Olimpo Informatico

bdoriano · Inviato: 25 Feb 2008 11:40 Oggetto:

Ciao goemon, Ciao

ho dato una rapida occhiata al pezzo di log di systemscan che sei riuscito a postare ieri.
Prima di rifarlo, conviene fare altre pulizie generiche, perché sei messo proprio maluccio. Shocked

Scarica Norman Malware Cleaner e drWeb CureIt.
Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria.
Avvia drWeb CureIt e fagli fare la scansione completa.
Avvia Norman Malware Cleaner e fagli fare la scansione completa.
Viene generato un log sul desktop chiamandolo NFix_2008-02-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.

A questo punto, fai la scansione con SystemScan.

goemon · Inviato: 26 Feb 2008 10:29 Oggetto:

Aleee...e siamo a martedì...ma un pò di luce si intravede.
Adesso la modalità provvisoria è stabile. E riesce anche ad avviarsi in modalità normale senza più dare quei messaggi di errori gravi all'inizio.
Comunque questo è il link per il log del norman
NFix_2008-02-26_08-05-46.log

questo invece il link per il log del Systemscan che finalmente ce l'ha fatta
26_02_2008_9_50_report.zip

attendo bellissime notizie!
ciao e sempergrazie Smile

Orange · Inviato: 26 Feb 2008 17:56 Oggetto:

E HJT e ComboFix ancora non riesci ad avviarli, vero? Sad

Scarica questi due tool VundoFix e VirtumundoBeGone

* Avvia VundoFix
Seleziona Scan for Vundo e a scansione terminata scegli Remove Vundo.
Clicca Yes e alla richiesta di riavviare il Pc rispondi Ok.
Al riavvio dovrebbe comparire il blocco-note con dentro il log-- posta qui il contenuto.

* avvia in modalità provvisoria
Avvia VirtumundoBeGone e segui le indicazioni a video.
riavvia il Pc in modalità normale e posta il log.

Vedi se riesci ad avviare anche CF...

goemon · Inviato: 26 Feb 2008 23:00 Oggetto:

alla faccia...non capisco se sta diventando accanimento terapeutico.
Ormai mancano solo 2 padre nostro 5 ave maria e un Sanremo.
Siete splendidi.
Adesso faccio e poi dico
ciao

bdoriano · Inviato: 27 Feb 2008 00:23 Oggetto:

Ri-ciao goemon, Ciao

Ri-avvia SystemScan
clicca su Removal Script

inserisci nel riquadro bianco le seguenti righe:

Citazione:

Files to delete:
C:\WINDOWS\b153.exe
C:\WINDOWS\b152.exe
C:\WINDOWS\system32\byxxvvs.dll
C:\WINDOWS\system32\jkhhf.dll
C:\WINDOWS\system32\ltokukrm.dll
C:\WINDOWS\system32\cfhtrdsm.dll
C:\WINDOWS\system32\uraxoucg.dllbox
C:\WINDOWS\system32\mrkukotl.ini
C:\WINDOWS\system32\fhhkj.ini
C:\WINDOWS\system32\fhhkj.ini2

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | cc2bf7b6

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxvvs
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{393C2547-B2AB-422C-87AF-385238C73416}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DB37C98C-DA79-4A7E-9F16-935101CDAF7A}

clicca su Proceed with removal

goemon · Inviato: 27 Feb 2008 09:10 Oggetto:

buongiornoooo.
Ieri notte non ho visto il messaggio di bdoriano quindi ho eseguito tutte le procedure di orange, sono riuscito a lanciare anche combofix.
Poi ho fatto il removal script di bdoriano che mi ha riavviato il computer e creato uno script avenger.txt che trovate qui se vi serve
avenger55.txt

qui invece sempre se serve il log di HJT(ultima cosa fatta)
hijackthis303.log

ciao

bdoriano · Inviato: 27 Feb 2008 11:52 Oggetto:

Ri-ri-ciao goemon, Ciao

Ri-avvia SystemScan
clicca su Removal Script

stavolta, inserisci nel riquadro bianco le seguenti righe:

Citazione:

Files to delete:
C:\WINDOWS\system32\CROSOF~1\javaw.exe

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C095062-F63A-4921-A036-A324F2AC46E0}

clicca su Proceed with removal

Ho un dubbio su questa voce:
O4 - HKCU\..\Run: [JavaCore] C:\Programmi\JavaCore\JavaCore.exe
è questo programma che hai installato tu? Think

goemon · Inviato: 27 Feb 2008 20:05 Oggetto:

Ciao bdoriano,
appena torno a casa eseguo.
Per quel che riguarda il java non posso dirti niente di sicuro se non che nell'ultimo mese Java ha fatto 2 aggiornamenti molto pesi, e che era stata installata tutta la suite del nuovo Nokia, circa 15 programmini odiosi che si insinuano dappertutto, ma devo dire senza mai dare problemi apparenti.

E comunque non svelerò mai, neanche sotto tortura COME è successo tutto questo, perchè è paragonabile ad un harakiri fatto con sette spade, non con una Shocked

Thanks

Domandina
conviene fare queste pulizie sia in modalità provvisoria che in modalità normale? Se NO perchè? ma non vorrei fosse argomento da girare in altro Topic, quindi scusa in anticipo se sbaglio.

goemon · Inviato: 28 Feb 2008 07:50 Oggetto:

Fatto tutto!
Il computer sembra riavviarsi perfettamente e in maniera veloce.
Non ho al momento nessun antivirus(AVG è il mio preferito...o era?) e quindi ho il terrore di fare qualunque cosa.
Cosa faccio, cosa faccio, cosa faccio?
ciao e buona giornata(qui nebbia lattea) Razz

bdoriano · Inviato: 01 Mar 2008 10:22 Oggetto:

Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

goemon · Inviato: 01 Mar 2008 12:02 Oggetto:

Ciao grande bdoriano!
ecco il link del report
report01_03_2008_11_56.html

Sto preparando l'agnello da sacrificare in vostro onore.

bdoriano · Inviato: 01 Mar 2008 16:45 Oggetto:

Per cancellare i files infetti presenti nella System Volume Information, Disabilita il ripristino di sistema.
C'è anche il file C:\enrica\lavoro\focus di mercato\enrica pcp\kazzate\buongiorno.exe che viene visto come Infected: not-virus:BadJoke.Win32.Unko.a. Lascio a te decidere se eliminarlo o tenerlo. Wink

Fatti questi ultimi passaggi, puoi riabilitare il ripristino di sistema e installare un antivirus e un firewall.

goemon · Inviato: 01 Mar 2008 17:18 Oggetto:

Quando parli di cancellare i files infetti intendi che posso farlo direttamente?
ultima domanda:
quando parli di system volume information intendi la directory System32?

Il buongiorno.exe in effetti è una bella svista Shocked

ciao

bdoriano · Inviato: 01 Mar 2008 18:07 Oggetto:

goemon · Inviato: 02 Mar 2008 10:14 Oggetto:

ciao Jack,
mi sto veramente perdendo in un bicchiere d'acqua...non mi fa entrare nella cartella system volume information.
Ho provato avviando in modalità normale...unico accesso Enrica...attivo il disabilita ripristino e quando cerco di entrare nella cartella suddetta mi dice "Accesso negato".
Avvio allora in modalità provvisoria...qui compaiono 2 accessi...administrator e enrica...scelgo administrator ma mi succede la stessa cosa.

Sicuramente ho perso un passaggio...quale?

bdoriano · Inviato: 02 Mar 2008 10:24 Oggetto:

Questo:

goemon · Inviato: 02 Mar 2008 10:51 Oggetto:

Per fortuna che mi hai risposto subito...stavo impazzendo nella ricerca...e sono capitato anche in donne sull'orlo di un post!(tra l'altro fantastico)
Grandissimi tutti e tutte.
Veramente un bel mondo...penso che ci rimarrò un pò cercando di evolvermi!
bye Very Happy