Vista 32 Bit - AV avira

[Clooster]

Ciao
ho un portatile Lenovo con vista a 32 Bit.
Ieri mattina di punto in bianco Avira ha rilevato una serie di Malware a cascata che non riusciva più a gestire, ad un certo punto il sistema è andato in crash si è spento e non riusciva più ad avviarsi, dopo un po' è ripartito con il rpogramma rescue and ricovery della lenovo.
Ho tentato si seguire la guida per infetti ma molte scansioni si fermano e non proseguono.
posto tutti gli eventi rilevati da Avira prima del crash:
http://wikisend.com/download/104148/Eventi.txt

L'avira l'avevo settato come nel 3d dedicato in questo forum.

[Chill-Out]

Quote:

Originariamente inviato da Clooster

, dopo un po' è ripartito con il rpogramma rescue and ricovery della lenovo.

Quindi hai ripristinato il PC alle condizioni di fabbrica.

[Clooster]

Non te lo so dire.
Ho ritrovato vecchi programmi disinstallati, vista non aggiornato al s.pack 2
gli ultimi file personali ci sono, ma quelli di office non me li fa aprire.
Alcuni programmi che avevo installato non ci sono più.

[xcdegasp]

certo perchè quello che hai fatto è di aver ripristinato l'immagine del disco fisso che tu feci ai tempi. ovviamente tutti i progressi fatto dopo quella creazione di backup vengono eprsi se utilizzi quellì'immagine per "ripristinare" il pc.

puoi provare con qualche programma di undelete/recovery files di ripristinatre i documenti che hai perso, non è detto che tu riesca a rirpistinare totalmente un file è possibile che parte del contenuto non sia leggibile. ovviamente i programmi che non hai più dovrai reinstallarli perchè non c'è altra maniera.

ora per evitare che cio riaccada una volta rirpistinati i file che volevi ripristinare fai una bella deframmentazione del disco rigido, poi con uno dei programmi indicati in Software per il partizionamento dei dischi puoi ridimensionare la partizione c:\ per crearne una seconda dove etrrai tutti i tuoi documenti, musica e video così da non perderli più a fronte di un rirpistino del pc.
La partizione c:\ la userai solam,ente per windows e antivurs e firewall, tutto il resto ti consiglio di installarlo nella partizione che creerai

[Clooster]

dei file e dei programmi non mi importa nulla, fortunatamente ho una copia
mi interessa il pc pulito da malware ecc. che secondo me sono ancora insiti.
grazie

[Clooster]

Quote:

Originariamente inviato da xcdegasp

certo perchè quello che hai fatto è di aver ripristinato l'immagine del disco fisso che tu feci ai tempi. ovviamente tutti i progressi fatto dopo quella creazione di backup vengono eprsi se utilizzi quellì'immagine per "ripristinare" il pc.

puoi provare con qualche programma di undelete/recovery files di ripristinatre i documenti che hai perso, non è detto che tu riesca a rirpistinare totalmente un file è possibile che parte del contenuto non sia leggibile. ovviamente i programmi che non hai più dovrai reinstallarli perchè non c'è altra maniera.

ora per evitare che cio riaccada una volta rirpistinati i file che volevi ripristinare fai una bella deframmentazione del disco rigido, poi con uno dei programmi indicati in Software per il partizionamento dei dischi puoi ridimensionare la partizione c:\ per crearne una seconda dove etrrai tutti i tuoi documenti, musica e video così da non perderli più a fronte di un rirpistino del pc.
La partizione c:\ la userai solam,ente per windows e antivurs e firewall, tutto il resto ti consiglio di installarlo nella partizione che creerai

dei file e dei programmi non mi importa nulla, fortunatamente ho una copia
mi interessa il pc pulito da malware ecc. che secondo me sono ancora insiti.
grazie

[xcdegasp]

con quella procedura tu hai riprotato il pc al giorno in cui tu hai creato quel backup quindi se quel giorno il pc era pulito ora il pc è nuovamente pulito ammesso che tu non abbia riusato file che sono rimasti infetti esempio file salvati in una chiavetta usb reduce dell'infezione

[Clooster]

sto procedendo con la guida alla disinfezione, malwarebytes non ha riscontrato nulla.
Emsisoft ad un certo punto si è bloccato e la finestra di dialogo dice: che ha riscontrato un problema di riavviare il pc e rifare la scansione se il problema persiste contattare il loro centro.
Come procedo??

[Clooster]

dopo una serie di aggiornamenti sono riuscito ad effettuare una serie di scansioni come da guida per infetti, solo gmer non è stata completata , non so per quale motivo mi dava errore..ecco i vari log:
http://wikisend.com/download/477286/mbam-log-2010-05-21 (11-50-17).txt
http://wikisend.com/download/527874/...521-122245.txt
http://wikisend.com/download/454056/...00522-1003.xml
http://wikisend.com/download/515468/hijackthis.log
http://wikisend.com/download/450814/prevx.log

per quanto riguarda punto 4) ho usato kaspersky tool removal e non mi ha segnalato nulla, stessa cosa punto 5) Dr.web cure it nulla di segnalato
Grazie

[Clooster]

http://wikisend.com/download/484728/...521-122245.txt

ecco quello che mancava

[Clooster]

niente di anomalo??

[Clooster]

sono riuscito a fare anche la scansione con Gmer:
http://wikisend.com/download/442620/gmer.txt

[xcdegasp]

in a-squared sono comparsi magicamente:

Codice:

c:\swtools\drivers\fpra\opsetup.exe 	rilevati: Virus.Win32.Trojan!IK
C:\Users\ROCCO\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-2167a661/vmain.class 	rilevati: Trojan.Java.Downloader.Q!IK
c:\users\rocco\documents\desktop\netsight_setup_5.1.2.3_mp_production_mid53947276061_p.exe 	rilevati: Generic.Win32.Malware.NielsenNetRatings!IK

da dove provengono?


fixa:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O23 - Service: AVG WatchDog (avg9wd) - Unknown owner - C:\Program Files\AVG\AVG9\avgwdsvc.exe (file missing)
O23 - Service: AVG Firewall (avgfws9) - Unknown owner - C:\Program Files\AVG\AVG9\avgfws9.exe (file missing)
O23 - Service: AVG9IDSAgent (AVGIDSAgent) - Unknown owner - C:\Program Files\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituirlo con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

ma come è che hai eseguito la disinstallazione di AVG?

Codice:

avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\tdx \Device\Udp                                                                                                                                                                                     avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice  \Driver\tdx \Device\RawIp                                                                                                                                                                                   avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

ci sono troppi residui in widnows di avg quindi non hai eseguito la procedura di disinstallazione corretta

[Clooster]

ciao
i virs rilevati da a-squared non so da dove provengono;
ho fixato quei codici con hijackthis, ma mi sa che gli ultmi 4 non li ha cancellati, perche' rifaccio la scansione e me li legge di nuovo;
che faccio disinstallo Adobe e installo foxit??;
AVG non me lo faceva disinstallare con il tool per rimovuerlo, così ho usato REVO uninstaller pro.
come procedo??

Grazie

[xcdegasp]

occhio a revo che non lavora bene infatti ha lasciatoi in giro tanta monnezza..

per fare le cose fatte bene c'è un solo sistema aprire regedit (start -> esegui..: regedit -> invio) e cercare in tutte e 5 le directory (le 5 cartelle principali della schermata di sinistra) la parola AVG e rimuovere tutti i risultati.
magari prima di farlo fai il salvataggio delle 5 cartelle, occupa pochissimo spazio.


ora fai una scansione completa con Avira e pubblica il report, se puoi anche pubblicare i report di kaspersky tool e dr.web te ne sono grato, ovviamente questi due devi filtrarli primna altrimenti sono enormi.

[Clooster]

http://wikisend.com/download/887790/AVSCAN.txt
ecco il report di Avira, per quelli di kaspersky tool e dr.web devo rifare la scansione???

[xcdegasp]

se non li avevi salvati sì dovrai rifarle..

[Clooster]

ecco il log di cureit
http://wikisend.com/download/438600/cureit filtrato.txt

[xcdegasp]

manca quello di kaspersky tool

[Clooster]

rifaccio la scansione e lo posto