:help: Sono due giorni che controllo il mio pc e cerco di togliere un virus ma dall'alto della mia ignoranza informatica non ci riesco.
Ieri mi segnalava un problema CAPI2 evento id 11 e quando andavo a vedere il problema mi cambiava in continuazione il nome: da trustedinstaller.exe, consent.exe, svchost.exe, fssm32.exe, iexplore.exe. Mi cambia non appena cerco di risolvere un problema. Allora ho eseguito prima cccleaner, poi virit che mi ha trovato un trojan che ha rimosso e questi che non ha rimosso:
C:/drivers/CMOS/dmax/stktw.ds
C:/windows/system32/driverstore/filerepository/stk1135
C:/windows/twain_32/stk1135/stktw.ds
Poi ho eseguito hijack this e ho tolto i file che mi iniziavano con bho.dll solo che ricontrollando con hijack mi sono ricomparsi. Ho provato a fare una scansione in modalità provvisoria con virit e norman malware ma niente... non ci riesco. Poi il task manager mi dava un errore search 3013 gatherer. Allora ho abilitato la visualizzazione dei file nascosti e di sistema e ho seguito l'entry solo che poi non trovavo contentIE5.exe ( in più mi sono apparse delle icone di documento di testo sul desktop che prima non avevo e una di queste si chiama NFIX che non mi cestina) Poi mi ha dato un avviso search 3036 gatherer Contesto: applicazione , catalogo SystemIndex Dettagli: L'operazione di filtraggio è stata interrotta a causa di un'azione dell'utente, come l'interruzione della ricerca per indicizzazione. Adesso mi da Avviso search 1015 servizio di ricerca.. e oltre al mio computer sto andando in tilt pure io. E in più windows update non mi aggiorna.
Adesso sto eseguendo la scansione con Norman Malware e il task manager prima mi dava come errore search 30313 gatherer , poi application hang 1002 e adesso F-secure Antivirus 103 e questo è quello che mi da Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.09.36, on 23/04/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
[...]

--
End of file - 9113 bytes


Grazie di cuore a chiunque mi risponderà perchè non so davvero cosa fare!

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) (esempio1 (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6) & esempio2 (http://www.hwupgrade.it/forum/showpost.php?p=30220144&postcount=48))
Qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

link caricamento log generici ► wikisend (http://wikisend.com/) ■ fileqube (http://www.fileqube.com/)
link caricamento immagini ► imageshack (http://imageshack.us/) ■ fileqube (http://www.fileqube.com/)

ci proverò anche se sono un'imbranata

Ho avuto alcuni problemini con certi programmi ma questo è quanto sono riuscita a fare:
http://wikisend.com/download/226490/norman malware cleaner.log
http://wikisend.com/download/435628/a squared.txt
http://wikisend.com/download/501080/eset online.txt
http://wikisend.com/download/440738/kasp.txt.xml
http://wikisend.com/download/541046/cureit.txt
Non sono riuscita ad alleggerire i log di questi ultimi due perchè ogni volta che cercavo di rinominare il file e avviavo il programma mi cambiava il file rinominato e quindi il filtrato era vuoto.
http://wikisend.com/download/462810/SysInspector-PC-KLOD-100429-0925.xml
http://wikisend.com/download/555706/hijackthis.log
Il log di hijack run as administrator sta anche nel messaggio precedente.
GMER è l'unico che non ho nella lista dei log perchè quando lo avviavo, o mi si impallava il pc o mi andava in stand by mentre facevo la scansione e non appena riaccendevo il pc la scansione era sparita. Dopo 4 volte di accendi/spegni il computer c'ho rinunciato.:bsod:
http://wikisend.com/download/524918/prevx.log
Spero di aver fatto bene anche perchè non sono un'esperta di queste cose e se ho sbagliato qualcosa.. beh allora mi scuso in precendenza :ops2: ...Grazie mille ;)

P.s : mi dareste un consiglio su quali antivirus lasciare di questi che mi sono salvata? Mi sembrano tutti attendibili ma ne vorrei lasciare solo uno..
Grazie ancora

non vedo il log di malwarebytes
quello di kasp deve essere in txt e non mi sembra sia quello corretto

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.4
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)


O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; GTB6.4; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; InfoPath.1; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://www.gioco.it/gioco/Mahjong_Towers.html"
O4 - Startup: setup_9.0.0.722_27.04.2010_17-19.lnk = Klod\Desktop\Virus Removal Tool1\setup_9.0.0.722_27.04.2010_17-19\startup.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortona3d.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab




devi aggiornare Windows all'ultimo service pack
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)

Questo è il log di malware bytes
http://wikisend.com/download/539952/mbam-log-2010-04-29 (19-14-04).txt
Con hijack ho fatto come mi dici tu ma quando ho premuto fix checked mi ha dato questo errore:
An unexpected error has occurred at procedure: mod Backup_Make Backup
{7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
Error#5 - chiamata di routine o argomento non valido
Poi ho riavviato il pc e mi è apparsa un icona che diceva programmi di avviamento automatico bloccati ho fatto la scansione con hijack e gli elementi da te selezionati sono rimasti.
Adesso faccio la scansione con kasp? Intanto aggiorno il service pack.
Grazie per la tua collaborazione

hai eliminato le voci con mbam visto che dal log non si vede?
aspettiamo il log di kasp
poi riprova con hjt

Con kasp ho avuto vari problemi perchè ogni volta che provavo a fare qualsiasi cosa mi diceva " non risponde"... ho provato sia a snennirlo con parserlog che a caricarlo con wikisend ma niente.. ogni volta che lo tocco mi si blocca tutto.
Gli altri due non li ho toccati
http://wikisend.com/download/452542/hijackthis.log
http://wikisend.com/download/490408/mbam-log-2010-04-30 (12-06-52).txt

Ciao, ultimamamente f secure mi ha rilevato un virus bagle ( almeno penso dato che c'era un avviso con scritto bagle) che non è riuscito a eliminare così ho seguito le istruzioni per eliminarlo nel vostro sito. Inutile dire che malware non ha rilevato niente, elibagla non riusciva a scansionare determinate cartelle e combofix non funzionava perchè a quanto pare avira era in funzione.. ma io avira l'ho disinstallato vari giorni fa e nella lista dei programmi non c'è.. ho eseguito delle scansioni con virit e a- squared da modalità provvisoria e mi ha rilevato vari trojan, bel passo avanti dato che prima non riuscivo a fare a niente in modalità provvisoria, ma norman malware cleaner ancora non va.. che faccio?

bagle è stato rilevato in file scaricati sparsi nel pc uppure attivo nel sistema?
se fosse attivo fsecure non funzionerebbe e nemmeno la mod. provvisoria
per rimuovere avira vedi qui
http://www.hwupgrade.it/forum/showthread.php?p=24374390#post24374390

non so in quarantena c'è scritto solo Rootkit:W32/Bagle infezione del sistema (uno o più elementi).
Che devo fare?

carica il log della scansione completa di fsecure

C:\Program Files\F-Secure\Anti-Virus\FSAV_REP.HTM
riesci a leggerlo?

:help:

come da guida, lo apri selezioni il testo e lo incolli un un file di testo

http://wikisend.com/download/459158/FSAV_REP.HTM
il file rootkit bagle che sta in quarantena su f-secure ...lo lascio lì o ci provo a eliminarlo? la prima volta non c'è riuscito ...:(

mi sembra tutto vuoto...c'era solo quello di log?

solo quello.. questi sono altri log di altre scansioni fatte oggi
Premetto che elibagla mi dava accesso negato ad una marea di cartelle e quindi non ha scansionato tutto. Combofix mi rilevava avira anche se ho pulito ogni residuo con registry cleaner e prevx non funzionava in modalità normale così prima l'ho avviato in modalità provvisoria e poi in modalità normale, solo così sono riuscita a fare la scansione... i problemi rimangono perchè ogni volta che apro il pannello di controllo o qualsiasi altra applicazione non mi risponde e mi si impalla tutto.. e adesso mi diventa difficile pure usare internet perchè come faccio il login al sito mi si chiude internet.
http://wikisend.com/download/962376/combo.txt
http://wikisend.com/download/494664/mbam-log-2010-05-11 (15-37-45).txt
http://wikisend.com/download/498560/log prev.log (in modalità provvisoria)
http://wikisend.com/download/564928/modalità normale prev.log
http://wikisend.com/download/664772/elibagla.txt

Ti ringrazio per la tua disponibilità

carica un nuovo log di hjt dopo aver rimosso tutte le applicazioni inutili e settato correttamente eventuali programmi di sicurezza che potrebbe bloccare l'esecuzione di qualche applicazione

Per pulire programmi inutili posso usare ccleaner? E per quanto riguarda il settaggio corretto dei programmi come faccio? Non so quali creano i problemi di conflitto..

intendo disinstallarli, se vuoi un programma che elimina anche i residui vedi revo uninstaller nel bigino in firma

i firewall con hips possono creare problemi se mal settati, a volte anche antivirus troppo invadenti

L'unico antivirus che ho nel pc è fsecure gli altri l'ho scaricati da questo sito... vedrò di provvedere come dici tu anche se non so da quale parte iniziare.. nel frattempo che mi rispondessi ho eseguito findykill dato che ho letto che è un buon bagleremover, neache a dirlo, alla prima scansione mi dava che il file infetto era infosat.txt poi ho rifatto la scansione ma dal log non c'è scritto niente a riguardo. E quando provavo a pulire mi arrivava al 40% e si stoppava tutto, questo è l'ultimo log l'altro non so dove l'ha messo:stordita:
http://wikisend.com/download/463606/FyK.txt

ricordati di attivare il firewall di windows...sembra sia disattivato:)

Per quanto riguarda il firewall ho quello di windows e f-secure client security 8.01. Ho dato uno sguardo anche su quali programmi consentiva e ho tolto la spunta a quelli p2p che avevo ma rimangono vari programmi hp ( hpqgpc01.exe, hpiscnapp.exe... ) e smartwebprintexe.exe. Su gestioneattività questi sono sempre in funzione e non appena avvio il computer mi parte l'installazione di hp photo essential da sola, non so se fanno parte della stampante o sono una cosa a parte.

bene... adesso mi da pure accesso negato a delle cartelle tipo $reciclebin, devo eliminarle o lasciarle?

fsecure è regolarmente licenziato?
se non configurato bene è lui che può creare blocchi, puoi verificarlo disattivandolo dall'avvio e provando un pò senza il suo realtime

che problemi sono rimasti?

Ci provo e infatti ora che ci penso molti problemi sono iniziati da quando l'ho installato....
cmq questo è il log di hijack
http://wikisend.com/download/534630/hijackthis1.txt
Grazie ancora

fixa
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; InfoPath.1; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729)" -"http://www.gioco.it/gioco/Deadly-City-Survival.html"
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} - http://www.parallelgraphics.com/l2/bin/cortona3d.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab


poi vedi di sistemare fsecure

Ho fatto come mi hai detto ed ecco il nuovo log di hijack this
http://wikisend.com/download/960440/hijackthis.log
Per quanto riguarda f-secure stavo pensando di disinstallarlo però prima di farlo volevo chiedere il vostro parere... non so se il virus deriva da lì o me l'ha passato con la chiavetta usb un mio amico che appunto mi ha installato fsecure, se il problema è l'antivirus tanto vale toglierlo ma se riguarda magari la chiavetta non serve a niente..come faccio a sapere se il virus deriva da f-secure? So solo che da quando me l'ha installato il pc, che già era lento e mi dava qualche problema, si è totalmente impazzito.. lo disinstallo?

Ps: continuo ad avere problemi nel scrivere sia il titolo di questo messaggio che nel scrivere il mio username per il login, come inserisco qualche lettera internet smette di funzionare..:confused:

http://www.hwupgrade.it/forum/showpost.php?p=31947809&postcount=26
non hai risposto alla prima domanda
se la risposta è no dopo le 20 frustate scarica, installa e configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Hai ragione scusa, mi sono persa tra i messaggi. Non so se sia regolarmente licenziato perchè me l'ha passato un mio amico, ieri ho provato a disattivarlo ma i problemi restano vabbè nel dubbio se sia correttamente licenziato o no lo disinstallo

Sto provando a disinstallarlo con revo in opzione avanzata ma mi dice
Creazione punto di ripristino di sistema fallito, e poi: disinstallazione fallita. Possibile comando di disinstallazione non valido.. che faccio?

Sto provando a disinstallarlo con revo in opzione avanzata ma mi dice
Creazione punto di ripristino di sistema fallito, e poi: disinstallazione fallita. Possibile comando di disinstallazione non valido.. che faccio?

usa la disinstallazione tradizionale oppure vedi per il tool rilasciato
ftp://ftp.f-secure.com/support/tools/uitool/

ecco il log di avira
http://wikisend.com/download/480366/AVSCAN-20100513-170853-5D6EF87B.LOG

sistema la configurazione di avira come da guida visto che la tua impostata diversamente
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora

il pc gira un pò meglio ora senza fsecure?

Da quando ho fatto un pò di pulizia va poco più veloce ma i problemi con internet rimangono e ogni tanto s'impalla.. sistemo avira e poi? questo virus non va via :muro:

nuovo log di sysinspector, gmer se riesci e prevx

Quando ho eseguito la scansione con gmer mi si è riavviato il pc da solo, prima mi è apparsa una schermata blu che diceva che windows si sarebbe chiuso a causa di un errore pxddapoc.sys e adesso quando cerco di entrare in internet tramite l'icona sul desktop non mi lascia entrare e mi dice che internet ha avuto un problema e mi si chiude automaticamente. Fortuna che questa finestra mi era rimasta aperta sennò non sapevo come navigare...:mc: solo che adesso non mi fa aprire nessuna finestra come faccio??? Non riesco neanche a caricare i log tramite wikisend

Ho provato a chiudere prevx ma non me lo trova con disinstalla programmi allora sono andata su gestione attività per chiudere prevx ma mi dice impossibile chiuderlo, handle non valido.. che faccio?

se stai usando IE prova a usare firefox o browser alternativo
per gmer lasciamo stare

attualmente ho solo quello... come lo scarico firefox se non posso aprire altre finestre? mi dice sempre internet explorer ha smesso di funzionare..

ah dimenticavo protezione esecuzione programmi mi dice che ha chiuso ie per proteggere il computer

Ho risolto, ho spento e acceso il pc e adesso rifunziona ma me lo scarico cmq firefox anche perchè il task manager mi segnalava come errore cap12 proprio iexplore.exe anche se poi il problema cambiava sempre
http://wikisend.com/download/526716/gmer.log
http://wikisend.com/download/119974/SysInspector-PC-KLOD-100514-1545.xml
http://wikisend.com/download/760756/prev.log
Per un attimo ho panicato...

niente da fare.. firefox non s'installa quando lo avvio non succede niente... in questo momento vorrei essere bill gates, non tanto per i soldi ma per capirci qualcosa :grrr:

non vedo nulla di particolare nei log, magari sono "normali" problemi di windows risolvibili nella sezione dedicata
purtroppo sarà via per qualche giorno e non potrò seguirti
ciao

ho fatto una scansione con virit ed ha trovato un trojan stkTW.ds nella cartella driverstore.. ho provato a toglierlo manualmente ma sia in modalità provvisoria che normalmente non me lo toglie.. ho provato con revo uninstaller e anche con avenger che proprio non me lo trova come posso fare a toglierlo?

Dato che le ho provate tutte con bagle sono andata a fare un giro sulla lista di virus che avete e per sfizio mi sono imbattuta in gromozon e ho scaricato il removal tool, quando l'ho lanciato (l'ho anche rinominato) l'applicazione ha smesso di funzionare allora ho provato a riscaricarla e lanciarla dalla modalità provvisoria ma anche qui calma piatta... possibile che sia questo il virus che m'infetta?

Salve... dato che non ho avuto più risposte ho cercato un modo manuale di togliere il rootkit ( sospetto un gromozon ) in vari siti, e ho letto questa guida:
http://www.viritpro.info/articoli/rootkit_d-e.htm
Dato che non è per vista volevo sapere se si può fare lo stesso procedimento anche con sistema operativo diverso e se si, come, dato che nella guida fa riferimento solo alla key 4 di windows me e alla key 17 di windows
Grazie mille

ciao, scusa ma sono stato via settimana scorsa e questa ero molto impegnato e ho perso di vista la sezione...
gromozom è roba passata e non penso proprio sia questo il problema
che problemi sono rimasti?

sempre gli stessi.. impossibilità di digitare certe parole su google, come appunto gromozon e arresto del removal non appena lo lancio ( ecco perchè ho pensato a lui), non riesco ad installare firefox, blocchi improvvisi, antivirus che non leggono niente ecc. Ho provato a seguire questa procedura con un file che mi ha segnato virit e malware bites chiamato STK.ds che dice di essere una variante da trojan win 32:
selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.
Ora potete cancellare il file.

Solo che mi dice che il controllo completo è del System e non riesco a cambiarlo...non so proprio che fare
Grazie della risposta

digitare che parole?
fai un test alla ram e anche uno scandisk per assicurarti che non ci siano problemi hardware, trovi info in firma

gromozon, klod...in particolare su google c'è una doppia barra dove scrivere per fare la ricerca, una a inizio pagina e una a fine pagina, quella alla fine è praticamente inutilizzabile perchè ogni volta che provo a scriverci dentro mi si blocca tutto e poi si chiude internet. Ho installato unhackme che mi ha trovato varie cosette che ha tolto.. mi ha dato anche una schermata con su scritto:
All users run (registry):
windows defender
syntpenh
rthdcvpl
nvsvc
nvcpldaemon
nvmedia center
hp software update
hpqsrmon
sunjavaupdateshed
AVG9_tray
virit lite monitor
Current user run (registry)
WMPNSCFG

ma non so se questi processi sono utili o no... in più ho notato che nella cartella utenti ci sono svariati utenti: default, default user, all users, klod, ospiti (quest'ultimi due creati da me), guest e pubblica... è normale???
cmq farò come mi dici!
Grazie

fai girare e carica il log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Ho letto che per fare il test della ram bisogna avere un cd-r, dato che ne sono sprovvista farò l'operazione non appena lo compro.. adesso stavo provando a fare un pò di scansioni con degli antirootkit ma come al solito non me li fa partire... l'unico che era partito e poi si è fermato è antirootkit revealer e mi ha rilevato questo
HKU:S-1-5-21-415370...1000/CONSOLE description security mismatch
dopodichè non so più niente...
lo sto cercando nel registro di sistema ma non lo trovo.. ma lo dvo cancellare?
grazie

rootkit revealer non ha fatto tutto il suo lavoro perchè veniva ripetutamente bloccato però sono riuscita a segnarmi qualcosa che mi ha rilevato:
HKLM:software/microsoft/windows/currentversion/wsman
HKLM:software/microsoft/windows/currentversion/wsman/certmapping
HKLM:software/microsoft/windows/currentversion/wsman/client
HKLM:software/microsoft/windows/currentversion/wsman/listener
HKLM:software/microsoft/windows/currentversion/wsman/service
HKLM:software/microsoft/windows/currentversion/wsman/winrs
HKLM:software/microsoft/windows/currentversion/wsman/winrs/customremoteshell
HKLM:software/microsoft/windowsNT/currentversion/perflib/009/
HKLM:software/microsoft/windowsNT/currentversion/perflib/0010/
HKLM:software/microsoft/windowsNT/currentversion/schedule/taskcache/tasks/cbcdi355-c...1e/dynamicinfo
HKLM:software/swearware/backup/winsock2
HKLM:software/swearware/backup/winsock2/parameters
HKLM:software/swearware/backup/winsock2/parameters/namespace_catalog5HKLM:software/swearware/backup/winsock2/parameters/namespace_catalog5/catalog_entries
HKLM:software/swearware/backup/winsock2/parameters/protocolcatalog9
HKLM:software/swearware/backup/winsock2/parameters/protocolcatalog9/catalog_entries


e tanti altri che non sono riuscita a segnarmi.. ho provato a salvare il log ma quando l'ho aperto era vuoto
Cancello?

i software da usare e che conosciamo li trovi nella guida alla disinfezione, altri li consigliamo a seconda dei casi, quindi è inutile che prova 50 programmi di cui non possiamo darti consigli
aspetto il log di combofix

per il test ram basta una chiavetta e leggere in firma

ecco il log di combfix:
http://wikisend.com/download/605344/combo.txt
inoltre ho notato che ci sono dei processi come MONLITE.EXE, PEV.cfxxe e CF24691.cfxxe che mi usano tanta cpu è normale?
poi un'altra cosa che non ti ho detto riguardo alle "stranezze" del pc (non so se sia importante) è che ogni volta che lo accendo mi appare una schermata di windows installer che mi dice "please wait while windows configures Status" o "hp photosmart essential". In entrambi i casi spingo cancel ma mi appaiono almeno 5 o 6 volte come se non rispondessero al comando cancel. In ogni caso l'installazione non va a buon termine anche perchè nel caso di status mi dice che devo inserire un cd per completare l'installazione. MAh!
Grazie

disinstalla virit e adaware
combo ha girato 4 volte, ho bisogno anche il log più vecchio, vedi bigino in firma per dove reperirlo

Virit l'ho disinstallato ma adware non lo trovo da nessuna parte..
questi sono i log di combofix che ho trovato
http://wikisend.com/download/467190/ComboFix3.txt
http://wikisend.com/download/924598/ComboFix2.txt
http://wikisend.com/download/498330/ComboFix-quarantined-files.txt
grazie

disinstalla anche il kaspersky removal tool e tutti i programmi che non utilizzi

di avira premium hai regolare licenza?

avira l'avevo scaricato nella versione free dal loro sito ma siccome con combofix mi creava problemi l'ho tolto... sinceramente.. sarà mai possibile riaggiustare il mio pc, perchè sto davvero perdendo le speranze :(
grazie

a me sembra di vedere componenti che non ci sono nella versione free
togli anche avg, nell'ultimo periodo ho visto non pochi problemi causati da lui e comunque non è all'altezza di avira

rimuovi completamente ogni antivirus, se non riesci nella maniera classica vedi nel trattamento in firma al punto in cui si parla di antivirus
una volta rimossi del tutto rimetti avira, lo configuri come da guida e fai una scansione completa
idem con prevx e malwarebytes, di cui i log ormai sono vecchi

ci assicuriamo che il pc non sia infetto perchè potrebbero essere problemi legati a windows

ok solo una domanda: supponiamo che sia un rootkit, in tal caso ogni antivirus sarebbe inutile dato che non rileverebbero niente, allora come si fa a capire se c'è o no? Ho fatto infinite scansioni con tutti gli antivirus presenti nella guida ma non rilevano niente..eppure il problema c'è ed è evidente anche per me che non ci capisco niente, se è un problema con windows non lo so, di certo so solo che per quanto riguarda i virus non riesco a trovare nulla e quel poco che trovo non si cancella.. cmq farò quel che dici
grazie

http://www.getsysteminfo.com/read.php?file=7ddd49e3561af8cdec825d96a121f821

non so se ti può interessare ma prima di aliminare tutto ho voluto fare una scansione con kaspersky e questi sono i risultati (spero di averli caricati bene!), in particolare in avz_sysinfo nella parte suspicious objects c'è scritto "suspicion for rootkit" e il che mi ha un pò preoccupato...
mi affido a te..
grazie

prev x mi ha trovato 3 virus:
REGISTRY\Machine\System\ControlSet001\Services\utqwndk3
REGISTRY\Machine\System\CurrentControlSet\Services\utqwndk3
mi dice infected entry [imagepath]
e lo stesso nella cartella drivers
ecco il log
http://www.mediafire.com/file/gyzmidkznnw/log prev.log

prova ad eseguire i test di questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1984665) per verificare l'eventuale presenza di Conficker/Downadup/Kido, in caso di pc infetto prosegui in quel 3d
sono confinto che il pc sia infetto da conficker ma dai log di combo precendenti non c'era traccia di questa roba quindi non so cosa stai combinando...

ho fatto il test ma non c'è nulla di anomalo... che intendi per cosa sto combinando? non ho fatto niente :nonio:
in ogni caso nonostante prevx mi dice questa cosa devo disinstallarlo cmq?
Giuro che non faccio nessuna scansione finchè non mi rispondi!

avira e malware bytes li hai fatti rigirare?
fai girare anche questo, per curiosità
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Malware si avira ancora no
quando ho fatto te lo faccio sapere

Forse è il caso di fare un pò il punto della situazione.

cioè? :confused:

cioè? :confused:

Considerando che dopo 4 pagine di 3D sussitono ancora problemi, sarebbe opportuno capire la situazione attuale per comprendere come meglio intervenire, allega i log richiesti da wjmat.

http://wikisend.com/download/754862/mbam-log-2010-06-04 (16-17-32).txt
avira sta terminando la scansione

ecco il log di avira
http://wikisend.com/download/765548/AVSCAN-20100604-175536-158EEAFB.LOG
p.s prevx mi segna sempre quei 3 virus

http://www.hwupgrade.it/forum/showpost.php?p=32197771&postcount=69
fai girare anche l'altro tool, il log lo trovi in c:

http://wikisend.com/download/447282/TDSSKiller.2.3.2.0_05.06.2010_14.04.01_log.txt

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\system32\drivers\utqwndk3.sys


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

http://www.virustotal.com/it/analisis/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237-1275742509

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\utqwndk3]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\utqwndk3]

File::
c:\windows\system32\drivers\utqwndk3.sys



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

http://wikisend.com/download/489916/co.txt
Ho fatto quello che mi hai detto ma prevx ancora me lo rileva

rifai npulizia di file temporanei con atfcleaner o ccleaner
vedo ancora installato il tool kaspersky, rimuovilo
disinstalla e reinstalla prevx + nuovo log

http://wikisend.com/download/960476/prev.log

http://wikisend.com/download/960476/prev.log

Non hai eseguito correttamente quanto qui indicato

http://www.hwupgrade.it/forum/showpost.php?p=32209553&postcount=81

lo si evince dal log.

http://wikisend.com/download/463998/com.txt

http://wikisend.com/download/463998/com.txt

Eseguito correttamente il passaggio, adesso produci nuovo log di Prevx.

http://wikisend.com/download/463998/com.txt
Sono riuscita ad installare firefox ma non capisco perchè quando tento di aprire il gromozon removal tool (per prova) me lo chiude immediatamente..

http://wikisend.com/download/463998/com.txt
Sono riuscita ad installare firefox ma non capisco perchè quando tento di aprire il gromozon removal tool (per prova) me lo chiude immediatamente..

Ti ho domandato il log di Prevx, nessuno ti ha mai chiesto il log del Gromozon Removal Tool.

http://wikisend.com/download/438600/hh.log
ah scusa ti ho postato il log sbagliato, non ti arrabbiare..
Cmq il removal tool del gromozon non lo volevo postare qui, lo so che non me l'hai chiesto.. è che avevo già detto che la parola gromozon non me la faceva scrivere su google perchè non appena la scrivevo si chiudeva tutto allora "per prova" ho voluto vedere se il problema persisteva, poi se è un atteggiamento normale che quando lancio il removal tool si chiude senza farmi installare niente allora fa niente..ritiro tutto

http://wikisend.com/download/438600/hh.log
ah scusa ti ho postato il log sbagliato, non ti arrabbiare..
Cmq il removal tool del gromozon non lo volevo postare qui, lo so che non me l'hai chiesto.. è che avevo già detto che la parola gromozon non me la faceva scrivere su google perchè non appena la scrivevo si chiudeva tutto allora "per prova" ho voluto vedere se il problema persisteva, poi se è un atteggiamento normale che quando lancio il removal tool si chiude senza farmi installare niente allora fa niente..ritiro tutto

Log pulito, se il Gromozon fosse presente (ne dubito fortemente) verrebbe rilevato da Prevx. Direi che siamo a posto :)

vi ringrazio..solo una cosa e non rompo più.. tempo fa virit e malware bytes mi hanno rilevato un trojan che non sono riusciti ad eliminare STKTW.ds che ho cercato di far analizzare a virus total solo che non me lo analizza perchè dice che non ci sono le autorizzazioni necessarie.. è normale?

l'ultimo log postato qui era pulito
http://www.hwupgrade.it/forum/showpost.php?p=32199225&postcount=74