. |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 08 Feb 2012 22:37 Oggetto: |
|
|
MBRCheck_02.08.12_20.34.01.txt
aswMBR.txt
ho letto il log di mbrcheck e mi sembra di capire che l'infezione c'è ancora..
com'è possibile?
posso aver sbagliato qualcosa? eppure ho fatto come mi hai indicato: scansione con aswmbr, poi fixmbr, poi riavvio del computer.. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 08 Feb 2012 23:02 Oggetto: |
|
|
Citazione: | ho letto il log di mbrcheck e mi sembra di capire che l'infezione c'è ancora.. |
No, l'MBR è stato riscritto.
Questo è lo SHA1 del primo log.
Citazione: | SHA1: D94F393960D1CD66C2071F2D7260A5196DF105AC |
Questo è quello dopo la bonifica di aswMBR:
Citazione: | SHA1: 16698ED1C8962A954D7784AE30808EE2CB073E81 |
Come vedi la stringa ha numeri diversi.
E aswMBR, dice che ha riscritto un nuovo MBR:
Citazione: | Disk 0 Windows VISTA default MBR code |
Riscontri problemi? |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 08 Feb 2012 23:54 Oggetto: |
|
|
quindi l'mbr non è più infetto?
te lo chiedo perchè alla fine del log di mbrcheck leggo queste due scritte che mi preoccupano:
hysicalDrive0 "UNKNOWN MBR CODE"
SHA1: 16698ED1C8962A954D7784AE30808EE2CB073E81
"FOUND NON-STANDARD OR INFECTED MRB."
e sui rilevamenti "colorati" di aswmbr cosa devo fare poi?
intendo quello giallo:
Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
e quelli rossi:
ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x846551f8]<<
\Driver\atapi[0x850254c8] -> IRP_MJ_CREATE -> 0x846551f8 |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 09 Feb 2012 00:32 Oggetto: |
|
|
Citazione: | te lo chiedo perchè alla fine del log di mbrcheck leggo queste due scritte che mi preoccupano:
hysicalDrive0 "UNKNOWN MBR CODE"
SHA1: 16698ED1C8962A954D7784AE30808EE2CB073E81 |
Mi sembrava di avertelo spiegato nel post precedente.
Le 2 stringhe SHA1 dei log di mbrcheck sono diverse.
Per cui, l'MBR è stato riscritto. ( dal tool aswMBR)
Citazione: | e sui rilevamenti "colorati" di aswmbr cosa devo fare poi?
intendo quello giallo:
Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
e quelli rossi:
ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x846551f8]<<
\Driver\atapi[0x850254c8] -> IRP_MJ_CREATE -> 0x846551f8 |
Sono driver tutti legittimi.
Poi il tool può segnalarli anche con i colori dell'arcobaleno, ma sono tutti file regolari.
Non hai risposto alla mia domanda:
Come funziona il pc? |
|
Top |
|
 |
boccia Semidio


Registrato: 28/05/08 11:17 Messaggi: 257
|
Inviato: 09 Feb 2012 00:39 Oggetto: |
|
|
ok ho capito perdona la mia insicurezza
per quanto riguarda il computer, ho lanciato la scansione di avira e dopo poco che è iniziata mi ha rivisualizzato questo enigmatico messaggio:
messaggio avira.JPG
come trovo/elimino questo virus nascosto o programma indesiderato? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
|
Top |
|
 |
|