Messaggio del 07-01-2009 alle ore 09:03:30

---

sto cercando di sistemare il pc di un collega che si e' infettato
sul pc c'e' win xp sp3 "regolare" ed ho un mese per giocarci perche' e' andato in ferie...

ho installato i vari tools antivirus/spyware ed ha trovato diversi virus ed una decina di trojans...fin qua tutto bene.

ora pero' IE e' stato modificato e non consente di collegarsi a nessun sito antivirus...non ci riescono neanche firefox e opera...mi dicono che non c'e' collegamento, pero' se vado su google il sito funziona, in questo modo nessun antivirus/spyware riesce ad aggiornarsi

naturalmente e' piu' semplice formattare pero' a questo punto vorrei davvero sapere cosa puo' essere che non riesco a trovare.

ho ripristinato il file HOSTS ed ho fatto girare hijack ma non c'e' niente di strano nei test...tutti i programmi sembrano genuini, ho anche disinserito qualche servizio sospetto, naturalmente ho disinserito quasi tutti i programmi che partono all'avvio

ho scaricato circa 1.5gb di antivirus e antispyware (sophos, avg, kaspersky, panda, tutti insomma), molti non si possono installare in safe mode (grande cazzata, vorrei sapere quando capiscono che un computer infetto si aggiusta in safe mode) e se qualcuno prova ad installarsi o c'e' un errore irreversibile oppure mi dice che il network administrator non consente l'installazione...insomma un rompicapo

chi ha qualche altro suggerimento?

Messaggio del 07-01-2009 alle ore 10:29:18

---

registro di sistema? l'hai controllato? potrebbe essere cambiato qualcosa HKEY_LOCAL_MACHINE o su USER, pero' dirlo cosi' su due piedi non e' proprio immediato..

Messaggio del 07-01-2009 alle ore 10:33:02

---

E' stranissimo... hai fatto tutto quello che avrei fatto anch'io. Potresti provare a collegare l'hard disk di quel pc su di un'altro e provare ancora con i vari programmi antivirus antispyware ecc.

Però è veramente un rompicapo, se ci riesci faccelo sapere

Messaggio del 07-01-2009 alle ore 10:57:25

---

Aktarus,
proverei anche a cercare su HKEY_LOCAL_MACHINE, ma se non conosco i valori originali non posso confrontarli con niente...ho provato anche a creare un nuovo utente su xp ma e' tutto inutile.

ora sto facendo girare xpautopatcher che aggiorna tutto quello che e' vecchio sulla macchina...

ho anche installato ie 8 beta nella speranza che resettasse quello che non andava ma e' tutto invano...


Terzinofedele, ho pensato gia' di smontare l'hard disk e di metterlo su un'altra macchina dove xp gira, per adesso sto provando tutto il resto...domani (oggi mercoledi) non lavoro quindi ho tutto il tempo

Messaggio del 07-01-2009 alle ore 14:29:30

---

stessa cosa è successo al pc di mio figlio ....
prima cosa ho istallato Supera antispyware free e me ne ha trovati 315 infetti ... poi ho a "mano" (che palle) le entrate dal registro..

eccoti un copia e incolla preso da un link ... me lo ero salvato su un file...
per fortuna che Tbr molto tempo fa mi fece conoscere Linux ... adesso xp non so manco come è fatto ... ma ogni tanto devo intervenirci per i pc di casa e quello dei clienti ...

Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{020487CC-FC04-4B1E-863F-D9801796230B}
BhoNew.BhoApp
BhoNew.BhoApp.1
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{21A237A4-3A94-4198-911D-647ED2263DD2}
Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{99f8405b-63d1-421a-83bb-7b4b0642ac28}
{99f8405b-63d1-421a-83bb-7b4b0642ac28}
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{049e2207-f9ef-40da-91f7-8819d0c33a84}
{049e2207-f9ef-40da-91f7-8819d0c33a84}
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\procgdyu32.exe
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\procgdyg32.exe
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\procgdwb32.exe
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\procgdnb32.exe
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\procgdbl32.exe
MICROSOFT\WINDOWS\CURRENTVERSION\RUN\msiexec.exe
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7D1C5E13-29D8-4BCD-B4B8-5F5819A53BAD}
MICROSOFT\WINDOWS\CURRENTVERSION\RUN\Jnskdfmf9eldfd
Microsoft\Internet Explorer\Toolbar\{D92C8B24-6818-4992-AFDD-7E96C92E28BD}
Microsoft\Internet Explorer\Toolbar\{4B87885D-104A-4C24-A9BB-7D795B8039A2}
Microsoft\Internet Explorer\Toolbar\{ED2FC0D9-9ABF-42E3-96F8-049740A1C435}
{65DE966D-11D1-4bb1-BF7E-B8A273514DAF}
Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39F63908-E12A-4A21-A7EB-67CA3B876C52}
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A013E591-B570-4013-A2D6-E8CB72E80FAF}
Microsoft\Internet Explorer\Toolbar\{DD75AB82-CBE3-4096-825E-C24BFA82B5FF}
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F153B5EF-2158-4FB7-9125-EB012324DFE9}
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A7424EB-44B1-4255-BA99-4C596A85C235}
MICROSOFT\WINDOWS\CURRENTVERSION\RUN\MSFox
{83E03729-A156-46EC-9CB8-AFEDC71AEC0A}
Microsoft\Wind
{4B745BDE-F479-42DE-9C18-37422EA83BCC}
{34B5A18E-62D7-47AD-8801-1DA95CACC9BA}
{3FA72DBF-0A46-4C6E-A998-29EA2BC76977}
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3FA72DBF-0A46-4C6E-A998-29EA2BC76977}
MICROSOFT\WINDOWS\CURRENTVERSION\RUN\winhpdrv
Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5BF49A2-94F1-42BD-F434-3604812C807D}

per adesso è tornato tutto alla normalità .... mo vediamo che succede tra stasera e domani con Alessio che scarica di tutto su internet

Messaggio del 07-01-2009 alle ore 16:46:29

---

e quello dei clienti ...

Messaggio del 08-01-2009 alle ore 00:14:42

---

che cazzo hai da ridere

informatica center è nata nel 1999 e poi sostituita con Alexanum ...
ne ho ancora circa 400...
i primi due del forum che vennero al negozio nel 2000 fu adonai e bartam

che ti ridi letame

Messaggio del 08-01-2009 alle ore 07:40:52

---

Guarda che me lo ricordo....stava vicino casa mia!
Ingrato non ti ricordi quando venivi all'ufficio dove lavoravo prima e ti ho aiutato con i pc nuovi?????

Se ti serve una mano per il tuo lavoro io sono uno che lo imprende subito!!!

Messaggio del 08-01-2009 alle ore 09:40:59

---

network administrator.... ma il pc è sotto dominio? in più... dici che non aggiorna e va su google, ma su altri siti và? riesci a navigare senza problemi?

Messaggio del 08-01-2009 alle ore 16:17:09

---

terzì.... per l'aiuto che mi serve adesso non credo che potresti aiutarmi

1° non ci capisci un granchè
2° non rivelo mai (specialmente a te) le miei conoscienze
3° poi non mi fido .... scommetto che correresti dalla Polizia Postale
4° se 104 lo sommi a 80 e poi aggiungi 36 ... il totale fallo per (X) 2 e poi dimmi se conviene

faccio solo dei favori a gran parte di sti letami del forum facendogli prendere qualcosa che a prezzo non si trova da nessuna parte (questo solo a scopo di passatempo... nessun lucro.. puoi chiedere)

mo appena mi capita di scaricare un camion di portatili di provenienza illecita... ti chiamo ....

vu avete lett? ... pol de sta minkia

Messaggio del 08-01-2009 alle ore 16:28:30

---

1- capisco solo quello che mi conviene capire
2- non credo che le tue conoscenze di insidergay mi possano interessare
3- lo so che non ti fidi di me ma non credo sia un fatto personale e una cosa che nella vita un pò tutti facciamo
4- aspetta che prendo la calcolatrice....che fai favori senza scopo di lucro già lo sapevo perchè una volta mi hai aiutato e se cerchi su lanciano.it l'ho anche scritto in qualche post

il camion te lo scarichi da solo.....perchè è dal 31/12/08 che vado in giro per ospedali e poliambulatori causa incidente

Messaggio del 08-01-2009 alle ore 17:03:57

---

Messaggio del 09-01-2009 alle ore 05:17:05

---

aggiornamento
avevo lasciato avast come ultima carta visto che in diversi blog avevo letto che non avrebbe risolto il problema...
al contrario avast e' l'unico av che conosco che fa una scansione del pc prima che l'os si carichi del tutto (come spybot)...ha trovato 3 trojans...
quando ho eliminato questi 3 trojans sono riuscito (lentissimamente) ad aggiornare ad uno ad uno ogni antivirus installato e il pc si e' ripulito quasi del tutto
ora e' soltanto rimasto virtumonde che apparentemente si rigenera sottoforma di file *.sys ogni volta che faccio il reboot...la saga continua...

alcune considerazioni...pandasoftware e' eccezionale per lo scan online...ma non capisco come si possa scrivere un antivirus che NON GIRA in safe mode perche' ci sono meno di 256 colori disponibili...ma scherziamo?

Messaggio del 09-01-2009 alle ore 09:56:22

---

quando ho eliminato questi 3 trojans sono riuscito (lentissimamente) ad aggiornare ad uno ad uno ogni antivirus installato e il pc si e' ripulito quasi del tutto

in che senso??? quanti antivirus sono installati su quel pc???

Messaggio del 09-01-2009 alle ore 09:57:05

---

cmq, scaricati questo e fa una scansione anche con lui

http://www.malwarebytes.org/

Messaggio del 16-01-2009 alle ore 13:40:08

---

grazie a tutti del contributo...
virus e trojans apparentemente debellati ma windows xp e' lentissimo...quindi formattazione e si ricomincia tutto da capo...