Sospetto Problema Con Risoluzione Macchinosa...

[Milena]

non so più dove postare...

Il mio prOblema dovrebbe essre inserito nella discussione Hijack this, e lo avrei anche fatto se non fosse CHE ogni volta che clicco sul nome della suddetta applicazione...mi si chiude tutto, ANCHE SE SI TRATTA SEMPLICEMENTE DEL TITOLO DI UNA DISCUSSIONE.

Circa due settimane fa si è insinuato un brutto virus nel pc da cui sto postando...il tecnico dice di avermi eliminato il problema, non so bene in che modo: che all'inizio ha provato con una scansione tramite antivirus in modalità provvisoria, per cercare di eliminare in quel modo il virus: operazione miseramente fallita, quindi si è portato via il pc dicendo che avrebbe provato in latri modi ( mah) e me lo ha restituito il girono dopo dicendo che tutto andava bene.. in più ci ha installato Kaspersky ( no plus ultra degli antivirus, mi dicono, ma a me sembra pesantissimo...), Spysweeper ( molto più potente delle analoghe versioni gratuite ) a cui ho aggiunto CC Cleaner e AdAware ( troppo?).

Il pc è alquanto rallentato, a volte non apre, non si sa perchè, programmi con i quali lavoro quotidianamente ( photoshop o illustrator ) dai quali non sempre affettua i salvataggi di immagini anche se leggerissime e in fomati d'uso comune, motivazione: non ha la memoria virtuale sufficiente a terminare l'operazione richiesta. Cosa che mi sembra improbabile.

Altre volte non ne vuole sapere di aprire Internet Explorer o outlook,( adesso ho messo Firefox ), altre ancora sostituisce le icone dei programmi con altre icone di sistema,in più si blocca di continuo...insomma per farla breve, devo sempre riavviarlo.

Il tecnico ha preferito non formattare, ma io comincio a chiedermi se non era il caso…

Ad ogni modo volevo postare il Log fatto con Hijackthis, sono riuscita a scaricarmelo in un altro pc e a passarmelo tramite lan, ma non riesco ad aprire la cartella: ogni volta che ci provo il pc si blocca, scompaiono tutte le icone, momento di stallo e poi tutto come prima, ma la cartella rimane chiusa. sembra che questo pc no accetti Hijackthis...ma è possibile?

Ho eseguito una scansione on line con gli antivirus da voi consigliati ed il risultato è stato pc pulito, ma non ne sono convinta.

Che posso fare a questo punto?

Grazie mille!

Modificato October 3, 2006 da Leia_Skywalker

[Kuma]

Ciao e benvenuta Leia...

Fai questa prova e posta i due log creati

Scarica ed avvia uno alla volta questi due tool:

http://www.prevx.com/gromozon.asp

http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Dopodichè, scaricati anche questo antivirus, installalo, aggiornalo e fai una scansione in modalità provvisoria : http://www.tgsoft.it/italy/download.htm

Anche qui, informaci se ha eliminato qualcosa....

_____________________________________________________

Poi ti dirò quale antivirus installare definitivamente... è agli stessi livelli di Kaspersky, ma molto più leggero (inoltre è anche free)...( Anteprima )

[Milena]

Grazie mille!

Allora: ho lanciato Gromozon e Kaspersky ha subito individuato due trojan...

alla fine della scansione, l'unica schermata rilasciata è questa:

Launching Scan

Removing rootkit file...

Scanning Windows Directory...

Searching for EFS service files...

Trojan.Gromozon Removed!

Scan finished normally

For a detailed log, please refer to \gromozon_removal.log

[Milena]

...ho dato un'occhiata all'anteprima degli antivirus free...quando è successo il "fattaccio" avevo Antivir PE Classic...a casa ( questo è il pc dell'ufficio ) ho utilizzato Avast e AVG...considerando che lavoro on line ( aggiornamento siti & operazione analoge ) cosa mi consigli di mettere qua?

P.s. mi consigli Spy Boot Search&Destry come anti-malware, perchè mi hanno detto che le ultime versioni generano molti falsi positivi....

Grazie ancora del supporto tecnico!

[Kuma]

Lancia entrambi i tool...

uno alla volta... sono diversi e si compensano (quello che non rimuove uno lo rimuove l'altro)

DISATTIVA momentaneamente Kaspersky che potrebbe interferire negativamente....

[Kuma]

...ho dato un'occhiata all'anteprima degli antivirus free...quando è successo il "fattaccio" avevo Antivir PE Classic...a casa ( questo è il pc dell'ufficio ) ho utilizzato Avast e AVG...considerando che lavoro on line ( aggiornamento siti & operazione analoge ) cosa mi consigli di mettere qua?

P.s. mi consigli Spy Boot Search&Destry come anti-malware, perchè mi hanno detto che le ultime versioni generano molti falsi positivi....

Grazie ancora del supporto tecnico!

Nessun antivirus rimuove(va) il rootkit che usa dei nomi riservati e risulta del tutto occultato ...

quindi anche Kaspersky non ti ha eliminato il malware, ( e il tecnico non ha risolto nulla)

Visto che è free ed è ottimo, come antivirus, ritornerei a Antivir PE (agli stessi livelli di Kaspersky)

Come Antispyware, installa sia Spyware Terminator che Ad-Aware

FAmmi anche questo controllo: (questo gromozon è una bestiaccia)

Da START\ESEGIU digita: control userpasswords2 clicca su Ok

scrivimi i nomi presenti

[Milena]

ok.

Nel frattempo ecco il log fatto con symantec:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2

SeTakeOwnershipPrivilege acquired

Failed to acquire SeDebugPrivilege

Trojan.Linkoptimizer has not been found on your computer.

[Milena]

allora, i nomi presenti sono:

Administrator

ASPNET

Guest

Utente

La cosa strana è che tutti sembrano non trovare nulla, ma sono sicura che questo pc ha qualcosa...

[Kuma]

Potrebbero essere rimasti dei rimasugli... (te l'ho detto che è uno... schifoso )

Adesso ti dico cosa devi fare, però dovrai aspettare la risposta dei tecnici (Luke57, GmG o Andorra24)

Quendo avrai postato quello che ti chiedo, sposto questo messaggio nella sezione dei log (lascio qui comunque un collegamento...)

Allora servono tre log:

Uno di Hijack This (Istruzioni e Download Hijack)

e questi due del seguente programma:

scarica sul desktop GMER: http://www.gmer.net/gmer110.zip

scopatta, sempre sul desktop il file gmer.zip.

Esegui gmer.exe

Clicca sul Tab "Rootkit"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

Esegui gmer.exe

Clicca sul Tab "Autostart"

Clicca su "Scan"

finita la scansione clicca su "Copy"

Apri il Blocco Note salva il file ed allegalo qui

allora, i nomi presenti sono:

Administrator

ASPNET

Guest

Utente

È tutto regolare, ma magari hai qualcosa d'altro (lo vedremo dai log)

[Milena]

ok, lo faccio subito...solo rimane il problema che il mio pc sembra non accettare Hijackthis, non ne vuole sapere nemmeno di aprire la cartella...ci sono alternative?

[Milena]

come non detto: ho provato a scaricare Hijack this sia dal link qui sopra, sia dal link nella discussione apposita dei log sia da link esterni: ogni volta che clicco sul suo nome si chiude tutto.

lo stesso anche per l'altro link che mi hai indicato, GMER: ci clicco sopra e si chiude tutto, questa finestra compresa...

che tu sappia è possibile una cosa del genere?

[Milena]

...lo stesso me lo fa con gli altri programmi che mi hai consigliato e, tanto per aggiungere il peggio, no riesco ad avviarlo in modalità provvisoria....forse la formattazione è l'unica soluzione a questo punto?

[Kuma]

Avevi provato a far girare Virit ??? http://www.tgsoft.it/italy/download.htm

(in modalità provvisoria e dopo averlo aggiornato)

forse la formattazione è l'unica soluzione a questo punto

eheheheheh è la soluzione più veloce

io l'ho fatta giusto ieri :angel_not: ...

[Milena]

dunque, no, virit no l'avevo provato, ma volevo provare a fre una scnsione con l'AVg in modalità provvisoria, ma spenso, riaccendo premo o f5 o f8 e non succede nulla...(?????)

[Kuma]

L'unico antivirus che potrebbe (il condizionale è d'obbligo) risolvere qualcosa è VIRIT...

Lascia stare AVG che non ha neppure il controllo euristico (la versione free) e cioè il riconoscimento dei virus sconosciuti.... fossi in te lo sostituirei con qualcosa di moeglio (Antivir PE)

Se il tasto F8 non funziona leggi qui:

http://forum.wininizio.it/index.php?showtopic=12722

[Milena]

Grazie davvero, provo ad andare in modalità provvisoria seguendo al procedura che mi hai indicato nell'altra discussione.

Nel frattempo ho eseguito una scnsione semplice ocn Virit e questo è il log:

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

09/10/2006 - 10:21:32

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\WINDOWS\system32\openports.dll Infetto da Dialer.46080

* * * RIMOSSO * * *

Chiavi Registro infette: 0.

Files Infetti: 1.

Files Sospetti: 0.

Files Analizzati: 71657.

Files Totali: 71657.

Chiavi Registro rimosse: 0.

Virus Rimossi: 1.

[Kuma]

Comunque non credo che era questo il file che ti creava i problemi dei programmi di sicurezza che non si aprivano... <_< Solitamente questo problema è dato da un rootkit che riesce ad occultarsi a tutti i programmi....

Se avvii in modalità provvisoria riprova a fare la scansione con Virit e poi vedi se per caso

GMER si avvia (in mod normale) , potrebbe essere l'unico che riesce ad individuare il problema