Olimpo Informatico

[shadow]

X R1

con "è da un po' che esisto" intendevo dire che non ho creato nuovi account di recente e di sicuro non il giorno 10/06. Ho creato l'account quando ho formattato la macchina, poi non mi risulta.
Tra l'altro ho notato che l'account era a nome mio personale, cosa che per principio non faccio sulle macchine dell'ufficio.

Il nome dell'account in ??? o XXX l'ho modificato nel file txt del log che ho postato, per ragioni di privacy. Non l'ho modificato sulla macchina.

Per Bdoriano:
Combofix e Norman malware cleaner non riesco a trovarli. Come ho scritto all'inizio del thread Norman Malware Cleaner mi mandava ad una pagina inesistente (ho scoperto che norman ha cambiato sito, e tra i download e i tools non lo trovo)
Combofix: quando provo a scaricarlo o non carica la pagina oppure mi scarica un file da 0 Kb. Non sono riuscito a rinominare combofix (quello da 0 Kb) in fase di download come suggerito da R1.

La scansione con Combofix che ho fatto, l'ho fatta con una versione che avevo salvato esternamente. Ma non so quanto sia andato avanti perché diceva che nod32 era ancora attivo (nonostante avessi disattivato la protezione antivirus/antispyware) (nonostante avessi chiuso nod32 e killato i processi che mi sembravano ricondurre all'antivirus) per cui ad un certo punto credo di aver annullato l'esecuzione ( forse mi si è spenta la macchina...????....) [abbiate pazienza ho anche problemi di memoria]

Per quanto riguarda il virus beccato, l'ha rilevato/bloccato nod32. L'ho inviato a eset per l'analisi ma poi nel fare grandi pulizie credo di aver cancellato quarantena e tutto perché mi trovo solo i rapporti dal 11/06 in poi. Mi spiace non ricordo il nome.

[R16]

Ciao shadow.
Vorrei chiarire, che le mie domande non erano a scopo polemico, ma conoscitivo.
Se ti ho dato questa impressione scusami.
Per quanto riguarda la privacy, è un tuo sacrosanto diritto, proteggerla come meglio credi.
Per Combofix, è abbastanza normale che nonostante tu abbia disattivato l'antivirus, continuino a uscire messaggi di allerta.
Ma codesti messaggi si devono ignorare, e lasciare che il programma continui il suo lavoro, senza interferenze da parte di nessuno.
Io ti farei un invito:
Prova a disistallare il Nod (lo hai pagato?) e installare Avira.
In questo link, troverai tutto il necessario che ti seve per scaricarlo e configurarlo come si deve.
http://forum.zeusnews.com/viewtopic.php?t=42228
Se decidi di seguire il mio invito,finita l'installazione e l'aggiornamento,fai una scansione completa, e posta il log.

[shadow]

Ciao R1,
nessun problema, figurati. Non era inteso così. (le risposte secche sono dovute al lunedì mattina con metà colleghi assenti e mille mila cose da mandare avanti)
Anche fosse, la mia conoscenza informatica è molto limitata e con questa ho a che fare spesso con colleghi UTONTI (di quelli che il lunedì ti scassano per 2 ore perché dasabatolastampantenonfunzionaedèsicuramentecolpadelserverdellasede e tu dopo che hai perso una vita a capire che cos'è chiedi: "ma il cavo usb della stampante è collegato?" e ti rispondono : "ah no, l'ho staccato venerdì facendo le pulizie", o del tipo: Dal desktop apri risorse del computer e ti rispondono dove lo trovo?" per cui so che che a volte anche le cose più banali vengono ignorate da chi non ha dimestichezza, o ha limitata conoscenza, e dall'altra parte potrebbero girar le scatole.

Per combofix, ok, terrò presente che posso procedere anche se mi dice che l'antivirus è ancora attivo. (sapete se c'è una versione aggiornata disponibile e dove?)

Per nod32, si l'ho pagato, la macchina in questione è di un ufficio per cui i programmi li abbiamo tutti con licenza. Ma proverò Avira a casa. cmnq poteri anche disinstallare nod32, installare Avira e poi reinstallare nod (sarà la gioia del registro di win)

Se lo farò posterò il log.

grazie per l'aiuto

[Luko]

La macchina che state riparando ora non è di tua proprietà ma è della tua azienda?
È esatto?

[shadow]

si, Luko, è esatto


p.S. ho fatto un deep defrag&optimize con smart defrag. la macchina è migliorata

[Luko]

[shadow]

[R16]

Ciao.
Fai queste operazioni:
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
link

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Files to delete:
C:\WINDOWS\sed.exe
C:\WINDOWS\SWXCACLS.exe
C:\WINDOWS\NIRCMD.exe
C:\WINDOWS\SWREG.exe
C:\WINDOWS\SWSC.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\0.log

Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger

Poi:
Disistalla Combofix in questo modo:
Elimina la cartella di Combofix che trovi in C:\
Elimina la cartella qoobox, e pure i log che trovi.
Elimina l'icona sul Desktop.
Con la funzione "Cerca" digita: Combofix ed elimina tutto quello che trova.
Fai una pulizia con CCleaner.

Poi installa questa versione :
link
Dovrebbe funzionare tutto.
Ricorda di disabilitare temporaneamente l'antivirus, e di essere sconnesso da internet.
Durante la scansione non toccare nulla,(nemmeno il mouse).
Posta i 2 log. (Avenger, e Combofix)

[shadow]

grazie R1, seguirò le istruzioni

il link http://download.bleepingcomputer.com/sUBs/ComboFix.exe l'hai testato di recente? perché a me da "errore caricamento pagina"

cmnq ora procedo
grazie ancora

[R16]

[shadow]

ciao r1

ho eseguito avenger (anche il link di avenger non funzionava ma mi sono ricordardato di averlo in un disco esterno) (forse qualcosa mi blocca determinati link che portano a tools di rimozione?) può essere?

ecco il log: avenger.txt, lo sistemi tu vero ( o mi spieghi come sistemarlo) perché sono un po' tarato

combofix non riesco a scaricarlo neanche adesso

[shadow]

ciao a tutti,
il problema di download di combofix e avenger è un problema interno alla rete. Ho provato anche da altre macchine della rete, ma niente. (forse il firewall? forse le macchine infettate da qualcosa?) cmnq sia ho fatto la prova da casa e funziona, domani provo. Se provo adesso e disconnetto la rete non lavoro più.

notte

[Sante62]

Non so...ma sto pensando a Conficker.....spero di sbagliarmi.

Prova ad andare, possibilmente con i privilegi di amministratore, su Windows Update, ma senza scaricare nulla, giusto per testare. Se non ti fa andare allora, con molta probabilità e lui..

Puoi anche provare una scansione online con Kaspersky online scanner, in questo caso farai la scansione, ma se anche quì l'accesso è negativo, abbiamo la conferma di chi si tratta.

[R16]

Hola shadow
Avenger ha fatto il suo sporco lavoro.
A questo punto, bisogna seguire le impressioni di Sante62 .
Potrebbe benissimo essere cosi.
Una prerogativa del Conficker è appunto l'inacessibilità, a comunicare con i siti antivirus.

[Riverside]

[R16]

[Riverside]

[R16]

[Luko]

Più che altro ho il sentore che il problema non sia un vero problema, potrebbe essere proprio la rete configurata in modo da non farti accedere a determinati siti.
Prova a chiederlo ad un tuo collega, ma di solito lo staff tecnico ha pieni poteri su tutto

Confiker è improbabile in una rete aziendale, se siete un buon staff tecnico avrete installato tutte le patch rilasciate da Microsoft (sopratutto la MS08-067) ed avrete utilizzato password robuste per gli account in modo che esso non possa installarsi sulle vostre macchine (o nel malaugurato caso che ci riesca non possa comunque crakkare le password degli utenti)

I sintomi di confiker sono:
* Molti / Tutti gli account utente e amministratore iniziano ad essere bloccati.
Vedi Account Lockout Tools.
* Automatic Updates, Background Intelligent Transfer Service, Windows Defender e Error Reporting Server Services sono arrestati e disabilitati
* Errori legati a SVCHOST
* I Domain Controller sono lenti nelle rispondere ai client
* Congestione della rete interna
* Non è possibile accedere ai siti internet di Windows Update e dei principali software antivirus

Riverside: gli ho posto la tua stessa domanda qui

[Riverside]