Combofix Non Picchia Il Rootkit Ma Lo Guarda E Basta!o.o

[Zack Fair]

Salve,in sintesi...

Ad-Aware,Avast,MalwareBytes Anti-Malware,Sybot S&D,Spyware Terminator,F-Secure Blacklight Rootkit Remover e VirIT non vedono nulla,ma i cari ComboFix e Norman Malware Cleaner si!

Il computer in discussione è un Fujitsu Siemens Amilo Pro V3515 che mi è stato affidato per essere sistemato un pochino,poco tempo dopo aver installato windows xp pro sp3...ho notato un rallentamento del pc,gli ultimi 4 aggiornamenti di windows che dovrei fare,inerenti il .NET Framework,ogni volta risultano installati durante la procedura del windows update,ma una volta chiusa riappare l'avviso con l'icona e li risegna disponibili.

Così ho usato CF e NMC che subito han rilevato qualcosa...

ComboFix mi rileva un rootkit e chiede il riavvio del pc...ma una volta riavviatosi il pc e ripetuta la scansione da capo...viene ririlevato dallo stesso,senza mai svanire!o.o

Normal in passato rimosse tale problema,infatti il pc torno a velocizzarsi...ma ora installando da capo,dopo una formattazione tutti gli aggiornamenti,e ripresentandosi il problema...il normal mi da un errore inerente il file nsak.sys con codice terminante in x2 e quindi non posso utilizzarlo per rieliminare sto malware...

Non so più che fare,ho cancellato i file degli aggiornamenti scaricati e disabilitato per ora l'update,cancellato i punti ripristino...eppure sto rootkit che CF rileva non svanisce mai...

che ne pensate?.-.

Riguardo ComboFix,nel report,in passato mi ha indicato l'impossibilità di eseguire la fase 50 a causa dell'assenza del percorso richiesto!o.o

Ora disabilitando il ripristino configurazione di sistema e cancellando i file ha smesso!o.o

P.S.

Mi scuso per la maniera poco chiara e corretta in cui mi sono espresso...ma sono giorni che ci lavoro a sto portatile e sto pure dormendo poco per scerverlarmi!.-.

Se vi servono traduzioni di quel che ho scritto non m'offendo,ditelo!xD

Ciao e grazie!

Modificato January 12, 2011 da Zack Fair

[FDAC]

Scarica TDSSKiller: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

● salvalo sul Desktop

● estrai il contenuto, sempre sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente su Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà solamente una di queste due opzioni:

● non è necessario riavvio alcuno: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: riavvialo pure (clicca su Riavvia ora)

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

Allega anche il log AGGIORNATO di ComboFix, procedendo in questa maniera con la scansione:

7- Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● ti chiederà di riavviare il sistema

● clicca Yes

Infine:

Scarica, preferibilmente con Internet Explorer, ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:

● disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:

● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un account Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● ricollega, fisicamente, il modem/router al Computer

● connettiti a Internet

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

[Zack Fair]

Scarica TDSSKiller: http://support.kaspe.../tdsskiller.zip

● salvalo sul Desktop

● estrai il contenuto, sempre sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente su Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà solamente una di queste due opzioni:

● non è necessario riavvio alcuno: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: riavvialo pure (clicca su Riavvia ora)

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

Allega anche il log AGGIORNATO di ComboFix, procedendo in questa maniera con la scansione:

7- Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click

● clicca sul pulsante CleanUp!

● ti chiederà di riavviare il sistema

● clicca Yes

Infine:

Scarica, preferibilmente con Internet Explorer, ComboFix: http://download.blee...Bs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:

● disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:

● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un account Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● ricollega, fisicamente, il modem/router al Computer

● connettiti a Internet

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

La console di ripristino è già installata,e su ogni pc la ho sempre installata tramite combofix...fa nada?

[pike]

Non da' fastidio, vediamo in seguito come renderla meno "invasiva".

Segui pure le procedure che ti ha indicato FDAC.

[Zack Fair]

Eccoli...e combofix...come sempre riavvia causa rootkit...ma non lo picchia!u.u

TDSSKiller.2.4.13.0_12.01.2011_17.08.32_log.txt

log.txt

[FDAC]

Ciao Zack.

Di Rootkit, da quel che dice TDSS Killer, non ce ne sarebbero.

Esegui ora queste indicazioni:

Click destro in un punto vuoto del Desktop:

● scegli la voce Nuovo

● clicca su Documento di testo

● nello spazio bianco, copia ed incolla queste righe:

NetSvcs::

UxTuneUp

Driver::

UxTuneUp

RegLock::

[HKEY_USERS\S-1-5-21-2025429265-1409082233-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

● clicca su File

● clicca su Salva con nome

● accertati, nel menù a sinistra, che il file venga salvato sul Desktop: se cosi' non fosse, seleziona Desktop

● in Nome file: scrivi CFScript.txt

Una volta eseguiti i passaggi indicati sopra:

● con il tasto sinistro del mouse, trascini CFScript.txt sull' icona di ComboFix : parte la scansione di ComboFix

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

Inoltre:

sbarazzati (disinstalla) di Lavasoft Ad-Aware, SpywareTerminator e Spybot - Search & Destroy

N.B. Riavvia e fammi sapere come va il sistema

[Zack Fair]

Ciao Zack.

Di Rootkit, da quel che dice TDSS Killer, non ce ne sarebbero.

Esegui ora queste indicazioni:

Click destro in un punto vuoto del Desktop:

● scegli la voce Nuovo

● clicca su Documento di testo

● nello spazio bianco, copia ed incolla queste righe:

NetSvcs::

UxTuneUp

Driver::

UxTuneUp

RegLock::

[HKEY_USERS\S-1-5-21-2025429265-1409082233-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

● clicca su File

● clicca su Salva con nome

● accertati, nel menù a sinistra, che il file venga salvato sul Desktop: se cosi' non fosse, seleziona Desktop

● in Nome file: scrivi CFScript.txt

Una volta eseguiti i passaggi indicati sopra:

● con il tasto sinistro del mouse, trascini CFScript.txt sull' icona di ComboFix : parte la scansione di ComboFix

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

Inoltre:

sbarazzati (disinstalla) di Lavasoft Ad-Aware, SpywareTerminator e Spybot - Search & Destroy

N.B. Riavvia e fammi sapere come va il sistema

A breve eseguo,di grazia,se posso perchè dovrei sbarazzarmi di codesti programmi?xD

Ho anche Spywareblaster io!xD

[pike]

Zack, pur non condividendo in toto l'idea di FDAC, so esattamente dove vuole andare.

Troppi programmi anti-malware possono essere inutili, dispersivi, a volte anche appesantire oltre il limite del lecito il pc.

In tal senso, meglio avere uno o due prodotti ben fatti invece che averne tanti non sempre utili.

In questo momento, MalwareBytes Anti Malware si sta comportando molto bene, dimostrandosi spesso (se non sempre) un programma compatto, efficiente, veloce e potente.

Ad Aware molti anni fa era tra i migliori, poi è arrivato SpyBot S&D, quindi Ewido Anti Malware, e poi Asquared.

Molti programmi continuano ad esistere tuttora, ma spesso senza essere efficaci quanto un concorrente.

Spero di essere stato chiaro.

[Zack Fair]

Zack, pur non condividendo in toto l'idea di FDAC, so esattamente dove vuole andare.

Troppi programmi anti-malware possono essere inutili, dispersivi, a volte anche appesantire oltre il limite del lecito il pc.

In tal senso, meglio avere uno o due prodotti ben fatti invece che averne tanti non sempre utili.

In questo momento, MalwareBytes Anti Malware si sta comportando molto bene, dimostrandosi spesso (se non sempre) un programma compatto, efficiente, veloce e potente.

Ad Aware molti anni fa era tra i migliori, poi è arrivato SpyBot S&D, quindi Ewido Anti Malware, e poi Asquared.

Molti programmi continuano ad esistere tuttora, ma spesso senza essere efficaci quanto un concorrente.

Spero di essere stato chiaro.

Con la mia attuale configurazione non è mai entrato nulla! il pc in questione non è mio...e il qualcosa è sbucato e si è radicato...oppure bho!

cmq sia non è la lentezza il prob...il pc ha si e no 1gb di ram che viene anche condivisa con la grafica...figuarsi...capita...ma il prob che mi fa rosikare è combofix che da la presenza di sto fatto a posta!°_° vorrei capì perchè!:S

log2.txt

Modificato January 13, 2011 da Zack Fair

[Beylerbeyi]

Comprendo la voglia di risolvere il problema ad un utente, ma non condivido del tutto le procedure usate (se mi posso permettere). Mettere le mani in un pc altrui con procedure così invasive mi lascia un po' perplesso, forse un log di HJT serebbe servito per avere un orientamento e magari dare soluzioni più mirate. Fino ad ora mi pare che si sia sparato ad altezza d'uomo e un po' come va...va. Spero di non aver offeso nessuno e poter portare il mio contributo alla felice soluzione del problema. Per esempio perchè non fare una scansione on-line? http://www.pandasecurity.com/italy/homeusers/solutions/activescan/ oppure http://www.virustotal.com/ ?

[Zack Fair]

Comprendo la voglia di risolvere il problema ad un utente, ma non condivido del tutto le procedure usate (se mi posso permettere). Mettere le mani in un pc altrui con procedure così invasive mi lascia un po' perplesso, forse un log di HJT serebbe servito per avere un orientamento e magari dare soluzioni più mirate. Fino ad ora mi pare che si sia sparato ad altezza d'uomo e un po' come va...va. Spero di non aver offeso nessuno e poter portare il mio contributo alla felice soluzione del problema. Per esempio perchè non fare una scansione on-line? http://www.pandasecu...ons/activescan/ oppure http://www.virustotal.com/ ?

il pc sarà anche altrui ma mi è stato affidato per formattarlo e per risolvere anche questi problemi,quindi fa nulla! i prog sopra li sto installando io come kit di base del pc!

cmq sia è già da qualche giorno che lo ho in mano e vorrei riconsegnarlo...ecco perchè scrivo qui...

e senza offesa se solo combofix e norman trovavan qualcosa...dubito che 1 scansione online possa...

[pike]

Zack Fair, domanda tonta...

Cosa trovavano Combofix e Norman Anti Malware?

Se riusciamo a stabilirlo, magari è possibile trovare contromisure.

Perchè 'sto rootkit, non mi sembra abbia un nome.

Seconda domanda tonta: hai provato di rifare il MBR?

Ragionamento tonto finale: magari una Distro Live Antivis come AVIRA o BitDefender potrebbero aiutarci...

[FDAC]

Ciao a tutti.

Il mio consiglio è di disinstallare tutti i software i protezione presenti su quel PC (vedi i motivi nel post di Pike) e di tenere solamente Avira Free ed, eventualmente, un buon Firewall (Comodo o PC Tools Plus).

Infine, posta, con queste modalità, un log di Hijackthis:

Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● lancia Hijackthis

● clicca sul pulsante Do a system scan and save a logfile

● verrà rilasciato automaticamente un file di testo: allegalo

[Zack Fair]

Ciao a tutti.

Il mio consiglio è di disinstallare tutti i software i protezione presenti su quel PC (vedi i motivi nel post di Pike) e di tenere solamente Avira Free ed, eventualmente, un buon Firewall (Comodo o PC Tools Plus).

Infine, posta, con queste modalità, un log di Hijackthis:

Scarica ed installa Hijackthis: http://www.trendmicr.../HiJackThis.msi

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● lancia Hijackthis

● clicca sul pulsante Do a system scan and save a logfile

● verrà rilasciato automaticamente un file di testo: allegalo

eccolo!

cmq norman segnalava dei file col nome A e poi dei numeri vari e terminanti in .exe che eliminò

ma combofix segnalava in concomitanza "un" rootkit...ora norman non funziona proprio e combofix mi da sempre sto mex dove premo ok e mi riavvia il pc a causa del fantomatico rootkit...

apparte disinstallare la roba varia,che devo fa?:S mo provo a installare via windows update quegli aggiornamenti...vediamo se è cambiato qualcosa!

hijackthis.log

[pike]

Beh... i log di Combofix, se non hai fatto girare OTC, dovrebbero ancora essere in giro nel tuo pc.

Forse in c:\QooBox?

[FDAC]

Rilancia Hijackthis:

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only

● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

chiudi tutte le applicazioni aperte

chiudi tutte le pagine Internet aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1191420098671

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123705518796

O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139406804265

Mi sono forse dimenticato di dirti di disinstallare questi programmi?

Spyware Terminator

Ad-Aware

ZoneAlarm Toolbar

Crawler Toolbar

Spybot - Search & Destroy

FAST Defrag (non serve a nulla e rallenta l'avvio del PC)

Il Log di Combofix si trova qui:

C:/Combofix

Se non riesci ad avviare ComboFix, procedi come segue:

Disattiva la protezione in tempo reale del tuo Antivirus e:

● scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

● salvalo sul Desktop

Clicca sul pulsante Start

● scegli la voce Esegui

● nello spazio bianco, copia ed incolla questa riga:

"%userprofile%\desktop\comboFix.exe" /killall

● premi OK

● dovrebbe partire la scansione di ComboFix

● durante la scansione non fare assolutamente alcuna operazione con il PC

● il programma farà riavviare il sistema: successivamente, allega il log situato qui:

C:\combofix.txt

[Zack Fair]

Rilancia Hijackthis:

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only

● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

chiudi tutte le applicazioni aperte

chiudi tutte le pagine Internet aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.updat...b?1191420098671

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1123705518796

O16 - DPF: {6e32070a-766d-4ee6-879c-dc1fa91d2fc3} (MUWebControl Class) - http://update.micros...b?1139406804265

Mi sono forse dimenticato di dirti di disinstallare questi programmi?

Spyware Terminator

Ad-Aware

ZoneAlarm Toolbar

Crawler Toolbar

Spybot - Search & Destroy

FAST Defrag (non serve a nulla e rallenta l'avvio del PC)

Il Log di Combofix si trova qui:

C:/Combofix

Se non riesci ad avviare ComboFix, procedi come segue:

Disattiva la protezione in tempo reale del tuo Antivirus e:

● scarica ComboFix: http://download.blee...Bs/ComboFix.exe

● salvalo sul Desktop

Clicca sul pulsante Start

● scegli la voce Esegui

● nello spazio bianco, copia ed incolla questa riga:

"%userprofile%\desktop\comboFix.exe" /killall

● premi OK

● dovrebbe partire la scansione di ComboFix

● durante la scansione non fare assolutamente alcuna operazione con il PC

● il programma farà riavviare il sistema: successivamente, allega il log situato qui:

C:\combofix.txt

allora...vi ringrazio tutti dell'aiuto,ora eseguo le indicazioni sopra citate,tuttavia non vorrei eliminare tali programmi per mia scelta.

apprezzo il vostro aiuto e i vostri suggerimenti e vi ringrazio!

Per i log di combofix...sono sopra!

Eseguo e vi faccio sapere...

ps gli aggiornamenti del net framework me li da sempre come "operazione completata" e subito dopo rispunta lo scudo che mi chiede di reinstallare gli stessi!!!:S

[pike]

Per i log di combofix...sono sopra!

Zack, ho scorso l'intero topic e non ho visto nessun log da te postato... Sarò diventato cievo evidentemente...

:badmoon1:

Sì, lo sono diventato.

I punti dove trovo cose da "capire meglio" direi che sono sintetizzati qui

S3 NDISKIO;NDISKIO;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\00000519.nmc\nse\bin\ndiskio.sys --> c:\docume~1\ADMINI~1\IMPOST~1\Temp\00000519.nmc\nse\bin\ndiskio.sys [?]

Ma mi sembra un componente di Norman.

Strana posizione però.

S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [14/04/2008 13.00.00 14336]

Roba di Adobe, se non erro. Il tool di Downlod per Flash e AdobeReader, se non scarichi manualmente gli eseguibili.

S3 nsak_0EC6B93C;nsak_0EC6B93C;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\00000e59.nmc\nse\bin\nsak.sys --> c:\docume~1\ADMINI~1\IMPOST~1\Temp\00000e59.nmc\nse\bin\nsak.sys [?]

Sempre Norman...

S3 nsak_6EDB1415;nsak_6EDB1415;\??\c:\docume~1\ADMINI~1\IMPOST~1\Temp\0000066d.nmc\nse\bin\nsak.sys --> c:\docume~1\ADMINI~1\IMPOST~1\Temp\0000066d.nmc\nse\bin\nsak.sys [?]

Come sopra.

Quindi, non trovo traccia del rootkit da te segnalato, ma magari è mia ignoranza! Che può sempre accadere, intendiamoci, lungi da me definirmi infallibile

[FDAC]

Ciao. Esegui quanto detto, comunica la situazione del tuo PC, e posta il log di Hijackthis aggiornato.

[Zack Fair]

Allora:

1) Ringrazio FDAC per l'aiuto,grazie a te sono riuscito finalmente ad aggiornare windows completamente,la procedura da te indicata mi ha portato a usare il cd di windows per ripristinare i file system e dopo aver disinstallato anche tutti i framework incriminati,che risultavano già installati oltretutto...sono riuscito ad aggiornare tutto e bene!

2)@Pike: Caro non so che dirti,cmq avendomelo fatto presente ho cancellato la cartella col file nsak ben 2 volte...ma norman mi dice sempre che non riesce a caricare nsak.sys. codice errore solito con finale 2...

Come aggiornamento...dopo aver installato tutto,office suite compreso...lanciato combofix...e...prima di segnare la fase 1 mi indica questo...

P.S. per il log di combofix aggiornato al riavvio dopo tale foto...pesa 212kb e non riesco ad allegarlo!

Se volete lo uppo altrove e link...ma se non serve lascio stare...

[Zack Fair]

ecco i log richiesti,scusatemi se riposto...solo ora ho notato la funzione per editare i mex allegando in un secondo momento...chiedo venia...hijackthis2.txt

Modificato January 15, 2011 da Zack Fair

[pike]

zackfair, se il log eccede i 100kb comprimilo con compressione zip.

ComboFix lo esegui partendo dal file Combofix.exe?

Se la risposta è sì, salvalo come abc.exe, riavvia il pc in modalità provvisoria ed eseguilo con il parametro "/killall".

[FDAC]

Guarda, non mi sono mai piaciuti, troppi software di sicurezza.

Oltreche' rallentare, occupano spazio su disco e vanno in conflitto con l'antivirus residente.

Per questo, ti consiglierei di disinstallare, da pannello di controlli/installazione applicazioni:

Ad Aware

SpybotSD

SpywareTerminator

ZoneAlarm Toolbar

Crawler Toolbar

In linea di massima, come va adesso il PC?

Di rootkit, come diceva il buon Pike, non sembrano essercene.

[Zack Fair]

Guarda, non mi sono mai piaciuti, troppi software di sicurezza.

Oltreche' rallentare, occupano spazio su disco e vanno in conflitto con l'antivirus residente.

Per questo, ti consiglierei di disinstallare, da pannello di controlli/installazione applicazioni:

Ad Aware

SpybotSD

SpywareTerminator

ZoneAlarm Toolbar

Crawler Toolbar

In linea di massima, come va adesso il PC?

Di rootkit, come diceva il buon Pike, non sembrano essercene.

il pc va bene,ma vorrei capire sto messaggio...come gli viene a combofix??? scusate il termine...maaa...niente niente avesse le mestruazioni combofix?

gli unici conflitti anche conosciuti sono fra ad-aware e spybot,ma basta fare ignore fra i due sui loro stessi file per risolvere...

la toolbar di crawler come quella di zonealarm spesso mi bloccano siti dove finisco per caso o mentre cerco qualcosa che sono poco raccomandati

mi segnalano virus,pornografia e pishing o altro...li trovo comodissimi è utilissimi...e mi bloccano anche siti dove in passato ho beccato schifezze...

spyware terminator mi aiuta a tenere d'occhio i processi che entrano in esecuzione lasciandomi decidere come fare...questo mi basta!

Ad-Aware ogni tanto su questo pc ha bloccato connessioni a siti o altro...inzomma mi fan comodi...possiamo sorvolare su tale cosa?:3

come utilizzo il comando kill? lo digito nel prompt blu del combofix?

log3.rar

Modificato January 15, 2011 da Zack Fair

[pike]

Zack, accidenti a te... ho scritto ZIP. Perchè hai fatto un rar?

il parametro /killall si lancia tramite riga di comando oppure tramite "esegui" del menù start.

per esempio...

se il file di combofix fosse stato chiamato "tnt.exe" e posizionato nel desktop, aprendo un cmd da esegui dovresti scrivere

%userprofile%\Desktop\tnt.exe /killall

o per gli amanti dei "piccoli passi"

cd\%userprofile%\desktop
tnt.exe /killal

Il primo comando funziona "perfettamente" anche da Start->esegui, ma di fatto se ti sei sbagliato non ti può rispondere

"tnt.exe" non è riconosciuto come comando interno o esterno,
un programma eseguibile o un file batch.

Il che circa significa "ma che programma mi hai chiesto di eseguire, scimunito???"

Ultima richiesta: parla di un ComboFix-quarantined-files.txt che risale ad oggi.

potresti allegarlo, per cortesia?