Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

VIRUS - PC AZIENDALE - WINDOWS SECURITY ALERT Opzioni
shapiro
Inviato: Friday, July 29, 2011 12:38:22 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


cerax per controllare se hai il M.B.R a posto fai quella scansione, dura pochi secondi, in questo modo potrai procedere con r16 per l'altro problema

ciao
zebrone
Inviato: Friday, July 29, 2011 12:48:15 PM

Rank: AiutAmico

Iscritto dal : 5/13/2011
Posts: 86
per la connessione puoi provare

Complete Internet Repair
http://www.rizone3.com/?download=cintrep.zip
salvalo sul desktop
estrai l'archivio
installalo
metti la spunta su
Reset internet protocol TCP/IP
Reipar Winsock(Reset Catalog)
Reset Windows Firewall Configuration
Restore the Default hosts file

e clicca su GO
e attendi la fine dell'operazione
Riavvia il pc
cerax
Inviato: Friday, July 29, 2011 1:19:08 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ecco il log di mbr.exe

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Hitachi_ rev.P21O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 156232125

credo sia tutto ok, giusto?
r16
Inviato: Friday, July 29, 2011 6:17:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
ok.
Ricapitoliamo:
Ci sono molte possibilità che l'MBR sia a posto.
Bootkit Remover, aveva rilevato l'infezione, e poi l'ha eliminata.
La conferma è arrivata con MBRCheck.
MBR.exe rileva che una copia del MBR è stata trovata nel settore 156232125, ma non è un'infezione attiva.
Per cui, tirando le somme, direi che l'MBR è a posto.
Piccolo dubbio su aswMBr, per verificare meglio, bisognerebbe disistallarlo, fare una pulizia con CCleaner, reistallarlo, e vedere se rileva ancora quelle voci in rosso.

Per i problemi con IE, prima di metterci a scaricare software a tutto spiano, (mi sembra che ne abbiamo scaricati già una montagna) puoi "resettare" IE in questo modo:
Apri IE.
Clicca su "Strumenti".
Opzioni Internet.
Avanzate.
Reimposta.
E poi ancora Reimposta.

Infine, quando è finito tutto, fare una scansione con OTL, per verificare lo stato generale del pc, e ripulirlo da tutti i software scaricati.


Commenta:
NOTA: la mia ditta chiude per 4 settimane, fino al 29 agosto non sarò in ufficio. Potrò risponderti da casa, ma non potrò fare delle prove sul PC.

Bene, così ci sarà qualcuno che dirà che la bonifica è durata 2 mesi.
Non lo sò tu, ma io me ne frego altamente di quanto dura una bonifica.
L'importante è il risultato, e mi sembra che il pc (anche se non completamente) funzioni abbastanza bene.
Buone ferie! Drool
cerax
Inviato: Sunday, July 31, 2011 10:07:21 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Certo R16!
la fase iniziale della "bonifica" è stata proficua e determinante. Ho ricomcinato dopo pochissimo a lavorare bene e questo è la cosa + importante.
Ora se continuerai ad aver pazienza son sicuro che raggiungeremo l'obbiettivo.
Io ringrazio tutti per i consigli dati, ma tendo ad aspettare che sia tu a dirmi cosa fare eventualmente accolgiendo ciò che altri hanno proposto.

pulizia con CCleaner: cosa in particolare devo pulire?

Ripulirlo da tutti i software: devo disinstallre tutto ciò che mi hai fatto scaricare?
di solito uso RevoUninstaller e faccio disinstallazione completa (anche chiavi registro) : va bene così?

problemi con IE: anche Mozilla mi da dei problemi purtroppo

ciao!
r16
Inviato: Tuesday, August 02, 2011 6:07:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
pulizia con CCleaner: cosa in particolare devo pulire?

Sia i file temporanei, che il registro.
Commenta:
Ripulirlo da tutti i software: devo disinstallre tutto ciò che mi hai fatto scaricare?

Quello ci penserò io, al momento oppurtuno.
Commenta:
di solito uso RevoUninstaller e faccio disinstallazione completa (anche chiavi registro) : va bene così?

Per i programmi che hai scaricato, RevoUninstaller non serve. (non li trova)
Commenta:
problemi con IE: anche Mozilla mi da dei problemi purtroppo

Aspettiamo fino a quando avrai il pc sottomano.
Per il momento, per IE prova come indicato precedentemente, per firefox, prova a disistallarlo, e poi reistallarlo.
cerax
Inviato: Tuesday, August 02, 2011 10:00:43 PM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ok, grazie.
ci riaggiorniamo
cerax
Inviato: Monday, August 29, 2011 8:48:36 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ciao R16,
le mie vacanze sono finite, le tue spero siano state belle.
torniamo purtroppo a rioccuparci del mio Pc ... se hai ancora pazienza.

fatto reimposta + reimposta su I.E. e sembra andare bene. ti dirò se mi succederà qualche altro incoveniente.
ora disinstallo Mozilla e vedo.

mi avevi detto anche che dovevo disinstallare aswMBR, ma non so come fare (revo--uninstaller non lo vede, come avevi già detto tu)
ciao
cerax
Inviato: Monday, August 29, 2011 10:36:12 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
quando ho aperto outlook mi è unascito un messggio di errore di Panda che mi ha insospettito.
Ho fatto la scansione con Malaware e questo è il log
mbam-log-2011-08-29 (09-52-38).txt

c'erano 3 file che ha eliminato.

Serve che faccio un riassunto sui problemi che ancora ho per aiutarti nella risoluzione?
cerax
Inviato: Monday, August 29, 2011 11:10:27 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
Internet explorer
pronti via alla prima ricerca fatta tramite google, appena ho cliccato sul collegamento ... mi ha mandato su un altro sito strano che ho chiuso subitissimo!

Firefox: avevo scaricato la versione portable, che mi ha comuinque creato una cartella sotto C/Programmi. per disinstallarlo come faccio? basta eliminare manualmente sia il fikle .exe che questa cartella? Revo-unistaller non lo vede .
r16
Inviato: Monday, August 29, 2011 8:35:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao cerax.
Commenta:
mi avevi detto anche che dovevo disinstallare aswMBR, ma non so come fare

Lo elimini dal desktop. (l'icona)

Commenta:
Firefox: avevo scaricato la versione portable, che mi ha comuinque creato una cartella sotto C/Programmi. per disinstallarlo come faccio?


Elimina la cartella.
Poi con la funzione "Cerca" di Windows, digita Firefox ed elimina tutto quello che trova.

Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223

Poi installa l'ultima versione:
http://www.mozilla.org/it/firefox/

Quando hai finito, fai una scansione con OTL.
Postami il log con :
http://www.wikisend.com/
cerax
Inviato: Tuesday, August 30, 2011 9:36:35 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
R16, innanzitutto grazie che sei ancora qui ad ascoltarmi.

fatto per aswMBR, ma il risultato non mi sembra cambiato, ci sono sempre 2 voci in rosso
(devo fare FIXMBR ??)

fatto anche disinstallazione + reinstallazione di Firefox (portable), ma non è cambiato molto: il rischio che si aprano pagine a caso su internet c'è sempre

ecco il log di OTL (ho fatto le stesse spunte che mi avevi detto in uno dei primi post, pagina 1)
OTL-30-8.Txt
r16
Inviato: Tuesday, August 30, 2011 7:34:52 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
fatto per aswMBR, ma il risultato non mi sembra cambiato, ci sono sempre 2 voci in rosso
(devo fare FIXMBR ??)

Prova fare FIXMBR.
Che ci sia un'infezione nel MBR, lo dice solo aswMBR.
Gli altri tool dicono di no.

Il log di OTL è pulito

Apri OTL, e clicca CleanUp.
Si disistallerà OTL in automatico.
Il pc si riavvierà.

Commenta:
il rischio che si aprano pagine a caso su internet c'è sempre

E' un rischio, oppure succede sempre?
Dimmi quali problemi riscontri, e come funziona stò pc aziendale.
cerax
Inviato: Wednesday, August 31, 2011 8:56:08 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
fatto fixMBR ma rifacendo la scansione mi da ancora le righe rosse

fatto CleanUp con OTL

problema internet:
Se uso I.E. quasi ad ogni click sui collegamenti mi si aprono altri siti strani, e senza toccare più niente io chiudo il programma. E infatti non lo uso + per paura di prendere qualcos’altro

Usando invece Firefox le cose vanno meglio. Se per esempio apro il sito del Corriere e lo navigo non ho nessun problema. Se invece faccio una ricerca su google, quando clicco uno dei risultati a volte mi manda su siti “strani”. In particolare ho notato che lo fa quando clicco su forum o blog (anche il forum aiutatici purtroppo) mentre non capita quasi mai se clicco su collegamenti a siti tipo (gazzetta, corriere, inter, o a siti di ditte legate al mio lavoro)

Mi sono anche accorto che se faccio: tasto destro-> apri nuova scheda è + difficile che succeda questo problema, ancora meglio se faccio tasto dx-> apri in una nuova finestra


Poi ci sono altri problemi:
nel menu di avvio sono spariti tutti i collegamenti ai vari programmi.
Es. start->programmi->strumenti di office-> vuoto

E così per tutti gli altri programmi che ho sul PC (tranne quelli che ho installato o aggiornato dopo l’infezione)


E il Panda ad ogni avvio mi mette in quarantena un file test.reg che dice essere legato all’ adware “WindowsRecovery”.


per il resto il PC funziona bene
r16
Inviato: Wednesday, August 31, 2011 8:36:50 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Se uso I.E. quasi ad ogni click sui collegamenti mi si aprono altri siti strani,

Disistallalo.
Fai una pulizia con CCleaner (registro compreso)
Riavvia il pc.
Ripeti la pulizia con CCleaner.
Poi lo reistalli:
http://windows.microsoft.com/it-IT/windows-vista/proper-installation-of-Windows-Internet-Explorer-8

Commenta:
Poi ci sono altri problemi:
nel menu di avvio sono spariti tutti i collegamenti ai vari programmi.
Es. start->programmi->strumenti di office-> vuoto

Prova a leggere questo link:
http://forum.aiutamici.com/yaf_postst77657p3_RISOLTO-virus-e-trojan-mi-devastano-il-pc-r16-ho-bisogno-di-te.aspx
In pratica, li devi ripristinare a manina.

Commenta:
E il Panda ad ogni avvio mi mette in quarantena un file test.reg che dice essere legato all’ adware “WindowsRecovery”.

Non parlarmi di questo cesso di antivirus.....Eh?
In pratica, se la bonifica non è avvenuta completamente, è proprio perchè non consente di fare scansioni con programmi che lavorano meglio di lui. (Combofix, TDSSKiller)
E il colmo, è che non puoi nè disabilitarlo, nè disistallarlo.
cerax
Inviato: Thursday, September 01, 2011 9:46:02 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
per i collegamenti spariti me li sto rimettendo "a manina" tranne per quelli tipo Accessori e Giochi di Windows che ho reinstallato come indicato nell'altro post. (anche il mio CD della ComputerDiscount presentava quella cartella i386 ... almeno a qualcosa è servito)

La guida alla disinstallazione di I.E. mi dice come prima cosa di fare un punto di ripristino: ma nel percorso indicato Programmi->accessori->utilitàdi sisstema ... io non ho il collegamento per poi creare il punto di ripristino? dove trovo questo colelgamento? c'è un altro modo per fare il punto di ripristino?
Ho avviato la disinstallazione di I.E. come prova e la prima cosa che mi ha detto è che i programmi (con lunghissimo elenco) installati dopo I.E. potrebbero funzionare male se lo disinstallo (ho poi interrotto la disinstallazione): devo far caso a questo avviso oppure no?

capitolo test.reg
ha fatto varie ricerche su internet in queste settimane, escono alcuni link in inglese, ma non sono riuscito bene a capire a cosa si riferiscono.
Se faccio una ricerca rudante l'utilizzo, non mi visualizza nessun file con questo nome, viene creato mentre si avvia il PC ?
r16
Inviato: Thursday, September 01, 2011 6:28:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
io non ho il collegamento per poi creare il punto di ripristino?

Come no....

Start

Programmi

Accessori

Utilità di sistema

Ripristino configurazione di sistema

Crea un punto di ripristino

Clicca Avanti

Inserisci una descrizione (quello che vuoi)

Clicca Crea e attendi pazientemente la fine delle operazioni.

Commenta:
Ho avviato la disinstallazione di I.E. come prova e la prima cosa che mi ha detto è che i programmi (con lunghissimo elenco) installati dopo I.E. potrebbero funzionare male se lo disinstallo (ho poi interrotto la disinstallazione): devo far caso a questo avviso oppure no?


Ma figuriamoci...Eh?
Lo disistalli, e poi lo reistalli.
Caso mai, creando un punto di ripristino, puoi sempre tornare indietro.

Commenta:
viene creato mentre si avvia il PC ?

E come faccio a saperlo, se il Panda non mi permette di fare le scansioni che vorrei....Think
Se te lo segnala ad ogni riavvio, è possibile che qualche "rimasuglio" sia rimasto.

Commenta:
(anche il mio CD della ComputerDiscount presentava quella cartella i386 ... almeno a qualcosa è servito)

Il mio consiglio, è di copiarti (se nel pc non c'è) quella cartella (i386) nel pc.
Tale cartella contiene tutti i file di sistema del Sistema Operativo.
Potrebbe servire in futuro, se devi sostituire qualche file di vitale importanza.
cerax
Inviato: Friday, September 02, 2011 8:44:57 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
e invece sotto "utilità di sistema" non ho quel pulsante e non è nemmeno ricomparso quando ho fatto la re-installazione dei collegamenti tramite la cartella i386 (che nel PC non c'è, o meglio ce ne sono parecchie, ognuna relativa ai vari aggiornamenti di XP, ma nessuna che mi sembri complera. Ora me la copio)

e il rimasuglio credi che sono "condannato" a tenermelo?

r16
Inviato: Friday, September 02, 2011 9:43:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
e invece sotto "utilità di sistema" non ho quel pulsante

Certo cerax, che quel pc è davvero strano. Anxious
Scarica questo tool : (system restore repair)
http://wikisend.com/download/125776/sysrestorepair-1_1.zip

Scompatta la cartella .zip sul desktop.
Queste sono info per il tool:
http://www.wintricks.it/windxp/xptricks63.html
Oppure:
http://www.ipmart-forum.it/showthread.php?229704-System-Restore-Repair-riparare-il-ripristino-configurazione-di-sistema-ITA

Ha sempre funzionato, ma con il "macinino aziendale" non si sà mai....Whistle
cerax
Inviato: Monday, September 05, 2011 8:37:28 AM
Rank: AiutAmico

Iscritto dal : 5/27/2010
Posts: 102
ciao e buon inizio settimana.

qui ogni giorno c'è una cosa nuova:
(a parte che da 2 giorni quando accendo il PC si aprono delle finestre pubblicitarie di InternetExplorer senza nenache che i oabbia aperto I.E. ne Firefox)
... ma il file che mi hai fatto scaricare non riesco ad aprirlo ne con WinZip ne con WinRAR

mi danno errori nell'archivio ........ boh?
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.