www.MegaLab.it

[hashcat]

pochi minuti fa, dopo l'ultimo riavvio, guarda cos'ha trovato avira:

Nel file 'C:\WINDOWS\Fonts\gulim.ttc'
è stato rilevato un virus o programma indesiderato 'EXP/CVE-2011-3402' [exploit].
Azione eseguita: Nega accesso

Se possibile inviami il campione, è di importanza determinante

Purtroppo stasera non ho il tempo di approfondire.

Domani cercherò di spiegarti tutto, nel frattempo evita di utilizzare il computer, se possibile non connetterlo ad internet.

[adara]

a seguito del rilevamento durante l'avvio che ti ho già postato, avira ha poi fatto una scansione del sistema da cui, però, non è emerso nulla: ha preso in esame il file gulim.ttc ma poi non ha fatto nulla; qui c'è un estratto del report:

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\WINDOWS\Fonts\gulim.ttc'
C:\WINDOWS\Fonts\
gulim.ttc


Fine della scansione: domenica 29 gennaio 2012 21:20
Tempo impiegato: 07:49 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
54 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
54 File non infetti
0 Archivi scansionati
0 Avvisi
0 Note
24155 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

Dopo il rilevamento, prima di leggere il tuo consiglio di disconnettermi da internet, sono rimasta connessa per un'ora abbondante perché stavo continuando a scaricare ed installare Netframework (ora sono alla versione 3.5 SP1)

Ora lancio un'altra scansione con Avira, domani sera ti posto il risultato

[hashcat]

a seguito del rilevamento durante l'avvio che ti ho già postato, avira ha poi fatto una scansione del sistema da cui, però, non è emerso nulla: ha preso in esame il file gulim.ttc ma poi non ha fatto nulla; qui c'è un estratto del report:

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\WINDOWS\Fonts\gulim.ttc'
C:\WINDOWS\Fonts\
gulim.ttc


Fine della scansione: domenica 29 gennaio 2012 21:20
Tempo impiegato: 07:49 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
54 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
54 File non infetti
0 Archivi scansionati
0 Avvisi
0 Note
24155 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

Dopo il rilevamento, prima di leggere il tuo consiglio di disconnettermi da internet, sono rimasta connessa per un'ora abbondante perché stavo continuando a scaricare ed installare Netframework (ora sono alla versione 3.5 SP1)

Ora lancio un'altra scansione con Avira, domani sera ti posto il risultato

In questo momento ti rispondo da cellulare:
La rilevazione sembra essere un falso positivo di Avira, per accertarmi che si tratti effettivamente di un f.p. carica il campione su MediaFire, inserisci il link nel tuo prossimo messaggio così potrò analizzarlo, se possibile nel frattempo evita di utilizzare il computer.

P.S.: Ulteriori problemi con gli aggiornamenti del .NET Framework ?

[adara]

Purtroppo non ho altri computer con cui connettermi ad internet, devo per forza usare questo.
Ieri sera ho fatto un'altra scansione con Avira e non ha rilevato nulla; in effetti, alcuni giorni fa ho settato l'antivirus con tutti i criteri più severi di scansione e protezione, euristica alta, esame di tutte le estensioni di files, etc., ed ho letto che questo avrebbe potuto generare degli errori.

Come devo fare per caricare il campione su mediafire? Non so cosa sia, abbi pazienza...

In questo momento il pc sta scaricando degli aggiornamenti (c'è lo scudetto giallo), lo lascio finire e poi vedo cosa mi propone. Con Netframework per ora mi sono fermata per non stare connessa a internet troppo a lungo, dimmi quando posso riprendere.
Ora stacco e mi ricollego più tardi, ciao

[hashcat]

Purtroppo non ho altri computer con cui connettermi ad internet, devo per forza usare questo.
Ieri sera ho fatto un'altra scansione con Avira e non ha rilevato nulla; in effetti, alcuni giorni fa ho settato l'antivirus con tutti i criteri più severi di scansione e protezione, euristica alta, esame di tutte le estensioni di files, etc., ed ho letto che questo avrebbe potuto generare degli errori.

Come devo fare per caricare il campione su mediafire? Non so cosa sia, abbi pazienza...

In questo momento il pc sta scaricando degli aggiornamenti (c'è lo scudetto giallo), lo lascio finire e poi vedo cosa mi propone. Con Netframework per ora mi sono fermata per non stare connessa a internet troppo a lungo, dimmi quando posso riprendere.
Ora stacco e mi ricollego più tardi, ciao

Molto probabilmente il file segnalato da Avira é un F.P., domani ti spiegherò come accertarsene.

Al momento oltre alle "strane scritte" all'avvio ed a qualche rallentamento tutto bene?

Entro dopodomani dovremmo riuscire a concludere.

P.S.: Carica il file segnalato da Avira su DepositFiles ed inserisci il relativo indirizzo per scaricarlo.

[adara]

Al momento oltre alle "strane scritte" all'avvio ed a qualche rallentamento tutto bene?

Si, a parte queste due cose, il resto è ok.
Adesso continuo a scaricare gli aggiornamenti di windows, grazie

[adara]

hashcat, ti ho mandato un mp, ma lo vedo sempre nella cartella "messaggi in uscita", quella degli "spediti" è vuota: ti è arrivato?

[The Doctor]

hashcat, ti ho mandato un mp, ma lo vedo sempre nella cartella "messaggi in uscita", quella degli "spediti" è vuota: ti è arrivato?

Significa che non ha ancora avuto tempo di leggerlo

[hashcat]

hashcat, ti ho mandato un mp, ma lo vedo sempre nella cartella "messaggi in uscita", quella degli "spediti" è vuota: ti è arrivato?

Ho letto e risposto al tuo MP

[adara]

ho avviato più volte windows update ed ho scaricato tutti gli aggiornamenti disponibili, ora ho NetFramework fino alla versione 4 extended; le uniche cose che non riesce ad installare sono queste:

Microsoft .NET Framework 3.0: x86 Language Pack (KB928416)
Windows PowerShell 2.0 e WinRM 2.0 per Windows XP e Windows Embedded (KB968930)

Il pc è un po' lento per un certo periodo dopo l'avvio, ma poi sembra riprendersi.
ti mando un altro mp

[hashcat]

ho avviato più volte windows update ed ho scaricato tutti gli aggiornamenti disponibili, ora ho NetFramework fino alla versione 4 extended; le uniche cose che non riesce ad installare sono queste:

Microsoft .NET Framework 3.0: x86 Language Pack (KB928416)
Windows PowerShell 2.0 e WinRM 2.0 per Windows XP e Windows Embedded (KB968930)

Il pc è un po' lento per un certo periodo dopo l'avvio, ma poi sembra riprendersi.
ti mando un altro mp

Questi due aggiornamenti di Windows non sono particolarmente importanti e non farli non rappresenta un rischio per la sicurezza del computer.

Per il problema delle molteplici voci in avvio, ho bisogno di visionare il file boot.ini

Utilizza questo script in batch che copierà il file sul tuo Dekstop (boot_ini.txt).

Apri il file con in Blocco Note ed inserisci il suo contenuto qui sul forum nel tuo prossimo messaggio.

[adara]

Utilizza questo script in batch

cosa significa "utilizzare in batch"? Ho provato a fare "doppio clic" sull'icona, ma non è successo nulla... (probabilmente ora starai ridendo.. )

[hashcat]

Utilizza questo script in batch

cosa significa "utilizzare in batch"? Ho provato a fare "doppio clic" sull'icona, ma non è successo nulla... (probabilmente ora starai ridendo.. )

Batch indica il linguaggio di scripting utilizzato.

Lo script dovrebbe copiare il file boot.ini presente in C:\ e salvarlo come documento di testo sul Desktop (boot_ini.txt).


Se provando nuovamente non succede nulla utilizza SystemLook:

1. Scarica SystemLook da qui
2. Avvia SystemLook
3. Inserisci il seguente script nella casella di testo (copia e incolla):
   
   

   Codice: Seleziona tutto

   :contents
%SystemDrive%\boot.ini

   
   
4. Disattiva o termina tutte le protezioni in tempo reale di programmi anti-spyware, antivirus, anti-malware, che possono influenzare SystemLook
5. Clicca su
6. Aspetta finché non verrà generato un log e aperto con il Blocco Note
7. Dal menu del Blocco Note seleziona la voce Modifica >> Seleziona Tutto e successivamente Modifica >> Copia
8. Inserisci il contenuto copiato nel tuo prossimo messaggio

Il file gulim.ttc segnalato precedentemente da Avira come pericoloso è un falso positivo.

I rallentamenti del tuo computer potrebbero essere causati da un erronea configurazione di Avira.

[hashcat]

Dopo aver seguito quanto indicato nel messaggio precedente scarica il file services_tweaker.bat ed eseguilo.

Questo script si occupa di disattivare alcuni servizi del computer spesso inutilizzati incrementando la sicurezza del computer, nel tuo caso, potresti guadagnare qualcosa in termini di reattività dello stesso.

[adara]

ecco il log di systemlook:

SystemLook 30.07.11 by jpshortstuff
Log created at 19:03 on 02/02/2012 by utente
Administrator - Elevation successful

========== contents ==========

C:\boot.ini - Opened succesfully.

[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect


-= EOF =-

Ho anche eseguito il file services_tweaker

Per quanto riguarda Avira, in effetti l'ho settato in modo che sia al massimo stato d'allerta...

Ho visto, qui sul forum sicurezza, una recente discussione (relativa ad un virus CVE) in cui viene consigliato di installare un programma che avvisa quando è ora di aggiornare gli altri software presenti sul pc; vorrei installarlo anch'io, devo seguire degli accorgimenti particolari?

[hashcat]

ecco il log di systemlook
Ho anche eseguito il file services_tweaker

Per quanto riguarda Avira, in effetti l'ho settato in modo che sia al massimo stato d'allerta...

Ho visto, qui sul forum sicurezza, una recente discussione (relativa ad un virus CVE) in cui viene consigliato di installare un programma che avvisa quando è ora di aggiornare gli altri software presenti sul pc; vorrei installarlo anch'io, devo seguire degli accorgimenti particolari?

C'è una piccola anomalia nel file boot.ini (nulla di grave), per risolvere il problema delle voci all'avvio basta sostituire questo modificato con il file predefinito.


Scarica il file boot.ini (predefinito) e salvalo sul Desktop (non rinominarlo).


Per sostituire il file modificato con quello predefinito utilizza The Avenger 2:

1. Scarica The Avenger 2 da qui
2. Eseguilo
3. Deseleziona l'opzione Scan for rootkits
4. Inserisci il seguente script nella casella di testo
   
   

   Codice: Seleziona tutto

   Files to move:
%userprofile%\Desktop\boot.ini | %systemdrive%\boot.ini

   
   
5. Premi Execute
6. Autorizza The Avenger 2 a riavviare il computer
7. Inserisci nel prossimo messaggio il log generato da The Avenger 2 (C:\Avenger.txt)

Ora il problema delle voci all'avvio dovrebbe essere risolto


Per quanto riguarda gli aggiornamenti sarebbe stata l'ultima fase del mio intervento, il programma consigliato nell'altra discussione è SUMo. Non necessita di una particolare configurazione.


Infine ti consiglio vivamente di sostituire Adobe Reader (possiedi peraltro una versione obsoleta del software) con Sumatra PDF:

Maggiori Informazioni qui


P.S.: Potresti specificare la configurazione di Avira (i rallentamenti potrebbero essere causati da una configurazione errata)

[adara]

log di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\boot.ini" is whitelisted
File move operation "C:\Documents and Settings\utente\Desktop\boot.ini|C:\boot.ini" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.

mi sa che qualcosa non ha funzionato, perché al riavvio le "voci di scelta" su schermo nero c'erano ancora (è una cosa che succede solo con la funzione "riavvia il sistema". Quando è spento e lo accendo, non capita); comunque, rimangono solo qualche istante.

Ho disinstallato Acrobat Reader ed ho installato Sumatra.

Per quanto riguarda Avira, provo a riassumere la configurazione:

System Scanner:
files: tutti
impostazioni aggiuntive: tutte (tranne files offline)
ARchivi: tutto spuntato (ricorsione: 20)
eccezioni: nessuna
euristico: spunta su macrovirus - AHeAD alto
REaltime protection:
files: tutti in lettura e scrittura
eccezioni: nessuna
euristico: come per System Scanner
Firewall:
notifiche: tutte
regole applicazione: impostazioni base
Web:
blocca frames sospetti
tutti i filtri web attivati
euristico: come per System Scanner
Email:
scansione in entrata e uscita
euristico come per system scanner
GEnerale:
categorie minacce: tutte

adesso scarico e installo SUMo

[adara]

con sumo tutto ok.

ho notato che è cambiata l'icona della rete locale LAN: è da un bel po' (forse dal riavvio) che c'è un pallino giallo che si muove fra i due pc e passandoci sopra con il cursore appare la scritta "stato: acquisizione indirizzo di rete" però sembra che tutto funzioni bene

[hashcat]

mi sa che qualcosa non ha funzionato, perché al riavvio le "voci di scelta" su schermo nero c'erano ancora (è una cosa che succede solo con la funzione "riavvia il sistema". Quando è spento e lo accendo, non capita); comunque, rimangono solo qualche istante.

Ho disinstallato Acrobat Reader ed ho installato Sumatra.

Per quanto riguarda Avira, provo a riassumere la configurazione:

System Scanner:
files: tutti
impostazioni aggiuntive: tutte (tranne files offline)
ARchivi: tutto spuntato (ricorsione: 20)
eccezioni: nessuna
euristico: spunta su macrovirus - AHeAD alto
REaltime protection:
files: tutti in lettura e scrittura
eccezioni: nessuna
euristico: come per System Scanner
Firewall:
notifiche: tutte
regole applicazione: impostazioni base
Web:
blocca frames sospetti
tutti i filtri web attivati
euristico: come per System Scanner
Email:
scansione in entrata e uscita
euristico come per system scanner
GEnerale:
categorie minacce: tutte

adesso scarico e installo SUMo

Il log di The Avenger indica che per qualche motivo la procedura non è stata portata a termine correttamente.

Prova ad utilizzare a questo scopo Emsisoft BlitzBlank:

1. Scaricalo da qui
2. Eseguilo
3. Nella casella Script incolla questo:
   
   

   Codice: Seleziona tutto

   MoveFile:
   "c:\documents and settings\utente\desktop\boot.ini" c:\boot.ini


   
   
4. Clicca su Execute Now

Per quanto riguarda Avira configuralo così:

Avvio: Normale
Scanner: Archivi (default)
Realtime: Solo estensioni indicate
Categoria Minacce: Tutto tranne giochi

[adara]

Salve sono il fidanzato di Adara, la quale è disperata perché ... il PC pare "defunto"; mi ha detto che su schermo nero, appare ora l' inquietante avviso:
è ora impossibile riavviare Windoes poichè il file seguente manca o è danneggiato: <Directory principale Windows>
\System32\hal.dll
installare di nuovo una copia del file sopra visualizzato

la poveretta dispone di vecchi dischi di backup risalenti al lontano dicembre 2008 ....

spero di aver riferito tutto correttamente, e 1000 grazie per l'attenzione !