PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Virus che mi blocca antivirus, antispy e

Altre pagine della discussione:




Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.202 - Postato: 08/Novembre/2011 alle 00:38


Ciao amici eccomi di nuovo qui!
Da ieri sera ho sul portatile un virus tremendo che mi blocca tutto!

Antivir.....
Hijack...
Malaware....

E tutti i software antispy ...compresa la connessione ad internet sia quella wi-fi che quella al cavo!

Smanettando un po' in modalità provvisoria son riuscita a riabilitare l'antivirus e a far partire Hijack.... ma non mi dà ancora la connessione ad internet... Mi date una mano? Please......

Ecco il log:


Logfile of Trend Micro HijackThis v2.0.4

*** log editato, rimangono solo le voci in evidenza ***

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60342

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60342

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

R3 - URLSearchHook: Messenger Plus Live Italy Toolbar - {08D495AB-A86C-47B0-82EF-DA87BF92F730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O2 - BHO: Messenger Plus Live Italy - {08d495ab-a86c-47b0-82ef-da87bf92f730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Programmi\ConduitEngine\prxConduitEngine.dll

O4 - Global Startup: RsAutorunsDisabled

O20 - AppInit_DLLs: kmon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe (file missing)

O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - Unknown owner - D:\Programmi\CodeMeter\Runtime\bin\CodeMeter.exe (file missing)

O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Unknown owner - H:\Pro Tools\Digidesign\Drivers\MMERefresh.exe (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Unknown owner - D:\Programmi\Firebird\Firebird_2_1\bin\fbguard.exe (file missing)




Modificato da prgn - 08/Novembre/2011 alle 11:06


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.205 - Postato: 08/Novembre/2011 alle 11:04


Ciao, vedo qualcosa di potenzialmente pericoloso:  kmon.dll
Intanto scarica il seguente rescue cd di kaspersky:

http://support.kaspersky.com/viruses/rescuedisk/main?qid=208282484

Prendi nota dei file infetti ritrovati (nome, posizione e relativo malware rilevato). Con hijackthis fixa le seguenti voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60342

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60342

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4

R3 - URLSearchHook: Messenger Plus Live Italy Toolbar - {08D495AB-A86C-47B0-82EF-DA87BF92F730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O2 - BHO: Messenger Plus Live Italy - {08d495ab-a86c-47b0-82ef-da87bf92f730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: Messenger Plus Live Italy Toolbar - {08d495ab-a86c-47b0-82ef-da87bf92f730} - D:\Programmi\Messenger_Plus_Live_Italy\prxtbMes2.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Programmi\ConduitEngine\prxConduitEngine.dll

O4 - Global Startup: RsAutorunsDisabled

O20 - AppInit_DLLs: kmon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe (file missing)

O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - Unknown owner - D:\Programmi\CodeMeter\Runtime\bin\CodeMeter.exe (file missing)

O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Unknown owner - H:\Pro Tools\Digidesign\Drivers\MMERefresh.exe (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Unknown owner - D:\Programmi\Firebird\Firebird_2_1\bin\fbguard.exe (file missing)

Mantieni il browser chiuso quando fixi le voci appena indicate.

Riavvia il pc e posta i risultati assieme ad un nuovo log di hijackthis.

Ciao






SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.222 - Postato: 09/Novembre/2011 alle 13:03


Ciao, ho fatto una bella pulizia con il disco di karsperky, ho fixato quei file che mi hai consigliato (ora non ci sono file infetti secondo antivir e kasèersy) son riuscita a far partire antivir e i vari antispy... ma internet ancora no!! Come è possibile? Ecco il nuovo log:

 
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12.41.08, on 09/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir Desktop\avguard.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Avira\AntiVir Desktop\avshadow.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Spyware Doctor\sdhelp.exe
D:\Programmi\Spyware Terminator\sp_rsser.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Windows Live\Messenger\msnmsgr.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60342
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - D:\Programmi\ConduitEngine\prxConduitEngine.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Rising PC Doctor - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - D:\WINDOWS\system32\UrlFilter.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15112/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Creative - (no file)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Avira GmbH - (no file)
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - D:\Programmi\File comuni\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - (no file)
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - D:\Programmi\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - D:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - D:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - D:\Programmi\WinPcap\rpcapd.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - D:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: ServiceLayer - Nokia - D:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\Programmi\Spyware Terminator\sp_rsser.exe
--
End of file - 7786 bytes


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.224 - Postato: 09/Novembre/2011 alle 14:00


Ciao, non dando indicazioni su cosa e dove è stato trovato, non si riesce a capire poi tanto.
Prova ad usare anche il XP TCP/IP Repair:

http://www.xp-smoker.com/freeware.html

Resetta il  tcp/ip e ripara in winsock.

Riavvia e vedi se ti si connette

Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.225 - Postato: 09/Novembre/2011 alle 14:22


Ha trovato dei file del genere:

packed.win.32.tdss.z

backdoor.win32.bifrose.zoj

 
Comunque con il tcp/ip non succede niente!


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.231 - Postato: 10/Novembre/2011 alle 10:26


sembra di stare al tiro a segno!
Prova il seguente tool per la rimozione del tdss rootkit:

http://support.kaspersky.com/faq/?qid=208283363

Dopo la rimozione, se presente il rootkit, sarebbe opportuna una nuova scansione approfondita del sistema.



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.234 - Postato: 10/Novembre/2011 alle 11:39


Siccome mi sto esaurendo vorrei farvi una domanda...

Nel caso facessi partire il cd di windows xp, e selezionassi aggiornamento potrei risolvere?

In realtà io ora ho gli aggiornamenti fino al service pack 3, quindi mi chiederebbe di reinstallare windows xp... ma non mi importa di perdere questa mezz'ora.
Vorrei solo sapere se una nuova installazione sul vecchio sistema operativo andrebbe a cancellarmi anche le cartelle di documenti, il desktop e così via.
Se così non fosse... rinuncio volentieri a scaricare altri tool!!! Grazie!


Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.238 - Postato: 10/Novembre/2011 alle 15:12


comunque prgn, usando quel kit mi ha spostato questi 17 file in quarantena:


15:07:33.0937 3560    D:\WINDOWS\system32\DRIVERS\ati2mtag.sys - copied to quarantine
15:07:33.0937 3560    ati2mtag ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0062 3560    D:\WINDOWS\system32\DRIVERS\cledx.sys - copied to quarantine
15:07:34.0062 3560    CLEDX ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0125 3560    D:\WINDOWS\system32\DRIVERS\HPZid412.sys - copied to quarantine
15:07:34.0125 3560    HPZid412 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0156 3560    D:\WINDOWS\system32\DRIVERS\HPZipr12.sys - copied to quarantine
15:07:34.0156 3560    HPZipr12 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0265 3560    D:\WINDOWS\system32\DRIVERS\HPZius12.sys - copied to quarantine
15:07:34.0265 3560    HPZius12 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0328 3560    D:\WINDOWS\system32\drivers\ikhlayer.sys - copied to quarantine
15:07:34.0328 3560    ikhlayer ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0531 3560    D:\WINDOWS\system32\drivers\ksaud.sys - copied to quarantine
15:07:34.0531 3560    ksaud ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0656 3560    D:\WINDOWS\system32\drivers\ma_cmidi.sys - copied to quarantine
15:07:34.0656 3560    MA_CMIDI ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0750 3560    D:\WINDOWS\system32\DRIVERS\PTSimBus.sys - copied to quarantine
15:07:34.0750 3560    PTSimBus ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:34.0921 3560    D:\WINDOWS\system32\DRIVERS\PTSimHid.sys - copied to quarantine
15:07:34.0921 3560    PTSimHid ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0015 3560    D:\WINDOWS\system32\Drivers\rdwm1040.sys - copied to quarantine
15:07:35.0031 3560    RDID1040 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0093 3560    D:\WINDOWS\system32\drivers\sfdrv01.sys - copied to quarantine
15:07:35.0093 3560    sfdrv01 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0140 3560    D:\WINDOWS\system32\drivers\sfhlp02.sys - copied to quarantine
15:07:35.0140 3560    sfhlp02 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0234 3560    D:\WINDOWS\system32\DRIVERS\TClass2k.sys - copied to quarantine
15:07:35.0234 3560    TClass2k ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0250 3560    D:\WINDOWS\system32\DRIVERS\UCTblHid.sys - copied to quarantine
15:07:35.0250 3560    UCTblHid ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0312 3560    D:\WINDOWS\system32\drivers\uks11ldr.sys - copied to quarantine
15:07:35.0312 3560    UKS11LDR ( UnsignedFile.Multi.Generic ) - User select action: Quarantine
15:07:35.0343 3560    D:\WINDOWS\system32\drivers\usbkt1x1.sys - copied to quarantine
15:07:35.0343 3560    USBKT1X1 ( UnsignedFile.Multi.Generic ) - User select action: Quarantine


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 99.242 - Postato: 10/Novembre/2011 alle 16:32


Il ripristino dell'installazione precedente (inteso come reinstallare sul sistema operativo già presente) non dovrebbe cancellare i dati, i documenti, il desktop e nemmeno le installazioni dei programmi, anche se, non troverai nessuno che ti darà mai la certezza che non vi possa essere una perdita di dati (quindi, il backup dei dati importanti va sempre fatto). Ricorda che la perdita di dati importanti è sempre legata alla nostra leggerezza e non alle procedure seguite, i backups vanno sempre fatti. Il ripristino che ti hyo appena accennato, non va confuso con il ripristino del sistema che si fa utilizzando il disco di ripristino messo a disposizione dal produttore del pc, quel tipo di ripristino, riporta tutto a come era nel momento in cui il pc è stato a acquistato. Un po' come se fosse una reinstallazione.
Una reinstallazione, invece, quindi con formattazione, ti elimina anche i dati e le installazioni dei programmi.

Altra considerazione da fare è che il fatto di risolvere o meno è legato a dove il/i malware sono annidati, spesso non è nemmeno sufficiente la formattazione.

Ritornando a noi, i malware che hai preso sono abbastanza ostici, ci sono i rootkit che nascondono altri file infetti e la stessa infezione, son capaci di farlo a danno degli stessi antivirus.

Quindi, rispetto le cose visibili abbiamo usato hijackthis e le normali scansioni con l'antivirus, rispetto i rootkit, ho tirato (non tanto ad indovinare, visto il win.32.tdss.z che avevi detto di aver trovato) in ballo il tdsskiller di kaspersky, che ha ritenuto sospetti quei file che ha spostato in quarantena...

Quando ti ho detto "mi pare di stare al tiro a segno" intendevo dire che non avendo puoi tante indicazioni, si finisce per sparare un nome di malware ed è logico che poi uno ti consiglia di usare un tool apposito, e tra scansioni varie, si finisce per concludere poco. Per questo insisto sempre nel chiedere:

Che file infetti hai trovato? Nome, posizione e relativo malware rilevato?

Ci serve appunto a fare un quadro della situazione, ci serve a cercare informazioni rispetto i file infetti trovati, altrimenti, ripeto, è come essere al tiro a segno. Specie poi, come nel tuo caso, le cose da togliere non so proprio di quelle facili.

Adesso vedi un po' tu, se vuoi tentare il recuperare l'installazione, altrimenti prova a reinstallare tutto.

Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Robertina80
Principiante Principiante
Robertina80
Principiante Principiante
Robertina80
Principiante
Principiante

Avatar


Iscritto dal : 23/Settembre/2005
Status: Offline
Posts: 132
Riporta il testo di: Robertina80 Rispondibullet Topic: Post n° 99.248 - Postato: 10/Novembre/2011 alle 19:28


Non voglio formattare, ma visto che l'unico problema che ho ora è il fatto che non mi fa connettere a internet, credo sia una questione di driver o comunque di file di sistema. Andando ad aggiornare XP con il disco originale (che non lo aggiornerebbe ma lo downgraderebbe al Sp2) forse riesco a sistemare questo fastidioso problema... era questo il mio quesito. In ogni caso ho le mie copie di backup... e l'hard disk è partizionato con un 40 giga solo per per l'OS.... che dici?


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni