|
|
|
| actarus777 |
Ciao a tutti,
è da qualche giorno che il mio antivirus AVIRA mi segnala la presenzza di virus
(TR/ATRAPS.Gen2 - TR/Sirefef.W.16896) che vengono spostati in quarantena e
cancellati, per poi ricrearsi nella stessa cartella dieci minuti dopo, in
continuazione.
Cartella:
C:\Windows\Installer\{8b...
il software Avira è aggiornato alla versione 12.0
il pc è Windows 7 Home Premium 64bit.
Mi potete aiutare per cortesia a ripulire il pc?
Scusate se ho tralasciato qualche informazione ma sono nuovo del forum.
Grazie e ciao.
A.
P.S.: ho già visto dei post di altri utenti con problemi simili, ma ho anche
letto che la politica del forum impedisce di inserirsi su altre discussioni
mentre indica di aprire nuove discussioni ed attendere aiuto. |
| menatwork |
ciao e benvenuto actarus777 il metodo piu' rapido per togliere
quell'infezione e' combofix
scaricalo da
qui e mettilo sul desktop
alla richiesta se vuoi installare la recovery console clicca su NO
esegui ComboFix.exe
segui le instruzioni
finita la scansione portati in C:\ e allega nella tua prossima risposta, il
contenuto del file di testo Combofix.txt
come usare
correttamente combofix |
| actarus777 |
Non mi fa allegare un file ".txt" e se lo copio in un messaggio quest'ultimo
risulta troppo lungo. Come posso fare? |
|
|
|
|
| actarus777 |
Ciao menatwork e grazie per la veloce risposta.
Ho eseguito combofix, ma non mi ha richiesto alcunché riguardo la recovery
console.
Verificherò nelle prossime ore se il problema è stato risolto.
Appena mi farai sapere come, ti allegherò il file richiestomi.
Mentre scrivo Avira mi ha trovato un file sospetto nella cartella
"c:\qoobox\quarantine\...", che suppongo sia la cartella dove combofix mette i
file sospetti. Alla fine di tutto dovrò cancellare quella cartella?
Grazie ancora, attendo ulteirori istruzioni e ti farò sapere fra poco se il
problema si ripresenta o no.
A.
P.S.: il fatto che ogni tanto, al riavvio, mi sparisca l'icona del volume può
essere legata a questo virus? Perché al riavvio fatto da combofix l'icona del
colume c'era, ma combofix aveva chiuso tutte le altre icone, così ho riavviato
io e l'icona del volume è sparita (come già successo altre volte). Per risolvere
io cancello un paio di voci del registro, chiudo explorer.exe e lo riavvio, come
segnalato su una pagina web, e la cosa funziona. Ma, questi virus possono
esserne la causa? |
|
|
|
|
| menatwork |
il log caricalo qui => http://www.freefilehosting.net/
dovro' controllarlo per vedere se c'e' ancora qualcosa da eliminare , per le
altre tue domande ti rispondero' dopo, vediamo prima di risolvere il problema |
|
|
|
|
| actarus777 |
Non ho potuto eseguire Antizeroaccess perché funziona solo su SO 32 bit ed io ho
installato W7 64 bit.
Di seguito i log degli altri 2 tools che mi hai detto di usare:
http://www.freefilehosting.net/logs_11
Per TDSSKiller ho 2 log e non so perché. Li ho postati entrambi.
Malwarebytes l'avevo già fatto girare prima che tu me lo dicessi (con la
scansione semplice) e mi ha beccato delle "piattole" che ho cancellato. Quando
ho fatto la scansione completa, come mi hai detto tu, mi ha trovato solo delle
foto con estensione errata, ma non le ho cancellate in quanto è stato un mio
errore (sono file recuperati dopo una errata cancellazione ed ho sbagliato
estensione: sono mjpg e non jpg).
Comunque il problema sono ore che non si ripete più: incrociando le dita
dovremmo averlo eliminato.
Per il momento ti ringrazio di nuovo, aspetto tue nuove e ti saluto.
A. |
|
|
|
|
| menatwork |
Citazione: Malwarebytes l'avevo già fatto girare prima che tu me lo dicessi (con la
scansione semplice) e mi ha beccato delle "piattole" che ho cancellato.
ma come io ti faccio fare la scansione anche con mbam che riconosce il
Rootkit zer0Access e tu me la chiami piattola :D
facciamo un controllo in piu' pe r rimuovere i rimasugli dell'infezione
Scarica OTL e salvalo sul
desktop
Metti la spunta su SCAN ALL USERS.
Sotto output, metti la spunta su minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check e Purity Check.
Clicca su RUN SCAN
Lascia fare la scansione senza interferire.
Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt,
salvali e caricali su Wikisend, |
|
|
|
|
| actarus777 |
Sì sì piattola è troppo bello! :zizi:
Domani pomeriggio faccio la scansione che mi hai detto e posto i risultati. Su
"wikisend"? Cos'è? Non è il solito posto dove li carico?
E, non fa nulla che non sono riuscito a fare la scansione col tool a 32 bit?
A domani.
A. |
|
|
|
|
| menatwork |
Citazione: E, non fa nulla che non sono riuscito a fare la scansione col tool a 32
bit?
giusto, hai ragione, per ora tralascia OTL poi procurati una pennetta
formattata e scarica nella pennetta
questo file
ora segui i passaggi
Inserisci la Pendrive nel pc .
Avvia il pc in Modalità provvisoria. (tasto F8 all'avvio di windows)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
Citazione:
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
Seleziona Prompt Dei Comandi
Nel Prompt dei Comandi scrivi notepad e premi Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata
alla pennetta.
Una volta identificata la lettera della pennetta:
Nel Prompt dei comandi digita E:\frst.exe
dove E è la lettera che è stata assegnata alla tua
Pendrive, per cui nel comando sostituisci E con la
lettera a cui si riferisce la pennetta usb.
Clicca Invio
Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato
FRST.TXT che dovrai allegare su wikisend oppure qui =>
http://www.freefilehosting.net/ |
|
|
|
|
| menatwork |
c'e' ancora lo zero access ed e' la stessa di ieri, potrebbe essere qualcosa
(un servizio) che la riforma (?)
scarica questo file
direttamente nella pennetta con la quale hai fatto la scansione
Avvia nuovamente FRST ma questa volta clicca sul pulsante fix
Il tool creerà un log sulla flashdrive dal nome Fixlog.txt
Allegalo subito poi riesegui alwarebytes aggiornato ed esegui una
scansione completa
posta il log che rilascia |
|
|
|
|
| actarus777 |
Maledetta PIATTOLA!!! :confused:
Rifatto FRST con il file che mi hai mandato ed il risultato è questo:
http://www.freefilehosting.net/fixlog
Ora aggiorno Malwarebytes, stacco Internet e faccio la scansione completa. Poi,
dopo la partita, posterò il risultato :-)
Grazie e a dopo
A. |
|
|
|
|
| menatwork |
| nel frattempo disattiva il ripristino e lascialo disattivato |
|
|
|
|
| actarus777 |
Citazione: Originariamente inviato da menatwork
nel frattempo disattiva il ripristino e lascialo disattivato
Disattiva il ripristino? Cosa intendi? Io non l'ho mai attivato... credo.
Ecco il log di Malwarebytes:
http://www.freefilehosting.net/logs_12
Come per ieri, trovate 5 foto che sono inrealtà dei mjpg (ok ok, li rinomino :-p
).
Attendo nuovi lumi.
A. |
|
|
|
|
| menatwork |
hai problemi a mandarmi in privato una delle foto trovate da malwarebytes? devo
solo controllare una cosa
edit
come non detto
mi controlli questo file su virustotal? controlla anche a che societa'
appartiene
C:\Users\Jo\AppData\Local\housecall.guid.cache |
|
|
|
|
| actarus777 |
Allora, la scansione su virustotal dovrebbe avere dato esito negativo. TRi
riporto la pagina del risultato:
SHA256: 47d378c03cb27683e86ead49cc958421ad8184b4782e19db61b1eb1d9516ad95
File name: housecall.guid.cache
Detection ratio: 0 / 42
Analysis date: 2012-09-20 21:17:53 UTC ( 0 minuti ago )
0
0
More details
Antivirus Result Update
Agnitum - 20120920
AhnLab-V3 - 20120920
AntiVir - 20120920
Antiy-AVL - 20120911
Avast - 20120920
AVG - 20120920
BitDefender - 20120920
ByteHero - 20120918
CAT-QuickHeal - 20120920
ClamAV - 20120920
Commtouch - 20120920
Comodo - 20120920
DrWeb - 20120920
Emsisoft - 20120919
eSafe - 20120920
ESET-NOD32 - 20120920
F-Secure - 20120920
Fortinet - 20120920
GData - 20120920
Ikarus - 20120920
Jiangmin - 20120920
K7AntiVirus - 20120920
Kaspersky - 20120920
Kingsoft - 20120918
McAfee - 20120920
McAfee-GW-Edition - 20120920
Microsoft - 20120920
Norman - 20120920
nProtect - 20120920
Panda - 20120920
PCTools - 20120920
Rising - 20120920
Sophos - 20120920
SUPERAntiSpyware - 20120911
Symantec - 20120920
TheHacker - 20120920
TotalDefense - 20120920
TrendMicro - 20120920
TrendMicro-HouseCall - 20120920
VBA32 - 20120920
VIPRE - 20120920
ViRobot - 20120920
Per quanto riguarda la società a cui appartiene, beh... non ne ho la più pallida
idea!!! Come posso fare per saperlo? Aprendolo con notepad contiene solo qualche
numero.
FAmmi sapere cos'altro posso fare.
Ciao
A. |
|
|
|
|
| menatwork |
no no va bene dovrebbe essere a posto
fai una scansione con OTL
salvalo sul desktop
Metti la spunta su SCAN ALL USERS.
Sotto output, metti la spunta su minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check e Purity Check.
Clicca su RUN SCAN
Lascia fare la scansione senza interferire.
Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt,
salvali e caricali come prima |
|
|
|
|
| actarus777 |
Ah, ti posto anche uno screenshot dei 3 file che Malwarebytes mi aveva trovato e
messo in quarantena la prima volta che lo avevo lanciato, prima che me lo
dicessi tu e dopo la quale non avevo più riscontrato il problema iniziale.
Ora lancio OTL e ti faccio sapere.
A. |
|
|
|
|
| actarus777 |
Ecco i log della scansione OTL:
http://www.freefilehosting.net/otl-log
Per quanto riguarda la disattivazione del ripristino, cosa intendi?
Ora vado a dormire. Domattina mi ricollegherò è vedrò cosa mi consigli per
proseguire la caccia alla piattola maledetta.
Per ora grazie mille.
A. |
|
|
|
|
| menatwork |
per maggior sicurezza controlla questi file, io non ho avuto ancora un
riscontro
vai qui e ne analizzi uno alla volta
C:\Windows\gmt.exe
C:\ProgramData\etgxespc.rpo
poi apri OTL e copia questo testo
Citazione: :OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope =
{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE -
HKU\S-1-5-21-2115617334-1082078909-423208411-1004\..\SearchScopes,DefaultScope =
{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
FF - user.js - File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled
File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not
found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2115617334-1082078909-423208411-1004\..\Toolbar\WebBrowser:
(no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
[2012/09/21 04:53:11 | 000,000,000 | ---D | C] -- C:\FRST
[2012/09/19 21:25:46 | 002,212,440 | ---- | C] (Kaspersky Lab ZAO) --
C:\Users\Jo\Desktop\tdsskiller.exe
[2012/09/19 21:24:59 | 000,187,464 | ---- | C] (Webroot) --
C:\Users\Jo\Desktop\antizeroaccess.exe
[2012/09/19 13:37:52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012/09/19 13:37:43 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2012/09/19 13:36:55 | 004,752,754 | R--- | C] (Swearware) --
C:\Users\Jo\Desktop\ComboFix.exe
[2012/09/19 21:25:06 | 000,187,464 | ---- | M] (Webroot) --
C:\Users\Jo\Desktop\antizeroaccess.exe
[2012/09/19 13:37:09 | 004,752,754 | R--- | M] (Swearware) --
C:\Users\Jo\Desktop\ComboFix.exe
C:\ProgramData\xqkcebzs.dik
:Files
ipconfig /flushdns /c
:commands
[purity]
[Reboot]
clicca su RUN FIX e posta il log che rilascia |
|
|
|
|
| actarus777 |
Buongiorno,
cominciamo con Virustotal.
Il file gmt.exe ha creato il seguente risultato:
SHA256: 3001eaebc4b31a797e4fa5af4a26374465a4a456b3f5741a8828b307445eee76
File name: gmt.exe
Detection ratio: 5 / 43
Analysis date: 2012-09-21 08:26:31 UTC ( 0 minuti ago )
0
0
More details
Antivirus Result Update
Agnitum - 20120920
AhnLab-V3 - 20120920
AntiVir - 20120921
Antiy-AVL - 20120911
Avast - 20120921
AVG - 20120921
BitDefender - 20120921
ByteHero - 20120921
CAT-QuickHeal - 20120921
ClamAV - 20120921
Commtouch - 20120921
Comodo - 20120921
DrWeb - 20120921
Emsisoft - 20120919
eSafe - 20120920
ESET-NOD32 - 20120920
F-Prot - 20120920
F-Secure - 20120921
Fortinet - 20120921
GData - 20120921
Ikarus - 20120921
Jiangmin - 20120921
K7AntiVirus - 20120920
Kaspersky - 20120921
Kingsoft Win32.Malware.Generic.a.(kcloud) 20120918
McAfee - 20120921
McAfee-GW-Edition Heuristic.BehavesLike.Win32.ModifiedUPX.C 20120921
Microsoft - 20120921
Norman - 20120920
nProtect - 20120921
Panda - 20120920
PCTools - 20120921
Rising - 20120921
Sophos - 20120921
SUPERAntiSpyware - 20120911
Symantec - 20120921
TheHacker Posible_Worm32 20120920
TotalDefense - 20120920
TrendMicro PAK_Generic.001 20120921
TrendMicro-HouseCall PAK_Generic.001 20120921
VBA32 - 20120920
VIPRE - 20120921
ViRobot - 20120921
Mentre il file etgxespc.rpo il seguente:
SHA256: 3d3782d8cc74a5ebed1f7e81b9a14ec6058c253fbda3fae9ff836c1418141b37
File name: etgxespc.rpo
Detection ratio: 0 / 43
Analysis date: 2012-09-21 08:30:03 UTC ( 0 minuti ago )
0
0
More details
Antivirus Result Update
Agnitum - 20120920
AhnLab-V3 - 20120920
AntiVir - 20120921
Antiy-AVL - 20120911
Avast - 20120921
AVG - 20120921
BitDefender - 20120921
ByteHero - 20120918
CAT-QuickHeal - 20120921
ClamAV - 20120921
Commtouch - 20120921
Comodo - 20120921
DrWeb - 20120921
Emsisoft - 20120919
eSafe - 20120920
ESET-NOD32 - 20120920
F-Prot - 20120920
F-Secure - 20120921
Fortinet - 20120921
GData - 20120921
Ikarus - 20120921
Jiangmin - 20120921
K7AntiVirus - 20120920
Kaspersky - 20120921
Kingsoft - 20120918
McAfee - 20120921
McAfee-GW-Edition - 20120921
Microsoft - 20120921
Norman - 20120921
nProtect - 20120921
Panda - 20120920
PCTools - 20120921
Rising - 20120921
Sophos - 20120921
SUPERAntiSpyware - 20120911
Symantec - 20120921
TheHacker - 20120920
TotalDefense - 20120920
TrendMicro - 20120921
TrendMicro-HouseCall - 20120921
VBA32 - 20120920
VIPRE - 20120921
ViRobot - 20120921
Altre piattole in gmt.exe???
Ora lancio OTL con le configurazioni che mi hai passato e poi posto i
risultati.
Grazie
A. |
|
|
|
|
| menatwork |
prova a scansionarlo di nuovo e vedi se riesci a recuperare l'MD5 di quel
gmt.exe, 5 su 42 sono pochi ma rimangono sempre delle segnalazioni da non
sottovalutare |
|
|
|
|
| menatwork |
Citazione: Che cos'è l'MD5???
clicca |
|
|
|
|
| actarus777 |
Nuova scansione, nuovi risultati:
SHA256: 3001eaebc4b31a797e4fa5af4a26374465a4a456b3f5741a8828b307445eee76
File name: gmt.exe
Detection ratio: 4 / 27
Analysis date: 2012-09-21 08:58:01 UTC ( 2 minuti ago )
0
0
More details
Antivirus Result Update
Agnitum - 20120920
AntiVir - 20120921
Antiy-AVL - 20120911
AVG - 20120921
ByteHero - 20120918
CAT-QuickHeal - 20120921
ClamAV - 20120921
Commtouch - 20120921
ESET-NOD32 - 20120920
F-Prot - 20120920
Fortinet - 20120921
Ikarus - 20120921
Jiangmin - 20120921
K7AntiVirus - 20120920
Kaspersky - 20120921
McAfee - 20120921
McAfee-GW-Edition Heuristic.BehavesLike.Win32.ModifiedUPX.C 20120921
Norman - 20120921
Panda - 20120920
Sophos - 20120921
SUPERAntiSpyware - 20120911
TheHacker Posible_Worm32 20120920
TotalDefense - 20120920
TrendMicro PAK_Generic.001 20120921
TrendMicro-HouseCall PAK_Generic.001 20120921
VBA32 - 20120920
VIPRE - 20120921
Per recuperare l'MD5 di quel file, che software mi consigli?
Grazie
A. |
|
|
|
|
| menatwork |
Citazione: Per recuperare l'MD5 di quel file, che software mi consigli?
lascialo dopo fai u na scansione con avira per vedere se e' tutto in ordine
hai dimenticato questo => C:\ProgramData\xqkcebzs.dik
disattiva il ripristino
riavvia
riattivalo e crea un nuovo punto
Come disattivare e attivare il ripristino in Windows 7
scarica ccleaner -> http://www.filehippo.com/download_ccleaner/
Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo
Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)
Correzione errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI
- Scarica ATF-Cleaner (Non richiede installazione):
http://www.helpinweb.it/index.php?i...ATF-Cleaner.zip
Spunta la voce:
- Select all
Premi il tasto:
- Empty Select
Apri OTL e clicca su Clean up
fai la scansione con avira , aggiornalo e scegli la scansione completa e
controlla se hai ancora quella segnalazione |
|
|
|
|
| actarus777 |
Citazione: Originariamente inviato da menatwork
hai dimenticato questo => C:\ProgramData\xqkcebzs.dik
Procediamo per punti. Cominciamo con questo:
SHA256: 9fabdb999210bdf8dbb1145d9919eb99b6829cad4b5aac2d6d16de8dd595dcbc
File name: xqkcebzs.dik
Detection ratio: 0 / 43
Analysis date: 2012-09-21 09:16:21 UTC ( 0 minuti ago )
0
0
More details
Antivirus Result Update
Agnitum - 20120920
AhnLab-V3 - 20120921
AntiVir - 20120921
Antiy-AVL - 20120911
Avast - 20120921
AVG - 20120921
BitDefender - 20120921
ByteHero - 20120921
CAT-QuickHeal - 20120921
ClamAV - 20120921
Commtouch - 20120921
Comodo - 20120921
DrWeb - 20120921
Emsisoft - 20120919
eSafe - 20120920
ESET-NOD32 - 20120920
F-Prot - 20120920
F-Secure - 20120921
Fortinet - 20120921
GData - 20120921
Ikarus - 20120921
Jiangmin - 20120921
K7AntiVirus - 20120920
Kaspersky - 20120921
Kingsoft - 20120918
McAfee - 20120921
McAfee-GW-Edition - 20120921
Microsoft - 20120921
Norman - 20120921
nProtect - 20120921
Panda - 20120920
PCTools - 20120921
Rising - 20120921
Sophos - 20120921
SUPERAntiSpyware - 20120911
Symantec - 20120921
TheHacker - 20120920
TotalDefense - 20120920
TrendMicro - 20120921
TrendMicro-HouseCall - 20120921
VBA32 - 20120920
VIPRE - 20120921
ViRobot - 20120921
Ora lancio Avira, poi ti faccio sapere.
A. |
|
|
|
|
| actarus777 |
Fatta scansione conb Avira. Trovate 2 piattole in file scaricati (e mai aperti,
credo) ed eliminati. Comunque ecco il logfile:
http://www.freefilehosting.net/avsc...112319-91c75f3d
Per quanto riguarda il ripristino, mi ricordo che mi ci sono scontrato tempo fa,
mentre ero in lotta con il produttore del mio portatile per una riparazione
(evitate Asus se potete!!!), ma senza riuscire a farlo. Ovvero, se provo a
cercare di disattivare il ripristino, quando premo "OK" o "Applica", ottengo
questa finestra di errore: |
|
|
|
|
| actarus777 |
Fatta scansione conb Avira. Trovate 2 piattole in file scaricati (e mai aperti,
credo) ed eliminati. Comunque ecco il logfile:
http://www.freefilehosting.net/avsc...112319-91c75f3d
Per quanto riguarda il ripristino, mi ricordo che mi ci sono scontrato tempo fa,
mentre ero in lotta con il produttore del mio portatile per una riparazione
(evitate Asus se potete!!!), ma senza riuscire a farlo. Ovvero, se provo a
cercare di disattivare il ripristino, quando premo "OK" o "Applica", ottengo
questa finestra di errore: |
|
|
|
|
| actarus777 |
dopodiché, premendo "OK", esce questa finestra:
QUindi non riesco a toglierlo.
Commenti? Suggerimenti?
Cosa faccio, continuo le scansioni che mi hai suggerito o è meglio aspettare di
riuscire a togliere il ripristino?
A.
P.S.: le icone in basso a sinistra sono uno spettacolo! Ad un riavvio ce ne sono
alcune, ad un altro ce ne sono altre... vanno e vengon a casaccio... |
|
|
|
|
| menatwork |
vediamo di risolvere anche quel problema
ora devi fare due cose: seguendo il percorso
C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E37229662
04FDD8.exe
arriverai al file in grassetto, una volta individuato caricalo sul server col
quale mi invii i vari log e me lo invii in un P.M.( messaggio privato)
poi
scarica
systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
al termine della scansione verranno rilasciati (sempre sul desktop all'interno
della cartella suspectfile) due file. Allega il file con estensione .zip nella
tua prossima risposta.
Inviami il file per primo poi vai con systemscan |
|
|
|
|
| menatwork |
| vai con systemscan, ci sentiamo p iu' tardi :ciauz: |
|
|
|
|
| actarus777 |
Non sono riuscito a selezionare tutti i checkbox: cliccando su alcuni non si
attivano. Ecco come ho fatto partire systemscan nella immagine allegata.
Ma è normale cha dopo un'ora sia ancora allo step 1 di 15? Ho lasciato il PC
inattivo, con solo o scan attivo... bah...
A dopo
A. |
|
|
|
|
| actarus777 |
DOpo un'ora e mezza, ancora a "step 1 of 15", ho notato che la finestra del
programma riportava "non risponde", quindi l'ho terminato e fatto ripartire.
Dopo pochi secondi c'è scritto nuovamente "non risponde": è normale? Non è che
si è bloccato o non funziona?
A. |
|
|
|
|
| SkinBonno |
se systemscan si blocca su qualche punto della scansione, chiudilo, riavvilo,
non spuntare il flag di tale scansione e riprova finchè non arriva al termine.
carica il log, e successivamente prova a eseguire i punti sul quale si bloccava
singolarmente, se arriva a fine della scansione carica i relativi log,
altrimenti aspetta ulteriori istruzioni. |
|
|
|
|
| actarus777 |
OK, scan effettuata. Ho provato a rilanciarlo come amministratore (anche se il
mio account è amministratore del PC) ottenendo sempre il solito blocco. Però il
sistema mi diceva se volevo "reinstallare" il programma con le impostazioni
consigliate, ho accettato e la scansione ha avuto successo! :fighet:
Allego il file zip come richiesto:
http://www.freefilehosting.net/210920121407report
Attendo nuove istruzioni.
A.
P.S.: grazie per l'interessamento, SkinBonno :-D |
|
|
|
|
| menatwork |
brutte notizie c'e' un problema nel kernel vediamo se riusciamo a ripararlo
device: opened successfully
user: MBR read successfully
kernel: error reading MBR
scarica MBRCheck
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) dovresti vedere nella finestra questa
scritta in verde
Windows xp MBR code detected
Se invece ti appare questa scritta: :jam: dobbiamo trovare un'altra strada
Found non-standard or infected MBR |
|
|
|
|
| actarus777 |
Fatta la scansione, dovrebbe essere andato tutto bene. Il risultato lo vedi
nell'immagine allegata.
Ho riavviato ed ho controllato la disattivazione del ripristino: era già
disattivata. Ora speriamo che possa abilitarla in futuro :-D
Prossimo passo?
A. |
|
|
|
|
| menatwork |
se per te non e' un problema rimuovi da pannello di controllo DAEMON-Tools
dopo lo reinstalli pulito
di questi utenti ne vedi qualcuno a te sconosciuto?
ASPNET
ASUS
HomeGroupUser$
Jo
UpdatusUser |
|
|
|
|
| actarus777 |
OK, disinstallo DaemonTools :-)
In effetti non so cosa siano gli utenti "ASPNET", "HomeGroupUser$" e
"UpdatusUser". Potrebbero essere di qualche software che ho installato, ma non
saprei...
Attendo ulteriori lumi.
A. |
|
|
|
|
| menatwork |
Citazione: In effetti non so cosa siano gli utenti "ASPNET", "HomeGroupUser$" e
"UpdatusUser"
se usi solo tu il pc puoi rimuoverli tranquillamente, e' molto importante |
|
|
|
|
| actarus777 |
Buongiorno e buon WE :zizi:
Ho disinstallato DaemonTools.
Nell'immagine allegata ci sono gli utenti che mi risultano sul mio PC. "Jo" è il
mio, "ASUS" credo che sia l'utente amministratore di default dei PC Asus e lo
posso tranquillamente cancellare poiché oltretutto non ha password.
"ASPNET" e "UpdatusUser" potrebbero essere di qualche software che ho
installato, ma li cancello se dici che è importante.
"HomeGroupUser$" non lo vedo neanche. Dovrebbe essere un gruppo, ma io con
questo maledetto W7 ancora non ho imparato dove si beccano i gruppi utente (15
anni come sistemista e IT manager buttati nel cesso...).
Attendo istruzioni. Se mi dici "cancella tutto" io lo faccio. Poi dimmi come
proseguire.
Grazie mille
A. |
|
|
|
|
| actarus777 |
Scusa, non avevo visto la tua risposta...
LAncio OTL con le stesse configurazioni che mi avevi detto l'altra volta?
Grazie
A. |
|
|
|
|
| menatwork |
| clean up Citazione: LAncio OTL con le stesse configurazioni che mi avevi detto
l'altra volta?
no questa volta devi scegliere clean up |
|
|
|
|
| actarus777 |
Io intendevo queste configurazioni:
Citazione: Originariamente inviato da menatwork
Metti la spunta su SCAN ALL USERS.
Sotto output, metti la spunta su minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check e Purity Check.
Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt,
salvali e caricali come prima
Oppure lascio le impostazioni di default?
Grazie
A. |
|
|
|
|
| menatwork |
quelle lasciale di default clean up disinstallera' lo stesso otl ed altri
software |
|
|
|
|
| actarus777 |
OK, pulizia effettuata.
Come ti avevo già accennato, il problema non persiste più :D Grazie, grazie,
grazie!!!
Dopo il riavvio postumo all'ultima pulizia OTL, le icone del volume ecc. sono
ancora tutte lì: sembrerebbe risolto anche quello, ma aspetto di fare qualche
updete di windows per vedere se effettivamente è tutto risolto.
Reinstallerò anche DaemonTools :-)
Cosa faccio, riattivo il ripristino di sistema? E cancello anche tutti i punti
di ripristino precedenti (in modo da non riprendermi la piattola)?
Per il momento ti ringrazio tantissimo! Mi hai risolto un mare di problemi che
temevo non fossero risolvibili e lo hai fatto in un modo veloce e semplicissimo!
Grazie davvero.
A. |
|
|
|
|
| menatwork |
Citazione: Cosa faccio, riattivo il ripristino di sistema? E cancello anche tutti i
punti di ripristino precedenti (in modo da non riprendermi la
piattola)?
disattivando il ripristino elimini tutti i punti e stai piu' tranquillo,
ricorda di riattivarlo dopo aver riavviato
naviga un po' e fammi sapere come va |
|
|
|
|
| actarus777 |
Ciao,
allora, dopo una settimanella di navigazione sembra che tutto vada bene. Mi sono
dimenticato di rimettere i punti di ripristino, ma l'ho fatto ora.
L'unica cosa che ho notato è che stamattina mi è nuovamente sparita l'icone del
volume tra le tray icons, proprio dopo che ieri sera avevo spento facendo un
aggiornamento di windows. In effetti quell'icona mi scompare solo dopo aver
fattoun aggiornamento di windows (non tutte le volte che faccio un aggiornamento
di windows, ma molto spesso). Da cosa può dipendere? Mi sono scocciato di dover
entrare nel registro, cancellare un paio di entries, killare il processo
explorer e poi farlo ripartire, per avere ancoral'icona del volume.
Qualche idea su come risolvere il problema?
Ti ringrazio ancora tantissimo per l'aiuto professionale ed immediato che mi hai
dato. Non so come avrei fatto senza di te. Grazie 1000!!!
A. |
|
|
|
|
| menatwork |
prova da pannello di controllo > suoni e periferiche audio scheda Volume e
spunta la casella "Icona volume sulla barra delle applicazioni'' |
|
|
|
|
| actarus777 |
Scusa, pensavo di averlo già scritto. L'icona non c'è e se vado a cercare di
personalizzare le icone nel tray l'icona del volume c'è, ma è in "grigetto" e
non si può cliccare.
Da pannello di controllo risulta che ci dovrebbe essere. Ed infatti ad alcuni
riavvii c'è, ma poi quando faccio certi aggiornamenti di Windows e riavvio,
sparisce.
Ad altre persone sparisce anche l'icona di rete e quella del livello di carica
della batteria.
Sembra che l'unica soluzione sia di agire sul registro, ma doverlo fare a quasi
tutti i riavvii è una vera noia.
Se hai altre dritte, io aspetto :-D
Grazie
A. |
|
|
|
|
| menatwork |
dopo quali aggiornamenti sparisce :confused:
fai una scansione con otl trovi le indicazioni nella prima pagina di questo
thread |
|
|
|
|
| actarus777 |
L'aggiornamento che mi ha fatto sparire l'icona, fatto ieri sera, è il
seguente:
------
Definition Update for Windows Defender - KB915597 (Definition 1.137.635.0)
Data di installazione: 01:13 29/09/2012
Stato dell'installazione: Completato
Tipo di aggiornamento: Importante
Install this update to revise the definition files used to detect spyware and
other potentially unwanted software. Once you have installed this item, it
cannot be removed.
Ulteriori informazioni:
http://www.microsoft.com/athome/sec...iew.ms
px
Guida e supporto tecnico:
http://go.microsoft.com/fwlink/?LinkId=52661
-----
Mi sembra che sia un semplice aggiornamento di windows defender, ma causa il
problema.
Se necessario farò anche una scansione con OTL.
A. |
|
|
|
|
| menatwork |
se e' un aggiornamento a crearti il problema mi sembra strano
fai la scansione con otl vediamo se esce fuori qualcosa |
|
|
|
|
| actarus777 |
Citazione: Originariamente inviato da menatwork
se e' un aggiornamento a crearti il problema mi sembra strano
Eppure immediatamente prima dello spegnimento con aggiornamento l'icona c'è,
mentre al riavvio non c'è più...
Citazione: Originariamente inviato da menatwork
fai la scansione con otl vediamo se esce fuori qualcosa
Eccoti qui due log freschi freschi di giornata:
http://www.freefilehosting.net/otl-log2
fammi sapere il responso.
grazie
A. |
|
|
|
|
| actarus777 |
| Manatwork, ci sei? |
|
|
|
|
| amvinfe |
se realmente il problema sono le impronte virali di Windows Defender, basta non
effettuare il loro aggiornamento disattivando anche la protezione in tempo reale
dello stesso.
Ragione di più se stai, come vedo, già usando Avira. |
|
|
|
|
| menatwork |
apri otl e copia nello spazio bianco del programma questo
Citazione: :OTL
SRV - (SkypeUpdate) -- C:\Program Files (x86)\Skype\Updater\Updater.exe (Skype
Technologies)
FF - user.js - File not found
O4:64bit: - HKLM..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd
File not found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
[2012/07/30 18:59:45 | 000,078,848 | ---- | C] () -- C:\Windows\gmt.exe
[2012/06/08 19:07:23 | 000,004,925 | ---- | C] () --
C:\ProgramData\xqkcebzs.dik
[2012/06/08 19:07:22 | 000,005,046 | ---- | C] () --
C:\ProgramData\etgxespc.rpo
:Files
ipconfig /flushdns /c
:commands
[purity]
[Reboot]
clicca su RUN FIX
attendi..........
allega il log di fine scansione |
|
|
|
|
| actarus777 |
Citazione: Originariamente inviato da amvinfe
se realmente il problema sono le impronte virali di Windows Defender, basta non
effettuare il loro aggiornamento disattivando anche la protezione in tempo reale
dello stesso.
Ragione di più se stai, come vedo, già usando Avira.
Ciao,
ieri sera altra conferma. Ho effettuato l'aggiornamento mentre lavoravo, tutto
bene, poi ho spento e l'icona del volume c'era. Stamattina ho riacceso e l'icona
non c'era più.
Se mi dici come fare, provo a disattivare Windows defender.
Grazie
A. |
|
|
|
|
| actarus777 |
Citazione: Originariamente inviato da menatwork
apri otl e copia nello spazio bianco del programma questo
clicca su RUN FIX
attendi..........
allega il log di fine scansione
Ciao,
ho fatto quello che mi hai detto, ma non ho ottenuto alcun logfile sul desktop
(dove c'è l'eseguibile e dove di solito ci sono i logfile). Ho provato ad
eseguirlo 2 volte senza alcun logfile.
Che devo fare?
Grazie
A. |
|
|
|
|
| menatwork |
| posta un nuovo log di hjt e dimmi se riscontri altri problemi |
|
|
|
|
| actarus777 |
hjt? questo è nuovo :-)
Cos'è?
A. |
|
|
|
|
| menatwork |
| hjt e' un'abbreviazione di hijackthis |
|
|
|
|
| actarus777 |
Immaginavo. Comunque ho provato a cercare il modo di usare correttamente hjt, ma
non l'ho trovato. Se fossi così gentile da dirmi dove scaricarlo in modo sicuro
e come usarlo te ne sarei molto grato.
A presto
A. |
|
|
|
|
| menatwork |
scaricalo da qui
e mettilo nella directory C dove avrai preparato una cartella con il suo nome.
Lanci l'eseguibile e clicchi su " do a system scan and save a log" alla fine
salvi questo file con estensione *.TXT e lo alleghi ad un post sul forum. |
|
|
|
|
| actarus777 |
Ho dovuto eseguire hijackthis come amministratore (non so che differenza faccia
visto che il mio account è amministratore di macchina, ma tantè) ed il file
ottenuto è allegato. Quando ho eseguito normalmente il logfile era vuoto.
http://www.freefilehosting.net/hijackthis_5
Attendo lumi, come sempre.
Grazie
A. |
|
|
|
|
| actarus777 |
Quanta attesa... mi devo preoccupare??? :-p
A. |
|
|
|
|
| menatwork |
| no non devi ma dammi il tempo di fare un controllo |
|
|
|
|
| menatwork |
a parte queste due vecchie voci da fixare sembra a posto
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program
Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program
Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
naviga e dimmi se il pc ha ancora problemi |
|
|
|
|
| actarus777 |
Allora, se quei due file sono relativi alla barra di ricerca Bing, non mi
interessano (a meno che non vadano ad inficiare le prestazioni del computer, nel
qual caso sarebbe meglio fixarle, ma mi dovresti dire come).
Per il resto ti posso dire che il PC funziona bene, tranne per il fatto che ogni
tanto non ritrovo più (tra le tray icons) le icone del volume, della batteria e
della connessione di rete. Questo immediatamente all'accensione del PC. Per
rivederle devo andare a cancellare nel registro le voci "IconStreams" e
"pastIconStream" presenti in un particolare punto del registro, poi killare il
processo explorer, poi rifarlo partire e le icone riappaiono (anche se ne
spariscono delle altre, ma poco importa). Tutte queste operazioni le ho trovate
spiegate in un sito internet, ma è noioso (oltre che pericoloso) effettuare
spesso (almeno 2-3 volte alla settimana) queste operazioni.
Questo è il motivo per cui volevo sapere se potevi aiutarmi a risolvere il
problema delle icone "fantasma".
Grazie mille
A. |
|
|
|
|
| menatwork |
le due righe e' inutile tenerle come puoi vedere sono (file missing)
apri hjt le spunti poi premi fix checked
per l'altro problema siamo un tantino fuori tema, ti consiglio di aprire una
nuova discussione nella sezione idonea |
|
|
|
|
| actarus777 |
Menatwork,
ti ringrazio ancora moltissimo per avermi aiutato a risolvere quel
fastidiosissimo problema. Non ce l'avrei fatta senza di te.
Al momento tutto sembra funzionare bene, ti farò sapere nei prossima giorni come
procede.
Ho eliminato i 2 file mancanti con hijackthis.
Scriverò un altro post per l'altroproblema.
Per chiunque leggesse questo post, STATE MOLTO ATTENTI QUANDO IL BROWSER VI
CHIEDE DI INSTALLARE UN PLUG-IN. Controllate sulla barra dell'indirizzo che
siate veramente nel sito in cui pensate di essere (a me sembrava di essere su
Youtube, mentre ero su un sito malevolo che sembrava proprio youtube).
Davvero, grazie ancora tantissimo.
A. |
|
|
|
|
| actarus777 |
Menatwork,
confermo che il problema è stato risolto.
Di nuovo, grazie mille per l'aiuto. Sei stato gentilissimo e pazientissimo,
oltre che molto rapido nelle risposte.
Live long and prosper
A. |
|
|
|
|
| menatwork |
when you need back
GOD SAVE THE QUEEN :D |
|
|
|
|
Home
Registrati
Logout