[win xp].rar che cancello e ricompare sempre al riavvio

[Perkhon]

Non so se si tratta di virus o chissà che altro. Ho scaricato tempo fa un rar con all'interno una patch per pes2008 e l'ho salvata sul desktop. Una volta utilizzata, ho deciso di spostare il rar in un'altra cartella. Ma al riavvio del pc ricompare sempre il rar sul desktop, un rar danneggiato che varia da 3 a 5 mb (il rar intero era circa 20 mb). Lo cancello ma al successivo riavvio ricompare sempre. Sapete come posso eliminarlo definitivamente o da cosa è provocato il suo ricrearsi?

[xcdegasp]

chiaro sintomo di infezione

segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log riciesti in un unico messaggio e usando il metodo dell'upload sul sito indicato nelle Regole di Sezione.
Ricordati di scrivere il nome del log davanti al link altrimenti non sappiamo a priori a cosa si riferisca

[Perkhon]

Grazie, ho eseguito CCleaner e ho riparato quello che ha trovato. L'antivirus online utilizzato è nanoscan, nn ha trovato nulla e non sapevo coem salvare un eventuale log. Di seguito copio i logs degli altri programmi, spero di aver capito come inserirli. Se trovate qualcosa vi prego di farmelo sapere. Grazie!


EDIT: log caricati sul sito, i link sono in fondo al 3d.

[Perkhon]

Chiedo scusa, non so perchè ma la risposta non ha uppato il 3d O_O da fuori era come se l'ultima reply fosse ancora quella di xcdegasp

edit: infatti da fuori compaiono solo 2 replies, ma ho postato qui sopra i logs, li vedo solo io? o_O

[xcdegasp]

io ti consigliavo l'upload sul sito remoto per facilitare l'analisi dei log, quindi ora mettendoti nei nostri panni ti porgo la domanda:
ti sembrano velocemente fruibili i log così come li hai uppati?
- analisi di ciasc'una riga per individuare file non corretti -

se sì bhè non vediamo l'ora che tu ci dia una mano qui in corsia del pronto soccorso, se no uppali sul sito remoto

per il bug è possibile che sia causa di modifiche in corso d'opera al database per integrare nuovi procedure automatiche comunico il problema

[xcdegasp]

il contatore delle risposte si risistemerà da solo nel corso della notte

[Perkhon]

Li ho caricati sul sito indicato:

log di hijackthis: http://www.fileup.itadib.com/downloa...N5Kv7R5qmFiRsL


log di prevx csi:
http://www.fileup.itadib.com/downloa...0C0PQkInDrzfQh


log di GMER:
http://www.fileup.itadib.com/downloa...LoMKIqCcpSofYW


log di A-Squared Free:
http://www.fileup.itadib.com/downloa...5tiATRszs34isR

[xcdegasp]

gli oggetti rilevati vanno messi in quarantena, quindi rifai la scansione di a-squared
manca la scansione via antivirusweb e o con dr.web cureit

[Riverside]

Quote:

Originariamente inviato da Perkhon

Li ho caricati sul sito indicato .....

Dai log non si evidenzia nulla che possa avere una parvenza di infezione.

Fai girare questi:

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

● BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva ed allega sia il log che il Report html che verranno rilasciati

[deneb87]

a me viene il sospetto (che sarebbe una cosa al quanto ridicola ...) però non si sa mai

Che abbia il desktop stra stra stra pieno di icone file e chi piu ne ha piu ne metta

che possa aver estratto quel rar che magari conteneva altri rar ma splittati, però non essendoci piu spazio ne sia rimasto solo uno visibile sul desktop, estratto quello e poi cancellato il resto, e ogni volta che riavvia ricompaiano le icone che non erano prima visibili

Sarà stupida come cosa ma mi è successa veramente con un amico, c'era così tanta roba sul desk che alla fine son dovuto andare da esplora risorse per spostare tutto

[Riverside]

Quote:

Originariamente inviato da deneb87

a me viene il sospetto ........ che abbia il desktop stra stra stra pieno di icone file e chi piu ne ha piu ne metta ......

Se quando ha fatto girare CCleaner lo ha configurato come si deve, quel problema non sussiste: sarebbe stato, tutto, spazzato via, in fase di pulizia.

[Perkhon]

Il rar è stato estratto a suo tempo in un'altra cartella, non sul desktop.

Ho seguito le istruzioni, bitdefender non ha trovato nulla; di seguito il link del log e il link del report:

log: http://www.fileup.itadib.com/downloa...bgFfCep9177pwl

report:
http://www.fileup.itadib.com/downloa...OU8VByPwzBnZeg


Il tool di kaspersky ha trovato un file affetto da trojan, subito cancellato. Il log è di circa 52 mb, appena finisce di hostarmelo lo aggiungo.


edit: ho compresso il log di kaspersky con winrar, sono meno di 3mb:
http://www.fileup.itadib.com/downloa...XCY1E9mqgp3HX8

[xcdegasp]

52mb di file di txt? ma ne sei sicuro? per essere così grande o hai milioni di file piccolissimi o stai scansionando una serverfarm

[deneb87]

/OT che bello hai Magic Workstation giochiamo? OT/

[Perkhon]

Quote:

Originariamente inviato da xcdegasp

52mb di file di txt? ma ne sei sicuro? per essere così grande o hai milioni di file piccolissimi o stai scansionando una serverfarm

Se non ci credi controlla tu stesso


@deneb87 gioco solo legacy, se vuoi si può fare qualche partita. ^_^

[Perkhon]

Il problema non si è ancora risolto, non so più cosa fare...

Non riesco nemmeno a capire da cosa sia provocato è_è

[xcdegasp]

prova a fare un nuovo log di gmer e hijackthis tanto per scrupolo

[Perkhon]

Quote:

Originariamente inviato da xcdegasp

prova a fare un nuovo log di gmer e hijackthis tanto per scrupolo

Ecco i nuovi logs, grazie per la disponibilità!

gmer: http://www.fileup.itadib.com/downloa...jdgMQWVEgj26lJ

hijackthis: http://www.fileup.itadib.com/downloa...aiCL7hqBjfJc7Y

[Riverside]

Quote:

Originariamente inviato da Perkhon

Ecco i nuovi logs, grazie per la disponibilità!

Rilancia HThis e fixa queste voci:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

**********

poi rilanci Hthis e pulisci gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

**********

Scarica DUSTBUSTER: clicca qui per il download
● esegui il download da uno dei mirror disponibili sul sito
● una volta installato, lancialo
● Dust Buster provvederà, automaticamente, ad individuare e rimuovere tutti i file inutili ancora presenti sull’hard disk

**********

Scarica TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva ed allega il log che verrà rilasciato

**********

Scarica PREVX CSI: clicca qui per il download

Una volta installato, lancialo:
● esegui una scansione
al termine della scansione, clicca su:
● Options
● Save Log
allega il log che verrà rilasciato

[xcdegasp]

questi due IP li hai inseriti te nel file HOSTS (c:\WINDOWS\system32\drivers\etc) ?

Codice:

O1 - Hosts: 87.252.2.147 L2authd.lineage2.com

O1 - Hosts: 87.252.2.147 L2testauthd.lineage2.com

questa va lasciata è di msn:

Codice:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

mentre non so cosa sia:

Codice:

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

puoi fixare tranquillamente:

Codice:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

questo ti serve per un gioco online?

Codice:

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe