Olimpo Informatico

Ho appena finito la scansione online dell'intero sistema con Kaspersky AV, come mi avevi suggerito: non ha trovato nulla.

Te ne accludo il log:

KASPERSKY ONLINE SCANNER REPORT
Tuesday, July 1 ...

EDIT BY HOLIFAY: mi spiace ma ho modificato per errore il tuo post Embarassed

Ne ho recuperato solo una parte...

ARP CACHE viewer: ecco le informazioni. Sono quelle che volevi?
Link Optimizer:
in Ad ...

@ HOLIFAY

ARPCACHE: che genere d'informazioni vorresti?

@ HOLIFAY

Eccoti il mio report:
- il file C\hiberfil.sys è stato rigenerato dal sistema, identico a prima. Ho cancellato il backup di Avenger
- con un lavoro piuttosto lungo con Avenger ho cancel ...

Scusa: sto usando una tastiera francese e faccio pasticci.
Intendevo dirti che il Trj probabilmente nascondeva il riferimento a LinkOpt.
Adesso che è annichilito la cosa é venuta fuori.
A presto e ...

No, carissima Holifay, non abbiamo mai parlato di LinkOpt, ed io non ho mai controllato l)elenco Software di Win.

Del resto, all'inizio della nostra caccia non sapevamo della correlazione del nostr ...

Il File Hiberfil.sys ha 507 Mb in originale e circa la metà compresso. Secondo me è il file d'ibernazione, che è più o meno grande come la RAM di sistema.
Tra l'altro, alla scansione con Avast questo ...

Ecco GMER LOG ridotto (show all deselezionato) come volevi.
Rispetto alla scansione completa che già hai, sono scomparsi tutti gli avvisi di attività rootkit. Me ne dai una brevissima spiegazione?
...

Dimenticavo di ringraziarti...
Ah, PS: il file che non si riusciva a zippare era lpt6.exe, e quello te l'ho preso. Nul.etz era quello che dava zero byte... Disperazione uguale?

PS 2:

In C:\Doc& ...

Mi dispiace...
Non conoscevo i tuoi progetti.
In uno degli ultimi post mi avevi invitato a riprovare a prendere NUL.ETZ, ma avevi aggiunto che non aveva importanza e che le informazioni che avevamo ...

Dimenticavo: con Darkspy non trovo alcun eseguibile orfano nella dir C\Programmi.
Ne deduco che non c'è nessun file invisibile a Win, no?

@ HOLIFAY

Hai ragione, mia cara. Talvolta questa mia piccola lotta mi logora e devo ritemprarmi occupandomi di qualcos?altro.
E la tua infinita disponibilità si accolla tutto il peso della situa ...

@ Holifay

Eccoti il report che segue le tue istruzioni:
? Ho ritentato la cattura di C:\Windows\System32\NUL.ETZ con DarkSpy, ma trovo sempre il solito file vuoto
VirIt:
? Com?era da attendersi, ...

@ HOLIFAY

Il file C:>Windows>xcrkn1.dll è stato cancellato da Avast HE/scansione al reboot perchè riconosciuto infetto dal nostro Trj
? Ti ricordo che alla prima infezione sono riuscito a ...

@ HOLIFAY

Adoro partecipare al progresso della scienza. Anche la cavia, in fondo, partecipa.
Ecco il mio report dai tuoi ultimi suggerimenti:
? C\Win\System32\gvaa.dll sembra sia un trojan/downlo ...

Dimentico sempre qualcosa:
Nel visualizzatore d'immagini e fax di Windows, quello che permette di vedere rapidamente le immagini, Non funziona più il pulsante in basso a DX: quello che chiude la fine ...

@ HOLIFAY

Ti confermo che la cartella Documents and Settings\Jdh che ha le stesse sottocartelle di "Default User" dev?essere stata creata dall?infezione: sono il solo utilizzatore di qu ...

Dimenticavo: forse che WhoLockMe non gira su Win XP HE SP2?

Utilizzo di WhoLockMe su C\Pgmmi\lpt6.exe:
? Non succede assolutamente niente
? Si vede per qualche attimo la piccola clessidra del busy, ma poi più nulla
? Non credo di sbagliare utilizzo, mi semb ...

Grazie. Le vostre informazioni sono sempre preziose. E sono lieto che vi parcellizziate il mio peso.
Non vorrei gravare soltanto sulla disponibilità di Holifay per l'epica lotta.