| Autore |
 Discussione  |
|
Neutrino
Senior Member
92 Messaggi |
 Inserito il - 02/01/2009 : 22:27:00
|
Ciao a tutti e buon anno!
Ho un problema strano con un PC al quale sono scomparse tutte le icone del desktop e la barra di stato con il tasto START.
L'altra cosa strana è che se lancio dal task manager il processo explorer.exe, il sistema mi dice che non esiste (mentre invece è presente nella cartella WINDOWS) ma se lo rinomino con explorerold.exe e lo lancio, parte....
Stessa cosa per internet explorer che parte solo dopo averlo richiamato con iexplorerold.exe
Il PC aveva 6 virus nella cartella SYSTEM32 e il nod32 li ha messi in quarantena, i file sono:
spoolw.exe
igfxsvc.exe
Più altri file con nomi strani ma in altre cartelle.
Qualcuno si è già imbattuto in una cosa del genere??
Grazie
|
Modificato da - death in Data 02/01/2009 22:36:29
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/01/2009 : 22:36:09
|
Buona sera e buon anno anche a te, era un pezzo che non vedevo questa infezione, tanto per gradire non è per nulla simpatica, segui questa procedura se riesci a farla:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
Spero solo il pc non sia troppo compromesso per sistemarlo. |
 |
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 13:20:42
|
Ciao e grazie!
Questo è il link al file del log di Hijack:
htt*://wikisend[.com]/download/525032/hijackthis.log |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 14:17:51
|
Questo è il link al log di LopSD:
htt*://wikisend[.com]/download/531730/lopR.txt
|
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 14:22:16
|
Questo è il log di malwarebytes che ha trovato parecchie cose:
htt*://wikisend[.com]/download/498560/mbam-log-2009-01-03 (14-21-10).txt |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/01/2009 : 15:20:07
|
Buon giorno, rifai la scansione con malwarebytes e rimuovi tutto quello che trova, appena ho un attimo controllo il report di lopSD.
EDIT: segui questa procedura che sterminiamo l'allevamento:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\e2v64413.dll
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At49.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At50.job
C:\WINDOWS\Tasks\At51.job
C:\WINDOWS\Tasks\At52.job
C:\WINDOWS\Tasks\At53.job
C:\WINDOWS\Tasks\At54.job
C:\WINDOWS\Tasks\At55.job
C:\WINDOWS\Tasks\At56.job
C:\WINDOWS\Tasks\At57.job
C:\WINDOWS\Tasks\At58.job
C:\WINDOWS\Tasks\At59.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At60.job
C:\WINDOWS\Tasks\At61.job
C:\WINDOWS\Tasks\At62.job
C:\WINDOWS\Tasks\At63.job
C:\WINDOWS\Tasks\At64.job
C:\WINDOWS\Tasks\At65.job
C:\WINDOWS\Tasks\At66.job
C:\WINDOWS\Tasks\At67.job
C:\WINDOWS\Tasks\At68.job
C:\WINDOWS\Tasks\At69.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At70.job
C:\WINDOWS\Tasks\At71.job
C:\WINDOWS\Tasks\At72.job
C:\WINDOWS\Tasks\At73.job
C:\WINDOWS\Tasks\At74.job
C:\WINDOWS\Tasks\At75.job
C:\WINDOWS\Tasks\At76.job
C:\WINDOWS\Tasks\At77.job
C:\WINDOWS\Tasks\At78.job
C:\WINDOWS\Tasks\At79.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At80.job
C:\WINDOWS\Tasks\At81.job
C:\WINDOWS\Tasks\At82.job
C:\WINDOWS\Tasks\At83.job
C:\WINDOWS\Tasks\At84.job
C:\WINDOWS\Tasks\At85.job
C:\WINDOWS\Tasks\At86.job
C:\WINDOWS\Tasks\At87.job
C:\WINDOWS\Tasks\At88.job
C:\WINDOWS\Tasks\At89.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At90.job
C:\WINDOWS\Tasks\At91.job
C:\WINDOWS\Tasks\At92.job
C:\WINDOWS\Tasks\At93.job
C:\WINDOWS\Tasks\At94.job
C:\WINDOWS\Tasks\At95.job
C:\WINDOWS\Tasks\At96.job
C:\WINDOWS\Tasks\At97.job
C:\WINDOWS\Tasks\At98.job
C:\WINDOWS\Tasks\At99.job
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger. |
Modificato da - death in data 03/01/2009 15:55:16 |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 19:16:45
|
Ciao, questo è il log dell'avenger:
htt*://wikisend[.com]/download/606090/avenger.txt
il sistema sembra che sia ripartito in modo corretto.
Grazie Mille!!
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/01/2009 : 19:58:16
|
Buona sera, non ringraziarmi, non abbiamo finito, segui questa procedura:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
poi riavvia il pc ed eseguimi questa scansione:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 22:46:27
|
Ciao,
ecco il link al file del log di systemscan:
htt*://wikisend[.com]/download/561538/03_01_2009_21_52_report.zip
Ho fatto eseguire il CCcleaner e l'altro software.
L'unica cosa che non ho fatto è la pulizia della cache java perchè non ho nel pannello di controllo l'icona java.
Grazie. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/01/2009 : 22:52:39
|
Buona sera, domani vedo di controllartelo con calma, non preoccuparti se non hai l'icona del java, vuol dire che non utilizzi il java della sun, quindi utilizzi il vecchio java Microsoft.
Ti avviso che farò il prima possibile compatibilmente con i distacchi di corrente eletrica visto che sto sistemando l'impianto elettrico della zona dove lavoro con il pc. |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 03/01/2009 : 22:55:18
|
Grazie ancora.
Faccio un salto nel forum domani.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 03/01/2009 : 23:01:54
|
Buona sera, pensavo di trovare molto peggio, invece è bello pulito, vediamo solo di fare una scansione generale, ci sono dei files che non posso vedere ne con lopsd ne con systemscan, esegui questa scansione on line:
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta il report della scansione.
Se vuoi evitare di installare il java della sun utilizza questa scansione htt*://[www].pandasecurity[.com]/homeusers/solutions/activescan/ devi cllicare su "scan your pc now" ti installerà dei files di database quindi non preoccuparti poi partirà la scansione, questa dovrebbe funzionare senza java.
Te lo dico ora, alla fine di tutte le procedure, rimuovi la cartella c:\avenger e svuota il cestino, per ora mantienila finchè non abbiamo finito. |
Modificato da - death in data 03/01/2009 23:05:43 |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 04/01/2009 : 12:50:31
|
Ciao,
sto eseguendo la scansione col Panda On-line e sembra che ci sia ancora un file sospetto.
Apeena finisce allego il log.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 04/01/2009 : 13:03:01
|
| Buon giorno, appena mi è possibile ti controllo il report e ti faccio sapere di cosa si tratta, sono quasi pronto a scommettere che è un punto di ripristino o uno stupido cookie. |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 04/01/2009 : 14:45:23
|
Ciao,
ecco il link al log di Panda.
htt*://wikisend[.com]/download/934394/ActiveScan.txt |
|
|
|
Neutrino
Senior Member
92 Messaggi |
Inserito il - 04/01/2009 : 14:51:11
|
Ho dato un occhio al log e per quello che ne capisco i due sospetti sono il Systemscan e un file del Lop, percui quelli sono a posto.
Gli altri 5 sono malware, ma alla fine mi sa che sono solo 3 quelli reali:
C:\Documents and Settings\win xp\Cookies\win xp[No-Spam]atdmt[1].txt
02660997 Adware/NaviPromo Adware
C:\RECYCLER\S-1-5-21-861567501-1326574676-839522115-1002\Dg15.exe
03738686 Generic Malware Virus/Trojan
C:\System Volume Information\_restore{F985D356-1C8D-4E1C-B124-1D2EBAFEB187}\RP133\A0038519.exe[fcatgcjme.exe]
Perchè gli altri 2 sono collegati al file sysstemscan.
Ho visto giusto?
|
|
|
|
Discussione |
|
spoolw.exe
Forum Bloccato
