Virus: System tools 2011 e non solo...

[mtguido]

No aspetta, evidentemente non mi sono spiegato. Io l'ho salvato in quel modo ma come ho scritto mi fa questo:

creando il file txt in quel modo si avvia combofix, fa i primi passaggi ma quando inizia a fare la scansione si riavvia il computer subito prima che inizi lo stage 1

Quindi non funzionando ho ripetuto una scansione normale e ho allegato il log di quella normale senza script. Adesso provo con il nuovo codice, vediamo se funziona.

 

[mtguido]

Niente, anche con questo codice mi va in bsod prima che inizi lo stage 1. La stessa bsod che fa se utilizzo combofix senza script, ma che in quel caso mi fa a fine scansione,subito dopo aver rilasciato il log. Ho disattivato il riavvio automatico per controllare la bsod.
L'errore riportato è:

BAD_POOL_HEADER

L'unica cosa che mi viene in mente è che prima di avviarsi combofix mi avvisa che c'è avira attivo. Io in realtà ho disabilitato il guard attivo, l'ombrello è chiuso ma non c'è modo di chiudere avira del tutto, almeno credo.

Che cosa può essere?

 

[R16]

Proviamo a eliminare i rootkit in un'altro modo:
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
http://swandog46.geekstogo.com/avenger.zip
Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\eshtdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\eshtdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\eshtdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\eshtdk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\eshtdk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jnvvziyn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sztpjeshm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sztpjeshm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sztpjeshm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sztpjeshm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sztpjeshm

Togli la spunta da Scan for Rootkit
Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger

 

[mtguido]

Fatto, ecco il log.

Combofix va in bsod come prima...

EDIT: Ho fatto anche le cose consigliate da FDAC, allego i log!

 

[R16]

Combofix va in bsod come prima...

E' possibile che sia danneggiato.

Avenger, comunque li ha eliminati i 3 rootkit.

Segui queste indicazioni:
Disattiva il ripristino configurazione di sistema,

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.

Per eliminare i vari Tooll scaricati: (Combofix)
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Riattiva il ripristino configurazione di sistema.

Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware
http://download.bleepingcomputer.com/grinler/rkill.com

Fai questa scansione:
Scarica SYSTEM SCAN
scaricalo sul desktop
http://www.zeusnews.it/zz_upload/PSV/sys36982.exe.zip
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verrà rilasciato (sempre sul desktop all'interno della cartella suspectfile)un report.

Per postare il log:
Collegati ad internet e vai alla pagina WikiSend: Wikisend: free file sharing service
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

 

[mtguido]

Fatto tutto, ecco il log

Wikisend: free file sharing service

Combifx continua ad andare in bsod!

 

[R16]

Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
http://swandog46.geekstogo.com/avenger.zip
Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Files to delete:
C:\WINDOWS\system32\yhsdnbvx.dll
 
Folders to delete:
C:\Programmi\pdfforge Toolbar
C:\Documents and Settings\Bruno\Impostazioni locali\Dati applicazioni\Cerca_Italia
C:\Qoobox
 
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\jnvvziyn

Togli la spunta da Scan for Rootkit
Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger.

Lascia perdere Combofix per il momento.
Mi sembrava di averti scritto di disistallarlo.

 

[mtguido]

Ecco il log di avenger

 

[R16]

Dimmi come funziona il pc, e quali eventuali problemi riscontri.

 

[mtguido]

Ora sembra funzionare liscio e non da problemi. L'unica cosa è che non mi spiego quella bsod che fa quando provo combofix...hai idea da cosa possa essere causata?

 

[R16]

E' possibile, che trovi dei driver impiegati da software, per l'emulazione di CD/DVD.
Questi driver, vanno in conflitto con Combofix, e causa il bsod.
Puoi provare a disattivarli temporaneamente, così:
Scarica Defogger:
http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Si tratta di un programma che serve per disattivare temporaneamente i driver impiegati da software per l'emulazione di CD/DVD.
Eseguilo, e clicca su "Disable", premi "Yes" per confermare, quindi attendi la fine della procedura.
Defogger può richiedere, un riavvio (reboot ) del pc.

Poi fai un'installazione pulita di Combofix, e prova la scansione.

Per sicurezza, RINOMINA Combofix così:
Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)

 

[mtguido]

Grazie magari quando dovrò riutilizzarlo saprò già dove vedere ma per ora il computer sembra andare bene e lo lascio così. Grazie mille per l'aiuto, anche a FDAC!
Siete stati gentilissimi... ;)

 

[FDAC]

Di nulla.. Siamo qui per questo.. Alla prossima! Ciao! :)

 

[davidvans93]

Qual'è l'antivirus migliore da scaricare?:)

 

[mtguido]

Se intendi per risolvere lo stesso problema che ho avuto io segui tutti i post del thread e fai le stesse cose. Altrimenti se parli di antivirus in generale il migliore gratuito è Avira Free Antivirus.