Si... Immaginavo che Combofix faccesse il suo "sporco" lavoro...
per questo ti ho consigliato di usarlo...
Io spesso sono volutamente ridondante nei miei consigli...
e questo perchè... se da un lato c'è l'impossibilità, per
una questione principalmente di tempo, ad esser dettagliati...
dall'altra mi rendo conto della difficoltà di seguire alla
lettera (sperando non accadano intoppi o fraintendimenti)
ciò che uno consiglia... Tra tutto questo, infine, c'è da
dire che i contagi possono differire da pc a pc... (per
varie ragioni...) Quindi... quello che con un passaggio
non riesco a togliere... spero vada via con un altro...
Puoi comunque seguire anche il mio secondo tentativo di
eliminazione... (non troverà alcune cose... va eliminerà
certamente altre cose...)
Comunque ci sono ancora altre cose da fare... non tanto..
ma alcune cose vanno fatte... e poi dobbiamo pulire la
penna e farlo senza pericolo.... (se la tua penna usb
è infetta... ti basta inserirla per farla andare in
autoplay... e contagiarti ancora...)
Mi interesserebbe vedere il log di combofix... (lo trovi in C:\ ) ed inoltre sapere
cosa ha eliminato avira... e dove lo ha trovato... (oltre a risolvere i nostri
problemi... è utile lasciare riferimenti anche agli altri...)
Riguardo la cartella QooBox la puoi eliminare... di sicuro non ne sentirai la
mancanza (infatti contiene i file cancellati da Combofix).
Poi... dobbiamo ripristinare i valori del registro... e questo lo fai con quello
che ti ho indicato nel post precedente:
Segue del testo riportato...
vai a questa pagina: http://mihd.net/dl
e clicca su: Request ticket (devi avere gli script attivati.. altrimenti non te lo da...)
e poi su Download per scaricare il file unhide.reg
Scaricalo e tienilo in vista sul desktop....
fai doppio clic sul file che hai appena scaricato... Fine testo riportato...
Poi... abbiamo da eliminare la chiave che avviava il programma in automatico...
Segue del testo riportato...
Fai partire ... hijackthis e fixa la seguente voce:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
(metti la spunta... e cliccai su Fix...)Fine testo riportato...
Poi abbiamo da eliminare il file autorun.inf da ogni disco/partizione che è intallata
sul tuo pc... (io avevo predisposto quel file per leggere tutti i file in root...
e il contenuto di autorun.inf... comunque non importa... facciamo manualmente)
Imposta la visualizzazione dei file nascosti e di sistema... vai in risorse del computer
clicca con il
tasto destro del mouse su ogni disco o partizione e scegli dal menù
contestuale la voce "
Esplora"... una volta entrato sul disco/partizione...
elimina il file autorun.inf (il file in questione va cercato ed eliminato per
ogni disco/partizione... ed eliminato...)
Poi ... abbiamo la cartella temp da pulire... io la cancellerei tutta...
e per farlo.. ti trovi... usa avenger come ti ho indicato nel post precedente...
Segue del testo riportato...
Adesso scarica avenger........
Adesso estrai il file di avenger dalla cartella
compressa, fallo partire e copia il seguente script:
Segue del testo riportato...
Files to delete:
C:\windows\system32\ckvo.exe
C:\windows\system32\ckvo0.dll
C:\windows\system32\ckvo1.dll
C:\windows\system32\ckvo2.dll
C:\windows\system32\klif.sys
C:\autorun.inf
Folders to delete:
%temp%
Fine testo riportato...
... incolla nella casella bianca... della finestra del programma...
e clicca su execute...
Il pc verrà riavviato... ed i file verranno cancellati e messi in un archivio protetto
da password... (infected)Fine testo riportato...
Come vedi ci son voci in più ormai inutili nello script... ma sto copiando,
dal post precedente, ed incollando... e poi... melius abundare quam deficere...
(non ci far caso... sono un'ignorante che si diverte...
)
Poi... scarica
Ccleaner e fagli dare una pulita ai temporanei... impostando
nelle impostazioni... di eliminare anche i file non più vecchi di 48 ore...
Inoltre in avanzate... metti di eliminare i soli file di prefetch...
Dopo aver eliminato i temporanei... risolvi anche i problemi del registro...
Adesso vai in C:\windows\tasks
In questa cartella, ammeno che non hai impostato dei job (delle operazioni pianificate),
non dovresti trovar nulla... tranne la seguente voce:
Aggiungi operazione pianificata
Se ci sono altre voci che tu non conosci... oltre la suddetta...
è convenitene eliminarle...
Adesso passiamo alla pulizia delle chiavi e degli archivi esterni removibili...
Per impostazioni di default... xp (come anche altri sistemi) ha attivato l'autoplay...
in pratica... appena si collega un'unità di massa esterna... il sistema va sopra
l'unità... e cerca di avviare qualcosa...
Quindi... al di la di premere shift nell'inserimento... io ti consiglio di disattivare
(anche solo momentaneamente) l'autoplay... in modo da lavorare più tranquilli...
Il tuo sistema è XP Home... e non ha gpedit.msc (presente su XP professional...)
quindi non possiamo usare questo strumento..., ma possiamo utilizzare 2 modalità
anche esse efficaci...
La prima... consiste nel modificare una chiave di registro... e la seconda consiste
nello scaricare un programma della stessa microsoft... che ci permette di fare
la stessa cosa... ed in sicurezza... (editare il registro di windows.. non è esente
da rischi...)
Quindi... vediamo la seconda...
Vai alla seguente pagina:
http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspxe scarica
Tweak UI (i link li trovi sulla destra...)
Lo installi ... lo fai partire... e scendendo nella sezione di sinistra arrivi a
AutoPlay... ed una volta la... vai in Types...
In Types, nella parte destra..., togli le 2 spunta per eliminare l'autoplay
da tutti i drives del pc... (basterebbe anche solo la seconda... nel tuo caso)
come indicato nella seguente immagine:
e poi clicca su Apply...
Adesso hai disattivato l'autoplay...
Imposta la visione dei files nascosti e di sistema... ed inserici i tuoi drives
esterni nella presa usb o quella firewire se hai drives del genre...
(uno alla volta.. macchinette fotografiche... lettori mp3... memory card... HDD esterni
ecc. ecc.) poi..., dopo l'inserimento, vai in Esplora risorse... e
SENZA FARE DOPPIO
CLICK sulla driver inserito..., ma facendo
clic con il tasto destro... scegli prima
la scansione con avira (con le impostazioni che ti ho indicato nel'altro post...
e poi..., facendo ancora
clic con il tasto destro, scegli
esplora... ed una
volta che sei andato sul driver... cerca e cancella il file autorun.inf
Questo lo fai per tutti i drivers... con calma... e senza fare errori...
Hai disattivato il ripristino configurazione di sistema...?
Se si... adesso, se è un'impostazione che ti fa comodo avere..., puoi riattivarla...
e crearti un nuovo punto di ripristino pulito...
Altrimenti la devi disattivare... infatti c'è il rischio di avere qualche punto di
ripristino infetto ancora sul pc...
Dopo disattivata... vale il discorso di poco prima... (se ti serve l'attivi... altrimenti...
desisti...
)
Adesso sarai sufficientemente stanco di starmi a sentire.. quindi ti lascio
al da farsi... Ciao...