Questo è il virus che tengo!

Lo sto rilevando proprio ora con Kapersky virus removal tool.

S.O. Windows Xp Sp2
Antivirus installato di solito Norton


Sintomi e "devianze".....Cambiamenti nelle impostazione delle cartelle, impossibilità nello spuntare l'opzione disabilita ripristino configurazione (ora la scritta è grigia e trasparente), Il pc in accesso nn mi chiede + la password account, servizio di sicurezza di windows disattivato (me ne sono accorto con spybot.

Sono neofita del forum....che faccio?

Se voglio seguire le istruzioni in guida mi è impossibile cominciare....dato che nn posso spuntare il disabilita ripristino.....

Ditemi voi!!!

in regedit portati qui:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
SystemRestore

dopo aver cliccato su SystemRestore -> File -> Esporta e salva come txt
carica poi il file con la funzione gestisci allegati

Fatto....ecco il .txt

Ti ringrazio sin da ora per la disponibilità!

prova da regedit
doppio click su disablesr -> imposti 1-> ok
controlla da menù cosa è cambiato

Ancora invisibile.........

Lo riporto a zero, prima di provare qlcos'altro?

P.s. Ma dovevo riavviare????????

proviamo con altri metodi:


Da Start - Esegui - digita services.msc - OK

scorri in basso fino a trovare il seguente servizio:
Servizio Ripristino configurazione di sistema

controlla che nella colonna Stato ci sia: Avviato
controlla che nella colonna Tipo avvio ci sia: Automatico


Da Start - Esegui - digita regedit - OK
cerca la Chiave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Configuration Manager

sulla parte destra cerca il nome SelfHealingEnabledquindi facci doppio click con il tasto sinistro del mouse e metti "1" e si riattiva (se è su 0 è disabilitato)


Clicca su Start, Esegui e digita Inf

Poi cerca il file sr.inf. Clicca col destro e scegli Installa. Verrà reinstallato il Ripristino Configurazione di Sistema.





dopo ogni tentativo riavvia.prova questi 3 metodi e facci sapere!

Allora....

Lo stato e la colonna in servizio ripristino sono a posto.

In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager a me manca la cartella Configuration Manager


Se faccio il doppio clic su sr.inf mi chiede da dove dover installare......devo inserire uno dei dischi di ricovero del s.o. e farlo cercare da lì?????

Se faccio il doppio clic su sr.inf mi chiede da dove dover installare......devo inserire uno dei dischi di ricovero del s.o. e farlo cercare da lì?????

Ha il cd del tuo sistema operativo?

Già che ci sei puoi postare un immagine della schermata quando provi ad accedere al ripristinio di configurazione di stesma?grazie

Ha il cd del tuo sistema operativo?

Già che ci sei puoi postare un immagine della schermata quando provi ad accedere al ripristinio di configurazione di stesma?grazie

Si, ho i due cd recovery del s.o.

http://img112.imageshack.us/img112/8933/immagineyg9.th.png (http://img112.imageshack.us/my.php?image=immagineyg9.png)

proviamo ancora con un altro metodo:

http://www.kellys-korner-xp.com/regs_edits/sysrestoreenable.reg


http://www.kellys-korner-xp.com/regs_edits/systemrestore.reg

Salva sul desktop i file, chiudi tutte le applicazioni e lancia prima una e,
se il problema non si risolve, anche l'altra fix, riavviando ogni volta.

Poi clicca su start esegui digita:
regsvr32 jscript.dll OK

start esegui:
regsvr32 vbscript.dll OK

Ok...ho risolto col primo.......devo cmq digitare entrambi i comandi con esegui?

le righe che bloccavano erano le 2 "DisableConfig"=dword:00000000
che secondo me erano diventate 1 disabilitando il comando

quelle stringhe non le conosco...

intanto procedi con la guida

Problema supplementare.........

Il primo passo della guida ovvero ads scanner o il metodo alternativo nn mi è possibile farlo in quanto entrambi i programmi mi dicono che possono fare la scansione solo su drives NTFS....e che io non ho sti drive sul computer...

avrai le partizioni in fat32
passa pure avanti

[img=http://img389.imageshack.us/img389/4192/immagine2dn1.th.png] (http://img389.imageshack.us/my.php?image=immagine2dn1.png)

avrai le partizioni in fat32
passa pure avanti

Cioè passo al punto 2?

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Con la pulizia files inutili, ads e le scansioni lunghe di antispyware (1) ed antivirus (2 e 3) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=22872366&postcount=1) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)

Sto eseguendo capo!;)

Già fatto a-squared...

Per Kaspersky basta spuntare risorse del computer come sta nella guida o spunto anche disco C: e disco D???????

teoricamente risorse comprende tutto

Ti invio i log di a-squared e kasoersky....nn mi sembrano male, almeno a prima vista e da profano!
Tieni presente che prima di risolvere il problema del disattiva ripristino avevo già fatto io una scansione bloccata al 30% dove avevo eliminato 3 virus che stavano in Windows/sistem32...

Cmq stamattina ho notato che ieri e oggi dopo aver messo la password e aver premuto invio il pc ha emesso un bip.......cosa che prima nn faceva...

Kaspersky_log.txt (http://wikisend.com/download/561544/Kaspersky_log.txt)

continua con la guida poi vediamo il bip

Pare a mè o KAV Removal Tool non ha scansionato D:

Ecco i log di cureIT e SysInspector

CureIt.log (http://wikisend.com/download/949108/CureIt.log)


SysInspector-ING-EBOLI-080724-0950.xml (http://wikisend.com/download/929652/SysInspector-ING-EBOLI-080724-0950.xml)



P.s: L'unità D io ho visto che KAV l'ha scansionata....

....e hiJackThis....e Gmer

...

Log e immagine di PrevxCSI

http://img141.imageshack.us/img141/4955/prevxop8.th.png (http://img141.imageshack.us/my.php?image=prevxop8.png)


PrevxCSI_log.txt (http://wikisend.com/download/826748/PrevxCSI_log.txt)

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Policies\Explorer\Run: [] O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: LogMrb - Unknown owner - \\?\C:\Programmi\File comuni\Services\nul.exe (file missing)
O23 - Service: WebNjk - Unknown owner - \\?\C:\Programmi\File comuni\System\lpt4.exe (file missing)


Fai controllare su www.virustotal.com e su http://virusscan.jotti.org/
C:\WINDOWS\system32\com9.hsy

Per l'esito di virustotal a fine scansione copia l'indirizzo della pagina e incollalo nella discussione
Per l'esito di virusscan.jotti copia tutto il testo che c'è tra Scanner result e Powered by → incollalo in un file di testo e allegalo.

Ecco il log di HIJ....

Dopo il riavvio il file com9.hys in system 32 di windows nn c'è....ho fatto un cerca in tutte le cartelle e nn esiste!!!

controlla questo C:\WINDOWS\volumec.exe
se vedi subito che è infetto lo fixi altrimenti aspetta che vediamo gli esiti

mi era rimasta indietro questa roba...

O2 - BHO: Class - {CD32FC5E-1A76-898B-9100-4646E14ED189} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll (file missing)
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')

Il file volumec.exe sul pc nn esiste....

Io lo fixerei.....che dici???

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Ho fatto e ricontrollato......nn esiste nè volumec.exe nè com9.hsy

allora fixa
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com9.hsy

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro)
dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Sei stato di una gentilezza e disponibilità impagabile...insieme agli altri utenti che mi hanno dato dritte...a partire da Gle89!!!

Io proseguo a tener sotto controllo il pc,soprattutto per il bip all'accensione che prima nn ha fatto più, anche se nn me lo faceva al riavvio ma all'accensione dopo uno spegnimento.

Vi ringrazio tutti.........se avete bisogno nel mio settore (Ingegneria Civile).....basta interpellarmi........sono a completa disposizione!!!

Sei stato di una gentilezza e disponibilità impagabile...insieme agli altri utenti che mi hanno dato dritte...a partire da Gle89!!!
è un piacere
se avete bisogno nel mio settore (Ingegneria Civile).....basta interpellarmi........sono a completa disposizione!!!
buono a sapersi.... :D

Sembra vada tutto ok...........ho anche installato Online Armor....prima usavo il firewall di norton!!!

Che dici li tengo entrambi??????

Grazie ancora e alla prossima!!!

norton?? non conosco....:D
via via

Sembra vada tutto ok...........ho anche installato Online Armor....prima usavo il firewall di norton!!!

Che dici li tengo entrambi??????

Grazie ancora e alla prossima!!!

rimuovi completamente il norton se sei arrivato qui è per un motivo ;)

Continuo a postare qui le mie perplessità, anche se del virus sembra nn vi sia più traccia...

Se lancio un controllo registro con Ccleaner mi dà 416 problemi, così li chiama....

Posso avviare tranquillamente un ripara selezionati, selezionando tutto?????

P.S.: Confesso il peccato di nn aver ancora disinstallato il Norton, cacchio l' ho pagato e mi scade tra 160 gg.....:cry:

Continuo a postare qui le mie perplessità, anche se del virus sembra nn vi sia più traccia...

Se lancio un controllo registro con Ccleaner mi dà 416 problemi, così li chiama....

Posso avviare tranquillamente un ripara selezionati, selezionando tutto?????

P.S.: Confesso il peccato di nn aver ancora disinstallato il Norton, cacchio l' ho pagato e mi scade tra 160 gg.....:cry:
ripara i selezionati e salvati il backup che potrai ripristinare in caso di problemi

Fatto.
Grazie sempre per la disponibilità!

fagli fare almeno 2-3 giri che trova sempre qualcosa ;)
occhio a non sovrascrivere i backup ;)