Olimpo Informatico

[bdoriano]

Per dare delucidazioni devo vedere qualche log, altrimenti non ci siamo.
Finora, qualsiasi log ti abbia chiesto, non sei stato in grado di fornirmeli... o hai il pc più posseduto al mondo o... mah!

• Scarica questo programma (OTL) e salvalo sul desktop
  
• Doppio click sull'icona di OTL per avviarlo
  
  
• Metti il segno di spunta su Scan All Users
  
• Clicca il bottone Quick Scan
  
• Aspetta pazientemente fino al termine dei lavori
  
• Verranno creati 2 logs:
  
  • OTListIt.txt (ridotto a icona)
    
  • Extra.txt (ridotto a icona)
  
  
• Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati

• Scarica Rootkit UnHooker e salvalo sul desktop
  
• Doppio click sull'icona di RKUnhookerLE per avviarlo
  
• Clicca Report
  
• Clicca Scan
  
• Metti il segno di spunta su Drivers e Stealth
  
• Togli il segno di spunta alle altre voci
  
• Clicca OK
  
• Aspetta pazientemente fino al termine dei lavori
  
• Clicca File
  
• Clicca Report
  
• Salva il log sul desktop
  Carica il file salvato su wikisend e posta il forum link che ti viene assegnato

Nota: potresti ricevere questo messaggio "Rootkit Unhooker has detected a parasite inside itself! It is recommended to remove parasite, okay?". Ignoralo tranquillamente.

[chemicalbit]

[bdoriano]

Dimenticavo, se si tratta di AvCare, è sufficiente l'utilizzo di MBAM per la rimozione.

[Stefano]

Questo è il link con Rootkit UnHooker che funziona...

http://wikisend.com/download/570958/Report.txt

Mentre OTL non ne vuole sapere.... e appare questo...

http://wikisend.com/download/864206/Immagine.bmp

Fammi sapere... Anti malware, scansioni con hijackthis e SystemScan non ne vogliono invece sapere!!

[chemicalbit]

[bdoriano]

Come ti ha già fatto notare chemicalbit e come avevo scritto io nel precedente messaggio:

[Stefano]

MBAM non parte.

[chemicalbit]

E OTL salvato sul desktop?

[Stefano]

E nemmeno OTL. L ho fatto partire la prima volta ma appena partita la scansione si è spento automaticamente e dopo di che non sono più riuscito a lanciarlo. Stessa cosa era accaduta con hijackthis!

[bdoriano]

Qualunque cosa sia, sembra conoscere tutti i programmi di analisi utilizzabili.
Non è un semplice fakeAV.

1. Disabilita il tuo antivirus
   
   
2. Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
   rkill.com
   rkill.exe
   rkill.scr
   eXplorer.exe
   iExplore.exe
   (se non dovesse funzionare il primo, procedi con i successivi)
   
   
3. salvalo sul desktop e avvialo
   se non dovesse funzionare al primo colpo, ritenta nuovamente (magari scaricando uno dei files rinominati).
   
   
4. dovrebbe comparire una finestra DOS:
   

   Citazione:

   Rkill by Lawrence Abrams (Grinler) BleepingComputer.com Terminating known malware process. Please be patient.

   
   al termine, la finestra verrà chiusa e comparirà una finestra con un log contenente un elenco dei processi terminati dal rkill.
   
   
5. a questo punto, tenta una nuova scansione con MBAM e/o Combofix e/o SystemScan e/o OTL

[Stefano]

Ci provo... ma il log mi appare dopo pochissimo e i vari MBAM, COmbofix non vanno! appare questo log!

http://wikisend.com/download/568248/rkill.log

[bdoriano]

Bene! Abbiamo ottenuto un'informazione in più!

rkill ha identificato e bloccato almeno un processo virale.

Visto che in modalità normale non si riesce a combinare nulla, proviamo dalla modalità provvisoria:

• Riavvia il pc
  
• in fase di avvio, premi ripetutamente il tasto F8 fino a visualizzare il menu Opzioni avanzate di Windows.
  
• Usando i tasti freccia sulla tastiera, scorri le opzioni e seleziona il menu "Modalità provvisoria con supporto di rete"
  
• quindi premi "Invio".

da questa modalità, avvia nuovamente rkill e poi tenta le scansioni con MBAM, Combofix e SystemScan.

[Stefano]

In modalità provvisoria sono riuscito a fare una scansione con SystemScan

http://wikisend.com/download/467700/18_10_2010_10_12_report.zip

Ho rifatto anche la scansione con rkill, stessi risultati della scansione con rkill fatta precedentemente, ma te l' ha riposto!
http://wikisend.com/download/456260/rkill.log

MBAM, ComboFix, OTL non partono come hijack this!

[bdoriano]

Dev'essere qualcosa di tosto...

• Scollega tutte le periferiche USB e tienile scollegate
  
  
• Scarica questo file e salvalo sul desktop
  
  
  
• Doppio click per avviarlo
  
  
• Il tuo desktop diverrà più scuro e comparirà la scritta Modalità Protezione Avanzata ai 4 angoli.
  Al centro troverai il seguente avviso:
  
  clicca l'immagine per ingrandirla
  
  
• Clicca OK
  
  
• Compare un altro avviso:
  
  clicca l'immagine per ingrandirla
  
  
• Clicca OK
  
  
• 
  
  clicca l'immagine per ingrandirla
  
  
• Clicca Avvia
  
  
• Compare un avviso per la scansione rapida:
  
  clicca l'immagine per ingrandirla
  
  
• Clicca Sì e attendi pazientemente la fine della scansione.
  Durante questa scansione, se vengono riconosciuti virus, ti verrà chiesto se mettere in quarantena i files incurabili. Clicca Si tutti.
  
  
• Al termine della scansione rapida, a sinistra seleziona e clicca il bottone sulla destra.
  Attendi pazientemente la fine della scansione... che potrà durare parecchie ore (dipende dalla quantità di files presenti sul disco).
  
  
• Se vengono riconosciuti virus, troverai un elenco nella parte bassa della finestra.
  
  
• Clicca Seleziona Tutto, Cura, Sposta incurabili
  
  
• Clicca File, Salva rapporto
  
  
• Salva il file DrWeb.csv sul desktop
  
  
• Riavvia il pc
  
  
• Carica il file DrWeb.csv su WikiSend e posta il Forum Link che ti viene assegnato.

[Stefano]

Il programma mi effettua la scansione rapida dopodiche si chiude tutto e mi appare questa schermata. Da cui non si può più effettuare nulla se non chiudere con la x in alto a dx!

http://wikisend.com/download/458728/Immagine.bmp


Può dipendere dal fatto delle periferiche USB! Che significa scollega tutte le periferiche e tienile scollegate? Scusa magari è una domanda sciocca... Ma io non ho nulla collegato alle porte USB.

[bdoriano]

Le periferiche USB sono: chiavette, HD esterni, stampanti, macchine fotografiche. Insomma, tutto quello che puoi collegare alle porte USB.

Se non ce ne sono di collegate al pc durante le operazioni di pulizia, è meglio.

Soluzione estrema, usare i CD autoavvianti come indicato in questa discussione.

Consiglio, in particolar modo:

1. Avira AntiVir Rescue Disk
   
2. drWeb Live CD
   
3. Kaspersky Rescue Disk

Usali tutti e tre nella sequenza che ti ho indicato.

Una volta fatta la passata con i 3 liveCD, riavvia il pc e ritenta la scansione con OTL.

[Stefano]

Ho fatto la scansione solo con il primo, Avira AntiVir Rescue Disk.
Ti posto quello ke è venuto fuori dalle scansioni con MBAM e OTL! Che sono partiti...

MBAM

link
Ti posto anche il log extras, che si è salvato automaticamente dopo la scansione con OTL

link

[Stefano]

Weeeeee sono riuscito a scansionare anche con hijackthis!! ecco il post...

http://wikisend.com/download/600142/hijackthis.log

[bdoriano]

Ottimo!

Vedo ora che avevi beccato il famigerato Antivirus 2010...

Rinomina il file Conbofix.exe in Combofix.exe.

Disinstalla Combofix:
Clicca Start
Clicca Esegui...
Digita:

[Stefano]

link

E questo invece è il log di hijackthis...

link