Olimpo Informatico

[Jeppo59]

Ho comperato un PC smantellato dall'azienda (Compaq evo) e gli ho installato il SO in dotazione: XP
Ho fatto la registrazione telefonicamente e mi sono collegato ad internet al sito della Microsoft per scaricare qualche aggiornamento.
Ha scaricato l'installazione dell'Update ed ero in attesa degli aggiornamenti disponibili quando è uscito un avviso:
Servizio di messaggistica immediata
Messaggio da SYSTEM a ALERT alle 22/10/2006 17,06,49
Registry Cleaner Reccommanded
To fix system errors please do the following:
1 Download and Install Registry Cleaner from: http://www . msreg . com(distanziati volutamente)
2 Run Registry Cleaner
3 Reboot your computer
Failure to scan and repair system errors may result in system malfunction

Il tempo di copiare ciò che c'era scritto ed usciva un altro avviso di NT AUTHORITY\SYSTEM che mi diceva che il SO stava per chiudersi per un errore: RPC è terminato in modo imprevisto.

Riavviatosi il SO usciva una richiesta di connessione da un utente o da un programma sono state richieste informazioni da update . extreme-video . net. ( distanziati volutamente) Quale connessione utilizzare?
Ed un altra simile da update . excitement-video . net

Cliccando annulla, mi si ripresentavano ed allora ho disinstallato la connessione.

Essendo in fase di montaggio, sul PC non ho installato niente e nel pannello di controllo non ho niente.
Non conoscendo XP non ho idea su dove andare a controllare da dove potesse partire quella richiesta che non dovrebbe aver installato niente...

Grazie anticipate.
PS c'era in dotazione anche il dischetto del SP1; mi conviene installare quello o cercare direttamente SP2 dal sito?

PPSS Ma Holy che fine ha fatto?
La dobbiamo far cercare da "Chi l'ha visto?"

[Smjert]

Per quanto riguarda la messaggistica immediata quello è solo SPAM... per far sì che non ti appaiano + devi disabilitare il servizo di Messenger (Pannello di Controllo->Strumenti di amministrazione->Servizi->scorri la lista e trova Messenger, click destro poi Proprietà e dove c'è Tipo di avvio metti Disabilitato).

[kluster]

Jeppo59 aggiungo solo che il messaggio di NT Authority che to fa riavviare entro 30 secondi lo bypassi modificando la data, porta indietro l'orologio di sistema di 2/3 ore almeno hai 2/3 ore di tempo (o quello che ti serve) per fare le cose.
Prova a fare
start --> esegui --> shutdown -a
se hai fortuna si interrompe proprio lo shutdown.
Poi si dovrebbe essere il blaster o roba del genere, c'è un fix ma credo sia nel SP2 non nell'1 ma non ne sono sicuro.
Poi antivirus subito, con db aggiornato.

[Jeppo59]

Avendo a portata di mouse VirIt, ho fatto una scansione con lui e mi ha tolto c:\Windows\system32\svcchost.exe Infetto da Worm Win 32.Agobot.BH
Il removal tool della Symantec mi ha dato :
the log file could not be created.
W32.Blaster:Worm has not been found on your computer.
Il log di hijackthis non sono riuscito a trovarlo (non avevo creato la cartella) dove l'ha salvato, ma parlava di un file "missing" alla riga R3 se non erro.
Comunque quando ho provato a reinstallare la connessione, mi sono riapparsi quei due messaggi di extreme e di excitement!
Allora ho fatto il tentativo che si dovrebbe sempre fare per primo!!!
Ripristino configurazione del sistema e.... tutto OK.
Sembra tutto sparito!
Il log di hijack sembra tutto OK e non lo posso trasferire, poiché non ho ancora montato il masterizzatore sul nuovo e non l'ho connesso per non smontare ancora questo PC!!!

Resta la rabbia di aver preso virus dal sito della MICROSOFT
e grazie