pc con XP ancora SP1 e più account.come procedo?

[marco_81]

Salve. Ho qui sottomano il pc di mio zio. Vi è installato XP e non è mai stato aggiornato è ancora fermo a SP1. immagino che molti virus ne abbian fatto la loro casa.
Avevo chiesto in http://www.hwupgrade.it/forum/showthread.php?t=1798589 per una strana presenza di cartelle in documents and settings e come potete leggere mi è stato detto trattarsi di ROOTKIT DI GROMOZON.COM ALIAS ROOTKIT LINKOPTIMIZER.
Ora volevo chiedere come procedere. Elimino prima questo rootkit con il removal tool suggerito? Seguo la guida generale per la disinfestazione, visto che immagino non sia l'unico problema?
Il fatto che vi siano più account sul pc (2 amministratori con password + un utente limitato) impedisce ai programmi antivirus di accedere a tutti i file?
o non ci son problemi?
prima disinfetto e poi aggiorno windows o prima aggiorno e pi disinfetto?

[Chill-Out]

Innazitutto imposta i DNS di http://www.opendns.com/ dopodichè
fai girare la trial di Prevx

Poi fai girare questo tool
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

[marco_81]

grazie, farò come suggerito.
adesso stavo cercando di fare un backup. non si sa mai.

[marco_81]

piccolo problema. quando cerco di ottenere la licenza trial, mi dice che la company ha già ricevuto la trial. ho provato a cambiare mail e nome della company, ma il messaggio è lo stesso.

[wizard1993]

fai prima girare combo; poi una scan con panda antirootkit; log di prevxcsi e scansione con virit lite in modalità provvisoria

[marco_81]

ok. sto eseguendo combofix.

[wizard1993]

Quote:

Originariamente inviato da marco_81

ok. sto eseguendo combofix.

mi raccomando allega il log

[marco_81]

combofix dopo aver riavviato il pc, ora sta continuando il suo lavoro. nel frattempo è uscita una finestra in cui windows chiede come aprire il file MWSOEMON.EXE.vir. cosa devo far? le 3 opzioni : 1. Utilizza il servizio di ricerca sul Web per trovare il programma 2. seleziona il programma da un elenco 3. annulla

[Chill-Out]

Annulla, oltre al Gromozon sul Pc della Zio credo che ci sia altra porcheria

[wizard1993]

Quote:

Originariamente inviato da Chill-Out

Annulla, oltre al Gromozon sul Pc della Zio credo che ci sia altra porcheria

quoto alla grande; virit riesce a dare delle buone legnate a gromozon; non molto per gli altri; consiglio quindi scansione con drweb cure it

[marco_81]

si, mi sorprenderebbe diversamente. temo ce ne sian molte di schifezze sopra.
vi allego il log di combofix:
http://www.fileqube.com/shared/LASnjK79682

adesso vado di panda antirootkit o ...? son nelle vostre mani

[Chill-Out]

Santo cielo che 48, facciamo così fai girare Panda Antirootkit e VirIt come indicato da wizard dopodichè segui per intero la Guida alla disinfezione

Edit: presumo visto i presupposti che ci sia abbastanza da lavorare

[marco_81]

ops, non avevo letto il post che in cui suggerivi dr web cure it. ho aviato malwarebytea anti-malware. annullo e vado di dr.web? o lascio terminare?

avete dato un'occhiata al log di combo? la situazione sarà recuperabile?

[marco_81]

ops di nuovo. mentre scrivo e guardo le olimpiadi, mi sfuggono i vostri post. allora blocco malwarebytes? (ha già trovato 35 elementi infetti) e faccio Panda antirootkit e virit e poi tutta la procedura? o dr. web?

[Gle89]

Cerchiamo di fare chiarezza altrimenti ne l'utente ne noi che diamo una mano impazziremo.

marco_81 esegui queste scansioni allegando i log (dei software che lo rilasciano)

1- Panda Antirootkit
2- VirIt (aggiornalo prima della scansione) allega log
3- segui la guida alla disinfezione passo passo e allega i log richiesti

[Chill-Out]

Quote:

Originariamente inviato da marco_81

ops di nuovo. mentre scrivo e guardo le olimpiadi, mi sfuggono i vostri post. allora blocco malwarebytes? (ha già trovato 35 elementi infetti) e faccio Panda antirootkit e virit e poi tutta la procedura? o dr. web?

MBAM ormai lascialo finire, poi come ha indicato Gle

[marco_81]

ok, grazie intanto

[marco_81]

malwarebytes sta ancora scansionando. per ora ha trovato 70 elementi infetti. quando termina, vi allego il log.
volevo chiedervi se la presenza di cartelle in documents and settings è riconducibile a gromozon come suggeritomi qui: http://www.hwupgrade.it/forum/showthread.php?t=1798589
oppure se avete altre spiegazioni

visto che non mi lascia accedere a svariate cartelle "utente", pensavo di entrare in modalità provissoria e cambiare i diritti per l'accesso. leggendo i file analizzati dal malwarebytes sembrano esserci molti file (foto, mp3, ecc.) inaccessibili da i 3 account di windows. avrei intenzione di recuperare i dati e poi se possibile cancellare un po di cartelle. ma qui mi serve il vostro consiglio. quelle cartelle si possono eliminare? in teoria basterebbe lasciare quella di All users, administrator e dei 3 account. giusto? avevate mai visto una cosa simile?

[marco_81]

ecco il log di malwarebytes.

[wizard1993]

potresti fare un irepilogo su cosa hai usato finora?