Hijackthis Su Portatile Acer

[cheggio]

ciao a tutti! mi dareste una controllata al log del mio portatile? è un po' lento e mi da qualche problemino ogni tanto (oggi si è sbizzarrito reindirizzando le ricerche che facevo con google su siti che non centravano nulla o sulla pagina iniziale di google)...sono un po' preoccupato. Ho eseguito tutta la procedura iniziale con ccleaner, combofix (che mi ha cancellato un file dalla cartella windows, mi pare si chiamasse uninstaller.ini), Malwarebytes' Anti-Malware (che non ha trovato nulla) e Advanced SystemCare (che ha corretto il correggibile). Ho COMODO internet security ma lo vedete dal log. potete dirmi se c'è qualcosa che non va? Grazie

hijackthis.log

Modificato January 17, 2011 da cheggio

[pike]

Cheggio... XP Sp2? :badmoon1:

Non è più supportato da microsoft, è insicuro... perchè ti ostini?

Al di là della mia sfuriata...

Il log sembra sostanzialmente pulito. Alcune ottimizzazioni si possono fare per recuperare un po' di peformance, ma non so che disco sia nè CPU, nè ram, etc etc.

Puoi usare SIW o altri software similari per raccontarci qualcosa di più del tuo pc...

[cheggio]

hai ragione Pike ma l'ultima volta che ho provato a metterci il Sp3 mi si è bloccata l'installazione e ho dovuto formattare il pc perchè non si avviava più...appena posso provo ad usare quel SIW per farvi conoscere il mio PC

Modificato January 18, 2011 da cheggio

[pike]

Ed è l'unico pc in cui è andata storta? :roll:

[FDAC]

Rilancia Hijackthis:

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only

● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

chiudi tutte le applicazioni aperte

chiudi tutte le pagine Internet aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Poi:

Puoi postare il log di COmbofix?

[cheggio]

scusae il ritardo...ho avuto da fare allego anche il log di SIW

Ed è l'unico pc in cui è andata storta? :roll:

si e non capisco perchè...

Rilancia Hijackthis:

Nota: per lanciare Hijackthis su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull' icona di Hijackthis e dal menù contestuale scegli la voce Esegui come Amministratore

● clicca sul pulsante Do a system scan only

● spunta la casellina a fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

chiudi tutte le applicazioni aperte

chiudi tutte le pagine Internet aperte

● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.ad...Plus/1.6/gp.cab

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Poi:

Puoi postare il log di COmbofix?

ti posto sia quello sia l'hijackthis dopo aver effettuato i cambiamenti da te suggeriti...ho selezionato con +++ le voci che non mi ha fixato grazie

hijackthis portatile 2.txt

ComboFix.txt

SIW_FREEWARE_20110120_092219.html

Modificato January 20, 2011 da cheggio

[FDAC]

Ciao. Evidentemente sono voci ostinate.

Poco importa, non sono, molto probabilmente, sintomo di infezione.

Il pc è ancora infetto, facciamo cosi:

7- Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe

● posiziona il tool sul Desktop

● chiudi tutti i programmi attivi

● avvia il tool con un doppio click; se possiedi Windows Vista e Windows Seven, compare un avviso relativo al Controllo Account Utente: clicca su Consenti

● clicca sul pulsante CleanUp!

● il programma chiede di riavviare il sistema: consenti

● clicca su Yes

Poi:

Scarica, preferibilmente con Internet Explorer, ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Posiziona ComboFix sul Desktop ed esegui queste operazioni preliminari:

● disconnettiti da Internet

● sconnetti, fisicamente, il modem/router dal Computer

E' assolutamente necessario, se attivo:

● disattivare l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

● disattivare il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix (in caso tu possegga Windows Vista o Windows Seven, per eseguire il programma correttamente, devi cliccare con il tasto destro sull' icona di ComboFix e selezionare, dal menù contestuale, la voce Esegui come Amministratore) con un account Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:

● verranno creati alcuni file sul Desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

● potrebbe apparire sul Desktop l'icona di Internet Explorer, qualora già non ci fosse

Quando ComboFix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● ricollega, fisicamente, il modem/router al Computer

● connettiti a Internet

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

[cheggio]

● verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare

l'ho installata la prima volta che l'ho avviato...è un problema? meglio eliminarla?

[FDAC]

Ora che l'hai installata, lasciala.

Piuttosto adesso, esegui le operazioni indicate.

[cheggio]

tutto fatto

combofix.txt

[FDAC]

Click destro in un punto vuoto del Desktop:

● scegli la voce Nuovo

● clicca su Documento di testo

● nello spazio bianco, copia ed incolla queste righe:

Driver::

xlttdp

wzokac

NetSvcs::

xlttdp

wzokac

File::

c:\windows\system32\qgzpe.dll

c:\windows\system32\028.tmp

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xlttdp]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wzokac]

● clicca su File

● clicca su Salva con nome

● accertati, nel menù a sinistra, che il file venga salvato sul Desktop: se cosi' non fosse, seleziona Desktop

● in Nome file: scrivi CFScript.txt

Una volta eseguiti i passaggi indicati sopra:

● con il tasto sinistro del mouse, trascini CFScript.txt sull' icona di ComboFix : parte la scansione di ComboFix

● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo tu

● vai in Disco Locale C:, cerca il file di testo dal nome combofix.txt ed allegalo

[cheggio]

fatto...quando ho trascinato il file mi è comparso un messaggio (l'immagine nell'archivio rar) però ha cmq eseguito il tool dopo il mio ok e allo stage 4 ha cancellato lo script che mi avevi fatto creare

combofix log + messaggio.rar

Modificato January 22, 2011 da cheggio

[FDAC]

Ciao. Lo Script ha cotto a puntino qualche brutta infezione legata ai servizi di Windows.

Ora, esegui questa scansione:

Scarica TDSSKiller: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

● estrai il contenuto del file zippato sul Desktop

● doppio click su TDSSKiller.exe per avviare l'applicazione e successivamente sul pulsante Start Scan

Giunti a questo punto, inizia la scansione del tuo sistema alla ricerca di software malevolo:

● se viene trovato un file infetto, l'azione di default sarà Cure, clicca quindi su Continua

● se viene trovato un file sospetto, l'azione di default sarà Skip, clicca quindi su Continua

Una volta terminata la scansione, si presenterà una di queste due opzioni:

● non è necessario il riavvio del sistema: clicca su Report e salva il contenuto in un file di testo

● è necessario riavviare il sistema: clicca su Riavvia ora

● una volta riavviato il sistema, il report del programma da allegare si trova in C:\ in questa forma:

TDSSKiller.[Version]_[Date]_[Time]_log.txt

[cheggio]

ha trovato qualcosa

TDSSKiller.2.4.15.0_23.01.2011_15.39.07_log.txt

[FDAC]

Si, una brutta infezione. Il computer come va?

[cheggio]

beh in realtà va meglio...cioè, ora si accende un po' più velocemente, però per avviare i programmi è sempre lento...è così grave dottore?

[FDAC]

Posta un log aggiornato di Hijackthis.

[cheggio]

hijackthis nuovo.txt

[pike]

Cheggio, da quel che ho letto del log di TDSSKiller sinowal è stato trovato e "progettato" come elminazione.

Ma non sono certo al 200% che sia morto.

Ti pregherei quindi di usare questo vecchio tool per la rimozione di Sinowal e di postarne il log.

Molto probabilmente è una operazione inutile, ma mi sentirei un pelo più tranquillo se il tool ci rispondesse "tutto ok, niente ospite Sinowal"

In alternativa, valuta di eseguire quanto indicato in questo articoletto come metodo "alternativo" alla verifica della "pulizia" del tuo pc.

Inoltre, quando sarà finita la disinfestazione, ti suggerisco di aggiornare quanto prima Adobe Reader alla versione 10 o 9.4.1.

I dati della vulnerabilità scovata in Adobe Reader che facilita l'entrata di sinowal.

Infine: previo "colpetto" di un software free di Imaging dischi come G4L oppure Clonezilla, ti suggerirei caldamente di:

• Scaricare SP3 per amministratori (circa 300mb)
  
• Spegnere svariati software che girano in background o in tray "inutili" come MSN, etc etc.
  
• Scollegarti da internet
  
• Installare SP3.
  

Mi raccomando: prima esegui un backup.

Mi spiacerebbe che si replicasse il problema che ti ha costretto a reinstallare.

Può essere utile verificare di avere tutti i driver aggiornati di Chipset e scheda video, prima di cominciare.

[FDAC]

Ciao. Segui le ottime indicazioni di Pike, e posta il log rilasciato dal programma. Non tutte le infezioni, si rimuovono al primo colpo, come dice bene Pike.

Ciao e buon lavoro

[cheggio]

Inoltre, quando sarà finita la disinfestazione, ti suggerisco di aggiornare quanto prima Adobe Reader alla versione 10 o 9.4.1.

quello sta a posto...ho visto che è già aggiornato...

Può essere utile verificare di avere tutti i driver aggiornati di Chipset e scheda video, prima di cominciare.

mh...esiste un programma che fa il controllo delle versioni di tutti i driver?

Modificato January 24, 2011 da cheggio

[pike]

Ce ne sono parecchi, cheggio.

Io sto provando Device Doctor, da installarsi senza aggiungere la Ask Toolbar (che viene proposta in automatico).

Da valutare... per il chipset di questo "ciabattone" che sto usando ha propost un driver Intel "impacchettato" per gli IBM.

Prima di installare anche Driver Doctor, insisto nel suggerirti di fare una "clonazione" di backup del tuo pc. E non nella seconda partizione.

[cheggio]

suggerimento che seguirò senza dubbio per seconda partizione intendi quella che compare come unità D? cmq sta facendo la scansione con norman sinowal...appena ha fatto posto il log...

[pike]

Esattamente Cheggio.

Quando si hanno le partizioni "facili" da toccare o eliminare, è meglio, a mio parere, non farvi backup sopra.

[cheggio]

mh-hm...chiaro, certo...ecco il log! che mi dite?

NFix_2011-01-24_21-09-10.log