www.MegaLab.it

[tyons]

salve da qualche giorno ho notato che dopo un po' che uso il computer nod 32 mi si chiude da solo, cioè scompare l'icona da in basso a destra. se lo riapro va, ma non è questo il problema. oggi mi sono accorto che non si avvia neanche il firewall. ora provo a fare una scansione con nod e vedo se trova qualcosa. tra l'altro è strano perché aprendo lphant, un programma tipo emule, mi dà connessione bassa, cosa che non è mai successa, e mi dice che il kad è "firewalled". ma se il firewall è disattivato!

[Amantide]

Scarica il ComboFix rinominato da qui ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.

[tyons]

posso usare hijackthis che ce l'ho già? (ho già anche avenger).

[Amantide]

posso usare hijackthis che ce l'ho già?

Lo puoi usare ma non serve praticamente a niente, tanto mi serve lo stesso il log di Combofix.

[tyons]

ecco ieri ho usato combofix e mi ha fatto il log, ma dopo, quando il computer si era riavviato ed è apparso il log, l'ho ridotto a icona perché dovevo uscire. avevo detto a mia mamma di non toccare niente, ma quando sono tornato a casa cosa mi dice? "c'era lo schermo senza icone e allora l'ho spento con il tasto".
quando lo accendevo oggi, mi veniva una schermata nera con delle scritte tipo quella che viene se premi f8 mentre si accende con 2 cose da scegliere, una che non sono riuscito a leggere perché la schermata scompariva dopo 1 secondo, e l'altra era windows XP professional etc... che era già selezionata. allora la schermata scompariva e dopo un po' era come se si riavviasse il computer, quindi tornava e io al momento giusto ho premuto invio, così sono riuscito ad accendere il computer. c'erano sia l'antivirus sia il firewall disattivati e credo che anche tutte le modifiche che avevo fatto erano state cancellate. allora ho salvato il log su un disco esterno e ho fatto il ripristino con il punto creato da combofix. quando ho acceso il computer, il firewall si era attivato da solo come al solito e per adesso l'antivirus non si è ancora chiuso... può darsi che sia andato tutto a posto da solo ma comunque metto il log di combofix. anzi posso inviarlo solo a te in qualche modo? perché se no tutti possono vedere dei miei dati personali.

[Amantide]

Mandalo tramite MP o carica il log su www.mediafire.com e mandami il link.

[tyons]

asd che scemo, ci avevo pensato all'mp, ma poi (da scemo) mi sono detto "non credo però che negli mp si possano allegare dei file". ma basta scrivercelo il log! sono imbecille....

[Amantide]

Si trattava veramente di Bagle e qualcosa è stato rimosso da Combofix.
Ora per vedere se è rimasto del altro e per ripristinare i vari servizi disabilitati scarica FindyKill (by Chiquitine29)ed installalo (è in francese però è di facile comprensione).
Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt

[tyons]

ma io dopo che combofix aveva fatto tutto, ho fatto il ripristino di configurazione di sistema. per caso devo rifare la scansione e usare dopo findykill?

[Amantide]

No, usa solo Findykill.

[tyons]

senti io ho usato findykill e ora non mi vede più l'unità F: esterna e la stampante. come faccio a rimetterle visibili?

[tyons]

allora ho fatto il ripristino di configurazione di sistema per poter usare la stampante e l'unità F: ma quest'ultima non va. mi sevre assolutamente perché ho tutto lì sopra. quel programma lì non lo userò mai più se ha questo effetto.

[Amantide]

Il worm Bagle a volte infetta anche le unità rimovibili come le pen drive e quindi Findykill cerca di riparare anche le unità esterne ma forse qualcosa è andato storto
Cos'era questa unità F:\? Una partizione o una periferica esterna?

Postami il log C:\findykill.txt così vediamo cosa ha combinato. Fai anche la scansione con Perlovga Removal Tool

[tyons]

è un hard disk esterno.

Codice: Seleziona tutto

----------------- FindyKill V4.707 ------------------

* User : pc22 - NOTEBOOK22
* executed from : C:\Programmi\FindyKill
* Update on 06/12/08 par Chiquitine29
* Start at 17:10:22 the 2008-12-07
* Windows XP - Internet Explorer 7.0.5730.11
 
 
((((((((((((((( *** deleting *** )))))))))))))))))) 
 
 
--------------- [ Active Processes ] ---------------- 
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\OGAVerify.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
--------------- [ Infected files / folders ] ---------------- 
 
 
»»»» Supression files in C:
 
 
»»»» Supression files in C:\WINDOWS
 
 
»»»» Supression files in C:\WINDOWS\Prefetch
 
 
»»»» Supression files in C:\WINDOWS\system32
 
 
»»»» Supression files in C:\WINDOWS\system32\drivers
 
 
»»»» Supression files in C:\Documents and Settings\pc22\Dati applicazioni
 
 
»»»» Supression files in C:\DOCUME~1\pc22\IMPOST~1\Temp
 
 
»»»» Supression files in C:\Documents and Settings\pc22\Local Settings\Temporary Internet Files\Content.IE5
 
Deleted ! - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg   
Deleted ! - C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Plugins\7B5560BB781B40259A06350E9B643B6E\more.JPG   
Deleted ! - C:\Documents and Settings\pc22\Impostazioni locali\Dati applicazioni\Microsoft\Media Player\Cache copertina\LocalMLS\{2214A7AA-B641-4A99-A578-CDC5EFB46F7A}.jpg   
 
--------------- [  Registry / Infected keys ] ----------------
 
Deleted ! - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\german.exe   
 
--------------- [ States / Restarting of services ] ----------------
 
+- Safe boot mode restored !


+- Services : [ Auto=2 / Request=3 / Disable=4 ]

 Ndisuio - Type of startup  = 3
 
 Ip6Fw - Type of startup  = 2
 
 SharedAccess - Type of startup  = 2
 
 wuauserv - Type of startup  = 2
 
 wscsvc - Type of startup  = 2
 
 
---------------   [ Cleaning removable drives ] ---------------- 
 
+- Informations :

C: - Unit… fissa

 
+- deleting files :
 
 
--------------- [ Registry / Mountpoint2 ] ---------------- 
 
 
 -> Not found !
 
 
--------------- [ Searching Cracks / Keygen ] ---------------- 
 
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\keygen (OK)
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\WinDVD 6 Patch
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\WinDVD6.exe
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\keygen (OK)\keygen.exe
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\keygen (OK)\ror.nfo
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\WinDVD 6 Patch\InstActivation.dll
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\WinDVD 6 Patch\INSTAL INFO.txt
C:\Documents and Settings\pc22\Desktop\Programmi per i video\WinDVD Platinum 6 v6.0.6.42 + keygen\WinDVD 6 Patch\regme.reg
 
 
---------------- ! End of report ! ------------------

[Amantide]

Fai la scansione con Perlovga Removal Tool (non staccare hard disk esterno), riavvia il pc ed aggiornami sulla situazione.

[tyons]

già fatto, niente da fare. ho provato a scaricare il driver per il mio hard disk esterno, ma sul sito c'è scritto che è un plug and play e i driver servono solo su windows 98. li installo comunque?

dimenticavo di dire che prima mi si è chiuso da solo l'antivirus come prima, anche se il firewall funziona. secondo me devo ri usare combofix perché, avendo fatto il ripristino, è come se non l'avessi usato.

[Amantide]

secondo me devo ri usare combofix perché, avendo fatto il ripristino, secondo me è come se non l'avessi usato.

Sicuramente è così... però ho paura che lasci un'altra volta il pc incustodito durante la scansione... e la tua mammà ripasserà accanto...

Avanti con la scansione allora

[tyons]

lo farò domani e prima mi accerterò che che nessuno lo tocchi. per l'hard disk esterno come faccio?

p.s. se intendi la scansione di perlovga, l'ho già fatta.

[Amantide]

per l'hard disk esterno come faccio?

Aspettiamo prima di vedere il nuovo log di Combofix, perché sicuramente i 2 fatti sono connessi tra di loro.

[tyons]

ok allora, ieri avevo fatto un ripristino perché rivolevo l'hard disk esterno ma non funzionava. oggi ho acceso il computer ed è andato tutto a posto. adesso è come se non avessi usato nè combofix nè findykill. uso combofix e ti mando il log.

edito: te l'ho mandato.