Olimpo Informatico

[jinkazama82it]

Allora oggi stavo mettendo mano ad un vecchio PC (mi serve rimetterlo in piedi per sopperire alla morte dell'alimentatore del portatile che ora non posso ricomprare), appena avviato avira seppur vecchio mi ha rilevato un virus su notepad.exe, ho pensato ad un falso positivo quindi ho aggiornato e rieffettuato la scansione e a qaunto pare riconosce ancora questo virus.

quindi mi serve una mano per eliminarlo in quanto l'ho eleiminato gia 2 volte con avira ma a quanto pare si rigenera al successivo riavvio.

quindi direi di iniziare facendo una bonifica completa XD e mi affido a voi.

sto per avviare la scansione con combofix; sperando di risolvere usando solo questo tool (anche se ci credo poco) aspetto vostre notizie.

EDIT
va beh come non detto cavolo a 2 secondi dall'avvio mi trova il file volsnap.sys dicendo che è infetto e ovviamente nel pc non ha trovato nessun sostituto (e mi pare ovvio XD), e siamo solo all'inizio XDXD, voglio proprio vedere qaunti altri ne trova (e no non ho volgia di reinstallare nulla quindi o bonifico o bonifico)

[R16]

Ciao jinkazama82it.
notepad.exe (così come lo hai scritto) è un file di sistema, protetto da Windows.
Per cui, non puoi eliminarlo, perchè appunto, Windows lo rigenera all'avvio.
Comunque posta il log di Combofix.
Per postare il log usa il servizio hosting:
link

[jinkazama82it]

apparte svariati rootkit e co mi ha anche disabilitto avira probabilmente era stato infettato XD comunque questo è il log di combo fix

ComboFix.txt

spero non c isia rimasto altro (anche se ci credo poco)

[R16]

Ciao jinkazama82it.
Quel pc, ha il S.O craccato.
Per sostituire, i file infetti, e mancanti, serve il cd d'installazione.
Di più, non posso fare, nè dire.

[jinkazama82it]

mi pare strano quello che dici ho usato lo stesso cd di installazione che ho usato per il mio attuale PC eppure non ho problemi ne ho crackato nulla.

quello che sta li è molto probabilmente il risultato di un infezione profonda del PC se mi dici che si può ripristinare come si deve ben venga dimmi come e lo farò.

cavolo era un Sp2 aggiornato poi a suo tempo a SP3 però per quel che ricordo quando aggiornai gia da diversi mesi avevo quel problema del notepad, difatti l'aver ricevuto il nuovo PC e installato L'os sul nuovo PC mi ha consentito di metter da parte quel coso infetto fino all'osso, e rimandare la bonifica a tempi migliori XD.

ora se hai voglia di aiutermi bene se no fa nulla, reinstallerò da zero anche se non vorrei.

[R16]

Hai il Cd d'installazione?

[jinkazama82it]

certo che ce l'ho comunque ora la TV dove sta collegato il PC in questione è occupata qualunque cosa ci sia da fare la farò domani mattina.

[R16]

Allora procedi in questo modo:
L'unico lato negativo di questa procedura è che si perdono i service pack e gli aggiornamenti installati successivamente.
Tuttavia,
un lato più che positivo è che tutti i programmi installati resteranno intatti.
Dal bios impostare il lettore cd-rom come prima unità della sequenza di boot,
quindi avviare il pc con il cd di installazione di XP inserito e procedere all'avvio del sistema da cd.
- Alla schermata di Setup premete il tasto 'ENTER'(Invio)
- La schermata successiva verrà visualizzata la Licenza del prodotto premi il tasto 'F8' per procedere
- Successivamente vi è la schermata più importante (ATTENZIONE),
qui ti viene chiesto se installare Ex-novo XP o RIPARARE una precedente installazione..
Seleziona l'installazione da riparare (con le frecce su-giù) e premi il tasto 'R'
- A questo punto il Setup copierà sul disco i files necessari e si RIAVVIERA automaticamente.
- Al Riavvio ti verrà chiesto "di premere un tasto qualsiasi per Avviare il Sistema da CD-Rom"
..NON TOCCARE ALCUN TASTO ed ecco che partirà il Setup di XP.
Alla fine del Setup il tuo Sistema e tutti i programmi installati resteranno intatti,
purtroppo perderai solamente i Service Pack e gli aggiornamenti non presenti nel CD-Rom di XP.
Li reistallerai in seguito.

[jinkazama82it]

ok domani mattina provvedo a fare il ripristino comunque dal log di combo fix? che mi dici c'era traccia di qualcosa di malevolo tipo rootkit e roba insidiata nell'mbr? chiedo perche combofix mentre procedeva aveva fatto riferimento anche all'mbr spero solo che sia riuscito a risolverlo quel problema se probabilmente starò di nuovo da capo a dodici appena mi collego al web.

[jinkazama82it]

ok stamattina ho avuto da fare con i lripristino una vera rottura ci ha messo un secolo (il PC non è potentissimo PIII 1GHz).
comunque dopo il ripristino avira non rileva nessun virus procedo con la scansione di combofix per verificare la bontà della bonifica (anche dell'MBR)?

[R16]

[jinkazama82it]

questo è il log di combofix

ComboFix.txt

certo che cmq ne avete di persone da aiutare, mi spieghi una cosa... in che modo analizi il log di combofix? c'è un qualche software o sito che fornisce un controllo di tale log? o ormai li conosci a memoria i file e le chiavi infette?

[R16]

Ciao.
Il log non presenta anomalie.
Segui le istruzioni di questo topic per rimuovere combofix:
http://forum.zeusnews.com/viewtopic.php?t=47670

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Scarica l'ultima versione di Java:
link
Se in fase di installazione, ti venisse rchiesta l'installazione di qualche Toolbar, non la installare.

Esegui uno Scandisk.
Fai anche una deframmentazione del HD

Se non riscontri problemi:
Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084
Riavvia il pc, e riattiva il ripristino configurazione di sistema.

[jinkazama82it]

Allora alcuni problemi ci sono effettivamente, mentre faceva la scansione combofix ha detto che rilevava attività rootkit (mea culpa che mi sono scordato di scriverlo).

come risolvo?

[R16]

Nemmeno Combofix rileva Dati Applicazioni .
E nemmeno application data . (Se sono vuote, è normale)
Scusa, ma cosa ci dovrebbe essere, dentro in tali cartelle?
Perchè, con il ripristino da CD, è possibile che i dati abbiano cambiato directory. (o meglio, cambiato il nome delle cartelle)
Quello che mi interessa, è sapere se il pc funziona a dovere.

[jinkazama82it]

allora per le cartelle ho risolto mi ero scordato che quelle cartelel erano nascoste avevo messo solo la spunta ai file nascosti e di sistema ma non a quella delle cartelle.

se il PC va bene non saprei dirtelo so solo che ho installato un gioco online e quando lo avvio mentre sta caricando la grfica ingame crasha, ho controllato le specifiche e rientrano tutte nella configurazione consigliata (sinceramente non sapevo come testare tutto e un gioco mi è sembrata la cosa migliore), inoltre il gioco richiedeva java quindi ho installato anche quello.

come faccio a vedere se effettivamente c'è u nqualche rootkit che combofix non ha rilevato e/o rimosso?

prima di darlo in mano a mio fratello il PC vorrei che sia sicuro perche ci dovrà lavorare con dati sensibili finche non si sistema il suo portatile.

comunque ho notato che all'avvio avira ci mette un po ad avviarsi, rimane con cappello chiuso per quasi 2 minuti.

[R16]

Fai questa scansione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Il programma non elimina niente, ma permette di avere un quadro più preciso sullo stato del pc.

[jinkazama82it]

ecco il report di quel programma
report.txt


una domanda ho per te alla quale purtroppo sul web non ho trovato risposta, le chiavi di registro che superano i 256 caratteri (quindi non leggibili dal regedit interno di windows) possono essere legittime del S.O. o sono sempre e solo di software malevolo e quindi da eliminare?

[R16]

[jinkazama82it]

quindi secondo te è tutto pulito.

senti una cosa però mi preoccupa, e ta la spiego subito su quel PC ho installato pirate galaxy gioco online che installa i suoi dati nelal cartella Dati Applicazioni, fin qui tutto ok la cosa strana è che dopo l'installazione di tale gioco nella cartella Application Data è Apparsa una cartella avente per nome una parte del nome della cartella di installazione di Pirate galaxy, ne senso priate galaxi crea la cartella "Splitscreen Studios" dentro la catrtella Dati Applicazioni, e praticamente nella cartalla Application Data si è creata una cartella col nome "Splitscreen" ma la cosa ancora più sconcertante è che tale cartella è completamente vuota.

dici che è normale?

questo gioco l'ho installato anche sul mio PC e tale servizio non me l'ha fatto.


Situazione attuale:
Document and Settings->Dati Applicazioni->Splitscreen Studios->File di instalalzione del gioco (OK)

Document and Settings->Application Data->Splitscreen (Anomalia del sistema operativo?)