[problema] virus ATRAPS GEN mentre navigavo!!!!

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
Ciao a tutti.
Ciao R16, scusami tanto, ti sarei grato se potessi aiutarmi di nuovo.
Ora sto scrivendo bootato col CD RESCUE di Kaspersky che ha anche un suo browser, mentre sta scansionando...

Premessa:
Dopo l`ultimo episodio il PC era pulitissimo.
E come se non bastasse pochi giorni fa ho aggiornato il MBAM e l`ho lanciato dalla modalita` provvisoria. Ha trovato ZERO infezioni.
PULITO!


Cosa è successo:

Oggi pomeriggio stavo navigando con firefox portable.
Avevo aperte 6 schede:
Gmail
4 pagine ebay
google

Stavo scrivendo una email con gmail, e mi serviva di trovare una citazione di Ovidio. L`ho cercata con la finestra di Google, e l'ho trovata subito: il primo sito che ho beccato l'ho aperto.
Dopo pochi secondi è successo quanto segue:

il pc e` diventato lentissimo
AVIRA mi ha fatto 2 rilevamenti, ogni volta annunciati dal consueto beep, entrambe le volte TR ATRAPS GEN

Ecco il report di tutti i rilevamenti di AVIRA ANTIVIR:

Codice:
Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Trasmissione allo scanner


Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\80000000.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen' [trojan].
Azione eseguita: Nega accesso


Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Nega accesso


Nel file 'C:\Documents and Settings\pc_papa\Impostazioni locali\temp\c11343a0e0d11d01.exe'
è stato rilevato un virus o programma indesiderato 'TR/Drop.Daws.atlz' [trojan].
Azione eseguita: Nega accesso


Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso


Trovato un virus o un programma indesiderato 'TR/ATRAPS.Gen2'[trojan]  nel file  'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'.  Azione eseguita: Il file è stato spostato in quarantena con il nome  '52079f0d.qua'!


Nel file 'C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U\800000cb.@'
è stato rilevato un virus o programma indesiderato 'TR/ATRAPS.Gen2' [trojan].
Azione eseguita: Nega accesso



Mi si e` di nuovo aperta la finestrella gialla vicino all-orologio di Windows in basso a destra, con lo scudo rosso. Solo che stavolta anzichè dirmi che il firewall era disattivo, invitandomi a cliccare per riattivarlo, mi ha detto che l'antivirus non era aggiornato e che dovevo aggiornarlo (non e` vero, era aggiornato).
(L'altra volta ci cascai, cliccai sopra per riaprire il firewall e mi usci una finestra di windows che mi diceva di attivare un servizio e cliccai ok).

Stavolta non ci sono cascato e non ci ho cliccato sopra: ho ignorato la finestrella gialla.
Nel frattempo avira mi ha informato che era stato negato l'accesso ad entrambi gli elementi ritrovati, e stava facendo la solita sua barretta di scorrimento...
poi li ha messi in quarantena.

Come se niente fosse: anche se stavolta non ho cliccato, mi e` apparsa di nuovo la finestra di windows: solo che stavolta anziche` chiedermi di avviare un servizio, mi diceva tutto un altro messaggio in inglese circa virus pericolosi e che dovevo premere ok per fare pulizie varie....
NON HO PREMUTO NIENTE, NON HO CONFERMATO.

Ho premuto il tasto STAMP perchè volevo incollare in un file jpg da farti vedere lo screenshot... ho provato a lanciare PAINT piu volte, ma niente... non partiva....

All'improvviso si è chiusa la finestra di avviso suddetta COME SE AVESSI CLICCATO SU OK ed e` partito tutta una bella schermata di un FALSO antivirus: era fatto molto bene! bE ho notato che aveva creato un collegamento su desktop, con una bella icona con una sorta di scudo molto ben fatta! Tutto senza che io cliccassi mai nulla!!!

La falsa scansione è partita, ho fatto di nuovo PRINT per farvi lo screenshot, ma non c'era verso di far partire PAINT.
La falsa scansione avanzava e trovava una marea di virus di tutti i tipi (sicuramente dopo mi avrebbero invitato a comprare qualche antivirus fasullo).

Il FINTO antivirus si chiama:

Live Security Platinum

con uno scudo diviso in 4 aree. Fatto molto bene.
Pensavo potesse aiutarvi questo indizio.

Allora vedendo che non partiva PAINT ho fatto CTRL ALT CANC per riavviare il sistema in mod. provvisoria.
NIENTE! come appariva l'iconcina verde di Task Manager vicino all'orologio si richiudeva IMMEDIATAMENTE!
Questo bastardo non mi faceva partire nemmeno il task manager!



Cosa ho fatto per cercare di rimediare:

Allora ho pigiato fisicamente il tasto principale del CASE che nelle settings che è impostato per arrestare il sistema e spegnere.
Poi cosa ho fatto, ho ricliccato il pulsantone del CASE e appena ha ridato corente ho premuto il RESET fisico (pensavo che fosse in standby).

Avevo troppo timore di far partire windows, anche in modalità provvisoria, allora ho messo subito il CD RESCUE di BIT DEFENDER e ho avviato con quello.
Ha fatto l'aggiornamento e ha scansionato.
La cosa che mi preoccupa e che NON HA TROVATO NULLA!
Pensavo: perche` Avira li ha messi in quarantena.
Invece no! Perche` la volta precedente il CD di BIT DEFENDER mi ha trovato i virus nelle cartelle di quarantena di Combofix e ANCHE DI AVIRA!!!! IN quelle di avira era proprio l'ATRAPS GEN!!! Mentre stavolta non ha trovato nulla (né nell'hard disk né in quarantena).

La cosa mi ha preoccupato non poco, percio finita la scansione ho riavviato col CD RESCUE di Kaspersky (lo avevo preparato l'altra volta, ma mai usato).
Gli ho fatto scaricare gli aggiornamenti, ed eccomi qua: sta scansionando il PC, mentre scrivo col suo browser.


RILEVAMENTI DI KASPERSKY RESCUE CD:

Codice:
7/26/12 2:06 PM    Detected    Trojan program Exploit.Java.CVE-2012-0507.hl    C:/Documents and Settings/pc_papa/Dati applicazioni/Sun/Java/Deployment/cache/6.0/18/61a3b452-213a04a0//ta/ta.class    High    
7/26/12 2:06 PM    Detected    Trojan program Exploit.Java.CVE-2012-0507.gk    C:/Documents and Settings/pc_papa/Dati applicazioni/Sun/Java/Deployment/cache/6.0/18/61a3b452-213a04a0//ta/er.class    High    
7/26/12 2:49 PM    Detected    Trojan program Trojan-Dropper.Win32.Daws.atlz    C:/Documents and Settings/pc_papa/Impostazioni locali/temp/c11343a0e0d11d01.exe    High    
7/26/12 3:04 PM    Detected    Trojan program Trojan.Win32.Dm.ase    C:/WINDOWS/system32/Tools/Hide.exe    High    
7/26/12 3:07 PM    Detected    Trojan program Trojan.Win32.Small.bmrh    C:/WINDOWS/Installer/{aab85f03-0712-ff1d-13bf-acc5ff22cc30}/U/80000000.@    High    
7/26/12 3:07 PM    Detected    Trojan program Trojan.Win32.Zapchast.adge    C:/WINDOWS/Installer/{aab85f03-0712-ff1d-13bf-acc5ff22cc30}/U/800000cb.@    High

Alla fine glieli ho fatti CANCELLARE tutti (niente quarantena, gli ho fatto eliminare tutto!!!!).


Altre operazioni che ho fatto:

1) Ora, approfittando che da questo Rescue CD posso anche navigare, ho appena scaricato ComboFix su desktop dell'hard disk direttamente rinominando il file exe

2) ho scaricato l'aggiornamento offline di MBAM.

3) Riavviato Windows in modalità provvisoria e fatto fare una scansione con MBAM (lanciando prima il file di aggiornamento, sempre offline dalla modalità provvisoria).

MBAM ha finito la scansione: Ammazza quanta roba ha trovato!
Il PC era pulitissimo, MBAM dava ZERO 2-3 giorni fa!
E' possibile che questo sito aperto oggi, IN POCHI SECONDI, mi ha messo tutta sta robaccia sul computer???

RILEVAMENTI DI MBAM:

Codice:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Versione database: v2012.07.23.08

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria)
Internet Explorer 8.0.6001.18702
pc_papa :: PCPAPA [amministratore]

26/07/2012 16.28.35
mbam-log-2012-07-26 (18-12-15).txt

Tipo di scansione: Scansione completa (C:\|D:\|J:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro |  File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 353551
Tempo impiegato: 1 ore, 42 minuti, 50 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security  Platinum (Trojan.LameShield) -> Nessuna azione intrapresa.

Valori di registro rilevati: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|036DFF982372DD5C004FC5657B07D287  (Trojan.LameShield) -> Dati: C:\Documents and Settings\All  Users\Dati  applicazioni\036DFF982372DD5C004FC5657B07D287\036DFF982372DD5C004FC5657B07D287.exe  -> Nessuna azione intrapresa.

Voci rilevate nei dati di registro: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32|  (Trojan.Zaccess) -> Cattivo:  (\\.\globalroot\systemroot\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n.)  Buono: (wbemess.dll) -> Nessuna azione intrapresa.

Cartelle rilevate: 1
C:\Documents and Settings\pc_papa\Menu Avvio\Programmi\Live Security  Platinum (Rogue.LiveSecurityPlatinum) -> Nessuna azione intrapresa.

File rilevati: 6
C:\Documents and Settings\All Users\Dati  applicazioni\036DFF982372DD5C004FC5657B07D287\036DFF982372DD5C004FC5657B07D287.exe  (Trojan.LameShield) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Impostazioni locali\Dati  applicazioni\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n (RootKit.0Access)  -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Impostazioni locali\temp\857.tmp (Trojan.LameShield) -> Nessuna azione intrapresa.
C:\WINDOWS\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\n (RootKit.0Access) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Desktop\Live Security Platinum.lnk  (Rogue.LiveSecurityPlatinum) -> Nessuna azione intrapresa.
C:\Documents and Settings\pc_papa\Menu Avvio\Programmi\Live Security  Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) ->  Nessuna azione intrapresa.

(fine)

Gli ho fatto eliminare tutto e riavviare subito il PC.
Premetto che fino ad ora ho riavviato solo con i Rescue CD ed ora con questa modalità provvisoria, mai in modalità normale.


Ulteriori operazioni fatte:

4) Riavviato in modalità NORMALE gli ho lanciato subito il combofix (scaricato prima dal browser del Kaspersky Rescue CD e salvato su desktop del PC direttamente con nome del file modificato).

Questo è il log del Combofix che ha appena finito:


log - 26 lug 2012 - ore 20_00.txt



Precisazione finale:

Stavolta il PC era pulito e il sito me lo ricordo molto bene. Quindi so anche quale sito e` che mi ha messo il virus. So esattamente la pagina del sito (raggiunta tramite google):
www . atma-o-jibon . org/italiano2/imitazione_di_cristo13 . htm
(ho reso l'url non cliccabile per evitare che qualche poveretto ci clicchi accidentalmente su e si rovini il PC)


Domande:

1) Che faccio ora?


GRAZIE A TUTTI!!!!

(domande meno importanti, solo per curiosità, quella che mi interessa di più è come procedere ora):

2) Possibile che senza aver mai cliccato sui messaggi del virus, senza aver mai confermato, con tutto che AVIRA ha rilevato, negato l'accesso e messo in quarantena, possibile che è riuscito ad avviarsi, ad installare quel falso antivirus, a creare il link su desktop, a farlo partire....

3) ma è possibile che riescono a fare il bello e il cattivo tempo nei pc protetti da antivirus SENZA CHE L'UTENTE CLICCHI SU NESSUNO DEI LORO TRABOCCHETTI????

4) Inoltre, se non c`è bisogno di cliccare, e partono ugualmente, allora che li fanno a fare i trabocchetti per farci cliccare sopra, tanto li fanno partire ugualmente!!!!
 
Ultima modifica:

vic20

Utente Attivo
64
1
Stavo scrivendo una email con gmail, e mi serviva di trovare una citazione di Ovidio. L`ho cercata con la finestra di Google, e l-ho trovata subito: il primo sito che ho beccato l-ho aperto. (scusami ma qui c-e` la tastiera inglese, e` un caos).
ti conviene installare siteadvisor e mettere un dns norton anti malware e pishing, aiuterebbe.
solo per aver fatto una ricerca con google ed aver aperto un sito avg mi ha bloccato 3 virus.
io ho fatto una scansione in provvisoria disattivando il ripristino configurazione. ci sono anche i cd tipo avg rescue cd ecc. :)
 
  • Mi piace
Reazioni: AriesMu

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
Poco fa il PC si è bloccato di nuovo: tutto congelato, anche la freccetta del mouse immobile; niente lucetta se premevo caps lock; niente ctrl-alt-canc.
Provato a spegnere (premendo il tasto principale del case è impostato sull'arresto del sistema): niente.
Ho dovuto tenerlo premuto i soliti 4-5 secondi e spegnerlo.

Da quando avevamo fatto la pulizia la volta scorsa, non lo aveva più fatto!
Quindi temo che qualche malware della nuova infezione di ieri sia ancora presente, nonostante le procedure che ho fatto (elencate sopra).
Purtroppo io non so leggere i log di Combofix, né fare le stringhe in txt di Combofix o OTL.

Le mie capacità si fermano qui.
Grazie.
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Certo che non ti fai mancare niente in fatto di virus.:look:

Segui questa procedura:
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
http://download.bleepingcomputer.com/farbar/FRST.exe

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Scegli Modalità provvisoria"Prompt dei Comandi".
Seleziona il tuo account
Nel Prompt Dei Comandi digita notepad e clicca Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.


Per postare il log:

Collegati ad internet e vai alla pagina WikiSend:
Wikisend: free file sharing service
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
 
Ultima modifica:
  • Mi piace
Reazioni: AriesMu

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
Ciao grazie mille.
Ho formattato la pennetta in un PC pulito con una versione full di Avira.
Prima formattazione veloce.
Poi quella completa.
Poi qui al mio PC infetto sono partito col KASPERSKY RESCUE CD che ha il browser.

Sono entrato qui nel forum e ho scaricato il file frst.exe dal link che mi hai indicato (per non entrare proprio in windows, per sicurezza) e l'ho salvato sulla pennetta formattata.
Poi ho riavviato il sistema direttamente in mod. provvisoria prompt dei comandi e fatto come mi hai detto.

Salvato il log, non sono mai passato da Windows in modalità normale: ho riavviato col CD di kaspersky, ed eccomi qui col suo browser per caricarti il log.

Purtroppo wikisend mi dà i numeri come l'altra volta, impossibile usare sia l'account che mi creai, sia uno nuovo creato adesso (non c'entra il browser di Rescue CD, l'altra volta ero in windows, provai di tutto).

Uso di nuovo wikifortio che mi avevi consigliato:

FRST.txt

fatto.

Così la pennetta pulita non la metto proprio in windows modalità normale.

Grazie ancora.

- - - Updated - - -

PS: scusa ho bisogno di sapere una cosa - è un dubbio che mi assilla.
Ma nel mentre che risolviamo, il PC lo posso usare, oppure se lo uso i virus cambiano qualcosa (ad esempio nei loro nomi cartelle o file) e quindi poi quando tu mi fai fare le stringhe correttive (ad esempio di frst) la situazione è cambiata rispetto a quando ho uploadato il file log e quindi la strategia non è più efficace?
Grazie (nel dubbio ora ho avviato di nuovo da CD, per non rischiare).
 
Ultima modifica:

vic20

Utente Attivo
64
1
dopo tanti anni di navigazione sono rimasto stupefatto da come solo aprendo una pagine web di un sito malevolo e ce ne sono tantissimi. si prendono virus che a volte non si riescono a debellare.
aprendo una pagina web avg ha bloccato 3 virus, ma notepad .exe non e' riuscito a sostituirlo per cui per sicurezza ho ripristinato l' immagine originale ed ora evito quel sito.
quando vedo che ci vogliono troppe ore per eliminare i virus ripristino l' immagine.
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Scarica il file nella pendrive:

Wikisend: free file sharing service

Avvia nuovamente FRST,ma questa volta clicca sul pulsante fix .
Il tool creerà un log sulla flashdrive (Fixlog.txt)
Postalo qui.

Poi:
In modalità normale:
Fai una scansione completa con Malwarebytes. (ricorda prima di aggiornarlo)
Elimina quello che trova.
Se ti richiede di riavviare il pc :acconsenti.
Posta il log.

Ma nel mentre che risolviamo, il PC lo posso usare
No.
Durante la bonifica, non lo usare.
Limitati a entrare solo inquesto sito.
 
  • Mi piace
Reazioni: AriesMu

Vince182

Utente Attivo
170
4
CPU
Pentium(R) Dual-Core CPU E6300 @ 2.80 GHz
Scheda Madre
ASUS P5QPL-AM
HDD
SSD 850 EVO 250 GB / Seagate HDD 425 GB
RAM
4GB Kit DDR2 2x2GB - Corsair Dominator 1066mhz 5-5-5-15
GPU
Intel(R) G41 Express Chipset Family
Audio
Dispositivo High Definition Sound
Monitor
Acer X223W
PSU
SUNNY TECHNOLOGIES ATX -500-08 (total power on +3,3V&+5V + is 140W max)
OS
Windows 7 Home Premium
dopo tanti anni di navigazione sono rimasto stupefatto da come solo aprendo una pagine web di un sito malevolo e ce ne sono tantissimi. si prendono virus che a volte non si riescono a debellare.
aprendo una pagina web avg ha bloccato 3 virus, ma notepad .exe non e' riuscito a sostituirlo per cui per sicurezza ho ripristinato l' immagine originale ed ora evito quel sito.

Anche io non ho mai visto una cosa simile.


quando vedo che ci vogliono troppe ore per eliminare i virus ripristino l' immagine.

A volte non è possibile ripristinare l'immagine, come nel caso di @AriesMu
 

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
Fatto.

Ecco il log:

Codice:
Fix result of Farbar Recovery Tool (FRST written by Farbar) Version: 25-07-2012 01
Ran by pc_papa at 2012-07-28 13:35:01 Run:1
Running from L:\

ATTENTION: THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

==============================================

C:\Windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30} moved successfully.
C:\Windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\L not found.
C:\Windows\Installer\{aab85f03-0712-ff1d-13bf-acc5ff22cc30}\U not found.

==== End of Fixlog ====

aggiornato MBAM e ora avvio scansione....

grazie ancora e a presto.
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Finita la scansione con Mbam, eliminato quello che ha trovato, e postato il log, esegui quest'altra scansione:

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.


Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Dimenticavo:
Prima della scansione con OTL, vai in "installazione Applicazioni e rimuovi TUTTE le versioni Java che trovi.
Esegui una pulizia con CCleaner. (registro compreso)
Scarica l'ultima versione di Java:
Download gratuito del software Java
 
Ultima modifica:
  • Mi piace
Reazioni: AriesMu

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
OK fatto!
MBAM non ha trovato proprio niente.
Quindi non mi ha fatto nemmeno il log.

Ora procedo e ti aggiorno...

- - - Updated - - -

Fatto anche OTL.

Ancora wikisend mi dà i numeri, non mi fa nemmeno loggare!

Allego i due log con wikifortio:

OTL.Txt

Extras.Txt

fatto.

- - - Updated - - -

oooppss.... pensandoci bene....

ma dovevo solo "scaricare" l'installer dell'ultima versione di Java... o anche installarlo?

Prima di fare OTL.... l'ho installato.... :look:
 

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Il log è pulito.
Clicca sull'icona di OTL che trovi sul tuo desktop .

Clicca su Cleanup.

Si disistallerà correttamente sia Combofix che lo stesso OTL.

Ti chiederà il riavvio del pc: acconsenti.

Disattiva il ripristino configurazione di sistema:

Attivazione e disattivazione di Ripristino configurazione di sistema in Windows XP

Pulisci i files temporanei con CCleaner (registro compreso)
Olimpo Informatico :: Leggi argomento - [UTILITY] Windows Tips & Tricks

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Svuota il cestino.

Fai uno ScanDisk e una deframmentazione.

Riattiva il ripristino configurazione di sistema.
 
  • Mi piace
Reazioni: AriesMu

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
grazie procedo subito...


- - - Updated - - -

Dopo aver fatto l'ennesima bonifica, oltre a ringraziarti nuovamente, vorrei farti un paio di domande che nascono "spontanee" dopo esperienze così negative:

Mi ha molto colpito la tua frase: "il miglior antivirus è tra la sedia e la tastiera". E' infatti utopico sognare un antivirus che riesca a bloccare tutto. Così come non si può ingolfare il PC con 2-3 prodotti con protezione realtime attiva contemporaneamente.
Perciò la tua esortazione mi aveva molto "motivato" a stare con gli occhi aperti. Ed avevo accettato appieno gli ingredienti: un buon antivirus + molta attenzione di chi sta "sulla sedia".
Così ho fatto: evitare siti pericolosi (pornografici, di programmi crack, ecc... - e non solo per rischi virus e legali, ma anche per motivi etici); fare sempre attenzione a dove si clicca; evitare il click/ok selvaggio... ecc...
Tuttavia, semplicemente facendo una innocua ricerca su google, cercando un innocuo autore antico ed aprendo la prima innocua pagina testuale del primo sito "filosofico" capitato a tiro (chi avrebbe mai potuto immaginare che fosse così infetto??), è successo tutto quello che è successo.
Ora io la mia parte l'ho fatta:
- buon antivirus
- evitato siti pericolosi
- la sentinella di avira mi ha avvisato e ha fatto "nega accesso" ai virus
- ho evitato il click selvaggio:
* sul primo avviso (falso) che dovevo cliccare per aggiornare l'antivirus NON HO CLICCATO
* sul secondo avviso (falso) che dovevo cliccare OK per risolvere dei virus NON HO CLICCATO

Ciononostante ha fatto tutto da solo: si è come "auto cliccato", si è installato da solo il finto antivirus Live Security Platinum, è partita da sola la falsa scansione.... E meno male che nel mentre ho arrestato il sistema e poi ho riavviato direttamente coi CD per fare le scansioni (chissà cos'altro avrebbe combinato se l'avessi lasciato finire).

Perciò la prima domanda è:

1) Cos'altro avrei potuto fare che non ho fatto (o non fare che ho fatto)? A questo punto mi viene il timore/sospetto di dover cambiare antivirus.

Cioè se i fattori fondamentali sono:
- la persona che usa il PC
- e l'antivirus

Se la prima ha fatto tutto come doveva e il PC in pochi giorni si è infettato di nuovo, la parte lacunosa è la seconda.
Cosa mi consigli?


Passiamo alle email.
Io le controllo sempre da web, senza mai scaricarle in alcun client.
Ma qui a casa altri usano outlook express, ed arriva sempre tanta monnezza.
Gli ho spiegato di non fare doppio click mai. Di muoversi nell'elenco della posta in arrivo, di spostarcisi col cursore sopra, far apparire solo l'anteprima nel riquadro in basso e di premere CANC. Poi ogni tanto di svuotare il cestino.
Perciò:

2) così c'è comunque rischio? Se arriva un'email infetta, il virus si propaga anche solo con la preview di outlook express?

3) questi antivirus gratuiti (avira, avg...) scansionano pure le email oppure no, e quindi con le email scaricate in outlook express è come se non avessimo alcun antivirus?

4) hai un consiglio su come proteggerci su questo aspetto?


Grazie!
 
Ultima modifica:

R16

Utente Èlite
2,307
425
CPU
boh
Scheda Madre
boh
HDD
boh
RAM
boh
GPU
boh
Audio
boh
Monitor
boh
PSU
boh
Case
boh
OS
boh
Fai come vuoi, per lo ScanDisk.
Io uso Auslogics disk defrag (rigorosamente portable). Mi consigli altro?
Và bene anche quello.
Dimmi come funziona il pc, e quali eventuali problemi riscontri.

Tuttavia, semplicemente facendo una innocua ricerca su google, cercando un innocuo autore antico ed aprendo la prima innocua pagina testuale del primo sito "filosofico" capitato a tiro (chi avrebbe mai potuto immaginare che fosse così infetto??), è successo tutto quello che è successo.
Non puoi farci niente.
Queste cose, succedono e basta.
Alle volte, dopo una bonifica, ci si reifetta subito, altre volte possono passare anni.
E' solo casualità (io la chiamo sfortuna)
Certo che, un conto è andare in cerca di rogne, e altro è che ti capitino senza alcuna colpa.
Si deve convivere anche con queste cose.

questi antivirus gratuiti (avira, avg...) scansionano pure le email oppure no
Avira free non scansiona in automatico le E-Mail.
Le E-Mail sospette, le devi scansionare manualmente, cliccandoci sopra con il tasto destro, e scegli "scansiona con l'antivirus"
 
Ultima modifica:
  • Mi piace
Reazioni: AriesMu

AriesMu

Utente Attivo
113
5
CPU
Intel Pentium E2200
Scheda Madre
ECS G31T-M7 - socket 775
HDD
Disco1: Maxtor STM3160215A 160 GB (OS + dati) *** Disco2: Maxtor STM3250310AS - 250 GB (Backup)
RAM
2x1 GB DDR2 PC2-6400 400 MHz (DDR2 800)
GPU
NVidia GeForce 8400 GS 512 MB
Audio
Via High Definition Audio
Monitor
Asus VW196
PSU
?
Case
Midtower
OS
Windows XP Professional 32 bit
OK.

Quanto alle email purtroppo nel mio outlook express se clicco destro su una email non c'è alcuna opzione di scansione di Avira...


Quanto al PC, mi sembra che va meglio, più veloce; a parte quando lo accendo, ma questa è una costante da anni: servono 5-10 minuti in totale affinché sia operativo. Anche quando carica tutto e si apre l'ombrellino, ha bisogno di svariati minuti di "assestamento" prima di essere capace di rispondere ai comandi (infatti non lo spengo quasi mai, lo metto sempre in standby). Ma questo accade da sempre, quindi non penso centrino le recenti infezioni. Al contrario dopo l'ultima infezione era diventato proprio piantato anche durante l'uso, invece ora mi sembra che si sia proprio ripreso.

Per il resto tutto ok.
A parte qualche episodio di esitazione del puntatore del mouse che prima non faceva (prima a volta impazziva). Ma è un mouse vecchissimo Labtec proprio da 2 soldi, penso che sia questo.


Infine, per accelerare eventuali future scansioni, ho provveduto a disinstallare tutte le cartelle invisibili $NtUninstall e $NtServicePackUninstall sotto \Windows.
Però per sicurezza ne ho fatto prima un backup in un file RAR protetto con password (che cripta anche le info sui file): così gli antivirus non possono entrarci dentro per scansionarlo. Quelle cartelle e file mi portavano via sempre molto tempo nelle scansioni.
Solo che questo lavoro l'ho fatto dopo le prime pulizie "di base" che avevo fatto col Kaspersky Rescue CD e col MBAM da modalità provvisoria e poi il Combofix lanciato normalmente.
Ma non avevamo ancora fatto le procedure col FRST che mi hai fatto fare.
Secondo te c'è il rischio che nel file RAR criptato ci sia finito qualche virus, oppure quelle cartelle di norma non vengono infettate (considerando che comunque Kaspersky, MBAM e Combofix le avevano passate già in rassegna)? Non ti chiedo di essere onnisciente, è solo per sapere un tuo parere. Perché se secondo te conviene, lo cancello proprio (tanto non penso che avrò mai bisogno di disinstallare degli upgrade o il servicepack 3).
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!