24 replies to this topic

[mpic]

Ciao Gurus,
non so se sono nella sezione giusta per evidenziare quanto mi sta accadendo.
: Il McAfee 8.7i sp4 ogni volta mi rileva e cancella il troian BackDoor.EXI.gen.i su due file A0560363.exe nella directoru D:\System Volume Information\_restore{....etcetera...

Cosa posso fare _
Grazie
Mpic

[FDAC]

Visto che siamo qui

Scarica ComboFix: http://download.blee...Bs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix: per lanciare il tool su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di ComboFix e, dal menù contestuale, scegli la voce Esegui come Amministratore
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● verranno creati alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

[mpic]

Grazie FDAC per la pronta risposta.
Lanciando ComboFix dal Desktop, appare la barra di sorrimento , ma una volta terminata, l'applicazione si chiude. Non crea nessun temporay file, Ho riavviuato il PC ma il file ComboFix.txt non viene creato.
1-Il McAfee è fermo
2- Il firewall è off

Ho dimenticato qualcosa?
Grazie / Mpic

[FDAC]

Ciao.
Controlla ora se c'è il documento di testo da inviare qui (è molto strano che il programma non l'abbia prodotto):
C:/ComboFix.txt

[mpic]

Eccolo..
Grazie FDAC,

Allega File

•  ComboFix.txt   20.64KB   6 Numero di downloads

[Pike]

Ho una piccola perplessità, mpic...
Menzioni McAfee VSE 8.7i come antivirus. Ma le prime righe del tuo report combofix citano:

ComboFix 11-03-14.01 - e666732 15/03/2011   1.06.41.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.2038.1506 [GMT 1:00]
Running from: d:\documents and settings\e666732\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {00000002-0002-0000-6C25-9D7C08000A00}
AV: AntiVir Desktop *Disabled/Outdated* {00000002-0002-0000-7C25-9D7C08000A00}
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5CE9-7C91-0300-000000000000}
AV: avast! antivirus 4.7.1098 [VPS 080107-0] *Disabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Lavasoft Ad-Watch Live! Anti-virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

Ovvero: 3 diverse versioni di Antivir, di cui una aggiornata (magari è quella che stai usando ora), un vecchio avast e AdWatch Live.

E McAfee VSE 8.7i dove è?

[mpic]

 McAfee.jpg   87.3KB   4 Numero di downloads  McAfee.jpg   87.3KB   4 Numero di downloads

Pike, su 15 March 2011 - 12:12 PM, ha detto:

Ho una piccola perplessità, mpic...
Menzioni McAfee VSE 8.7i come antivirus. Ma le prime righe del tuo report combofix citano:

ComboFix 11-03-14.01 - e666732 15/03/2011   1.06.41.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.2038.1506 [GMT 1:00]
Running from: d:\documents and settings\e666732\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {00000002-0002-0000-6C25-9D7C08000A00}
AV: AntiVir Desktop *Disabled/Outdated* {00000002-0002-0000-7C25-9D7C08000A00}
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5CE9-7C91-0300-000000000000}
AV: avast! antivirus 4.7.1098 [VPS 080107-0] *Disabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Lavasoft Ad-Watch Live! Anti-virus *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

Ovvero: 3 diverse versioni di Antivir, di cui una aggiornata (magari è quella che stai usando ora), un vecchio avast e AdWatch Live.

E McAfee VSE 8.7i dove è?

[mpic]

Questo è quello che cè installato  McAfee.jpg   87.3KB   4 Numero di downloads

[FDAC]

Quell'antivirus non mi piace, personalmente (concordo con Pike, dunque).

Scarica AppRemover: http://www.appremove.../appremover.exe
● posiziona il file scaricato sul Desktop
● esegui il programma con un doppio click
● togli la spunta a Enable anonymous usage statistics. No personal data will be recorded.
● clicca sul pulsante Next
● accertati che sia spuntata la voce Remove Security Application; clicca ancora sul pulsante Next
● attendi pazientemente il termine della scansione
● clicca sul pulsante Next
● metti la spunta sull'antivirus da eliminare; in questo caso Avast, Ad Aware e MCafee ( uno per volta) e clicca sul pulsante Next, per due volte
● attendi pazientemente il termine della disinstallazione
● clicca sul pulsante Next
● clicca sul pulsante Reboot Now: il sistema verrà riavviato

Poi:

Scarica ed installa Hijackthis: http://www.trendmicr.../HiJackThis.msi

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

[Pike]

Piacere o non piacere VSE è decisamente ben patchato (la 4 credo che sia l'ultima disponibile) e se riesce a nascondersi a combofix la cosa mi fa sorridere
Ti sconsiglio di disinstallare VSE, al contrario di quanto indicato da FDAC, e di procedere ad una scansione completa del sistema con Malware Bytes Anti Malware.

[mpic]

Pike, su 15 March 2011 - 22:01 PM, ha detto:

procedere ad una scansione completa del sistema con Malware Bytes Anti Malware.

Grazie. dove li trovo i due Anti Malware?
Grazie ragazzi

[Pike]

Da qui

[mpic]

Pike, su 15 March 2011 - 23:15 PM, ha detto:

Da qui

La terapia ha funzionato!.
Grazie ragazzi. siete in gamba!

[FDAC]

Non abbiamo ancora finito.
Puoi postare un log aggiornato di Hijackthis, e uno di MalwareBytes?

[Pike]

Quoto FDAC, posta il log della scansione che hai eseguito.

[mpic]

Pike, su 17 March 2011 - 20:06 PM, ha detto:

Quoto FDAC, posta il log della scansione che hai eseguito.

eccolo

Allega File

•  hijackthis.log   8.74KB   2 Numero di downloads

Post modificato da mpic il 20 March 2011 - 00:11 AM

[mpic]

e questo.
Grazie
Mpic

Allega File

•  mbam-log-2011-03-20 (00-51-55).txt   1.02KB   2 Numero di downloads

[FDAC]

Disinstalla Ad aware e;
Scarica ed installa Hijackthis: http://www.trendmicr.../HiJackThis.msi

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

La versione che hai tu di HJT è obsoleta

[mpic]

FDAC, su 20 March 2011 - 10:04 AM, ha detto:

Disinstalla Ad aware e;
Scarica ed installa Hijackthis: http://www.trendmicr.../HiJackThis.msi

Nota: per lanciare HijackThis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona di HijackThis e, dal menù contestuale, scegli la voce Esegui come amministratore: conferma quindi la richiesta che ti viene proposta.

● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

La versione che hai tu di HJT è obsoleta

Ecco qui il log della versione aggiornata di HJT.
...ma ora che ho disinstallato Lavasoft Ad-Ware, cosa installo al suo posto?

grazie
Ciao / M

Allega File

•  hijackthis.log   8.21KB   2 Numero di downloads

[FDAC]

Hai la suite imperiale di McAfee, basta e avanza direi

Ora:

Esegui la procedura descritta, rigorosamente nel suo ordine, al fine di:
● guadagnare spazio su disco
● ottimizzare le prestazioni del sistema
● mantenere il corretto funzionamento di Windows

Il mio consiglio è quello di stampare questa procedura, perchè tornerà senz'altro utile in futuro.
Infatti queste operazioni andrebbero eseguite almeno una volta ogni due settimane.

Disinstalla i programmi di cui non fai uso, e tutte le Toolbar installate

Procedura per Windows XP:
● clicca sul pulsante Start
● apri il Pannello di controllo
● clicca su Installazione applicazioni
● seleziona il programma da disinstallare, e clicca sul tasto Rimuovi: partirà la procedura di disinstallazione

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● apri il Pannello di controllo
● clicca su Programmi, e su Programmi e funzionalità
● seleziona il programma da disinstallare, e clicca sul tasto Disinstalla: partirà la procedura di disinstallazione

******************************

Disinstalla, in particolare, le seguenti applicazioni:
● Adobe Flash Player
● Adobe Reader
● Java (tutte le versioni installate)

Scarica ed installa, dai siti proposti:
● Adobe Flash Player: http://www.adobe.com...cts/flashplayer
● Sumatra PDF: http://blog.kowalczy...pdf-reader.html
● Java: http://java.com/it/download/index.jsp

Nota - durante l'installazione:
● non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

******************************

Disattiva il Ripristino Configurazione di Sistema

Procedura per Windows XP:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Risorse del computer
● seleziona, dal menù contestuale, la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● metti la spunta alla voce Disattiva Ripristino configurazione di sistema su tutte le unità
● conferma la modifica, con Applica e con OK

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Computer
● seleziona, dal menù contestuale, la voce Proprietà
● clicca, nel menù a sinistra, su Protezione sistema; compare un avviso relativo al Controllo Account Utente: clicca su Continua
● togli la spunta accanto a tutti i dischi presenti nel riquadro in basso
● clicca su Disattiva Ripristino configurazione di sistema
● conferma la modifica, con Applica e con OK

******************************

Disabilita l'utilizzo della memoria virtuale

Procedura per Windows XP:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Risorse del computer
● seleziona, dal menù contestuale, la voce Proprietà
● apri la scheda Avanzate
● nella scheda Prestazioni, clicca su Impostazioni
● apri la scheda Avanzate
● nella scheda Memoria virtuale, clicca su Cambia
● clicca su ciascuna unità presente e seleziona Nessun file di paging
● clicca sul pulsante Imposta
● conferma la modifica con OK per due volte, con Applica e ancora OK

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Computer
● seleziona, dal menù contestuale, la voce Proprietà
● apri la scheda Avanzate
● nella scheda Prestazioni, clicca su Impostazioni
● apri la scheda Avanzate
● nella scheda Memoria virtuale, clicca su Cambia
● togli la spunta a Gestisci automaticamente dimensioni file di paging per tutte le unità
● clicca su ciascuna unità presente e seleziona Nessun file di paging
● clicca sul pulsante Imposta
● conferma la modifica con OK per due volte, con Applica e ancora OK

******************************

Svuota del suo contenuto la cartella Prefetch

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● clicca su Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● clicca su Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
● elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

******************************

Svuota del suo contenuto la cartella Download

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● clicca su Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● clicca su Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

******************************

Scarica ATF Cleaner: http://www.atribune..../click.php?id=1
● avvia il tool con un doppio click
● metti la spunta sull'ultima casella: Select All
● clicca sul bottone Empty Selected
● una volta comparso l'avviso di avvenuta pulizia, clicca su OK

Se usi browser alternativi come Opera e Firefox per navigare in Internet, provvedi a eliminare la loro cronologia e i file temporanei associati:
● clicca, in alto, sulla loro scheda
● seleziona l'ultima casella: Select All
● il programma ti avviserà circa l'eliminazione delle Password salvate: consulta le note
● clicca sul pulsante Empty Selected
● una volta comparso l'avviso di avvenuta pulizia, clicca su OK
● una volta terminate le operazioni, chiudi il programma

Note - riguardo al programma:
● per eseguire correttamente ATF Cleaner su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● la cancellazione delle passwords serve ad evitare spiacevoli furti d'identità e accessi non autorizzati; spetta a te decidere se volerle conservare o meno

******************************

Scarica ed installa CCleaner: http://www.piriform....leaner/download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare)

Una volta installato, esegui queste operazioni:
● scarica CCEnhancer: http://thewebatom.ne...are/ccenhancer/
● avvia il programma con un doppio click
● clicca sul bottone Download Latest
● al messaggio Would you like to run CCleaner now? rispondi Sì
● comparirà la schermata principale del programma
● nel menù di sinistra, clicca su Opzioni
● nella finestra successiva, clicca su Impostazioni
● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
● clicca su Avanzate
● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS
● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti
● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei
● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
● al termine della scansione clicca sul bottone Ripara selezionati... e prosegui con la riparazione: quest'ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere
● una volta terminate le operazioni, chiudi il programma

******************************

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Nota: per eseguire correttamente TFC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

******************************

Lancia Hijackthis e pulisci gli ADS (esclusivamente su partizioni formattate in NTFS):
● clicca sulla voce Open the Misc Tools section
● clicca su Open ADS Spy..., nel tab System tools
● in alto, togli la spunta alla voce Quick scan (Windows base folder only)
● clicca, in basso, sul pulsante Scan
● attendi pazientemente il termine della scansione
● se venissero rilevati ADS, clicca con il tasto destro sulla prima casellina, e scegli la voce Select all
● clicca, in basso, sul pulsante Remove selected: conferma con Sì
● una volta terminate le operazioni, chiudi il programma

Nota: in caso tu disponga di un sistema operativo a 64 Bit, tralascia la procedura

******************************

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Note - riguardo al programma:
● OTC by OldTimer va eseguito solamente nel caso tu abbia utilizzato particolari programmi, come ComboFix
● per eseguire correttamente OTC by OldTimer su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore

******************************

Riabilita il Ripristino Configurazione di Sistema

Procedura per Windows XP:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Risorse del computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● togli la spunta alla voce Disattiva Ripristino configurazione di sistema
● conferma la modifica con Applica e poi OK

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse sull'icona Computer
● seleziona, dal menù contestuale, la voce Proprietà
● clicca, nel menù a sinistra, su Protezione sistema: compare un avviso relativo al Controllo Account Utente: clicca su Continua
● metti la spunta accanto a tutti i dischi presenti nel riquadro in basso
● conferma la modifica con Applica e poi OK

******************************

Crea un nuovo Punto di Ripristino

Procedura per Windows XP:
● clicca sul pulsante Start
● scegli la voce Tutti i programmi
● portati sulla voce Accessori
● clicca su Utilità di sistema
● clicca su Ripristino configurazione di sistema
● scegli la voce Crea un punto di ripristino
● clicca, in basso, sul pulsante Avanti: inserisci una breve descrizione, e clicca sul pulsante Crea
● attendi pazientemente il termine delle operazioni
● conferma la modifica con OK per due volte

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● tasto destro del mouse su Computer
● seleziona, dal menù contestuale, la voce Proprietà
● clicca, nel menù a sinistra, su Protezione sistema: compare un avviso relativo al Controllo Account Utente: clicca su Continua
● clicca, in basso, su Crea...: inserisci una breve descrizione, e clicca sul pulsante Crea
● attendi pazientemente il termine delle operazioni
● conferma la modifica con OK per due volte

******************************

Scarica ed installa Defraggler: http://www.piriform....aggler/download
Nota - durante l'installazione:
● non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato, esegui queste operazioni:
● avvia il programma con un doppio click
● seleziona, con il tasto sinistro del mouse, tutte le unità presenti, tranne il Floppy Disk
● clicca, con il tasto destro del mouse, sullo spazio evidenziato in blu
● dal menù contestuale, scegli la voce Deframmenta Drive
● attendi pazientemente il termine delle operazioni

******************************

Note - al termine della procedura:
● riavvia il sistema
● allega un nuovo log di HijackThis
● comunica come funziona il sistema, e quali problemi riscontri attualmente