[win XP] Aiuto sono infetto, mi aiutate?

[Chill-Out]

Partiamo da questo presupposto, riscontri problemi?

[redegaet]

Quote:

Originariamente inviato da Chill-Out

Partiamo da questo presupposto, riscontri problemi?

Così a freddo non è facile risponderti. E' una settimana che non sto usando il pc per le cose "normali", ma solo per la disinfezione. La cartella SYSTEM che mi caricava all'avvio non me la carica più, così come avast non mi rileva più:
WIN32: Dialer-1222[Trj]
Però senza usarlo un attimo non potrei mettere la mano sul fuoco che non ho problemi.
Pe quello che mi ha rilevato kaspersky, cosa mi dite?:
Trojan.Win32.Inject.sb
nel file: C:\windows\logon.dll

Sono disponibilissimo a fare qualunque cosa pur di sistemare bene il pc.
Grazie ancora.
Alex

[Chill-Out]

Rifai girare Combo ed allega il log, poi scansione completa del sistema con Antivir

[lancetta]

ho visto strane voci solo nei vecchi log ecco perchè ti chiedevo il nuovo...tranquillo che se ce qualcosa sa a magnamo

[redegaet]

Quote:

Originariamente inviato da lancetta

ho visto strane voci solo nei vecchi log ecco perchè ti chiedevo il nuovo...tranquillo che se ce qualcosa sa a magnamo

Grazie per la disponibilità e pazienza. Ho sempre il problema che al riavvio di Combofix mi parte Asquared-Guard, non riesco a non farlo caricare nella tray...
Il log è questo, non so se va bene:
Combofix

Alex

edit: serve anche la startup list da hijackthis?
startuplist

[lancetta]

in avenger:

Quote:

Files to delete:
C:\WINDOWS\system32\drivers\onocrqtanrir.sys
C:\WINDOWS\{00000003-00000000-0000000A-00001102-00000004-00511102}.BAK
C:\WINDOWS\logon.dll

poi fai analizzare questi su virus total posta qui i link del risultato

Quote:

C:\WINDOWS\system32\1D5CB9EEF1.sys
C:\WINDOWS\0
C:\WINDOWS\system32\0
C:\WINDOWS\system32\drivers\fidbox.dat
C:\WINDOWS\system32\drivers\fidbox.idx

alcuni dovrebbero essere del kasper stesso...solo che non ricordo il nome preciso

facci sapere

[redegaet]

Questo è il report di avenger:
avenger
Questa è l'analisi di C:\WINDOWS\0:
C:\WINDOWS\0

Invece C:\WINDOWS\0 virustotal non me lo analizza, mi dice: "0 bytes size received / Se ha recibido un archivo vacio"
E gli altri tre non ci sono nelle cartelle...

Vado a dormire che è da lunedì che mi alzo alle 6 per andare in università e sto collassando.
Ho tolto Avast, che come dite voi fa pasare anche gli orsi; e ho installato avira antivir (l'ho configurato come nel primo post della guida che mi avete gentilmente linkato), ma navigando dentro le cartelle del pc mi appare una finestra di avira che mi dice:
C:\WINDOWS\NirCmd.exe
Contains detection pattern of the application APPL/NirCmd.3
Io clicco su ignore, ma cosa devo fare?

Grazie mille, Alex

edit: ecco il report della scansione di antivir:
antivir

[murack83pa]

Quote:

Originariamente inviato da redegaet

Questo è il report di avenger:
avenger
Questa è l'analisi di C:\WINDOWS\0:
C:\WINDOWS\0

Invece C:\WINDOWS\0 virustotal non me lo analizza, mi dice: "0 bytes size received / Se ha recibido un archivo vacio"
E gli altri tre non ci sono nelle cartelle...

Vado a dormire che è da lunedì che mi alzo alle 6 per andare in università e sto collassando.
Ho tolto Avast, che come dite voi fa pasare anche gli orsi; e ho installato avira antivir (l'ho configurato come nel primo post della guida che mi avete gentilmente linkato), ma navigando dentro le cartelle del pc mi appare una finestra di avira che mi dice:
C:\WINDOWS\NirCmd.exe
Contains detection pattern of the application APPL/NirCmd.3
Io clicco su ignore, ma cosa devo fare?

Grazie mille, Alex

edit: ecco il report della scansione di antivir:
antivir

questo è già il primo effetto positivo di avira...

sei ancora infetto, quel file credo sia un rootkit, aspetta le istruzioni di lancetta o chill

ciao

[Chill-Out]

NirSoft c:\windows\nircmd.exe nulla di preoccupante in ogni caso
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] A backup was created as '4809f819.qua' ( QUARANTINE )
[INFO] The file was deleted!

Alex per fortuna che ti avevamo detto di disabilitare il system restore

[lancetta]

Buongiorno a tutti!
Avira, mentre scansioni con i tool tienilo disabilitato, a maggior ragione se settato come da guida altrimenti te li blocca tutti...
Quello è un processo di combofix stesso (o meglio che utilizza combo ) tranquilli....
per gli altri file da analizzare che non trovi, abilita file e cartelle nascosti:
apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
fai sapere come và il pc.....e se ha trovato qualcosa avira

[redegaet]

Quote:

Originariamente inviato da Chill-Out

NirSoft c:\windows\nircmd.exe nulla di preoccupante in ogni caso
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] A backup was created as '4809f819.qua' ( QUARANTINE )
[INFO] The file was deleted!

Alex per fortuna che ti avevamo detto di disabilitare il system restore

Un po' di cazzate le faccio io, non sono un esperto, però l'informatica ci mette del suo a darmi una mano. L'ho disabilitato e si è riabilitato da solo!! Queste sono le cose che amo del pc. E siccome sapevo che mi avreste accusato, ho postato lo screenshot a pagina 1 in tempi non sospetti:
http://img185.imageshack.us/my.php?i...ristinoip1.jpg
Ciao, Alex

[redegaet]

Quote:

Originariamente inviato da lancetta

Buongiorno a tutti!
Avira, mentre scansioni con i tool tienilo disabilitato, a maggior ragione se settato come da guida altrimenti te li blocca tutti...
Quello è un processo di combofix stesso (o meglio che utilizza combo ) tranquilli....
per gli altri file da analizzare che non trovi, abilita file e cartelle nascosti:
apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica
fai sapere come và il pc.....e se ha trovato qualcosa avira

Grazie ancora per l'interessamento. Ho fatto come dici, ma mi spiace quei file non li trovo ancora (i file nascosti li avevo già selezionati).
Ma dalla scansione di avira che ho postato cosa risulta? Sono ancora infetto? Io intanto vedo di usare il pc per vedere se succedono cose strane.
Ciao, Alex

[murack83pa]

Quote:

Originariamente inviato da redegaet

Grazie ancora per l'interessamento. Ho fatto come dici, ma mi spiace quei file non li trovo ancora (i file nascosti li avevo già selezionati).
Ma dalla scansione di avira che ho postato cosa risulta? Sono ancora infetto? Io intanto vedo di usare il pc per vedere se succedono cose strane.
Ciao, Alex

disabilita il ripristino e rifai una scansione con avira.....e posta qui il report...

[redegaet]

Quote:

Originariamente inviato da murack83pa

disabilita il ripristino e rifai una scansione con avira.....e posta qui il report...

Eccolo:
avira

Sto quasi trattenendo il respiro nel postarlo.
Grazie ancora una volta per il tempo che mi dedicate.
Alex

[murack83pa]

Quote:

Originariamente inviato da redegaet

Eccolo:
avira

Sto quasi trattenendo il respiro nel postarlo.
Grazie ancora una volta per il tempo che mi dedicate.
Alex

dal log di avira sei pulito come il culetto di un bambino...
vediamo cosa dicono gli altri....

[Chill-Out]

Quote:

Originariamente inviato da redegaet

Un po' di cazzate le faccio io, non sono un esperto, però l'informatica ci mette del suo a darmi una mano. L'ho disabilitato e si è riabilitato da solo!! Queste sono le cose che amo del pc. E siccome sapevo che mi avreste accusato, ho postato lo screenshot a pagina 1 in tempi non sospetti:
http://img185.imageshack.us/my.php?i...ristinoip1.jpg
Ciao, Alex

ti sei creato addirittura l'alibi

Quote:

Originariamente inviato da redegaet

Eccolo:
avira

Sto quasi trattenendo il respiro nel postarlo.
Grazie ancora una volta per il tempo che mi dedicate.
Alex

sei pulito

[redegaet]

Quote:

Originariamente inviato da redegaet

Ccleaner (ha l'utility di disinstallazione)
Spyware doctor setup (?)
Hijackthis (?)
Virus removal tool setup (?)
Live Clean messenger (ha l'utility)
ADS revealer (?)
A-squared free setup (ha l'utility)
Dr Web CureIt(?)
gmer(?)
SUPERAntiSpyware (?)
ComboFix (?)
PREVXCSIFREE (?)
AntiRootkit(?)
Avenger (?)

Alex

Ragazzi non sapete quanto vi sono grato, davvero.
Domani lo provo un po' con calma e vedo se è tutto ok.
Piuttosto mi date una risposta per i programmi che ho quotato? Li posso eliminare? Quelli che non hanno il tool di disinstallazione come li tolgo?
Poi avete qualche programma e/o consiglio per ridurre i processi all'avvio di windows? Se vi posto uno screenshot del taskmanager riuscite a darmi un consiglio?
Grazie ancora.
Alex

[murack83pa]

ccleaner è un programma molto utile x eliminare periodicamente file inutili dal tuo pc e x pulire il registro di sistema

spyware doctor è molto pesante, ti consiglio di disinstallarlo

hijakcthis è un programma che devi lasciare, xchè è molto utile x capire eventuali problemi del tuo pc

tu hai parlato di "virus removal tool"...ti riferisci a KASPERSKY VIRUS REMOVAL TOOL? se è si, questa è la corretta procedura di rimozione:
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.

live clean messanger lo puoi anche disinstallare

ads revealer anche

asquared è un ottimo programma antispyware con cui fare scansioni a comando....ti consiglio di tenerlo: GUIDA DEL FORUM

DRWeb CureIt lo puoi anche rimuovere

gmer è un programma antirootkit, lo puoi anche rimuovere, ma anche lasciarlo....xò nn mi ricordo se c'è una procedura particola x la rimozione (credo che c sia un programma unistall nella cartella di windows....ma nn fare nulla, io nn ne sono certo)

superantispyware è un ottimo programma, piu affidabile di asquared...ti consiglio di tenerlo ( 3D UFFICIALE)

COMBOFIX lo puoi rimuovere

prevx csi lo puoi anche rimuovere, considerando che c'è la possibilita d fare un controllo online dal sito di prevx

avenger lo puoi rimuovere

nn capisco qual è l'altro programma antirootkit....

[redegaet]

Ok ho fatto tutto. Ho un'ultima domanda da porvi, per non ritrovarmi a rompere di nuovo a breve per colpa di questi maleddettissimi virus.
Mia sorella scambia moltissimi files con la chiavetta usb, per quello che fa all'università.
Credo sia superfluo dirvi l'esposizione ai virus che ciò comporta. Avete dei consigli? Io in questo momento ho la chiavetta e son convinto che ci siano su dei virus, come mi devo comportare? Se la infilo e la faccio analizzare da antivir rischio di infettarmi lo stesso? Rischio che partano degli eseguibili prima che la scansioni con antivir?
Mentre per i files scambiati con msn? Scansione con antivir prima di eseguirli?
Vorrei ringraziarvi per l'aiuto che mi avete dato, anche ad orari impossibili, siete stati davvero gentili.
Alex

[redegaet]

Ciao, la penna usb non l'ho ancora utilizzata, la sto tenendo come se contenesse uranio impoverito.
Mi avevate detto di segnalare se c'era qualche cosa anomala, in effetti suando un po' il pc ho notato che aprendo windows mediaplayer mi dice che c'è un errore negli script di pagina, alla linea 677. Ho provato a disabilitare il controllo degli script sulle opzioni di IE6 e a reinstallare mediaplayer, ma non ho risolto.
Se avete ancora qualche prezioso consiglio è ben accetto. Grazie mille.
Alex

P.S. Lo so mediaplayer fa schifo e anche IE6, ma dovrei uccidere mia sorella per passare a firefox.