|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Salve a tutti!
Il computer di mio fratello ha contratto il virus che blocca il computer e chiede un pagamento per sbloccarlo.
Ho aperto un topic ad hoc perchè a quel che ho capito ne esistono molte versioni differenti, se puó essere d'aiuto la modalitá provvisoria parte e mi sembra che non si blocchi!
Aspetto vostri consigli.
Grazie in anticipo!
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/24/2008
Posts: 4,164
|
ciao non capisco quale discussione hai aperto....segui attentamente questa procedura, ti serve solo una chiavetta formattata e un po' di pazienza scarica nella pennetta questo file: questo file (per S.O a 64 bit) questo file (per S.O a 32 bit) Inserisci la Pendrive nel Pc infetto. Avvia il pc in Modalità provvisoria. (tasto F8) Clicca su Ripristina il computer tra le opzioni disponibili (in alto) Seleziona la lingua Seleziona il tuo account Saranno ora disponibili le seguenti opzioni Code:Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt Seleziona Prompt Dei ComandiNel Prompt dei Comandi scrivi notepad e premi Invio. Si aprirà un file di testo Nel menu in alto clicca file e seleziona Apri. Cerca la lettera a cui è riferita la pennetta usb. Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta. Una volta identificata la lettera della pennetta: Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb. Clicca Invio Il tool si avvierà. Clicca Yes per accettare le condizioni di contratto. Premi su SCAN. A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXTPostalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Non avevo giá aperto una discussione, ma ce n'era una uguale poco piú in basso! Comunque ho un dubbio: quando premo f8 per entrare in modalitá provvisoria mi si apre questo elenco: Code: Modalitá provvisoria
Modalitá provvisoria con rete
Modalitá provvisoria con prompt dei comandi
Abilita registrazione avvio
abilita modalita VGA
ultima confg sicuramente funzionante
Modalitá ripristino servizi directory
Modalitá di debug
Diasttiva riavvio automatico dopo un errore
Avvia window normalmente
riavvia
Ritorna. Io ho selezionato: modalitá provvisoria, ma "ripristina computer" non lo trovo! Ho sbagliato qualcosa? EDIT: il mio SO è XP!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:EDIT: il mio SO è XP! Infatti, in XP non esiste "Ripristina il computer". Commenta:se puó essere d'aiuto la modalitá provvisoria parte e mi sembra che non si blocchi! A questo punto, fai una scansione completa con Malwarebytes in " Modalitá provvisoria con rete" Posta il log, e poi segui le indicazioni di Shapiro. Dimenticavo: Elimina quello che trova Malwarebytes.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
r16 ha scritto:Commenta:EDIT: il mio SO è XP! Infatti, in XP non esiste "Ripristina il computer". Commenta:se puó essere d'aiuto la modalitá provvisoria parte e mi sembra che non si blocchi! A questo punto, fai una scansione completa con Malwarebytes in " Modalitá provvisoria con rete" Posta il log, e poi segui le indicazioni di Shapiro. ok, adesso lo faccio! Per scaricare Malwarebytes basta che io lo cerchi su google? O c'è una versione specifica che mi serve?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Potresti anche fare così:
Seguendo le indicazioni di Shapiro, Fra le opzioni che hai elencato clicca Modalitá provvisoria con prompt dei comandi e segui il resto delle indicazioni.
In pratica, (visto che non esiste Ripristina il computer) vai direttamente in Modalitá provvisoria con prompt dei comandi e continui con le istruzioni date.
Posta il log.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Va bene, adesso provo attraverso il prompt, mi rimane un unico dubbio: quando scelgo "modalitá provvisoria" xp mi chiede con quale utente loggare mi fa scegliere tra il mio solito utente (l'unico che ho sul pc e che uso tutti i giorni) e un altro (che non ho mai visto) che si chiama administrator. È indifferente quale dei due io scelga??
Grazie ancora e scusami per le molte domande ma sono abbastanza inesperto!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Per il momento scegli " il mio solito utente". (Non administrator)
Fai attenzione a trovare la lettera a cui si riferisce la pennetta USB.
E' importante.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Ok, fatto partire il tool ed ecco il log: (non ho però cliccato su "fix" perchè non era nelle istruzioni) Code:Scan result of Farbar Recovery Scan Tool (FRST written by Farbar) Version: 29-08-2012 04
Ran by Riccardo at 30-08-2012 21:54:57
Running from G:\
Service Pack 3 (X86) OS Language: Italian Standard
Attention: Could not load system hive.
Error: Impossibile accedere al file. Il file è utilizzato da un altro processo.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.
============ One Month Created Files and Folders ==============
2012-08-30 21:54 - 2012-08-30 21:54 - 00000000 ____D C:\FRST
2012-08-30 21:43 - 2012-08-30 21:43 - 00000000 ____D C:\Windows\CSC
2012-08-30 21:19 - 2012-08-30 21:19 - 00004536 ____A C:\Windows\System32\PerfStringBackup.TMP
2012-08-30 21:16 - 2012-08-30 21:16 - 00000000 __SHD C:\Documents and Settings\Administrator\IETldCache
2012-08-30 21:15 - 2012-08-30 21:45 - 00000194 __ASH C:\Documents and Settings\Administrator\ntuser.ini
2012-08-30 21:15 - 2012-08-30 21:44 - 00000000 __RHD C:\Documents and Settings\Administrator\Dati applicazioni
2012-08-30 21:15 - 2010-03-14 23:00 - 00000000 ___HD C:\Documents and Settings\Administrator\Impostazioni locali
2012-08-30 21:15 - 2008-10-20 18:55 - 00000000 ___RD C:\Documents and Settings\Administrator\Menu Avvio
2012-08-30 21:15 - 2008-10-20 18:55 - 00000000 ___HD C:\Documents and Settings\Administrator\Risorse di stampa
2012-08-30 21:15 - 2008-10-20 18:55 - 00000000 ___HD C:\Documents and Settings\Administrator\Risorse di rete
2012-08-30 21:15 - 2008-10-20 18:55 - 00000000 ____D C:\Documents and Settings\Administrator\Preferiti
2012-08-30 21:15 - 2008-10-20 18:55 - 00000000 ____D C:\Documents and Settings\Administrator\Documenti
2012-08-30 21:15 - 2008-10-20 17:06 - 00000000 ___HD C:\Documents and Settings\Administrator\Modelli
2012-08-30 17:28 - 2012-08-30 19:56 - 00000097 ____A C:\Documents and Settings\Riccardo\debug.log
2012-08-30 14:15 - 2012-08-30 17:20 - 00001022 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1659004503-1078081533-725345543-1003UA.job
2012-08-30 14:15 - 2012-08-30 14:20 - 00001000 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1659004503-1078081533-725345543-1003Core.job
2012-08-30 14:15 - 2012-08-30 14:15 - 00000000 ____A C:\Windows\System32\debug.log
2012-08-24 15:02 - 2012-08-24 15:02 - 01101256 ____A C:\Documents and Settings\Riccardo\Desktop\GreyCsave0
2012-08-23 15:16 - 2012-08-23 15:16 - 00000635 ____A C:\Documents and Settings\All Users\Desktop\Nimbuzz.lnk
2012-08-22 22:21 - 2012-08-23 15:28 - 00001566 ____A C:\Documents and Settings\Riccardo\Desktop\Drakensang Online.lnk
2012-08-22 03:35 - 2012-08-22 03:35 - 00000000 __HDC C:\Windows\$NtUninstallKB2712808$
2012-08-22 03:34 - 2012-08-22 03:34 - 00013182 ____A C:\Windows\KB2731847.log
2012-08-22 03:34 - 2012-08-22 03:34 - 00000000 __HDC C:\Windows\$NtUninstallKB2731847$
2012-08-22 03:30 - 2012-08-22 03:30 - 00011814 ____A C:\Windows\KB2723135.log
2012-08-22 03:30 - 2012-08-22 03:30 - 00000000 __HDC C:\Windows\$NtUninstallKB2723135$
2012-08-22 03:30 - 2012-08-22 03:30 - 00000000 __HDC C:\Windows\$NtUninstallKB2705219$
2012-08-22 03:29 - 2012-08-22 03:35 - 00033119 ____A C:\Windows\iis6.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00030912 ____A C:\Windows\FaxSetup.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00014780 ____A C:\Windows\ocgen.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00014105 ____A C:\Windows\tsoc.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00010237 ____A C:\Windows\comsetup.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00009362 ____A C:\Windows\msmqinst.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00006217 ____A C:\Windows\ntdtcsetup.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00005415 ____A C:\Windows\netfxocm.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00002125 ____A C:\Windows\MedCtrOC.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00001930 ____A C:\Windows\ocmsn.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00001555 ____A C:\Windows\tabletoc.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00001545 ____A C:\Windows\msgsocm.log
2012-08-22 03:29 - 2012-08-22 03:35 - 00001374 ____A C:\Windows\imsins.log
2012-08-22 03:29 - 2012-08-22 03:34 - 00001374 ____A C:\Windows\imsins.BAK
2012-08-22 03:29 - 2012-08-22 03:30 - 00003886 ____A C:\Windows\updspapi.log
2012-08-22 03:29 - 2012-08-22 03:29 - 00000000 ____A C:\Windows\setuperr.log
2012-08-22 03:29 - 2012-08-22 03:29 - 00000000 ____A C:\Windows\setupact.log
2012-08-22 03:28 - 2012-08-22 03:29 - 00016339 ____A C:\Windows\KB2722913-IE8.log
2012-08-21 23:52 - 2012-08-22 03:35 - 00018455 ____A C:\Windows\KB2712808.log
2012-08-21 23:51 - 2012-08-22 03:30 - 00018020 ____A C:\Windows\KB2705219.log
============ 3 Months Modified Files ========================
2012-08-30 21:51 - 2009-01-09 15:03 - 02682977 ____A C:\Windows\System32\oodbs.lor
2012-08-30 21:45 - 2012-08-30 21:15 - 00000194 __ASH C:\Documents and Settings\Administrator\ntuser.ini
2012-08-30 21:45 - 2008-10-20 17:09 - 01478359 ____A C:\Windows\WindowsUpdate.log
2012-08-30 21:41 - 2008-10-20 17:15 - 00000194 ___SH C:\Documents and Settings\Riccardo\ntuser.ini
2012-08-30 21:40 - 2011-01-02 05:29 - 00001324 ____A C:\Windows\System32\d3d9caps.dat
2012-08-30 21:19 - 2012-08-30 21:19 - 00004536 ____A C:\Windows\System32\PerfStringBackup.TMP
2012-08-30 21:19 - 2001-08-31 14:00 - 00489976 ____A C:\Windows\System32\perfh010.dat
2012-08-30 21:19 - 2001-08-31 14:00 - 00085262 ____A C:\Windows\System32\perfc010.dat
2012-08-30 21:03 - 2008-10-20 17:13 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-08-30 19:56 - 2012-08-30 17:28 - 00000097 ____A C:\Documents and Settings\Riccardo\debug.log
2012-08-30 19:56 - 2008-10-21 19:10 - 00000245 ____A C:\Windows\Msiosd.ini
2012-08-30 19:56 - 2008-10-20 18:58 - 00000159 ____A C:\Windows\wiadebug.log
2012-08-30 19:56 - 2008-10-20 18:58 - 00000050 ____A C:\Windows\wiaservc.log
2012-08-30 19:56 - 2008-10-20 18:56 - 01101880 ____A C:\Windows\System32\PerfStringBackup.INI
2012-08-30 17:20 - 2012-08-30 14:15 - 00001022 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1659004503-1078081533-725345543-1003UA.job
2012-08-30 17:08 - 2009-07-01 18:02 - 00000440 ___AH C:\Windows\Tasks\User_Feed_Synchronization-{D8227DEA-264E-4ED0-ACD9-62F743389F0F}.job
2012-08-30 14:20 - 2012-08-30 14:15 - 00001000 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1659004503-1078081533-725345543-1003Core.job
2012-08-30 14:15 - 2012-08-30 14:15 - 00000000 ____A C:\Windows\System32\debug.log
2012-08-30 10:57 - 2012-07-30 02:48 - 00032167 ____A C:\Windows\setupapi.log
2012-08-30 00:34 - 2008-10-20 17:13 - 00032580 ____A C:\Windows\SchedLgU.Txt
2012-08-24 15:02 - 2012-08-24 15:02 - 01101256 ____A C:\Documents and Settings\Riccardo\Desktop\GreyCsave0
2012-08-23 15:28 - 2012-08-22 22:21 - 00001566 ____A C:\Documents and Settings\Riccardo\Desktop\Drakensang Online.lnk
2012-08-23 15:16 - 2012-08-23 15:16 - 00000635 ____A C:\Documents and Settings\All Users\Desktop\Nimbuzz.lnk
2012-08-23 14:53 - 2001-08-31 14:00 - 00002228 ____A C:\Windows\System32\wpa.dbl
2012-08-22 16:35 - 2010-11-26 14:30 - 00008421 ____A C:\Documents and Settings\Riccardo\Desktop\Nuovo Documento di testo.txt
2012-08-22 13:55 - 2012-04-02 13:20 - 00696520 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2012-08-22 13:55 - 2011-05-19 11:07 - 00073416 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2012-08-22 13:53 - 2008-10-20 18:54 - 02380776 ____A C:\Windows\System32\FNTCACHE.DAT
2012-08-22 03:35 - 2012-08-22 03:29 - 00033119 ____A C:\Windows\iis6.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00030912 ____A C:\Windows\FaxSetup.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00014780 ____A C:\Windows\ocgen.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00014105 ____A C:\Windows\tsoc.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00010237 ____A C:\Windows\comsetup.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00009362 ____A C:\Windows\msmqinst.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00006217 ____A C:\Windows\ntdtcsetup.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00005415 ____A C:\Windows\netfxocm.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00002125 ____A C:\Windows\MedCtrOC.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00001930 ____A C:\Windows\ocmsn.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00001555 ____A C:\Windows\tabletoc.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00001545 ____A C:\Windows\msgsocm.log
2012-08-22 03:35 - 2012-08-22 03:29 - 00001374 ____A C:\Windows\imsins.log
2012-08-22 03:35 - 2012-08-21 23:52 - 00018455 ____A C:\Windows\KB2712808.log
2012-08-22 03:34 - 2012-08-22 03:34 - 00013182 ____A C:\Windows\KB2731847.log
2012-08-22 03:34 - 2012-08-22 03:29 - 00001374 ____A C:\Windows\imsins.BAK
2012-08-22 03:30 - 2012-08-22 03:30 - 00011814 ____A C:\Windows\KB2723135.log
2012-08-22 03:30 - 2012-08-22 03:29 - 00003886 ____A C:\Windows\updspapi.log
2012-08-22 03:30 - 2012-08-21 23:51 - 00018020 ____A C:\Windows\KB2705219.log
2012-08-22 03:30 - 2008-10-22 19:30 - 59884088 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-08-22 03:29 - 2012-08-22 03:29 - 00000000 ____A C:\Windows\setuperr.log
2012-08-22 03:29 - 2012-08-22 03:29 - 00000000 ____A C:\Windows\setupact.log
2012-08-22 03:29 - 2012-08-22 03:28 - 00016339 ____A C:\Windows\KB2722913-IE8.log
2012-07-14 02:03 - 2012-07-14 02:03 - 00000194 ___SH C:\Documents and Settings\UpdatusUser\ntuser.ini
2012-07-14 02:00 - 2012-07-14 02:00 - 01074636 ____A C:\Windows\System32\nvdrsdb1.bin
2012-07-14 02:00 - 2012-07-14 02:00 - 01074636 ____A C:\Windows\System32\nvdrsdb0.bin
2012-07-14 02:00 - 2012-07-14 02:00 - 00000001 ____A C:\Windows\System32\nvdrssel.bin
2012-07-14 02:00 - 2012-07-14 02:00 - 00000000 ____A C:\Windows\System32\nvdrswr.lk
2012-07-13 14:04 - 2009-02-23 15:25 - 00210919 ____A C:\Windows\System32\nvapps.xml
2012-07-06 15:59 - 2012-07-06 15:59 - 00078336 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\browser.dll
2012-07-06 15:59 - 2008-10-24 09:28 - 00337920 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\netapi32.dll
2012-07-06 15:59 - 2004-08-19 15:39 - 00337920 ____A (Microsoft Corporation) C:\Windows\System32\netapi32.dll
2012-07-06 15:59 - 2004-08-19 15:39 - 00078336 ____A (Microsoft Corporation) C:\Windows\System32\browser.dll
2012-07-04 16:05 - 2011-08-22 15:19 - 00139784 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\rdpwd.sys
2012-07-04 16:05 - 2008-10-20 17:06 - 00139784 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-07-03 20:26 - 2008-10-20 19:11 - 01866112 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\win32k.sys
2012-07-03 20:26 - 2004-08-19 15:31 - 01866112 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-07-02 23:09 - 2008-10-22 19:41 - 11111424 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\ieframe.dll
2012-07-02 23:09 - 2007-08-13 19:54 - 11111424 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-07-02 19:39 - 2012-06-13 14:38 - 00521728 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\jsdbgui.dll
2012-07-02 19:39 - 2010-06-09 11:06 - 00743424 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\iedvtool.dll
2012-07-02 19:39 - 2009-07-01 17:53 - 00247808 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\ieproxy.dll
2012-07-02 19:39 - 2009-07-01 17:53 - 00012800 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\xpshims.dll
2012-07-02 19:39 - 2008-10-22 19:41 - 02000384 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\iertutil.dll
2012-07-02 19:39 - 2008-10-22 19:41 - 00629760 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\msfeeds.dll
2012-07-02 19:39 - 2008-10-22 19:41 - 00055296 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\msfeedsbs.dll
2012-07-02 19:39 - 2007-08-13 19:54 - 00629760 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-07-02 19:39 - 2007-08-13 19:54 - 00055296 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll
2012-07-02 19:39 - 2007-08-13 19:34 - 02000384 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 06008320 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\mshtml.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 06008320 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 01469440 ____N (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-07-02 19:39 - 2004-08-19 15:39 - 01469440 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\inetcpl.cpl
2012-07-02 19:39 - 2004-08-19 15:39 - 01212416 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\urlmon.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 01212416 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00916992 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\wininet.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00916992 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00611840 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\mstime.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00611840 ____A (Microsoft Corporation) C:\Windows\System32\mstime.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00387584 ____N (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00387584 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\iedkcs32.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00206848 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\occache.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00206848 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00184320 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\iepeers.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00105984 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\url.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00105984 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00067072 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\mshtmled.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00067072 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00043520 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\licmgr10.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00043520 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00025600 ____N (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-07-02 19:39 - 2004-08-19 15:39 - 00025600 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\jsproxy.dll
2012-07-02 14:05 - 2004-08-19 15:39 - 00174080 ____N (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2012-07-02 14:05 - 2004-08-19 15:39 - 00174080 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\ie4uinit.exe
2012-07-02 14:05 - 2004-08-19 15:26 - 00385024 ____A (Microsoft Corporation) C:\Windows\System32\html.iec
2012-06-28 16:35 - 2012-06-28 16:35 - 00000635 ____A C:\Documents and Settings\All Users\Desktop\Tunngle beta.lnk
2012-06-23 23:09 - 2010-09-04 23:41 - 00000000 ____A C:\Windows\System32\Access.dat
2012-06-21 23:06 - 2012-06-21 23:06 - 00000142 ____A C:\Documents and Settings\All Users\Desktop\Play Ace of Spades.url
2012-06-18 01:40 - 2012-06-18 01:40 - 00000000 ___AH C:\Windows\System32\Drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2012-06-18 01:40 - 2012-06-18 01:40 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_Kernel_WinUSB_01007.Wdf
2012-06-16 13:31 - 2012-06-16 13:31 - 00003043 ____A C:\Windows\System32\jupdate-1.7.0_05-b05.log
2012-06-10 23:57 - 2012-06-10 23:57 - 00000887 ____A C:\Documents and Settings\All Users\Desktop\A Game of Thrones - Genesis.lnk
2012-06-08 16:25 - 2008-06-17 21:01 - 08492032 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\shell32.dll
2012-06-08 16:25 - 2004-08-19 15:39 - 08492032 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll
2012-06-05 17:49 - 2008-11-12 21:47 - 01172480 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\msxml3.dll
2012-06-05 17:49 - 2008-04-14 04:13 - 01372672 ____N (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2012-06-05 17:49 - 2008-04-14 04:13 - 01372672 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\msxml6.dll
2012-06-05 17:49 - 2004-08-19 15:39 - 01172480 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll
2012-06-04 06:32 - 2008-12-05 08:55 - 00152576 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\schannel.dll
2012-06-04 06:32 - 2004-08-19 15:39 - 00152576 ____A (Microsoft Corporation) C:\Windows\System32\schannel.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 01933848 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wuaueng.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 01933848 ____A (Microsoft Corporation) C:\Windows\System32\wuaueng.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00577048 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wuapi.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00577048 ____A (Microsoft Corporation) C:\Windows\System32\wuapi.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00329240 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wucltui.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00329240 ____A (Microsoft Corporation) C:\Windows\System32\wucltui.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00219160 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wuaucpl.cpl
2012-06-02 15:19 - 2008-10-20 17:08 - 00219160 ____A (Microsoft Corporation) C:\Windows\System32\wuaucpl.cpl
2012-06-02 15:19 - 2008-10-20 17:08 - 00210968 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wuweb.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00210968 ____A (Microsoft Corporation) C:\Windows\System32\wuweb.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00053784 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wuauclt.exe
2012-06-02 15:19 - 2008-10-20 17:08 - 00053784 ____A (Microsoft Corporation) C:\Windows\System32\wuauclt.exe
2012-06-02 15:19 - 2008-10-20 17:08 - 00035864 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\wups.dll
2012-06-02 15:19 - 2008-10-20 17:08 - 00035864 ____A (Microsoft Corporation) C:\Windows\System32\wups.dll
2012-06-02 15:19 - 2007-07-30 19:20 - 00015896 ____A (Microsoft Corporation) C:\Windows\System32\wuaucpl.cpl.mui
2012-06-02 15:19 - 2007-07-30 19:20 - 00015896 ____A (Microsoft Corporation) C:\Windows\System32\wuapi.dll.mui
2012-06-02 15:19 - 2007-07-30 19:19 - 00045080 ____A (Microsoft Corporation) C:\Windows\System32\wups2.dll
2012-06-02 15:19 - 2007-07-30 19:19 - 00024088 ____A (Microsoft Corporation) C:\Windows\System32\wucltui.dll.mui
2012-06-02 15:19 - 2007-07-30 19:18 - 00018968 ____A (Microsoft Corporation) C:\Windows\System32\wuaueng.dll.mui
2012-06-02 15:19 - 2004-08-19 15:39 - 00097304 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\cdm.dll
2012-06-02 15:19 - 2004-08-19 15:39 - 00097304 ____A (Microsoft Corporation) C:\Windows\System32\cdm.dll
2012-06-02 15:18 - 2008-10-21 17:54 - 00275696 ____A (Microsoft Corporation) C:\Windows\System32\mucltui.dll
2012-06-02 15:18 - 2008-10-21 17:54 - 00214256 ____A (Microsoft Corporation) C:\Windows\System32\muweb.dll
2012-06-02 15:18 - 2008-10-21 17:54 - 00018672 ____A (Microsoft Corporation) C:\Windows\System32\mucltui.dll.mui
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe
[2004-08-19 15:39] - [2008-04-14 04:14] - 1036288 ____N (Microsoft Corporation) 70d7f99d95615c3c278367756287db71
C:\Windows\System32\winlogon.exe
[2004-08-19 15:39] - [2008-04-14 04:14] - 0510464 ____N (Microsoft Corporation) 9259170d29b5a256735fcb8b80280857
C:\Windows\System32\svchost.exe
[2004-08-19 15:39] - [2008-04-14 04:14] - 0014336 ____N (Microsoft Corporation) bb8363abec09aa2f9b363484e282117c
C:\Windows\System32\services.exe
[2004-08-19 15:39] - [2009-02-09 13:22] - 0111104 ____N (Microsoft Corporation) 26845f272435302e0f3322e660a24f7d
C:\Windows\System32\User32.dll
[2004-08-19 15:39] - [2008-04-14 04:13] - 0579584 ____N (Microsoft Corporation) fa94696c0727bd59e517c674cd6e7c72
C:\Windows\System32\userinit.exe
[2004-08-19 15:39] - [2008-04-14 04:14] - 0026624 ____N (Microsoft Corporation) df69726907357c3add243f48902b0331
C:\Windows\System32\Drivers\volsnap.sys
[2004-08-19 15:29] - [2008-04-14 03:49] - 0053376 ____A (Microsoft Corporation) e46c1b5a56da7da603d09dfcc79ec59e
==================== Restore Points (XP) =====================
RP: -> 2012-08-30 12:52 - 028672 _restore{C7B563E0-5935-4A66-A3C8-58E1CFB2B357}\RP740
RP: -> 2012-08-28 17:45 - 028672 _restore{C7B563E0-5935-4A66-A3C8-58E1CFB2B357}\RP739
RP: -> 2012-08-27 17:06 - 028672 _restore{C7B563E0-5935-4A66-A3C8-58E1CFB2B357}\RP738
RP: -> 2012-08-24 16:55 - 028672 _restore{C7B563E0-5935-4A66-A3C8-58E1CFB2B357}\RP737
==================== Memory info ===========================
Percentage of memory in use: 8%
Total physical RAM: 3326.97 MB
Available physical RAM: 3041.88 MB
Total Pagefile: 5215.08 MB
Available Pagefile: 5149.57 MB
Total Virtual: 2047.88 MB
Available Virtual: 1996.65 MB
==================== Partitions ============================
2 Drive c: () (Fixed) (Total:16 GB) (Free:0.26 GB) NTFS ==>[Drive with boot components (Windows XP)]
3 Drive d: () (Fixed) (Total:580.16 GB) (Free:22.41 GB) NTFS
6 Drive g: (STORE N GO) (Removable) (Total:1.92 GB) (Free:1.92 GB) FAT
Disco n. Stato Dim. Libera Din Gpt
-------- ---------- ------- ------- --- ---
Disco 0 Pronto 596 GB 0 B
Partitions of Disk 0:
===============
Partizione n. Tipo Dim. Offset
------------- ---------------- ------- -------
Partizione 1 Primario 16 GB 32 KB
Partizione 2 Esteso 580 GB 16 GB
Partizione 3 Logico 580 GB 16 GB
==================================================================================
Disk: 0
Partizione 1
Tipo : 07
Nascosta: No
Attiva: Si
Volume n. Lett. Etichetta Fs Tipo Dim. Stato Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partizione 16 GB Integro Sistema
==================================================================================
Disk: 0
Partizione 3
Tipo : 07
Nascosta: No
Attiva: No
Volume n. Lett. Etichetta Fs Tipo Dim. Stato Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 D NTFS Partizione 580 GB Integro FilediPa
==================================================================================
==================== End Of Log ============================= Attendo nuove istruzioni. Grazie ancora!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Conviene passare a Malwarebytes, in quanto probabilmente l'infezione si trova sul registro. Fra l'altro, questa procedura non è corretta su XP. Abbiamo tentato. Alle volte và bene, altre no. Fai la scansione con Malwarebytes. http://www.aiutamici.com/software?id=80346Prima di fare la scansione AGGIORNALO. (è molto importante) Esegui una scansione completa del sistema. Elimina gli eventuali file infetti trovati. Posta il log.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
r16 ha scritto:Conviene passare a Malwarebytes, in quanto probabilmente l'infezione si trova sul registro. Fra l'altro, questa procedura non è corretta su XP. Abbiamo tentato. Alle volte và bene, altre no. Fai la scansione con Malwarebytes. http://www.aiutamici.com/software?id=80346Prima di fare la scansione AGGIORNALO. (è molto importante) Esegui una scansione completa del sistema. Elimina gli eventuali file infetti trovati. Posta il log. Ok! Ho notato però che malwarebytes è già installato su questo computer però l'ultimo aggiornamento risale al 2010. è necessario che io lo disinstalli e poi lo reinstalli successivamente o posso semplicemente aprirlo e aggiornarlo? Se è da disinstallare devo eseguire una procedura particolare? Grazie mille per la pazienza!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Prova aggiornarlo.
Caso mai lo disistalli e poi lo reistalli.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Ho provato ad aggiornarlo ma mi dava errore, allora l'ho disinstallato e reinstallato. Posto il log, i file infetti li devo eliminare, vero?! Code:Malwarebytes Anti-Malware 1.65.0.1000 www.malwarebytes.orgVersione database: v2012.08.30.05 Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria con rete) Internet Explorer 8.0.6001.18702 Riccardo :: CASAZURLA [amministratore] 30/08/2012 22.36.42 mbam-log-2012-08-30 (23-32-50).txt Tipo di scansione: Scansione completa (C:\|D:\|) Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM Opzioni di scansione disattivate: P2P Elementi esaminati: 599510 Tempo impiegato: 49 minuti, 49 secondi Processi rilevati in memoria: 0 (non sono stati rilevati elementi nocivi) Moduli di memoria rilevati: 0 (non sono stati rilevati elementi nocivi) Chiavi di registro rilevate: 0 (non sono stati rilevati elementi nocivi) Valori di registro rilevati: 0 (non sono stati rilevati elementi nocivi) Voci rilevate nei dati di registro: 0 (non sono stati rilevati elementi nocivi) Cartelle rilevate: 0 (non sono stati rilevati elementi nocivi) File rilevati: 3 D:\Riccardo\Incoming\cartograph_g_2011_08_20_bins\Cartograph_G_Post_Processor.exe (Trojan.Agent.cn) -> Nessuna azione intrapresa. C:\Documents and Settings\Riccardo\Impostazioni locali\temp\roper0dun.exe (Exploit.Drop.GS) -> Nessuna azione intrapresa. C:\Documents and Settings\Riccardo\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.lnk (Trojan.Ransom.Gen) -> Nessuna azione intrapresa. (fine)
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Posto il log, i file infetti li devo eliminare, vero?! Certo. Il pc dovrebbe riavviarsi in modalità normale. Se sì segui queste indicazioni: Scarica Combofix (usa Internet Explorer) http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. (è obbligatorio) Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Doppio click su combofix.exe (se usi Vista o Seven: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" ) Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione. Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Allora, ho provato due volte a far la scansione con combofix ma entrambe le volte è partito per poi bloccarsi tutto in una schermata
blu con le scritte bianche che dice "Si è verificato un problema e windows è stato arrestato per impedire danni al computer"
forse non sono riuscito a disattivare l'antivirus.. io ho cliccato sull'icona di avira e vicino alla scritta AntiVir Guard ho messo "disattivato", dovevo fare altro?
Inoltre adesso quando accendo il computer mi appare un pop up di windows che mi dice: "si è verificato un errore in avgnt.exe. l'applicazione verrà chiusa"
E poi sparisce l'icona dell'ombrellino di avira in basso a destra.
è grave tutto ciò?
Attendo altre istruzioni.
Grazie mille!
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Oltre al problema di AntiVir Guard che ha smesso di funzionare segnalo anche il fatto che nel computer succedono cose "strane":
è come se tutta la banda di internet dopo un po' che navigo si riduca sensibilmente (come se avessi aperto qualcosa che richieda un grosso traffico, ma non ho niente di aperto del genere!)
inotre ho visto il processo del browser nel task manager è arrivare anche a 1.400 KB (non mi pare di averlo mai visto in vita mia così grosso)..
Può essere che, sebbene non mi appaia più la schermata "della polizia", il virus sia rimasto nel computer?!
EDIT: anche i file di paging nel task manager sono molto superiori alla norma!
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Scarica TDSSKiller.zip sul desktop: http://support.kaspersky.com/viruses/solutions?qid=208280684 Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe Poi clicca su " Start Scan" Se trova qualche infezione di default avrai l'opzione " Cure" per cui, clicca su " Continue". Se un file sospetto viene trovato,l'azione di default sarà " skip",clicca su " Continue". Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc) Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo. Il log lo trovi in C:\ Postalo qui. (con Wikisend) Poi:Scarica OTL, e salvalo sul desktop: http://oldtimer.geekstogo.com/OTL.exeClicca sull'icona di OTL che trovi sul tuo desktop . Metti la spunta su SCAN ALL USERS. Sotto output, metti la spunta : minimal output Clicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Clicca su RUN SCAN Lascia fare la scansione senza interferire. Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Ecco il log di TDSSKiller. è normale che la scansione sia durata sì e no 15 secondi? Ha trovato un file sospetto e ho fatto "skip". Adesso procedo con OTL. Grazie ancora per il supporto.
|
|
Rank: AiutAmico
Iscritto dal : 7/30/2012
Posts: 39
|
Ecco i log di OTL: Extras.TxtOTL.Txt
|
|
|
Guest |