Ciao a tutti!!

Proprio oggi da lavoro ho mandato le scansioni a tutti i pc di lavoro, e dato che navignado, ogni tanto mi apparivano finestre strane, ho lanciato in uttti anche Combofix!

Su 3 PC, tutto perfetto, mentre su un 4° PC con XP Home SP3, ad un certo punto, dopo aver riavviato il PC è apparsa la finestra "impossibile trovare il file Combo-Fix.sys" dopodichè mi ha preparato il log con alcuni file che aveva eliminato!
Ho riavviato il pc e da questo momento se vado su gestione hardware, il PC non mi riconosce più la Scheda di reta, la tastiera, un accessorio video della nvidia!

oviamente non si collega più ad internet perchè non va la scheda di rete!! Cosa posso fare, non posso neanche aggiornare i driver, e se provo manualmente, mette sempre gli stessi dandomi un errore nell'installazione!!

Sul PC c'è Kaspersky Internet Security 2009

ciao

non essendo infetto non so se questa sezione è la più corretta, vedranno poi i mod se spostare

durante la scansione kasp era disattivato?
nella cartella C:\Qoobox\Quarantine\ dovresti avere tutti i file cancellati e rinominati

intanto carica secondo le regole di sezione il log che trovi in c:

kaspersky era disattivato, ma quanto combofix ha fatto il riavvio, ho notato che durante la preparazione del report era nuovamente tutto attivo!

aspettiamo il log

inoltre dovresti avere anche una cartella creata da erunt con il backup del registro di sistema in maniera da poter ripristinare

a giorni recupero il report!!

Ho provato a disabilitare kaspersky, ho riavviato tenendolo scollegato, ma non cambia nulla!!

Ecco il log di Combofix:

combofix utilizza erunt per backuppare il registro quindi dovresti avere in una cartella il backup, segui questa guida per ripristinarlo
http://www.zonapc.it/guide/erunt/intrinst.php

quindi pensi che abbia eliminato qualcosa che non doveva??

purtroppo si...

ma di preciso cos'ha cancellato da aver provocato questi problemi?

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
c:\programmi\RichVideoCodec
c:\windows\Installer\32a51b.msi
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\d

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ADILOADER
-------\Legacy_klbg
-------\Legacy_NwlnkIpx
-------\Legacy_NwlnkNb
-------\Legacy_NwlnkSpx
-------\Legacy_VIAPFD
-------\Service_ADILOADER
-------\Service_adiusbaw
-------\Service_AFS2K
-------\Service_FET5X86V
-------\Service_FETNDIS
-------\Service_hpt3xx
-------\Service_HSF_DPV
-------\Service_klbg
-------\Service_KLFLTDEV
-------\Service_klim5
-------\Service_ms_mpu401
-------\Service_msikbd2k
-------\Service_NdisIP
-------\Service_nvcap
-------\Service_nvTUNEP
-------\Service_nvtvSND
-------\Service_NVXBAR
-------\Service_NwlnkIpx
-------\Service_NwlnkNb
-------\Service_NwlnkSpx
-------\Service_SLIP
-------\Service_USB_RNDIS
-------\Service_VIAPFD
-------\Service_X10UIF
-------\Service_XUIF


oltre ai file in alto sono proprio i driver a cui fai riferimento
se ripristini con erunt il registro tutto potrebbe tornare ok

grazie veramente!! domani provo e poi ti faccio sapere!

Hai utilizzato una versione di Combo non aggiornata, comunque Combo prima della scansione crea un Punto di ripristino per riportare il PC alla precedente configurazione.

ho fatto il ripristino ed è andato tutto ok!!

Combofix si è autoaggiornato, e la versione che avevo preso era di maggio 2009!!

comunque visto che aperto questa discussione, ne approfitto per cercare di cavar piede da un altro problema, forse sempre a seguito di una scansione con combofix, ma questa volta sul mio notebook personale.

Il PC è un HP 9084ea con Win MediaCenter tutto aggiornato!
Il problema è che mi sembra sia diventato più lento del solito (sempre da quando ho fatto la scansione), ma cosa peggiore, non mi indica più lo stato della batteria vicino all'orario!! Su pannello di controllo è tutto ok, ed è flaggato per apparire nella barra, ma nulla, non compare, però quando si sta per scaricare del tutto mi avvisa!!!

Ho notato che ogni tanto appare l'icona di com'è in carica, ma quando è scollegato dall corrente non appare mai!

Ecco i Log che ho fatto:

Questo è quello di EliBagle:

Questo è quello di Hijackthis:

Ciao a tutti, scusate se mi inserisco... ma non so se ho combinato dei casini... avevo dei problemi nell'utilizzo di office... Ho provato per vedere un po' che veniva fuori a fare una scansione con combofix... Vi allego il report... mi dite se c'e' qualcosa che non va?
Grazie mille

Ciao a tutti, scusate se mi inserisco... ma non so se ho combinato dei casini... avevo dei problemi nell'utilizzo di office... Ho provato per vedere un po' che veniva fuori a fare una scansione con combofix... Vi allego il report... mi dite se c'e' qualcosa che non va?
Grazie mille

Combo non ha eliminato nulla, a parte una chiave di reg. orfana, sottolineo che Combo non è un rimedio contro tutti i mali è opportuno utilizzarlo solo su richiesta ed in determinati casi.

comunque visto che aperto questa discussione, ne approfitto per cercare di cavar piede da un altro problema, forse sempre a seguito di una scansione con combofix, ma questa volta sul mio notebook personale.

Il PC è un HP 9084ea con Win MediaCenter tutto aggiornato!
Il problema è che mi sembra sia diventato più lento del solito (sempre da quando ho fatto la scansione), ma cosa peggiore, non mi indica più lo stato della batteria vicino all'orario!! Su pannello di controllo è tutto ok, ed è flaggato per apparire nella barra, ma nulla, non compare, però quando si sta per scaricare del tutto mi avvisa!!!

Ho notato che ogni tanto appare l'icona di com'è in carica, ma quando è scollegato dall corrente non appare mai!

Ecco i Log che ho fatto:

Questo è quello di EliBagle:

Questo è quello di Hijackthis:

Anche in questo caso la versione di Combo (indipendentemente dalla data di esecuzione) non è aggiornata, comunque ha eliminato ciò che doveva.

Per quanto concerne il problEma dell'icona nello specifico, devi mettere mano ai settaggi inerenti il risparmio di energia.

i settaggi mi indicano che dovrebbe già essere visualizzata!!

e poi l'avvio è diventato molto molto lento!
ci mette parecchi tempo a caricarmi le icone vicino all'orario, ed è da un giorno all'altro che sta capitando!!

i settaggi mi indicano che dovrebbe già essere visualizzata!!

e poi l'avvio è diventato molto molto lento!
ci mette parecchi tempo a caricarmi le icone vicino all'orario, ed è da un giorno all'altro che sta capitando!!

Controlla bene i settaggi, se non ricordo male c'è la possibilità di forzarli indipendentemente dalla combinazione scelta.

non trovo nulla, sto provando unsacco di cose, ma non ho risolto granchè!

ora l'indicatore batteria mi si attiva se vado a togliere il flag dalle impostazioni, manualmente dopo l'avvio! in automatico non appare, mentro l'avvio è sempre lentissimo, 3 minuti!!!:muro:

non trovo nulla, sto provando unsacco di cose, ma non ho risolto granchè!

ora l'indicatore batteria mi si attiva se vado a togliere il flag dalle impostazioni, manualmente dopo l'avvio! in automatico non appare, mentro l'avvio è sempre lentissimo, 3 minuti!!!:muro:

Con i dati a disposizione è difficile stabilire il perchè di questo rallentamento, per disabilitare l'esecuzione dei programmi "inutili" puoi utilizzare StartUpLite (http://www.malwarebytes.org/startuplite.php) semplicissimo ed estremamente funzionale.

seguendo delle guide on-line ho provato a disabilitare il plug in play, il servizio di trasferimento in background, il desktop remoto NetMeeting, ma non cambia nulla (infatti ho reimpostato tutto normalmente)

mi sono appena accordo che non mi mostra più neanche l'icona per rimuovere le periferiche usb

Ecco il 1° Log di Gmer:

scusate, mi è uscito un doppio post!!:doh:

Ecco il Log di Gmer:
Autostart: http://www.fileqube.com/file/fHCAPmg207598

Rootkit: http://www.fileqube.com/file/sBfjIom207623


Il Log di gromozon_removal invece è vuoto perchè non trova nulla!!

Secondo voi c'è qualcosa o provo qualche altro programma??

A questo punto se desideri fare un controllo approfondito segui la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737 allegando i log nel rispetto delle Regole di sezione http://www.hwupgrade.it/forum/showthread.php?t=1751598

scusa ma il portatile che ha problemi si comporta in modo strano anche su questo sito!! Comunque ho postato i log in maniere decente!!
:p

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ok stasera inizio a metterli tutti!!

Log Malwarebytes' Anti-Malware: http://www.fileqube.com/file/xRqYLxZ207775

Log A2square: http://www.fileqube.com/file/qGlKyZKOt207774

Log F-Secure OnLine: http://www.fileqube.com/file/FhwvEnFrB207776

Log Dr.Web: http://www.fileqube.com/file/esJTWQuBM207905

Log ESET SysInspector: http://www.fileqube.com/file/YSXSMFGZ207906

Log Hijackthis: http://www.fileqube.com/file/BLYiwOCOk207907

Log Gmer Autostart: http://www.fileqube.com/file/aPWFAFle207777

Log Gmer Rootkit: http://www.fileqube.com/file/ipXWaMzc207778

Log Prevx 3.0: http://www.fileqube.com/file/EttfEPsoB207779

Per ora ho ripulito, ma per lo più erano tutti crack o patch che sapevo di avere!!
La situazione al momento non è cambiata, ma mi manca Dr.Web e ESET SysInspector

nella guida era espressamente richiesto di seguire un ordine preciso per le scansioni:
e procedete come qui elencato di seguito rispettandone l'ordine d'esecuzione, se questo non venisse rispettato è molto probabile che i risultati siano assolutamente incerti:


di conseguenza che vogliamo fare?

infatti sto andando in ordine!

quello di gmer c'è perchè lo avevo già fatto, ma se è fondamentale che lo faccia in ordine, posso rifare la scansione, non c'è problema!!

ora sto facendo Dr.Web

Ok, ho inserito tutti i log, ho rifatto in ordine anche quello di Hijackthis!

Gmer non l'ho rifatto, ditemi voi se è proprio necessario che la rifaccia!!

Spero si trovi qualcosa, perchè ripeto non è cambiato nulla, e mi viene da pensare che non sia un problema di virus, ma un problema di sistema operativo!!

io vedo che hai fatto prima a-squared.. e da questo vedo che hai usato un aversione di emule fasulla cioè uno spyware che finge d'essere il programma ufficiale di p2p..

dal log di malwarebytes si nota un bel No action taken che significa che a fine scansione non hai premuto il tasto "delete"

f-secure ha trovato 4 cookies

dr.web cure it ha trovato:
JSCRIPT5.CHM\htm/jstextwriteln.htm;C:\Programmi\Microsoft Office\OFFICE11\1040\JSCRIPT5.CHM;Modifica di VBS.Generic.94;;
JSCRIPT5.CHM;C:\Programmi\Microsoft Office\OFFICE11\1040;Il Container contiene oggetti infetti;;
HP-easy.exe\data003;C:\Programmi\Servizi in linea\IT\Interfree\HP-easy.exe;Trojan.Daddy;;
brandit.exe;C:\SWSetup\BrandIt\Disk1;Probabile STPAGE.Trojan;;



riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

fixa:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Cole2k Media Toolbar Helper - {C672F4AB-780B-45C0-BAEC-91F455C86F8D} - C:\Programmi\Cole2k Media Toolbar\v3.3.0.1\Cole2k_Media_Toolbar.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Cole2k Media Toolbar - {2D2DE234-AB9F-4345-9D17-94FA78BA37E3} - C:\Programmi\Cole2k Media Toolbar\v3.3.0.1\Cole2k_Media_Toolbar.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
tutte le O16


il log di gmer rifallo

dal log di prevx risulta essere rimasto:
[B] c:\documents and settings\amministratore\application data\anydvdpatcher.exe [PX5: 0E17646F00CD4D1CC87900C85B999900B1DD99F7] Malware Group: Medium Risk Malware

su Malwarebytes' Anti-Malware ho premuto per eliminare, non so come mai non risulti, fatto sta che non c'è più nulla!!

idem con a-square

f-secure e dr.web non li ricordo, ma se c'è il tasto per eliminare o mettere in quarantena, è quello che ho fatto!! Non è che devo andare ad eliminarli manualmente?

su HiJackThis eseguo la procedura e poi vi faccio sapere!

Per gmer ok, come rientro da lavoro lo rimando!!

prevx non elimina, quindi devo andare ad eliminarlo manualmente giusto?


Grazie veramente per l'aiuto!!!:)

strano ad ogni modo rifai prima malwarebytes, poi asquared e poi hijackthis, gmer e prevx :)

Ecco i nuovi Log (aggiorno man mano):

Malawer: http://www.fileqube.com/file/gogIyHf208599

Asquare: http://www.fileqube.com/file/mVAcbRwUJ208600

Hijackthis: http://www.fileqube.com/file/pXHtMGdAp208601 Mi hai detto di fixare le righe, ma non so quali fixare!!! Le devo selezionare tutte??

i log malwarebytes e asquared sono puliti, nel messaggio precedente ti avevo indicato le righe da selezionare:
http://www.hwupgrade.it/forum/showpost.php?p=28441595&postcount=37

impossibile che tu non le abbia viste

Ok, scusa non avevo capito:p !!

Ecco il log dopo il fix, ora lancio Gmer

http://www.fileqube.com/file/gjGBJr208804

Ecco i log di Gmer

Autostart: http://www.fileqube.com/file/JQclKuHh208826

Rootkit: http://www.fileqube.com/file/YEPpnZkfZ208828

Ed EccoPrevX 3.0
http://www.fileqube.com/file/InglnzyY208832

Ma, mi sa che non c'è nulla!!

eppure mi sembrava di avere un deja vu... perchè due antivirus??
toglkine uno e rifai la scansione con gmer (facendo la scansione completa), hikackthis e prevx

ho solo kis2009! non ne ho altri! per le scansioni era disattivato!

allora può essere che fileqube.com abbia problemi esistenziali... portesti riuppare gli ultimi logs su uno degli altri server?

ok! qualche minuto e li metto tutti!

emmm..........dove trovo una lista di altri server? ---- OK, ho trovato questo sito, spero vada bene: http://www.filedropper.com/

Malwarebytes' Anti-Malware: http://www.filedropper.com/mbam-log-2009-08-0818-58-08

A-Squared: http://www.filedropper.com/a2scan090808-190030

Hijackthis Dopo Il Fix: http://www.filedropper.com/hijackthisdopoilfix

Gmer Autostart: http://www.filedropper.com/gmerautostart

Gmer Rootkit: http://www.filedropper.com/gmerrootkit

Prevx 3: http://www.filedropper.com/prevx3

Dovrebbero esserci tutti!:D

ok! qualche minuto e li metto tutti!

emmm..........dove trovo una lista di altri server? ---- OK, ho trovato questo sito, spero vada bene: http://www.filedropper.com/

nelle regole di sezione c'era la lista..


Fixa:

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)

ma tu stai in Svezia?
se no segui la guiida per disinfettare il pc da Conficker: http://www.hwupgrade.it/forum/showthread.php?t=1984665

ok, ho aggiornato quello che andava aggiornato, ma acrobat non me lo ha segnalato!! erano solo agg. di windows, java e winamp che ho disinstallato direttamente!!

i test di Conficker dice che non sono infetto, e poi entro senza problemi anche su windows update!!

Situazione sempre uguale

allora fixa anche queste due voci:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FEC8653-95E3-45BE-887F-BB92910F5B7D}: NameServer = 193.12.150.2,212.247.157.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{66D859F2-18EF-4071-8EF0-B3E730727592}: NameServer = 193.12.150.2,212.247.152.2

fatto, ma non è cambiato nulla, se non che ho dovuto reinserire il DNS!:cry:
:doh: Comunque grazie veramente per la disponibilità:)

sì ma avrai inserito quello corretti coem da guida, vero?

ho inserito quelli di tele2 che è il mio gestore!

Ma a quale guida ti riferisci?

Regole di sezione:
http://www.hwupgrade.it/forum/showthread.php?t=1751598
o
Guida disinfestazione:
http://www.hwupgrade.it/forum/showthread.php?t=1599737

quando mi riferisco a Guida intendo la Guida per le Infezioni e li c'è scritto di modificare i dns!

si ora gli ho notati!! ma scusa, inserendo quelli al posto dei DNS di Tele2 riuscirei a navigare ugualmente??

cos'hanno di particolare quei DNS?

i dns sono server che traducono i link alfabetici esempio www.sito.com nel corrispondente indirizzo IP, tutti i sistemi di comunicazione tra apparati informatici lkavora con numeri ma per renderli più comprensivi all'uomo sono stati introdotti i DNSname infatti è più facile ricordare www.sito.com che l'indirizzo IP esempio 73.353.x.x

i dnd di www.opendns.com, come chiaramente descritto sul sito corrispondente, sono dns che usando blacklist di siti maligni, impediscono che i pc che ne fanno uso vadano a contattare questi siti pericolosi per scaricare materiale che potrebbe rendere il pc infetto.
navighi come usando i dns del tuo provider ma con la garanzia di non poter contatatre siti maligni, questo è essenziale anche nel corso di una disinfezione perchè altrimenti il lavoro è assolutamente vano!

perfetto grazie del chiarimento!
Dopo provo a mettere quelli della guida e domani o dopo ti faccio sapere (in questi giorni starò poco in casa:D )

non è cambiato nulla!! ho provato quei DNS, ma nulla!!

aggiorna malwarebytes e fai una scansione completa, idem con a-squared e pubblica i rispettivi report

mi scuso per non essermi più fatto vivo, e ringrazio nuovamente chi tutto mi ha aiutato!

Vi comunico che il PC dopo uno degli ultimi aggiornamenti di Windows è tornato praticamente normale, ancora un pò lento nell'avvio, ma non più come prima, ed in più è tornato l'indicatore della batteria!:)

Misteri di Windows!!

Un saluto a tutti!:D :winner: