Antivirus 2008 pro

[titocana]

Sono stato infettato da questo finto antispayware, che tra l'altro crea non pochi fastidi...
Dopo aver tentato la rimozione con svariati programmi (HijackThis, SpyHunter, SpywareBlaster, Spybot, Rouge remover, Xsoftspyse) ho cercato di rimuovere quel che restava manualmente.

Ora mi rimangono diciamo 3 problemini:

1) nelle risorse del computer non compare c: e non so' come farlo riapparire

2) se uso la ricerca di windows non compare c: e se provo a metterla manualmente mi compare la scritta "unità disco rigido c: non è una cartella valida"

3)sono stati cancellati tutti i riferimenti exe o link che passano per c: che avevo sul desktop (suppongo che quelli siano persi definitivamente)


Chi puo' darmi una mano?

[wjmat]

ciao, prova a caricarci il log di hijackthis, se riesci anche quelli degli altri tool utilizzati

[titocana]

Quote:

Originariamente inviato da wjmat

ciao, prova a caricarci il log di hijackthis, se riesci anche quelli degli altri tool utilizzati

Logfile of HijackThis v1.99.1
Scan saved at 19:07, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
log rimosso, leggere le Regole di Sezione


L'ho fatto analizzare e mi dice che è tutto ok

[titocana]

Gli altri programmi non so se danno file di log

[wjmat]

HJT non è aggiornato, il log non è completo e non si incolla così (più sotto ci solo le modalità di pubblicazione dei log) ... e comunque non rivela nulla...

Prima di fare gli interventi delicati vogliamo essere certi che tu sia pulito....

Leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi
2. log di F-Secure OnLine
3. log di Dr.Web CureIT scaricato ed aggiornato ad oggi
4. log di ESET SysInspector
5. log di HiJackThis
6. log di Gmer
7. log di PrevxCSI

Ciao

[xcdegasp]

log rimosso, leggere le Regole di Sezione

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti

è una delle cose più facili da rimuovere ma pubblica tutti i log anche se fossero vuoti (e ne dubito)

i problemi al pc si verificano quando con quel Antivirus2008 esegui la pulizia dei fantomatici oggetti infetti, lì poi sono c@zzi amari.. ma fino a che non fai cio che lui vorrebbe farti fare non perdi nessun dato

[riccese]

io l'ho tolto seguendo la guida di rimozione a vundo!!!

ero su win200 professional

[titocana]

Ragazzi sto seguendo alla lettera le indicazioni di wjmat, ci vuole un pò di tempo par fare tutte quelle cose, e quindi mi stò dando da fare
Vi ringrazio comunque per l'interessamento e per i consigli
Scusate per i log, i prossimi li postero' nel modo corretto... ritono appena finisco le mille scansioni

[xcdegasp]

arriva fino a dr.web e poi salta a prevxcsi e pubblica tutti questi log epoi ti diciamo come proseguire

[titocana]

Ho scaricato Dr.Web CureIT, lo mando in esecuzione, poi scelgo aggiorna e mi fà scaricare un'altro file con lo stesso nome, scarico anche questo, lo mando in esecuzione, faccio scansione e mi esce fuori questo errore:

http://www.fileqube.com/shared/efRfM53203

Pero' il programma stranamente non si chiude e mi visualizza quest'altra schermata

Non è un po' strano?

[Chill-Out]

Quote:

Originariamente inviato da titocana

Ho scaricato Dr.Web CureIT, lo mando in esecuzione, poi scelgo aggiorna e mi fà scaricare un'altro file con lo stesso nome, scarico anche questo, lo mando in esecuzione, faccio scansione e mi esce fuori questo errore:

http://www.fileqube.com/shared/efRfM53203

Pero' il programma stranamente non si chiude e mi visualizza quest'altra schermata

Non è un po' strano?

Non cliccare su Aggiorna e manda in esecuzione il programma al termine della scansione veloce clicca su Completa scasione ed avvia cliccando sul triangolino verde

[titocana]

Quote:

Originariamente inviato da Chill-Out

Non cliccare su Aggiorna e manda in esecuzione il programma al termine della scansione veloce clicca su Completa scasione ed avvia cliccando sul triangolino verde

Inutile, mi fa la stessa cosa anche se non aggiorno.

[titocana]

log di A-squared scansione deep aggiornato ad oggi:
a2scan_080704-113123.txt

log di PrevxCSI:
http://www.fileqube.com/shared/RNptDEmdS53306
(La possibilità di salvare il log dalle opzioni non mi risulta)



log di F-Secure OnLine:
allegato

[titocana]

log di HiJackThis (stavolta è quello aggiornato) sono 2 log perchè mi segnalava una cosa da eliminare e l'ho eliminata:

[titocana]

secondo log

[xcdegasp]

Fixa:

Codice:

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

la voce O6 ti impediva di eseguire modifiche al sistema...


strano però che hai preso Antivirus2008 con il kav installato... ho dei dubbi quindi sul suo corretto funzionamento e opterei per passare ad avira antivir free

[titocana]

Quote:

Originariamente inviato da xcdegasp

Fixa:

Codice:

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

la voce O6 ti impediva di eseguire modifiche al sistema...


strano però che hai preso Antivirus2008 con il kav installato... ho dei dubbi quindi sul suo corretto funzionamento e opterei per passare ad avira antivir free

Andando con ordine:
1)Sto' effettuando la scansione con gmer, appena finito posto il log

2)Per quanto riguarda la voce O6 cosa significa che mi ipedisce di fare modifiche al sistema?

3)In realtà il kav non era attivo quando mi sono beccato l' Antivirus 2008 pro, infatti già mi sono informato e da piu' di un mese il kav riconosce questo finto antispyware...

[titocana]

log di Gmer:
gmer.txt

[xcdegasp]

ti applicava delle restrizioni di gruppo perevitare che tu manualmente manomettessi Antivirus2008...

il kav però doveva pulirti da tutto e invece sei pieno come un uovo è per questo che viene meno lamia fiducia sul tuo kav..
almeno per fare la prova pulizia,poi lorimetti se proprio non ne puoi fare a meno

[titocana]

Come ulteriore tentativo ho seguito il consiglio di riccese, ed ho seguito la guida di rimozione a vundo, in particolare il ComboFix mi è sembrato quello che ha individuato i punti critici e li ha eliminati. Non posto il log originale perchè ho utilizzato il programma 2 volte, e la seconda non ha trovato nulla perchè aveva già pulito tutto con la prima scansione, ma purtroppo il programma salva automaticamente su se stesso il file di log, e quindi mi si è sovrascritto...
comunque posto questo log di quarantena, e in particolare le cose da eliminare sono le dll e i file ini.

Fatto stà che i tre problemi elencati nel primo post sono spariti
sono tornati perfino i collegamenti sul desktop

Quote:

Originariamente inviato da xcdegasp

ti applicava delle restrizioni di gruppo perevitare che tu manualmente manomettessi Antivirus2008...

infatti nell'ultimo log non risulta piu' nessuna voce allo O6

Quote:

Originariamente inviato da xcdegasp

il kav però doveva pulirti da tutto e invece sei pieno come un uovo è per questo che viene meno lamia fiducia sul tuo kav..

1) Perchè dici che sono pieno come un uovo?

2) Come potrei fare per testare se il kav funziona a dovere?