[win XP] cartella %SYSTEMDRIVER% sul desktop?

[THEwhiteRabbiT]

Ho già postato per cercare di risolvere una possibile infezione sul computer, ma ora da ieri sul desktop è comparsa una cartella chiamata %systemdrive% che contiene altre cartelle vuote, tra cui alcune che rigurdano i certificati windows. la cartella comunque contiene 0 KByte , qualcuno sa dirmi se ha già sentito parlare di una cosa del genere e se si cosa potrebbe essere?

[murack83pa]

è indubbiamente un virus...al 90%

segui la guida alla disinfezione che già conosci e vediamo cosa trova

posta tutti i log delle scansioni, in modo ordinato, separatamente, in un unico post, utilizzando le 2 opzioni:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download

ciao ciao

[wizard1993]

ancor prima di provare hijackthis e company io prima farei subito prevx csi e gmer

[THEwhiteRabbiT]

Per fare andare il computer ad una velocità quasi normale ho dovuto disattivare parecchi processi dello startup e di altri sofware installati.
Bastano questi log? lo chiedo perchè il problema è sempre lo stesso: kasper e a2squared sono lenti e il computer a un certo punto smette di elaborare e devo resettare ( computer 3 GH , 1 GB ram ) -

l'unico ad aver trovato virus è panda

http://fileup.itadib.com/download.ph...uE5BfILxMY7fJi

[murack83pa]

secondo me se cancellli un po di schifezze dal tuo pc, la situazione migliora....

incominciando da quello che hai nella cartella di emule.....

[THEwhiteRabbiT]

È un pò un' arma a doppio taglio interessarsi a certe cose , comunque penso che dovresti capirmi visto che vai all' università e probabilmente studierai materie legate all' informatica, ti sarà capitato di fare qualche danno cercando di migliorare le tue conoscenze , oppure ho toppato alla grande e studi qualcosa tipo economia o lettere e filosofia ahah !
Comunque dici che quelle possono aver causato questi problemi? perchè stanno li da una vita e soprattutto non li ho aperti negli ultimi 3-4 mesi, e il computer lo uso tutti i giorni, sarebbe dovuto saltare fuori prima questo problema , o no ? quei file li levo , comunque hai trovato nient' altro di strano nei log ?

[murack83pa]

studio giurisprudenza, anche se in questo momento mi sento studente di economia, visto che sto studiando economia pubblica

cmq, veniamo a noi

leggendo il log di hijackthis, è emerso innanzitutto che hai 2 antivirus...xchè? nn lavorano bene, sicuramente nn aiuta la protezione, possono combinare casino fra di loro...disinstalla avg e tieniti avira

in hijackthis fixa questa voce:

Quote:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O23 - Service: Maxtor Service (Maxtor Sync Service) - Unknown owner - C:\Programmi\Maxtor\Sync\SyncServices.exe (file missing)

hai ancora traccie di norton....nella sezione tutorial esiste una guida alla completa rimozione di norton:
http://www.hwupgrade.it/forum/showthread.php?t=1630445

fai una scansione online con bitdefender e vediamo cosa elimina:
http://www.bitdefender.com/scan8/ie.html

posta qui il report

fai le scansioni con gli altri programmi della guida alla disinfezione:

asquared, gli fai fare una scansione in deepscan e poi vediamo se è necessario fare o meno una scansione con virit

posta qui il report della scansione in deep scan di asquared

[Riverside]

Quote:

Originariamente inviato da THEwhiteRabbiT

È un pò un' arma a doppio taglio interessarsi a certe cose ..... comunque penso che dovresti capirmi visto che vai all' università e probabilmente studierai materie legate all' informatica, ti sarà capitato di fare qualche danno cercando di migliorare le tue conoscenze ……

Tesi interessante ma qui non non funziona in questo modo; ovviamente ognuno è libero di fare tutti i danni che vuole, salvo, poi, ritrovarsi in questa Sezione del Forum, per risolverli

Rilancia Hthis e fixa queste voci:

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/tech...a/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/tech...l/SymAData.cab

Quote:

Originariamente inviato da murack83pa

studio giurisprudenza ........

E diventerai, anche, un ottimo legale, socio.

Quote:

leggendo il log di hijackthis, è emerso innanzitutto che hai 2 antivirus...xchè? nn lavorano bene, sicuramente nn aiuta la protezione, possono combinare casino fra di loro...disinstalla avg e tieniti avira

Concordo con la tesi dell'accusa (in questo caso)

Quote:

fai una scansione online con bitdefender

vada per la prima ma non per:

Quote:

poi vediamo se è necessario fare o meno una scansione con virit

@ THEwhiteRabbiT, oltre a quello indicato in precedenza:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

● CCLEANER: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

● clicca sulla icona di Setup, si avvierà il Wizard di installazione
● durante l'installazione, tra le diverse opzioni, verrà, anche, richiesta l'installazione della Toolbar di Yahoo: togli la spunta alla relativa voce in maniera da non installarla
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● nel menu di sinistra portati alla voce Opzioni
● nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate e togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro
● spunta tutte le voci comprese nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

**********

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolto il probema

**********

● TRENDMICRO ROOTKIT BOOSTER: clicca qui per il download
Compatibilità: [b]Windows XP

Devi creare una apposta Cartella sul Desktop ed al suo interno scompatta il file
● lancia il tool e clicca su Scan
● al termine della scansione ti verrà richiesto di salvare il log
● se venissero rilevati rootkit provvedi alla loro eliminazione
● verrà generato un log in una cartella denominata TRMBLog all'interno della cartella che hai precedentemente creato
salva il log che verrà rilasciato

**********

● SUPER ANTISPYWARE: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

Una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazioni cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

[murack83pa]

Quote:

Originariamente inviato da Riverside

E diventerai, anche, un ottimo legale, socio.

grazie socio e buon giorno

[xcdegasp]

fixa anche queste cose marginali:

Codice:

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112260899646

[THEwhiteRabbiT]

Quote:

Originariamente inviato da murack83pa

hai ancora traccie di norton....nella sezione tutorial esiste una guida alla completa rimozione di norton:
http://www.hwupgrade.it/forum/showthread.php?t=1630445

ho scaricato l' utility norton disk doctor per controllare l' integrità del disco, ora le fixo.

non mi fa fixare O23 - Service: Maxtor Service (Maxtor Sync Service) - Unknown owner - C:\Programmi\Maxtor\Sync\SyncServices.exe (file missing)

[murack83pa]

Quote:

Originariamente inviato da THEwhiteRabbiT

ho scaricato l' utility norton disk doctor per controllare l' integrità del disco, ora le fixo.

non mi fa fixare O23 - Service: Maxtor Service (Maxtor Sync Service) - Unknown owner - C:\Programmi\Maxtor\Sync\SyncServices.exe (file missing)

intanto segui la procedura di river, una volta risolta l'infezione, utilizza quella guida x rimuovere completamente norton e vedrai che questa voce nn c sarà piu

[THEwhiteRabbiT]

intanto che faccio le scansioni e tutto il resto mi sapete dire se è normale che il processo snmp.exe arriva a 140MB di memoria utilizzata da solo? non è la prima volta che lo fa.

[murack83pa]

Quote:

Originariamente inviato da THEwhiteRabbiT

intanto che faccio le scansioni e tutto il resto mi sapete dire se è normale che il processo snmp.exe arriva a 140MB di memoria utilizzata da solo? non è la prima volta che lo fa.

attendiamo i log

[THEwhiteRabbiT]

scusate se ci ho messo tanto ma il lavoro mi ha portato via parecchio tempo
ecoo i log mancanti. Di kaspersky posto solo le infezioni trovate perchè il file completo è da 125MB!!. Una precisazione: tutti i file che trovate nel report di Kasper sono contenuti in un archivio .rar che ora ho cancellato, ma che non ho MAI (ripeto MAI) estratto, e neanche ne avevo mai inspezionato il contenuto. Possibile che da li siano usciti fuori virus senza neanche apri l'arhivio?
SAntiSpyware ha trovato solo 24 cookie traccianti che ho eliminato.

[Riverside]

Quote:

Originariamente inviato da THEwhiteRabbiT

Di kaspersky posto solo le infezioni trovate perchè il file completo è da 125MB!!. Una precisazione: tutti i file che trovate nel report di Kasper sono contenuti in un archivio .rar che ora ho cancellato, ma che non ho MAI (ripeto MAI) estratto.......

Beh ......voler giocare al piccolo lamer, visti anche i risultati, non mi sembra sia una buona idea

Quote:

Detected
--------
Status Object
------ ------
detected: virus Virus.Unix.Coco.c
detected: malware VirTool.DOS.Pewrsec
detected: malware Flooder.Linux.Small.i
detected: malware Spoofer.Linux.Kod.c
detected: malware Nuker.Linux.Win.b
detected: malware Flooder.Linux.Nestea.d
detected: virus Virus.BAT.IBBM.Vrs.c
detected: virus Virus.BAT.IBBM.Vrs.c
detected: virus Virus.BAT.IBBM.Vrs.c
detected: virus IRC-Worm.Win32.Lucky
detected: Trojan program Backdoor.Win32.Netbus.170
detected: malware HackTool.Win32.VB.bh
detected: adware not-a-virus:AdWare.Win32.Shopper.r

Allega un log di Hthis per favore quindi:

Scarica HIJACKTHIS: clicca qui per il download

● devi creare una apposta Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip

pulisci, prima di tutto, gli eventuali ADS quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
allega il log che verrà rilasciato

Vorrei, anche, vedere il log di SuperAntispyware (visto che te lo avevo richiesto).

[THEwhiteRabbiT]

Mi dispiace che mi scambi per un lamer , sinceramente li considero poco e niente . Semplicemente mi piacerebbe imparare e cerco tutto le vie possibili.
Comunque il log di Super non l' ho postato non per manie di grandezza ma perchè per sbaglio non l' ho salvato, altrimenti lo inserivo . Posto il log di Hijack this. Per gli ADS Hijack ha trovato file Thumb.db e file con Zone.Identifier , tipo questi


C:\Documents and Settings\oem\Documenti\GetRight'Downloads\Nuova cartellaPERdiskcheckup\spybotsd152.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\oem\Documenti\GetRight'Downloads\Nuova cartellaPERdiskcheckup\taskmanager17.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\oem\Documenti\GetRight'Downloads\pearpc-0.4-win32-jitc\pearpc-3gib.img.bz2 : Zone.Identifier (26 bytes)
C:\Documents and Settings\oem\Documenti\GetRight'Downloads\pearpc-0.4-win32-jitc.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\oem\Documenti\GetRight'Downloads\scanning\cureit.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\oem\Documenti\GetRight'Downloads\scanning\HiJackThis.zip : Zone.Identifier (26 bytes)

sono da eliminare? ti faccio avere anche il log di SuperASpyware, ora lo lancio di nuovo

[deneb87]

quel programma ADSR: RILEVA ED ELIMINARE GLI ADS non i file

quindi puoi spazzare via tutto

[Riverside]

Quote:

Originariamente inviato da THEwhiteRabbiT

Mi dispiace che mi scambi per un lamer , sinceramente li considero poco e niente . Semplicemente mi piacerebbe imparare e cerco tutto le vie possibili.

Quella che hai scelto non è la strada migliore, visto che ti ritrovi qui

Quote:

Comunque il log di Super non l' ho postato non per manie di grandezza ma perchè per sbaglio non l' ho salvato

Rifai la scansione ad allega il log.
Il log di Hthis lo pubblichi dopo aver eseguito la scansione con SuperAntispyware; prima non serve ad un tubo.

[THEwhiteRabbiT]

ecco il log SASpyware e di hijack DOPO la scansione