Salve. Ho qui sottomano il pc di mio zio. Vi è installato XP e non è mai stato aggiornato è ancora fermo a SP1. immagino che molti virus ne abbian fatto la loro casa.
Avevo chiesto in http://www.hwupgrade.it/forum/showthread.php?t=1798589 per una strana presenza di cartelle in documents and settings e come potete leggere mi è stato detto trattarsi di ROOTKIT DI GROMOZON.COM ALIAS ROOTKIT LINKOPTIMIZER.
Ora volevo chiedere come procedere. Elimino prima questo rootkit con il removal tool suggerito? Seguo la guida generale per la disinfestazione, visto che immagino non sia l'unico problema?
Il fatto che vi siano più account sul pc (2 amministratori con password + un utente limitato) impedisce ai programmi antivirus di accedere a tutti i file?
o non ci son problemi?
prima disinfetto e poi aggiorno windows o prima aggiorno e pi disinfetto?

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx (http://info.prevx.com/downloadprevx2.asp)

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

grazie, farò come suggerito.
adesso stavo cercando di fare un backup. non si sa mai.

piccolo problema. quando cerco di ottenere la licenza trial, mi dice che la company ha già ricevuto la trial. ho provato a cambiare mail e nome della company, ma il messaggio è lo stesso.

fai prima girare combo; poi una scan con panda antirootkit; log di prevxcsi e scansione con virit lite in modalità provvisoria

ok. sto eseguendo combofix.

ok. sto eseguendo combofix.

mi raccomando allega il log

combofix dopo aver riavviato il pc, ora sta continuando il suo lavoro. nel frattempo è uscita una finestra in cui windows chiede come aprire il file MWSOEMON.EXE.vir. cosa devo far? le 3 opzioni : 1. Utilizza il servizio di ricerca sul Web per trovare il programma 2. seleziona il programma da un elenco 3. annulla

Annulla, oltre al Gromozon sul Pc della Zio credo che ci sia altra porcheria :rolleyes:

Annulla, oltre al Gromozon sul Pc della Zio credo che ci sia altra porcheria :rolleyes:

quoto alla grande; virit riesce a dare delle buone legnate a gromozon; non molto per gli altri; consiglio quindi scansione con drweb cure it

si, mi sorprenderebbe diversamente. temo ce ne sian molte di schifezze sopra.
vi allego il log di combofix:
http://www.fileqube.com/shared/LASnjK79682

adesso vado di panda antirootkit o ...? son nelle vostre mani :)

Santo cielo che 48, facciamo così fai girare Panda Antirootkit e VirIt come indicato da wizard dopodichè segui per intero la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Edit: presumo visto i presupposti che ci sia abbastanza da lavorare

ops, non avevo letto il post che in cui suggerivi dr web cure it. ho aviato malwarebytea anti-malware. annullo e vado di dr.web? o lascio terminare?

avete dato un'occhiata al log di combo? la situazione sarà recuperabile?

ops di nuovo. mentre scrivo e guardo le olimpiadi, mi sfuggono i vostri post. allora blocco malwarebytes? (ha già trovato 35 elementi infetti) e faccio Panda antirootkit e virit e poi tutta la procedura? o dr. web?

Cerchiamo di fare chiarezza altrimenti ne l'utente ne noi che diamo una mano impazziremo.

marco_81 esegui queste scansioni allegando i log (dei software che lo rilasciano)

1- Panda Antirootkit
2- VirIt (aggiornalo prima della scansione) allega log
3- segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) passo passo e allega i log richiesti

ops di nuovo. mentre scrivo e guardo le olimpiadi, mi sfuggono i vostri post. allora blocco malwarebytes? (ha già trovato 35 elementi infetti) e faccio Panda antirootkit e virit e poi tutta la procedura? o dr. web?

MBAM ormai lascialo finire, poi come ha indicato Gle

ok, grazie intanto

malwarebytes sta ancora scansionando. per ora ha trovato 70 elementi infetti. quando termina, vi allego il log.
volevo chiedervi se la presenza di cartelle in documents and settings è riconducibile a gromozon come suggeritomi qui: http://www.hwupgrade.it/forum/showthread.php?t=1798589
oppure se avete altre spiegazioni

visto che non mi lascia accedere a svariate cartelle "utente", pensavo di entrare in modalità provissoria e cambiare i diritti per l'accesso. leggendo i file analizzati dal malwarebytes sembrano esserci molti file (foto, mp3, ecc.) inaccessibili da i 3 account di windows. avrei intenzione di recuperare i dati e poi se possibile cancellare un po di cartelle. ma qui mi serve il vostro consiglio. quelle cartelle si possono eliminare? in teoria basterebbe lasciare quella di All users, administrator e dei 3 account. giusto? avevate mai visto una cosa simile?

ecco il log di malwarebytes.

potresti fare un irepilogo su cosa hai usato finora?

ecco il riepilogo:
- disattivato il ripristino di sistema
- combofix. log: http://www.fileqube.com/shared/LASnjK79682
- malwarebytes con log allegato il post precedente
- panda antirootkit che non ha trovato niente

ora ho eseguito prevx. (non riesco a ottenere la licenza trial e quindi a eliminare con prevx ) ecco il log. http://wikisend.com/download/538036/log prevx.txt

finisci la procedura e poi con avanger elimina questi due cosi
C:\WINDOWS\system32\43b60907.sys
c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe
inserendo questo script

Files to delete:
C:\WINDOWS\system32\43b60907.sys
c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe

stavo per riavviare in modalità provvisoria per eseguire virit. faccio prima questo o prima elimino i 2 cosi come suggerito da te?

finisci la procedura e poi con avanger elimina questi due cosi
C:\WINDOWS\system32\43b60907.sys
c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe
inserendo questo script

Files to delete:
C:\WINDOWS\system32\43b60907.sys
c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe

stavo per riavviare in modalità provvisoria per eseguire virit. faccio prima questo o prima elimino i 2 cosi come suggerito da te?

Termina prima tutta la procedura

la procedura che devo seguire è poi quella della guida generale?
se si, devo rifare la scansione con Malwarebytes Anti-Malware?
oppure parto dal punto 3 con A-squared free?

la procedura che devo seguire è poi quella della guida generale?
se si, devo rifare la scansione con Malwarebytes Anti-Malware?
oppure parto dal punto 3 con A-squared free?

ora fai una scan con virit in modalità provvisoria poi finisci la proceduara descritta nella guida generale; rifacendo anche le scansioni già fatte; chiaro?

si, non arrabbiarti :)

prima nessuno mi aveva risposto riguardo :
volevo chiedervi se la presenza di cartelle in documents and settings è riconducibile a gromozon come suggeritomi qui: http://www.hwupgrade.it/forum/showthread.php?t=1798589
oppure se avete altre spiegazioni

visto che non mi lascia accedere a svariate cartelle "utente", pensavo di entrare in modalità provissoria e cambiare i diritti per l'accesso. leggendo i file analizzati dal malwarebytes sembrano esserci molti file (foto, mp3, ecc.) inaccessibili dai 3 account di windows. avrei intenzione di recuperare i dati e poi se possibile cancellare un po di cartelle. ma qui mi serve il vostro consiglio. quelle cartelle si possono eliminare? in teoria basterebbe lasciare quella di All users, administrator e dei 3 account. giusto? avevate mai visto una cosa simile?

posso cercare di accedere a queste cartelle e eventualmente cancellare le cose inutili e recuperare quelle utili? magari prima di rinizare la procedura? meno file, meno tempo per fare la scansione, giusto?

si, non arrabbiarti :)

prima nessuno mi aveva risposto riguardo :
volevo chiedervi se la presenza di cartelle in documents and settings è riconducibile a gromozon come suggeritomi qui: http://www.hwupgrade.it/forum/showthread.php?t=1798589
oppure se avete altre spiegazioni

visto che non mi lascia accedere a svariate cartelle "utente", pensavo di entrare in modalità provissoria e cambiare i diritti per l'accesso. leggendo i file analizzati dal malwarebytes sembrano esserci molti file (foto, mp3, ecc.) inaccessibili dai 3 account di windows. avrei intenzione di recuperare i dati e poi se possibile cancellare un po di cartelle. ma qui mi serve il vostro consiglio. quelle cartelle si possono eliminare? in teoria basterebbe lasciare quella di All users, administrator e dei 3 account. giusto? avevate mai visto una cosa simile?

posso cercare di accedere a queste cartelle e eventualmente cancellare le cose inutili e recuperare quelle utili? magari prima di rinizare la procedura? meno file, meno tempo per fare la scansione, giusto?
ne abbaimo visti abbastanza di casi come questi; ed è gromozon in nuova variante; comunque non sono arrabbiato; anche file audio video da un po' di tempo sono veicolo di infezione; quindi meglio fargli passare tutto; per lo meno siamo sicuri che siano puliti; fai come detto su; e postaci tutti i log

si io gli farei passare tutto. però siccome mi sa che ci son mp3 e foto duplicate, magari riuscendo ad accedere a quelle cartelle e verificando la cosa , potrei cancellare un po di roba.
poi scusa se ti chiedo, ma il gromozon come agisce? nel senso duplica gli account windows o li blocca e poi uno è costretto a crearne uno nuovo? perchè non ho capito come ci siano più cartelle "utente" con all'interno documenti personali. non se se hai capito il mio dubbio

si io gli farei passare tutto. però siccome mi sa che ci son mp3 e foto duplicate, magari riuscendo ad accedere a quelle cartelle e verificando la cosa , potrei cancellare un po di roba.
poi scusa se ti chiedo, ma il gromozon come agisce? nel senso duplica gli account windows o li blocca e poi uno è costretto a crearne uno nuovo? perchè non ho capito come ci siano più cartelle "utente" con all'interno documenti personali. non se se hai capito il mio dubbio

Marco procedi con la disinfezione del Pc come ti dicevo in mattinata ci sarà da lavorare parecchio anche in funzione del fatto che il Pc stesso è fermo al SP1 :rolleyes:

Ulteriori info sul Gromozon che potrai leggere comodamente le trovi qui http://www.pcalsicuro.com/gromozon.pdf

grazie adesso mi faccio una cultura. si mi sa che è un lavoraccio. speriam di uscirne. cmq vi ringrazio ancora per il supporto

terminata la scansione con virit. trovata un bel po di roba.
ecco il log: http://wikisend.com/download/119974/log virit.txt

aggiungo alla lista dei file da eradicare questi

C:\FPC\2.0.4\bin\i386-win32\gecho.exe

C:\FPC\2.0.4\bin\i386-win32\h2paspp.exe

C:\FPC\2.0.4\bin\i386-win32\ptop.exe

C:\FPC\2.0.4\bin\i386-win32\rm.exe

C:\WINDOWS\Downloaded Program Files\61AC000.exe

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\61AC000.exe

C:\WINDOWS\Downloaded Program Files\nd02837.exe

C:\WINDOWS\system32\csrozuag.exe

ok, grazie allora quando (e se mai :D ) terminerò la procedura di disinfestazione, poi cancellerò i file da voi indicati.

ok, grazie allora quando (e se mai :D ) terminerò la procedura di disinfestazione, poi cancellerò i file da voi indicati.

Si è assai probabile che tu debba trascorrere il ferragosto blindato in caso a disinfettare il Pc :D :sofico: ;)

verrò intervistato da studio aperto per illustrare un modo alternativo x trascorrere il ferragosto. speriam almeno di essere libero per Natale

verrò intervistato da studio aperto per illustrare un modo alternativo x trascorrere il ferragosto. speriam almeno di essere libero per Natale

:rotfl:

:rotfl:

sinceramente preferisco matrix o niente di personale; ma torniamo it; come vanno le scansioni?

sinceramente preferisco matrix o niente di personale; ma torniamo it; come vanno le scansioni?

non ho mica capito

non ho mica capito

dicevo che a studio aperto preferisco matrix (quello di mentana) e niente di personale (quello su la 7 di pirroso); poi chiedevo a marco come andavano le scansioni

penso che solo studio aperto potrebbe interessarsi al nostro caso.

cmq finita la scansione di malwarebytes, di cui allego il log.
ha trovato altri 2 filetti infetti in una cartella temp. è bene che siano solo 2? dovevano essere 0?

adesso passo al prossimo passo.

dicevo che a studio aperto preferisco matrix (quello di mentana) e niente di personale (quello su la 7 di pirroso); poi chiedevo a marco come andavano le scansioni

penso che solo studio aperto potrebbe interessarsi al nostro caso.

cmq finita la scansione di malwarebytes, di cui allego il log.
ha trovato altri 2 filetti infetti in una cartella temp. è bene che siano solo 2? dovevano essere 0?

adesso passo al prossimo passo.

Temo invece che potremmo finire solo sul Tg di Fede :D

Edit: Marco procedi pure

mi ero dimenticato di emilio.
a-squared sta trovando parecchie robucce. spero termini presto.. son ansioso di passare al passo successivo.

piano piano lo stiamo stroncando

spero di non soccombere prima io. cmq temo che la strada sia ancora lunga. qui ogni tool trova qualcosa.

credo che studio aperto sia piùinteressato su altre tematiche, tipo vari seni dei vip mostrati nelle spiagge che a un virus di cui non sanno nemmeno ipotizzare la provenienza e trovarne applicazione per scopi economici :p

preferisco tg24 :)

ad ogni modo imposta quanto prima i dns di www.opendns.com altrimenti siamo al punto di partenza domani :)
e inserisci nel file hosts (c:\windows\system32\drivers\etc\HOSTS) questa riga:
151.1.244.2 www.hwupgrade.it hwupgrade.it

ovviamente deve esesre inserito sotto alla riga riguardante il "localhost" :)

hai fatto bene a ricordarmi dei DNS. mi era già stato suggerito, ma io ho pensato "li ho impostati sul router, quindi tutto ok". avevo dimenticato il dettaglio che il pc devo restituirlo allo zio :)

ecco il log di a-squared: http://wikisend.com/download/939080/a2scan_080812-183902.txt

che mi dite?

per il passo successivo è uguale f-secure onlie, kaspersky virus removal tool o eset? avete preferenze?

ecco il log di a-squared: http://wikisend.com/download/939080/a2scan_080812-183902.txt

che mi dite?

per il passo successivo è uguale f-secure onlie, kaspersky virus removal tool o eset? avete preferenze?

io sono per kaspersky perchè il mio tool lo parsa; vai per quello

151.1.244.2 www.hwupgrade.it hwupgrade.it

così non serve a un tubo;
va messo solo il secondo

Marco sei sicuro di aver fatto pulizia con ATF Cleaner ?

sicurissimo. ma non è la prima volta che non fa il suo lavoro. questa volta pensavo che dipendesse dal fatto di non aver i diritti d'accesso a quelle cartelle.

così non serve a un tubo;
va messo solo il secondo

va che puoi inserirla una stringa così, il hwupgrade.it è per fargli risolvere ilnomebreve senza compilarlo tutto.. potresti eventualmente usare anche solo 4 lettere come hwup tipo:
151.1.244.2 www.hwupgrade.it hwup

provalo e mi sai dire ;)



@ marco_81 :
quale utente usi di solito "proprietario" o "miky"?
e tra i due che differenze ci sono?

bella domada. il pc non è mio, ma di mio zio. sul pc dovrebbero esserci 3 account: 2 amministratori e 1 utente limitato. le cartelle-utenti usate attualmente dovrebbero essere ilaria.NOMEeccecc.003, PROPRIETARIO.NOMEeccecc.007 e MICHELA.
io sto usando l'account legato alla cartella PROPRIETARIO.NOMEeccecc.007.

guardando però ci son documenti personali anche nelle altre cartelle

rieccomi, nessuna novità eccessivamente buona.
ieri notte ho lasciato fare la scansione a kaspersky virus removal tool. però la scansione anche se penso fosse conclusa, rimaneva al 99%. cmq fra un po appena riesco vi allego il log. ha trovato un pò di robaccia.

adesso avevo lanciato dr.web ma dopo 2 orette di scansione e un bel po di robaccia trovata e eliminata, si è piantato.

devo riaviare dr.web? come mi aveva fatto notare Chill-Out ci sono ancora molti file tempooranei e in essi parecchi virus. il che rallenta parecchio le scansioni. ATF non risolve nulla. provo con ccleaner? per procedere manualmente invece devo ottenere i diritti di accesso alle cartelle e se non ricordo male si può fare solo andando in modalità provvisoria. (xp home edition)

aspetto vostrri consigli sul da farsi.

forse è il caso di fare una cosa simpatica prima; scarca avenger http://swandog46.geekstogo.com/avenger.zip
scompattalo; aprilo e inserisci questo script

Files to delete:
C:\WINDOWS\system32\43b60907.sys
c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe
C:\FPC\2.0.4\bin\i386-win32\gecho.exe
C:\FPC\2.0.4\bin\i386-win32\h2paspp.exe
C:\FPC\2.0.4\bin\i386-win32\ptop.exe
C:\FPC\2.0.4\bin\i386-win32\rm.exe
C:\WINDOWS\Downloaded Program Files\61AC000.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\61AC000.exe
C:\WINDOWS\Downloaded Program Files\nd02837.exe
C:\WINDOWS\system32\csrozuag.exe

premi su esegui; fai riavviare il pc; poi fai in modalità provvisoria la scansione con drweb; kaspersky ce lo teniamo per dopo

ecco il log "parsato" ottenuto dalla scansione di kapersky di stanotte:
http://wikisend.com/download/140990/output-4788853743.txt

ed ecco il log di avenger:
http://wikisend.com/download/584562/avenger.txt

va da fare schifo; sempre con avenger esegui questo script

Files to delete:
C:\WINDOWS\103684187.exe
C:\WINDOWS\104124984.exe
C:\WINDOWS\1067218.exe
C:\WINDOWS\1075109.exe
C:\WINDOWS\1097406.exe
C:\WINDOWS\11050937.exe
C:\WINDOWS\11062437.exe
C:\WINDOWS\1156484.exe
C:\WINDOWS\1191890.exe
C:\WINDOWS\1203875.exe
C:\WINDOWS\1241000.exe
C:\WINDOWS\1260343.exe
C:\WINDOWS\13126906.exe
C:\WINDOWS\13134062.exe
C:\WINDOWS\13134921.exe
C:\WINDOWS\13136296.exe
C:\WINDOWS\13139750.exe
C:\WINDOWS\13146000.exe
C:\WINDOWS\13150796.exe
C:\WINDOWS\13161171.exe
C:\WINDOWS\13201781.exe
C:\WINDOWS\13214875.exe
C:\WINDOWS\13219953.exe
C:\WINDOWS\13224906.exe
C:\WINDOWS\13336031.exe
C:\WINDOWS\13387421.exe
C:\WINDOWS\13395062.exe
C:\WINDOWS\13397500.exe
C:\WINDOWS\13817140.exe
C:\WINDOWS\13826671.exe
C:\WINDOWS\15381593.exe
C:\WINDOWS\15395828.exe
C:\WINDOWS\17210109.exe
C:\WINDOWS\17215421.exe
C:\WINDOWS\17219656.exe
C:\WINDOWS\17220765.exe
C:\WINDOWS\17230000.exe
C:\WINDOWS\17239953.exe
C:\WINDOWS\17281375.exe
C:\WINDOWS\17294203.exe
C:\WINDOWS\17299359.exe
C:\WINDOWS\17302515.exe
C:\WINDOWS\17426546.exe
C:\WINDOWS\17468062.exe
C:\WINDOWS\17474734.exe
C:\WINDOWS\17496031.exe
C:\WINDOWS\17869640.exe
C:\WINDOWS\17878671.exe
C:\WINDOWS\19752671.exe
C:\WINDOWS\19766265.exe
C:\WINDOWS\21291750.exe
C:\WINDOWS\21297250.exe
C:\WINDOWS\21329562.exe
C:\WINDOWS\21355687.exe
C:\WINDOWS\21362187.exe
C:\WINDOWS\21371750.exe
C:\WINDOWS\21378046.exe
C:\WINDOWS\21380140.exe
C:\WINDOWS\21523890.exe
C:\WINDOWS\21547375.exe
C:\WINDOWS\21565093.exe
C:\WINDOWS\21666562.exe
C:\WINDOWS\2233687.exe
C:\WINDOWS\2249531.exe
C:\WINDOWS\24120531.exe
C:\WINDOWS\24136296.exe
C:\WINDOWS\25368750.exe
C:\WINDOWS\25374234.exe
C:\WINDOWS\25409375.exe
C:\WINDOWS\25433921.exe
C:\WINDOWS\25441562.exe
C:\WINDOWS\25449625.exe
C:\WINDOWS\25457734.exe
C:\WINDOWS\25460156.exe
C:\WINDOWS\25608843.exe
C:\WINDOWS\25624718.exe
C:\WINDOWS\25642781.exe
C:\WINDOWS\25752656.exe
C:\WINDOWS\2661000.exe
C:\WINDOWS\2672031.exe
C:\WINDOWS\28476984.exe
C:\WINDOWS\28505390.exe
C:\WINDOWS\2928109.exe
C:\WINDOWS\29478078.exe
C:\WINDOWS\29483062.exe
C:\WINDOWS\29500328.exe
C:\WINDOWS\29516328.exe
C:\WINDOWS\29520500.exe
C:\WINDOWS\29527156.exe
C:\WINDOWS\29535906.exe
C:\WINDOWS\29538437.exe
C:\WINDOWS\29687187.exe
C:\WINDOWS\29702296.exe
C:\WINDOWS\29723031.exe
C:\WINDOWS\29836312.exe
C:\WINDOWS\33225953.exe
C:\WINDOWS\33252625.exe
C:\WINDOWS\33600265.exe
C:\WINDOWS\33603312.exe
C:\WINDOWS\33611468.exe
C:\WINDOWS\33619500.exe
C:\WINDOWS\33769750.exe
C:\WINDOWS\33783718.exe
C:\WINDOWS\33805062.exe
C:\WINDOWS\33916359.exe
C:\WINDOWS\37600968.exe
C:\WINDOWS\37627468.exe
C:\WINDOWS\37677500.exe
C:\WINDOWS\37679062.exe
C:\WINDOWS\37686953.exe
C:\WINDOWS\37697437.exe
C:\WINDOWS\37745640.exe
C:\WINDOWS\37755640.exe
C:\WINDOWS\37860156.exe
C:\WINDOWS\37883453.exe
C:\WINDOWS\37915703.exe
C:\WINDOWS\38064562.exe
C:\WINDOWS\41754265.exe
C:\WINDOWS\41762234.exe
C:\WINDOWS\41826750.exe
C:\WINDOWS\41835531.exe
C:\WINDOWS\41936687.exe
C:\WINDOWS\41964703.exe
C:\WINDOWS\42217234.exe
C:\WINDOWS\42387031.exe
C:\WINDOWS\42966234.exe
C:\WINDOWS\42999187.exe
C:\WINDOWS\45831468.exe
C:\WINDOWS\45838703.exe
C:\WINDOWS\45906125.exe
C:\WINDOWS\45918609.exe
C:\WINDOWS\46016875.exe
C:\WINDOWS\46045390.exe
C:\WINDOWS\47389046.exe
C:\WINDOWS\47566875.exe
C:\WINDOWS\48416250.exe
C:\WINDOWS\48447265.exe
C:\WINDOWS\4955828.exe
C:\WINDOWS\4962718.exe
C:\WINDOWS\4964359.exe
C:\WINDOWS\4967859.exe
C:\WINDOWS\4970078.exe
C:\WINDOWS\4973046.exe
C:\WINDOWS\4993140.exe
C:\WINDOWS\49984578.exe
C:\WINDOWS\49994171.exe
C:\WINDOWS\5005312.exe
C:\WINDOWS\5005984.exe
C:\WINDOWS\5008562.exe
C:\WINDOWS\50095609.exe
C:\WINDOWS\5010312.exe
C:\WINDOWS\50122828.exe
C:\WINDOWS\5012484.exe
C:\WINDOWS\5034953.exe
C:\WINDOWS\5043078.exe
C:\WINDOWS\5049031.exe
C:\WINDOWS\5052984.exe
C:\WINDOWS\5054359.exe
C:\WINDOWS\5058375.exe
C:\WINDOWS\5062859.exe
C:\WINDOWS\5063703.exe
C:\WINDOWS\5065296.exe
C:\WINDOWS\5068718.exe
C:\WINDOWS\5103890.exe
C:\WINDOWS\5108031.exe
C:\WINDOWS\5120796.exe
C:\WINDOWS\5123046.exe
C:\WINDOWS\52301109.exe
C:\WINDOWS\52478093.exe
C:\WINDOWS\5269093.exe
C:\WINDOWS\5271828.exe
C:\WINDOWS\53186031.exe
C:\WINDOWS\53209640.exe
C:\WINDOWS\54060718.exe
C:\WINDOWS\54068515.exe
C:\WINDOWS\54228671.exe
C:\WINDOWS\54254828.exe
C:\WINDOWS\57208468.exe
C:\WINDOWS\57384859.exe
C:\WINDOWS\57576906.exe
C:\WINDOWS\57594328.exe
C:\WINDOWS\58136359.exe
C:\WINDOWS\58143687.exe
C:\WINDOWS\5821296.exe
C:\WINDOWS\5826781.exe
C:\WINDOWS\58307546.exe
C:\WINDOWS\58333203.exe
C:\WINDOWS\62119828.exe
C:\WINDOWS\62211937.exe
C:\WINDOWS\62219328.exe
C:\WINDOWS\62289234.exe
C:\WINDOWS\62340343.exe
C:\WINDOWS\62354671.exe
C:\WINDOWS\6517625.exe
C:\WINDOWS\6529937.exe
C:\WINDOWS\66288234.exe
C:\WINDOWS\66294875.exe
C:\WINDOWS\66567562.exe
C:\WINDOWS\66582343.exe
C:\WINDOWS\66798734.exe
C:\WINDOWS\66932421.exe
C:\WINDOWS\7021750.exe
C:\WINDOWS\70361687.exe
C:\WINDOWS\70371125.exe
C:\WINDOWS\70873109.exe
C:\WINDOWS\71007187.exe
C:\WINDOWS\74437093.exe
C:\WINDOWS\74446375.exe
C:\WINDOWS\74946593.exe
C:\WINDOWS\75086640.exe
C:\WINDOWS\78511015.exe
C:\WINDOWS\78520171.exe
C:\WINDOWS\79028296.exe
C:\WINDOWS\79166421.exe
C:\WINDOWS\83103937.exe
C:\WINDOWS\83263234.exe
C:\WINDOWS\87211781.exe
C:\WINDOWS\87367843.exe
C:\WINDOWS\878140.exe
C:\WINDOWS\882968.exe
C:\WINDOWS\884296.exe
C:\WINDOWS\884578.exe
C:\WINDOWS\885937.exe
C:\WINDOWS\888046.exe
C:\WINDOWS\889250.exe
C:\WINDOWS\890046.exe
C:\WINDOWS\891781.exe
C:\WINDOWS\894671.exe
C:\WINDOWS\9041859.exe
C:\WINDOWS\9043203.exe
C:\WINDOWS\9047718.exe
C:\WINDOWS\9048531.exe
C:\WINDOWS\9049578.exe
C:\WINDOWS\905187.exe
C:\WINDOWS\9053484.exe
C:\WINDOWS\906000.exe
C:\WINDOWS\9073546.exe
C:\WINDOWS\9083062.exe
C:\WINDOWS\908312.exe
C:\WINDOWS\908531.exe
C:\WINDOWS\908593.exe
C:\WINDOWS\909859.exe
C:\WINDOWS\9109921.exe
C:\WINDOWS\911078.exe
C:\WINDOWS\9118453.exe
C:\WINDOWS\91301109.exe
C:\WINDOWS\9132125.exe
C:\WINDOWS\9135875.exe
C:\WINDOWS\9136343.exe
C:\WINDOWS\913937.exe
C:\WINDOWS\9139453.exe
C:\WINDOWS\9141578.exe
C:\WINDOWS\915140.exe
C:\WINDOWS\915562.exe
C:\WINDOWS\916031.exe
C:\WINDOWS\91880921.exe
C:\WINDOWS\9196531.exe
C:\WINDOWS\919875.exe
C:\WINDOWS\921421.exe
C:\WINDOWS\924375.exe
C:\WINDOWS\926031.exe
C:\WINDOWS\926625.exe
C:\WINDOWS\930625.exe
C:\WINDOWS\9308875.exe
C:\WINDOWS\9314468.exe
C:\WINDOWS\933656.exe
C:\WINDOWS\934609.exe
C:\WINDOWS\934984.exe
C:\WINDOWS\939828.exe
C:\WINDOWS\941171.exe
C:\WINDOWS\946421.exe
C:\WINDOWS\947703.exe
C:\WINDOWS\949015.exe
C:\WINDOWS\950875.exe
C:\WINDOWS\95451453.exe
C:\WINDOWS\954953.exe
C:\WINDOWS\956546.exe
C:\WINDOWS\959015.exe
C:\WINDOWS\95963015.exe
C:\WINDOWS\967296.exe
C:\WINDOWS\970562.exe
C:\WINDOWS\9776390.exe
C:\WINDOWS\9783296.exe
C:\WINDOWS\980171.exe
C:\WINDOWS\986281.exe
C:\WINDOWS\992359.exe
C:\WINDOWS\99534703.exe
C:\WINDOWS\997109.exe
C:\WINDOWS\998921.exe
C:\WINDOWS\mmmspool.exe
C:\WINDOWS\mm_tmp_r.exe
C:\WINDOWS\Downloaded Program Files\61AC000.exe
C:\WINDOWS\Downloaded Program Files\nd02837.exe

@wizard1993

Pare a mè o c'è qualcosa che non quaglia, otlre al fatto che i vari tool si stanno scippando i virus

ormai adesso direi che termino la scansione con dr.web.
dopo eseguo lo cript di avenger come suggerito.

dite che ci son speranze di sconfiggere tutti sto virus?

@wizard1993

Pare a mè o c'è qualcosa che non quaglia, otlre al fatto che i vari tool si stanno scippando i virus

tanto vanno tolti tutti; che si faccia per primo gromozon o che si faccia per ultimo per quanto mi riguarda è indifferete, terminata la prcedura gli afccia installare prevx2 e tutti a casa

dite che ci son speranze di sconfiggere tutti sto virus?
se devo parlare sinceramente non ne ho mai visti tanti in un colpo solo; ma si rimuovono bene; quindi direi che ce la facciamo molto bene

c'è da dire che il pc è ancora con SP1 e immagino sia rimasto anche senza alcuna protezione antivirus per un periodo.
quindi io non mi sorprendo neppure tanto della quantità di virus.
anzi quello che mi sorprende è come il pc funzionasse ancora. è abbastanza rallentato, ma nessun altro problema apparente. (a parte i giga nascosti nelle cartelle utente a cui non si ha accesso)

ormai adesso direi che termino la scansione con dr.web.
dopo eseguo lo cript di avenger come suggerito.

dite che ci son speranze di sconfiggere tutti sto virus?

se devo parlare sinceramente non ne ho mai visti tanti in un colpo solo; ma si rimuovono bene; quindi direi che ce la facciamo molto bene

Beh di casini ne ho visti ma questo balza di diritto tra i primi posti.

Attendiamo i log di Cureit e Avenger così da vere un quadro della situazione dopo questa ulteriore passata

mi chiedo come facesse il sistema a sopravvivere

questo è appunto sorprendente, quasi miracoloso. e soppravviveva anche abbastanza bene.

questo è appunto sorprendente, quasi miracoloso. e soppravviveva anche abbastanza bene.
un altro dei misteri dell'informatica;
con le scansioni come va?

sta facendo la scansione con dr.web. sarà a metà. per ora ha trovato 2 dialer.

c'è da dire però che dr.web aveva trovato e canellato parecchia robaccia durante la scansione che si era interrotta. non so se ha fatto in tempo a salvare un log. dubito visto che avevo dovuto bloccare il processo.

c'è da dire però che dr.web aveva trovato e canellato parecchia robaccia durante la scansione che si era interrotta. non so se ha fatto in tempo a salvare un log. dubito visto che avevo dovuto bloccare il processo.

il log non viene scritto tutti in fondo ma a pezzi; quindi è probabile che ci sia; fai un controllo

se non lo cancella, ma non penso, io aspetterei che termini la scansione. non si sa mai che si innervosisca. :)

bene

uff. temo che dr.web si sia bloccato di nuovo. è fermo da un po su un file (lo stesso sul quale si era fermato nella precedente scansione). aspetto ancora un po, ma non ho molte speranze che riparta. guardando nel task manager, c'è un processo setup.exe che utlizza la cpu per il 98%. è il dr.web? o qualcosa di maligno?
che suggerite?

su che file è? conta che non è un fulmine nel scansiona re grossi file

è su un file con estensione ow. almeno così sta scritto nella barra sotto. ma magari sta analizzando il successivo. cmq saranno 20 minuti che è li, dubito il problema sia la dimensione del file

è un file di 15 kb. che faccio?

ecco il log parsato di dr.web cureit. mi sa che è il log dell'ultima scansione fatta. dopo che avevo messo in pausa e fatto ripartire quando si era bloccato sul file. quindi non serve a nulla temo

http://wikisend.com/download/140990/output-4788853743.txt

anche avenger mi sa che non è stato molto utile. i file indicati probabilmente erano stati eliminati da kapersky, penso.

http://wikisend.com/download/552658/avenger.txt

adesso cosa faccio?

ecco il log parsato di dr.web cureit. mi sa che è il log dell'ultima scansione fatta. dopo che avevo messo in pausa e fatto ripartire quando si era bloccato sul file. quindi non serve a nulla temo

http://wikisend.com/download/140990/output-4788853743.txt

Questo non è il log di CureIt ma il log del Kav

si scusate. avevo sbagliato a uppare. (così ne approffitto per consigliare un miglioramento del parser a wizard1993: fallo salvare nella stessa cartella da cui si chiama il programma e con lo stesso nome, se puoi e vuoi :) )

eco quello giusto ma come detto prima mi sa che non servirà a nulla

http://wikisend.com/download/485078/output12921451482.txt

adesso carico anche i log di eset sysispector e highjackthis

(così ne approffitto per consigliare un miglioramento del parser a wizard1993: fallo salvare nella stessa cartella da cui si chiama il programma e con lo stesso nome, se puoi e vuoi :) )

non ho capito

ecco i log promessi anche se non so se era il momento giusto per farli:

eset sysispector: http://wikisend.com/download/518260/SysInspector-NOME-SMKCJY9VY8-080813-1514.xml

highjackthis: http://wikisend.com/download/566132/hijackthis.log

non ho capito

se non ho capito male il parser è una tua opera. ben fatta.
mi ero permesso di suggerirti un possibile miglioramento: ovvero salvare il log parsato nella stessa cartella da cui si avvia il programma e magari con lo stesso nome di origine, magari con altra estensione o altro suffisso.

se non ho capito male il parser è una tua opera. ben fatta.
mi ero permesso di suggerirti un possibile miglioramento: ovvero salvare il log parsato nella stessa cartella da cui si avvia il programma e magari con lo stesso nome di origine, magari con altra estensione o altro suffisso.

la prima si può fare e la faccio; la seconda no; perchè quando vado a piazzarla sul server con l'upload automatico i vecchi file sarebbero tutti sovrascritti; quindi il nome va bene

non avevo pensato al problema dell'upload automatico. :muro:

cosa mi suggerite adesso? qual è il prossimo passo?

O4 - HKCU\..\Run: [kkmic] "c:\documents and settings\proprietario.nome-smkcjy9vy8.007\impostazioni locali\dati applicazioni\kkmic.exe" kkmic
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\QooBox\Quarantine\C\Programmi\MyWebSearch\bar\1.bin\MWSOEMON.EXE.vir
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

fixa le suddette voci ed allega nuovo log + log di Gmer, inoltre dal log di CureIt speravo di vedere qualcosa di più, intanto spulcio Eset

adesso faccio. come avevo spiegato in alcuni post dietro: purtroppo le scansioni di cureit si bloccano ad un certo punto. la prima volta aveva trovato parecchia robaccia che spero abbia eliminato. anzi adesso che ci penso è in quarantena. la seconda volta si è bloccato sempre allo stesso punto della scansione. e dopo 30 minuti che era fermo, ho provato a fare pausa e play ma nessun risultato ottenuto. mi sa che il log vengono sovrascritti.

ecco il log di highjackthis dopo i fix. http://wikisend.com/download/967150/hijackthis2.txt

adesso avvio gmer

ecco il log di gmer.
http://wikisend.com/download/518606/log gmer.log

e adesso?

ecco il log di gmer.
http://wikisend.com/download/518606/log gmer.log

e adesso?

Nuovo giro di ComboFix in più sarebbe utile su tu ci facessi un quadro della situazione

e poi sarebbe utile una scansione con prevxcsi

un quadro della situazione, nel senso di come si comporta adesso il pc?

i problemi che rilevo sono un avvio lento. per essere disponibile, windows impiega 5 minuti.
e poi mi sembra tutto un po rallentato. ma non so quanto veloce dovrebbe andare.
è un AMD XP 2400+ con solo 256 mega di RAM ??? (me ne son accorto solo adesso) e windows xp home edition SP1.
mi sembra poco reattivo, ma forse dipende dalla RAM.

ecco il log di combofix.
http://wikisend.com/download/531630/ComboFix.txt

mah se si piallava il SO con un bel format, a quest'ora sarebbe tutto bello installato e operativo. A me sembra che il sistema era ormai bello che compromesso e chissà da quanti anni veniva usato in quelle condizioni.

Ormai si è all'accanimento terapeutico, non fatelo soffrire più, abbattetelo :D

certo che anche tu potevi arrivare prima :D
a parte questo, si forse era meglio e più veloce un bel format. d'altra parte c'è da dire che il malato è bello robusto: considerato che ha solo 256 mb di ram e il numero di virus che c'erano, si è comportato molto bene

prevx non ha trovato nulla. devo allegare il log lo stesso?

detto questo, posso dichiararmi pulito da virus? o devo fare altro?

adesso devo risolvere il problema dei "dati nascosti" negli account "misteriosi".

poi consigliate un aggiornamento a SP2 o SP3 ? hanno maggiori esigenze RAM?
e come antivirus, sempre tenendo conto la poca RAM, cosa suggerite?

azz quante domande

mah se si piallava il SO con un bel format, a quest'ora sarebbe tutto bello installato e operativo. A me sembra che il sistema era ormai bello che compromesso e chissà da quanti anni veniva usato in quelle condizioni.

Ormai si è all'accanimento terapeutico, non fatelo soffrire più, abbattetelo :D

Molto probabilmente io avrei formattato, ma dal momento che Marco ha deciso di tentare la disinfezione perchè non dargli assistenza, tra l'altro aspiriamo ad un'itervista sul Tg di Rete 4 :D

certo che anche tu potevi arrivare prima :D
a parte questo, si forse era meglio e più veloce un bel format. d'altra parte c'è da dire che il malato è bello robusto: considerato che ha solo 256 mb di ram e il numero di virus che c'erano, si è comportato molto bene

prevx non ha trovato nulla. devo allegare il log lo stesso?

detto questo, posso dichiararmi pulito da virus? o devo fare altro?

adesso devo risolvere il problema dei "dati nascosti" negli account "misteriosi".

poi consigliate un aggiornamento a SP2 o SP3 ? hanno maggiori esigenze RAM?
e come antivirus, sempre tenendo conto la poca RAM, cosa suggerite?

azz quante domande

Marco allega il log di Prevx Csi lo stesso, intanto ti preparo uno script da inserire in Avenger mentre tu coltrolli su http://www.virustotal.com/it/ questo file C:\Documents and Settings\Papi.NOME-SMKCJY9VY8\Menu Avvio\Programmi\Esecuzione automatica\
MSWin-301021796.exe

Molto probabilmente io avrei formattato, ma dal momento che Marco ha deciso di tentare la disinfezione perchè non dargli assistenza, tra l'altro aspiriamo ad un'itervista sul Tg di Rete 4 :D
/B]


quasi sicuramente anche se il pc fosse stato mio, avrei formattato. ma bisogna considerare che non è mio e che che quindi non conosco bene dove sono tutti i dati da salvare e avevo paura di perdere qualcosa. fra l'altro non dispone di un masterizzatore DVD (anzi dopo vi chiedo un consiglio per le compere) e il masterizzatore CD sembra non fungere correttamente (dubito dipendesse dai virus). tutto questo, unito al fatto che sapevo di poter aver il supporto di persone competenti, son stati alla base della scelta. e poi neanche fede si muoverebbe per un semplice format :D

ecco il log: http://wikisend.com/download/594604/log prevx.txt

virustotal mi dice : 0 bytes size received / Se ha recibido un archivo vacio

ecco il log: http://wikisend.com/download/594604/log prevx.txt

virustotal mi dice : 0 bytes size received / Se ha recibido un archivo vacio

Si che è vuoto me ne se sono accorto ora :rolleyes: inserisci in Avenger questo Script

Files to move:
C:\hp\KBD\bak\KBD.EXE | C:\hp\KBD\KBD.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\VERITAS Software\Update Manager\bak\sgtray.exe | C:\Programmi\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\SMINST\bak\RECGUARD.EXE | C:\WINDOWS\SMINST\RECGUARD.EXE
C:\WINDOWS\system\bak\hpsysdrv.DAT | C:\WINDOWS\system\hpsysdrv.DAT
C:\WINDOWS\system\bak\hpsysdrv.exe | C:\WINDOWS\system\hpsysdrv.exe
C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\bak\ps2.exe | C:\WINDOWS\system32\ps2.exe

allega il log

già che ci siamo facciamoli fare una passata con findawf; io comunque non avrei formattato
http://www.hwupgrade.it/forum/showthread.php?t=1694322 e poi vorrei un riepilogo di come vanno le cose

eccomi ero andato a fare una corsetta... per togliermi di dosso tutti sti virus :P
adesso ceno e poi vi aggiorno. sempre grazie per l'aiuto

Chill-Out, giusto per capire lo script sostituisce i file con quelli di backup? e chi aveva fatto il backup?

Chill-Out, giusto per capire lo script sostituisce i file con quelli di backup? e chi aveva fatto il backup?

ho letto il link segnalato da wizard1993 e mi son risposto da solo :)

allego il log di avenger

devo utilizzare anche findawf? o rifa lo stesso lavoro fatto con lo script?

ho letto il link segnalato da wizard1993 e mi son risposto da solo :)

allego il log di avenger

devo utilizzare anche findawf? o rifa lo stesso lavoro fatto con lo script?

te rieseguilo; a mali estremi non trova nulla; fa in 5 minuti e fai una scan con f-secure online

sarà fatto! :)

ecco il log ottenuto dalla prima fase

sembra ci sia poco; ti avevo già fatto fare una scan con panda antirootkit? in qulunque caso rifalla e poi soprattutto dai una pulita in modalità provvisoria con ccleaner (fagli pulire tutto; spunta tutte le caselle e sia nel registro sia nei file; poi esegui con regseeker con l'autopulizia spuntando la casella dei servizi invalidi facendoli cancellare tutto con 4 passate) poi prova a installare prevx2 e lancia una scansione completa; elimina l'account fantasma dal pannello di controllo e le relative cartelle e riepilogaci i sintomi. se tutto va bene posta la consifurazione (hardware) del computer se è un amd aspetta prima di mettere l'sp3 (che pesa quanto l'sp1) serve un po' di cautela (specie con computer preassemblati) e se dio vuole finiamo

allora se sei d'accordo io riavvierei ora in modalità provvisoria e farei una bella pulizia con ccleaner. così le scansioni diventano più rapide.

poi f-secure, panda-anti-rootkit (che avevo eseguito all'inizio dell'avventura e non aveva trovato niente mi sembra) e le altre cose che hai suggerito nell'ordine.

per gli acount fantasmi, non esistono nel pannello di controllo o almeno dove ho visto io. io pensavo di impossessarmi dei diritti di accesso (mi sembra di aver letto che si può fare dalla modalità provvisoria con account di amministratore), di salvare le cose che mi servono e cancellare il resto. se cancello brutalmente le cartelle che non si rifersiscono ai 3 account VERI non dovrebbero esserci problemi, o si?

poi si può rinominare le cartelle utente? è brutto vederle PROPRIETARIO_NOME....007 o quel che è.

Per SP3 ho letto sul sito dell'HP che ci son problemi. bon vediam quando è pulito.

va bene; fai tutto e aspetta per l'sp3; e posta la tua config hardware

novità?

oggi mi son dedicato alla ricerca dei "dati utili" nascosti nelle cartelle utente "misteriose".

quando finisco, procedo con le scansioni suggerite e vi tengo aggiornati

oggi mi son dedicato alla ricerca dei "dati utili" nascosti nelle cartelle utente "misteriose".

quando finisco, procedo con le scansioni suggerite e vi tengo aggiornati

Ciao Marco potresti allegare per completezza uno screenshot degli utenti e realtive cartelle :)

il pc in modalità provvisoria è parecchio più reattivo che in modalità normale... quindi bisognerà lavorarci ancora.

cmq per gli account io ho recuperato i file che servivano e cancellato quello di cui ero sicuro.
come da allegati rimangono le cartelle:

- Administrator.NOMEecc.ecc. (collegata all'utente administrator presente in modalià provvisoria)
- All user
-Defaul User
-Guest

-CPA
-f1datab
quest'ultime non so cosa siano. non hanno quasi niente all'interno e fra gli utenti compare un account sconosciuto come da figure

-Michela per l'utente Michela
-Ilaria-ecc.ecc. per l'utente Ilaria
-Proprietario per l'utente Nelio
-Proprietario-ecc.ecc.
Quest'ultima era la cartella legata all'utente Nelio e mi piacerebbe riassociarla. Se sapete come si fa.


Che mi dite?

http://wikisend.com/download/707448/cartelle utente.JPG
http://wikisend.com/download/495220/cartella CPA.JPG
http://wikisend.com/download/495472/cartella f1dataB.JPG

sei nel giusto; cencella pure il tutto; magari facendo un backup per sicurezza

ciao! chissà se c'è qualcuno anche oggi :)
terminata la ricerca dei dati utili e cancellati quelli inutili, ho fatto un passaggio con ccleaner, fsecure e panda antirootkit.
fsecure ha trovato 2 robette, ma non penso gravi, poi vi allego il log.
il panda antirootkit non ha trovato niente.
adesso stavo instalando prevx2 come suggeritomi, ma mi sorge una domanda. è sufficiente utilizzare la temporary activation?

ho ancora bisogno di voi :)


vi allego i log di fsecure e prevx2. il panda antirootkit invece non ha trovato nulla.
http://wikisend.com/download/499940/log f-secure.txt
http://wikisend.com/download/564706/log prevx2.JPG

cosa mi consigliate per sconfiggere questi spero ultimi virus?
grazie di nuovo

a come fai sempre a reinfettarti?
è il caso che si riedano letue protezioni perchè è altrimenti inutile...

ciao. sicuramente vanno riviste le mie protezioni (o meglio quelle del pc sotto cura, che non è mio). per ora c'è installato AVG. ma windows xp è fermo al SP1.
l'altro giorno (prima della pausa ferrogostiana) dovevam valutar l'opportunità di aggiornare per possibili problemi di compatibilità.
io ho trovato questo:
http://h10025.www1.hp.com/ewfrf/wc/document?docname=c01458967&lc=it&cc=it&dlc=it&os=228&product=296803&lang=it

cmq non so l'infezione è nuova o son rimasugli. prima era messo molto male. e non so se avevam pulito del tutto.
se mi suggerite i passi da seguire, vi son grato.
disinfetto? (come?)
cambio antivirus?
aggiorno xp?
in che ordine?

che processore ha?
cava via avg e metti avira antivir e sopratutto imposta i dns di www.opendns.com :)
come avevo già detto qui:
http://www.hwupgrade.it/forum/showpost.php?p=23672952&postcount=54

AMD athlon XP 2400+

adesso sostituisco l'antivirus. per i virus rilevati dici che avira li toglie? o devo far qualcos'altro? (cosa?)

i DNS li avevo già cambiati, mi sembra proprio su tuo suggerimento. :) (che rinco non avevo visto che avevi messo anche il link. si cmq li avevo cambiati appena mi hai suggerito)

i virus dici che li ho ripresi ieri o oggi? o son rimasugli prima non rilevati? o per rispondere a questa domanda dovresti essere un veggente? :P

rieccomi. ho cambiato antivirus e configurato avira come suggerito sul forum. adesso ho fatto una scansione completa. ecco il log.

ho meso in quarantena quanto trovato.
prevx2 continua a segnalarmi quanto visualizzato nell'immagine:
http://wikisend.com/download/557258/log prevx2 dopo.JPG

cosa posso fare per terminare la pulizia? e dite ce devo rischiare a installare gli aggiornamenti di windows? o poi mi ritrovo con molte schermate blu?

installa il Service Pack 3

ti vedo convinto :) dici che non ci son problemi. hai letto il link che avevo allegato?

se vuoi installare il sp3 c'è da coreggere una ciave di registro e installare un driver corretto per l'uso dei processori amd, per il driver basta che vai sul sito di amd..
per la chiave bisogna cercare la documentazione che al momento non me la ricordo :p

senza log non ti possiamo aiutare :(

eccomi. sto installando or ora il SP3. driver e chiave da sostituire andavan fatti prima? spero di no.

ops non ho allegato il log di avira. perdon. adesso devo aspettare che finisca l'installazione del service pack3 e poi procedo.

ma il SP3 da problemi con tutti i processori AMD? nel link dell'hp (http://h10025.www1.hp.com/ewfrf/wc/document?docname=c01458967&lc=it&cc=it&dlc=it&os=228&product=296803&lang=it) dicono che se si ha problemi di rinominare un file per evitare che carichi un driver che da problemi. bho speriam che non ne dia.

direi di sì...
speriamo tu abbia disabilitato il riavvio automatico in caso d'errore altrimenti potrebbero esere dolori... ossia un perpetuo riavvio...
la cagata l'hanno fatta quelli di hp che hanno usato su tutti i pc, indipendetemente dal processore, undisco immagine calibrato per intel :)

direi di sì...
speriamo tu abbia disabilitato il riavvio automatico in caso d'errore altrimenti potrebbero esere dolori... ossia un perpetuo riavvio...
la cagata l'hanno fatta quelli di hp che hanno usato su tutti i pc, indipendetemente dal processore, undisco immagine calibrato per intel :)

è andata bene :) (almeno spero). SP3 installato e pc funziona senza riavvii. non devo fare niente quindi?
si ho letto della cagata dell'hp :muro:

ero rimasto in debito di un log: eccolo
http://wikisend.com/download/723766/AVSCAN-20080816-140603-BF62FEBA.LOG

qualcosa ha trovato..
ma lo hai fatto dopo aver aggiornato?

no, la scansione era precedente.
devo fare un'ulteriore scansione? con cosa?

rifalla con avira :)

vabbene. spero che non trovi più niente, perchè son stufo :)

è infatti solo di controllo perchè dovremmo essere giunti alla fine :)

il controllo completo di avira ha finalmente dichiarato pulito il pc :)

benissimo ce l'abbiamo fatta :D
se vuoi ora puoi leggere il thread trattamento post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) :)

:cincin:

si ho letto e seguito (almeno in parte) la guida post-disinfestazione.
il pc è stato riconsegnato.
grazie a tutti per il supporto

è stato un piacere :)