Allora, cosa posso dirvi per farvi capire...uhmm...mmmm....ieri sera stavo chattando normalmente come sempre e noto che il giorno dopo scade la licenza di prova del mio antivirus, cioè avira e normalmente ho voluto provare Kaspersky, sempre versione di prova fino a quando non parto in vacanza!

 

Prima il pc non dava nessun problema, si accendeva e ci si lavorava e giocava benissimo tranne che proprio ieri cominciano i soliti (blue screen) stando sulla chatt. Vabbè sara qualcosa che me frega e vado a scaricare Kasperky internet security ma ho notato che c'è l'avevo gia scaricato e quindi ho installato, naturalmente togliendo avira e internet...faccio la connessione internet dopo il riavvio l'ho aggiorno e tutto ok. Prima di andare a dormire ho cambiato alcune impostazioni è messo a far lo scan del pc!

 

Il giorno dopo che accendo il pc, noto che Kaspersky aveva rilevato sui 1500 virus + 6000 (circa diciamo) di programmi pericolosi ecc, ma leggendo cosa erano sti virus e programmi mi segnalava, come posso dire, tutto cio che c'è nel disco rigido, tutti i file dell'OS ed altre cose che avevo...sarà normale???

 

Non riuscivo a fare niente, il restore era disalibitato in più tutto il backup effettuato personalmente cancellato, come se non avessi mai fatto un backup, e pure mi è andata l'idea di farlo con Acronis ma non avevo voglia, in più nessun programma non mi andava perchè erano messi sulla black list dei software!

 

Visto che non potevo fare niente dall'OS ho provato con dei software dal safe mode ma nulla, non potevo toccare niente.

 

Ho deciso di formattare il disco e fin qui tutto ok, ma ecco che riescono gli stessi problemi, appena installo programmi mi escono le scritte dopo il riavvio che ci sono errori ecc e quindi non si apre il programma!

 

Se installo un antivirus non fà gli aggiornamenti, come altri programmi se cerco di andare in un sito di antivirus per scan online mi dice che non si apre o che non esiste se faccio ricerca da google mi manda in delle paggine porno, tipo se cerco kaspersky mi escono le russe...non ci capisco più nulla! Appena avvio il pc non è in mio commando, che posso fare?

 

Come posso bloccare ste minnacce se non mi fà utilizzare nulla?

 

Grazie!

 

 

Più che altro la domanda è Che ci facevi con due software antivirus sul pc?

 

Ti è andata bene, meno male che il pc parte ancora e non s'è piantato, non si devono mai installare due antivirus sullo stesso sistema, sia per il fatto che possono provocare enormi problemi di stabilità, sia per il fatto che tra di loro non si vedono molto bene.

 

Hai provato a disinstallare e reinstallare Kaspersky?

 

 

Se installo un antivirus non fà gli aggiornamenti, come altri programmi se cerco di andare in un sito di antivirus per scan online mi dice che non si apre o che non esiste se faccio ricerca da google mi manda in delle paggine porno, tipo se cerco kaspersky mi escono le russe...non ci capisco più nulla! Appena avvio il pc non è in mio commando, che posso fare?

 

Come posso bloccare ste minnacce se non mi fà utilizzare nulla?

 

Grazie!

Russe

 

Lo dico sempre che anche nelle cose negative si può trovare qualcosa di positivo.

 

A parte gli scherzi, com'è possibile che dopo la formattazione ti si ripresenti lo stesso problema?

 

Sono curioso di questo caso, potrei imparare cose molto utili.

 

 

No no, prima ho disinstallato Avira poi messo kaspersky perchè so che dua antivirus non combinano niente! E poi ho provato a disinstallare e installare kaspersky ma l'Windoes installer era una minaccia per kasperksy, ho provato a terminare il processo, cioè chiudere kaspersky, per poterlo disinstallare ma niente!

 

 

Però non capisco perchè dopo la formattazione mi escono sti trojan.

 

Ho provato SuperAntispyware e trova dei trojan, Malwarebyte's antimalware ne trova dei altri, il sonar di norton ne trova altri ancora ma ma di tutti i tipi e la cosa più strana è che posso navigare in internet ecc ma non posso aggiornare l'antivirus o i programmi antispyware e se provo ad andare in qualche sito d iproduttori di antivirus mi blocca la paggina, cioè, il virsu ha gia una sua mentalità è mi chiude le strade!

 

 

Non è un virus, è un worm/trojan, son sintomi fin troppo chiari...prova a dare una passata con FindyKill, oltre ad eliminare Bagle ad esempio, esso provvede anche a...

 

- Pulizia MultiPoint infetti

 

- Ripristino file nascosti

 

- Ripristino modalità provvisoria

 

- Riavvio dei servizi bloccati (es. Zero configuration, Avvisi etc...)

 

• Collega chiavette/hd usb, potrebbe essere benissimo essere infetto
  
• Disattiva il ripristino di sistema
  
• Lancia FindyKill (in modalità admin su Vista), premi E e scegli la lingua inglese
  
• Seleziona la scansione totale con 1, poi invio e attendi che finisca
  
• Una volta finito creerà un log (c:\FindyKil.txt) contenteProcessi Attivi
  
• Processi infettati
  
• Percorsi
  

[*]Ora premi il tasto 2, poi invio per far partire la pulizia, il pc sarà riavviato diverse volte

[*]Dopo il riavvio una schermata chiederà conferma per pulire il pc

[*]Una volta finito troverai il log in c:\FindyKil.txt

[*]NON RIAVVIARE IL PC ANCORA

[*]Fai una scansione con Kaspersky Removal Tool e dopo con ComboFix.

[*]Dopo aver fatto tutto, scansiona con Malwarebytes

 

 

Ok ma questo software lo installo in modalità normale sul windows infettato o tramite safe mode?

 

Poi, i file che mi trovera kaspersky removal tool, potrebbe cancellarmi tutti i file contenenti nella partizione D:? Perchè lì ho tutti i file, documenti, programmi e tantissime cose che utilizzo! Pure questo lo installo normalmente o nel Safe mode?

 

Siccome dopo un altra formattazione mi è venuto fuori lo stesso problema ho pensato che forse formattando la partizione C:, i trojan si memorizzavano nella D: e quindi appena finito che aprivo d: mi venivano fuori sti problemi che mi bloccavano tutto, ho pensato di tolgiere questo disco, mettere un'altro, mettere windows, antivurs e fare aggiornamenti e collegare l'altro per effetuare lo scan, per il momento sul disco nuovo e tutto ok, gli aggiornamenti funzionano e non ho problemi!

 

Se con FindyKill e Kaspesky Removal tool non si fà niente, potrebbe funzionare l'idea di collegare il disco infettato con windows pulito, cioè l'atrlo disco tutto ok, e i tool tutti aggiornati ed anche antivirus come Kasperky e poi effettuare lo scan? Potrebbe funzionare?

 

 

Ok ma questo software lo installo in modalità normale sul windows infettato o tramite safe mode?

Normale, al massimo penserà il programma stesso a ripartire in modalità provvisoria.

Fai una scansione con FindyKill e vedi cosa dice il log, se trova solo alcuni files e processi procedi alla pulizia, poi vediamo come proseguire

 

 

Allora...oggi ho fatto tutto.

 

FindyKill credo ke non aveva trovato niente, kaspersky Rem. tool ne aveva trovati 63 i quali sono stati cancellati al riavvio.

 

Una bella notizia che che adesso sono riuscito ad aggioranre l'antivirus ed entrare nei siti dei produttori di antivirus ma appena fatto l'aggiornamento qualsiasi cosa che provo ad aprire avira mi avisa che è un virus!

 

Mo? Che devo far?

 

 

1. Mmm..ti dice il nome del virus ed è sempre lo stesso?

2. Hai disinstallato e reinstallato Avira prelevando l'ultima versione dal sito?

 

In ogni caso, disinstalla l'antivirus, posta un log di HiJackThis, se risulterà pulito, procedi a reinstallare Avira

 

 

Si è l'ultima versione ed ho fatto un altro scan, 773 virus, precisamente tutti W32/Virut.Gen!

 

Adesso è ritornata la solita storia, nessun programma non funzia perchè infettato e quindi cancellato da avira!

 

Faccio lo stesso uno scan Hijackthis?

 

Comunque il ComboFix non mi va, expriried!

 

Edit: Fatto scan con hijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

 

Scan saved at 18:05:32, on 4/28/2009

 

Platform: Windows XP SP2 (WinNT 5.01.2600)

 

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Boot mode: Normal

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

 

C:\WINDOWS\system32\winlogon.exe

 

C:\WINDOWS\system32\services.exe

 

C:\WINDOWS\system32\lsass.exe

 

C:\WINDOWS\system32\Ati2evxx.exe

 

C:\WINDOWS\system32\svchost.exe

 

C:\WINDOWS\System32\svchost.exe

 

C:\WINDOWS\system32\Ati2evxx.exe

 

C:\WINDOWS\system32\spoolsv.exe

 

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

 

C:\WINDOWS\Explorer.EXE

 

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

 

C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

 

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

 

C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

 

C:\WINDOWS\system32\wuauclt.exe

 

C:\Program Files\M1HS\Modem.exe

 

C:\Program Files\Mozilla Firefox\firefox.exe

 

C:\WINDOWS\system32\wuauclt.exe

 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.live.com/signup.aspx?mkt=en-...rs=12&lic=1

 

O2 - BHO: (no name) - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - (no file)

 

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

O4 - HKLM\..\Run: [iAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe

 

O4 - HKLM\..\Run: [six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r

 

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

 

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\rgvtf.exe (User 'SYSTEM')

 

O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\rgvtf.exe (User 'SYSTEM')

 

O4 - HKUS\.DEFAULT\..\Run: [] C:\WINDOWS\TEMP\rgvtf.exe (User 'Default user')

 

O4 - Startup: is-S6M3B.lnk = C:\Documents and Settings\Hello Yje\Desktop\Virus Removal Tool\is-S6M3B\startup.exe

 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{07CF223E-D192-42F2-9640-6D3C4268D702}: NameServer = 213.230.129.94 213.230.128.222

 

O17 - HKLM\System\CS1\Services\Tcpip\..\{07CF223E-D192-42F2-9640-6D3C4268D702}: NameServer = 213.230.129.94 213.230.128.222

 

O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll

 

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

 

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

 

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

 

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)

 

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe

 

--

 

End of file - 3304 bytes

Iniza a fixare questi con HijackThis queste righe

------------------------------------------------------------------------------

1. O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\rgvtf.exe (User 'SYSTEM')

2. O4 - HKUS\S-1-5-18\..\Run: [Windows Resurections] C:\WINDOWS\TEMP\rgvtf.exe (User 'SYSTEM')

3. O4 - HKUS\.DEFAULT\..\Run: [] C:\WINDOWS\TEMP\rgvtf.exe (User 'Default user')

------------------------------------------------------------------------------

 

W32/Virut.Gen è una variante poco pericolosa e di scarsa propagazione di W32/Virut, disinstalla Avira e fai una scansione con Kaspersky online scanner, così siamo sicuri che non venga intaccato l'antivirus sul sistema.

 

Ti avviso però che è molto probabile che tu possa perdere molti files, anche se vedendo il lato positivo, è andata già bene che non hai perso tutto

 

Ti si presenta ogni tanto la schermata che ti avvisa di file Win32 non valido?

 

 

Di, speriamo che non perdo i più importanti poi vedro!

 

La cosa che mi fà arrabbiare di più è che da tempo volevo fare una copia di tutti i file in un altro disco perchè me lo sentivo che qualcosa sarebbe successo ed adesso eccoci qua!

 

Per schermata non mi esce ancora niente di Win32 non valido, solo avisi da parte di avira!

 

Comunque toglo avira, e vado sul sito senza antivirus giusto? (sempre se va)

 

 

Comunque toglo avira, e vado sul sito senza antivirus giusto? (sempre se va)

Esattamente, ci metterà un bel pò immagino, ma almeno siamo sicuri al 100% che l'antivirus non venga pilotato dal virus

 

Ok, lo faccio subito!

 

 

Allora, la scansione non riesco a farla, cioè ho gli aggiornamenti terminano prima perchè internet non va avanti o durante gli aggiornamenti o la scansione la pagina, usata sia con IE sia con Firefox, si chiude è quindi devo ricominciare da capo!

 

Ci riprovo?

 

Prima era arrivato sul 82% della scansione totale ed aveva trovato solo un trojan downloader win 32 credo o qualcosa del genere!

 

 

Combofix ti da quell'errore all'avvio o proprio non riesci a scaricarlo? Fai un giro anche con VundoFix.

 

Mannaggia...mannaggia...è un bel casotto...hai il pc combinato parecchio male.

 

 

Combofix c'è l'ho gia solo che mi dice che è scaduto!

 

Comunque adesso provo a fare uno scan online di Bitdefender e poi riporovo subito con Kasperky!

 

Visto che ho un altro disco con windows pulito ecc, se metto Kasperky lì, aggiorno, e poi collego quest'altro disco che formatto la C: e faccio lo scan potrebbe funzionare?

 

Perchè da come ho capito appena metto windows ed accedo nella partizione D: dove ho tutti i file programmi ecc mi viene fuori sto casino, quindi ho pensato che se metto l'altro disco, aggiorno kaspersky 2009, ricollego questo infettato e faccio scan credo che possa funzionare o no?

 

Edit: Bitdfender ha finito....11secondi... ....0 virus/malware ed altre cose!

 

Mo riporvo con Kaspersky!

 

 

Che vuol dire scaduto? E' un tool, non ha scadenza

 

Riscaricalo, il worm potrebbe aver bloccato l'uso di vari tool

 

Si, puoi collegare i dischi ad un'altra installazione di Windows, dove in teoria con un antivirus aggiornato dovresti riuscire a pulire i dischi senza problemi.

 

 

Kaspersky ne ha trovato solo uno ma sta per finire. Dopo che ha finito installo subito un antivirus o faccio qualcos'altro?

 

Ecco il risultato:

 

 

Riavvia in modalità provvisoria e lancia SmitfraudFix.

 

 

Fatto!

 

 

SmitFraudFix v2.412

 

Scan done at 23:13:52,32, Tue 04/28/2009

 

Run from C:Documents and SettingsHello YjeDesktopSmitfraudFix

 

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

 

The filesystem type is NTFS

 

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:WINDOWSSystem32smss.exe

 

C:WINDOWSsystem32winlogon.exe

 

C:WINDOWSsystem32services.exe

 

C:WINDOWSsystem32lsass.exe

 

C:WINDOWSsystem32svchost.exe

 

C:WINDOWSsystem32svchost.exe

 

C:WINDOWSExplorer.EXE

 

C:Documents and SettingsHello YjeDesktopSmitfraudFixPolicies.exe

 

C:WINDOWSsystem32cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS

 

»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem

 

»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb

 

»»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32

 

»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsHello Yje

 

»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1HELLOY~1LOCALS~1Temp

 

»»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsHello YjeApplication Data

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

»»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1HELLOY~1FAVORI~1

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

»»»»»»»»»»»»»»»»»»»»»»»» C:Program Files

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents\0]

 

"Source"="About:Home"

 

"SubscribedURL"="About:Home"

 

"FriendlyName"="My Current Home Page"

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

 

!!!Attention, following keys are not inevitably infected!!!

 

o4Patch

 

Credits: Malware Analysis & Diagnostic

 

Code: S!Ri

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

 

Credits: Malware Analysis & Diagnostic

 

Code: S!Ri

 

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

 

!!!Attention, following keys are not inevitably infected!!!

 

Agent.OMZ.Fix

 

Credits: Malware Analysis & Diagnostic

 

Code: S!Ri

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

 

Credits: Malware Analysis & Diagnostic

 

Code: S!Ri

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 

!!!Attention, following keys are not inevitably infected!!!

 

404Fix

 

Credits: Malware Analysis & Diagnostic

 

Code: S!Ri

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

 

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

 

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]

 

"AppInit_DLLs"="c:progra~1ThunMailtestabd.dll"

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

 

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

 

"Userinit"="C:WINDOWSsystem32userinit.exe,"

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

 

"System"=""

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

 

Ho reinstallato avira e adesso faccio un altro scan per vedere se trova qualcosa!

 

EDIT

 

Aggioranto avira e fatto un nuovo scan:

 

 

 

 

 

Credo che ormai sia tutto ok, no?

 

 

Bella domanda, non appena puoi scansione i dischi esterni su un altro pc, così avrai la certezza

 

 

Ok, allora doma monto l'altro disco che è pulito e faccio scan, ma che antivirus uso per essere sicuro?

 

Se il risultato che mi dara sara positivo che è tutto ok, formatto la partizione C:, cosi monto tutto dall'inizio e metto subito un antivirus prima dei driver ecc, ma che prodotto scelgo? Kaspersky? Avira non posso più usarlo credo perchè ho gia usato la versione prova!

 

 

Se formatti il timer non ci sarà e andrà per altri 30 giorni

 

 

Se formatti il timer non ci sarà e andrà per altri 30 giorni

Mmm...mmm...questa mi è nuova!

 

Comunque provero Kasperky e Norton e vi farò sapere!