Buonasera a tutti.
Vorrei esporvi quanto mi accade.
Uso Windows XP.
Uso questo pc anche in ufficio collegandolo alla rete dove vi sono altri due pc.
Uso tre dischi esterni per salvare immagini, lavori ecc.
Ho caricato Norton 360.
Nei giorni scorsi ho riscontrato rallentamenti, spegnimento di programmi e simili tanto da indurmi a ripristinare la partizione "C" del disco fisso dove avevo caricato i programmi. Poi ho seguito la Vostra procedura per il pc infetto. Ho dovuto forzare la chiusura del ripristino di sistema e procedere sino al punto 5 della Vostra guida. Qualche virus saltava sempre fuori. La ripeterò nuovamente dall'inizio nel prossimo fine settimana. L'ho eseguita anche su un disco esterno dove parte dei nomi di cartelle e files è stato modificato con simboli al posto di lettere e parole e, se provo a cliccarci sopra mi esce: La sintassi del nome del file, della directory o del volume è incorretta... cosa faccio per recuperarli? La scansione con Malwarebytes non trova nulla, a-squared nulla, kaspersky mi trova Trojan-GameThief.Win32.OnLineGames.tneh. che rimuove.
Ho però il dubbio che le cartelle ed i files con nomi modificati ed illeggibili non vengano controllati (non li vedo scorrere nei files che scansiona)...
Qualcuno mi sa dare qualche suggerimento? Lo ringrazio anticipatamente!

ciao
comincia a caricare secondo le modalità i log cha hai

Buongiorno.
Allego il report di Kaspersky del disco esterno incriminato (spero si faccia così per allegare il log....) http://wikisend.com/download/537440/Report_15_10_08_H_Kaspersky.txt .... o così: Report_15_10_08_H_Kaspersky.txt (http://wikisend.com/download/537440/Report_15_10_08_H_Kaspersky.txt)

scusate ma è la prima volta che ci provo.... ;) ;) ;)

Quelli di Malwarebytes e a-squared non li ho salvati (almeno penso, a meno che non lo facciano in automatico) perchè non avevano trovato nulla.
Se serve però gli faccio rifare la scansione....

O serve il report di tutto il pc (disco C, D e tre dischi esterni)?

Fatemi sapere.

Grazie.

P.S.
A proposito, anche adesso il mio pc è connesso alla rete dell'ufficio con altri due pc.
Ciò per la condivisione delle stampanti e per passarci i file di disegno a cui lavoriamo.
Siccome ho parzialmente disabilitato il firewall per poter lavorare in rete, come mi comporto? Faccio la procedura per pc infetto anche sugli altri pc scollegandoli dalla rete?

Ciao e grazie.

il log di kasp filtrato
http://www.fileqube.com/shared/uGAjvjoI136142

carica tutti i log anche se vuoti, se non sai dove recuperarli guarda nel bigino che ho in firma, quello di mbam dovresti trovarlo

Faccio una cosa:
riparto con tutta la procedura, con il mio pc con collegati i dischi esterni, stacco però la rete.
(A proposito, c'è modo di scansionare anche tutta la rete?)
Poi allego tutti i log che vedo di salvare con le scansioni.
Mi sa che ci risentiremo domani visti i tempi delle scansioni.
Ciao e grazie.

la procedure anche sugli altri pc
i dischi esterni collegali ora sul primo pc e ricordati di selezionarli quando richiesto

Ricapitolando, dopo aver disabilitato il ripristino di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23), fatto la pulizia dei file inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2), vogliamo necessariamente in ordine e anche se non è stato rilevato nulla:

log di Malwarebytes Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) aggiornato ad oggi
log di A-squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) scaricato oggi oppure di F-Secure OnLine (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
log di Dr.Web CureIT (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) scaricato oggi
log di ESET SysInspector (http://www.hwupgrade.it/forum/showpost.php?p=24033155&postcount=12)
log di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
log di Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log di PrevxCSI (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14)



Se il sistema è molto compromesso, e non dovessi riuscire a seguire la guida, prima prova con il rescue cd di avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812), a fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22), anche una memoria RAM con qualche giorno di vita può essere la causa di tutti i mali...

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione, in questo modo eviti di reinfettarti ancora dopo che hai ripulito il pc.

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nelle info dei programmi guarda alla voce Portabilità, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente sul pc infetto

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log, qui (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) e qui (http://www.hwupgrade.it/forum/showpost.php?p=24073905&postcount=3) esempi precisi ed ordinati di come vorremmo tu li caricassi.

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube.com (http://fileqube.com/)

Ok.
Ci siamo, almeno in parte.
Ho proceduto come detto, sui tre pc staccati dalla rete:
il mio, con tutti i dischi esterni attaccati, sta ancora scannerizzando,
il secondo ho cominciato da poco (c'era chi ci lavorava sopra)
il terzo ha completato la procedura ed allego i log per la verifica (questo terzo pc, la scorsa settimana non leggeva più il disco fisso, tanto da costringermi ad acquistarne uno in tutta fretta e sostituirlo, ricaricandoci i programmi.... dopo pochissimo anche il nuovo disco non veneva letto: lo ho sostituito con quello vecchio che poi, stranamente leggeva, lo ho nuovamente sostituito, formattato e ricaricato i programmi di lavoro ed ora funge!!!)

uff... non trovo più dove è stato salvato il log di Malwarebytes.... (che comunque non aveva trovato nulla!!): gli altri sono qui:

http://wikisend.com/download/971162/a2scan_081017-102913.txt
http://wikisend.com/download/596124/kaspersky_17_10_08_pc03.txt
http://wikisend.com/download/642996/Report_17_10_08_PC3_DrWeb.csv
http://wikisend.com/download/217548/esi-eula.txt
http://wikisend.com/download/562886/17_10_08_PC3_hijackthis.txt
http://wikisend.com/download/571608/Log_gmer_PC3.log
http://wikisend.com/download/564692/Log_CSI_17_10_08_PC3.log

.... niente, proprio non trovo dove è salvato il file di log di Malwarebytes....

Comunque domani posto i risultati del mio pc... (sette ore per ogni scan...)
e tra domani e domenica eseguo la procedura sul PC2 e la posto.

Ciao a tutti.

nelle info trovi dove recuperare il log di mbam

di eset sys inspector non è quello il log... leggi le info....

con gmer hai cliccato su scan dopo la scansione iniziale

Uff.... :cry: :cry:

Sono proprio fuso.....
Domattina vado in ufficio e recupero il log giusti.... :( :( :(

Adesso proseguo con gli scan su questo pc......

Grazie e buona serata!!!

Allego il file di Gmer con scansione rifatta.....
Gli altri proprio non li trovo....
Lunedì riparto dall'inizio e vedo di creare prima una cartella dove salvare tutti i file di log.....
Intanto sto anche analizzando gli altri pc...
Appena ho qualcosa pubblico.
Grazie e ciao.
http://wikisend.com/download/885616/Log_gmer_PC3_18_10_08.log

sul pc3 se con mbam hai eliminato sutto



Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background
O16 - tutte le voci



se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante
aggiornare Windows va al service pack 3
aggiornare Internet Explorer alla 7

Rieccomi.
Lunedì in ufficio ripristino PC3.
Adesso, ho finalmente ultimato la procedura sul mio portatile (PC1) con tutti i dischi esterni collegati.... (17 ore di scansione solo DrWeb....)...
Ti allego i log che stavolta ho ben salvato in una unica cartella per poterli poi facilmente ritrovare....
http://wikisend.com/download/489022/mbam-log-2008-10-16 (23-28-51)completo.txt
http://wikisend.com/download/223366/a2scan_081016-233851_dopo_pulizia.txt
http://wikisend.com/download/471398/Report_17_10_08_Kaspersky_ridotto.txt
http://wikisend.com/download/500572/DrWeb.csv
http://wikisend.com/download/587902/SysInspector-ACER-NH48MYHEXR-081018-1410.xml
oppure zippato:
http://wikisend.com/download/537488/SysInspector-ACER-NH48MYHEXR-081018-1410.zip
http://wikisend.com/download/481380/hijackthis.log
Solo il disco C:
http://wikisend.com/download/550722/gmer.log
Tutti i dischi:
http://wikisend.com/download/561034/gmer_tutti_i_dischi.log
http://wikisend.com/download/892466/CSI.log

Dovrebbe essere il tutto!!!!

Resto in trepidante attesa.... cmq sto anche scansionando PC2 ;) ;) ;)

Ciao e grazie a tutti.

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O16 - tutte le voci


anche qui trattamento
di cui importante aggiornare java

Ok fatto.
Devo rifare qualche scansione di verifica? Postare qualche log?

E per il problema originario, delle cartelle e dei file rinominati con nomi illeggibili (formati da quadratini, frazioni, simboli strani ecc.), create, ad esempio il 11/12/2062, o il 10/10/1990 o 20/02/2098.... c'è qualche possibilità di recuperarne almeno in parte?

Buonanotte a tutti voi .......

Buongiorno.

Allego il log di HiJackThis di PC3 aggiornato........

http://wikisend.com/download/538346/hijackthis_20_10_08.txt

Speriamom sia a posto....

Adesso faccio gli aggiornamenti al Service pack 3 e e a IE 7... Fra un po' allegherò i log di PC2....

Buona giornata a tutti.

Fai controllare un paio di quei file con nomi strani su www.virustotal.com e su http://virscan.org/

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali

Allora, per virustotal, un file che su esplora risorse ha una dimensione di 3.058.831, ed un nome di z$tÙï░e.»d mi dice:

0 bytes size received / Se ha recibido un archivo vacio

e virscan:

ERROR: Can't find upload file!

......:( :( :(

Lo stesso con un altro file....

.... e sono ben 30 cartelle (di cui alcune nascoste) che non si aprono per nome incorretto e 19 files......

Cosa faccio, salvo il salvabile (ci sono alcune cartelle ancora leggibili) portandole su di un altro disco esterno e formatto il tutto?

.... o rischio di portare dall'altra parte il problema?

sai cosa potrebbero esere questi files?
se no, potrebbero essere stati creati a random dall'infezione e quindi tutti eliminabili

No, non ho idea su cosa possano essere.... forse possono essere stati creati dall'infezione, forse sono cartelle di salvataggi vari (lavori o foto) che ogni tanto tolgo dal disco del pc.....
E' che usando tre dischi esterni, proprio non mi ricordo cosa posso averci caricato....
Forse l'unica è spostare le cartelle leggibili e mettere il disco in un cassetto..... però temo di spostare negli altri dischi qualche infezione.....

verifica di avere tutti i file che ti interessano, se ci sono tutti, questi li cancelli

Allego i log del PC2:

http://wikisend.com/download/908478/mbam-log-2008-10-19 (18-39-55).txt
http://wikisend.com/download/573716/a2scan_081019-185914.txt
http://wikisend.com/download/537212/f-secure_20_10_08_PC2.txt
http://wikisend.com/download/921212/log_kaspersky_20_10_08_PC2_ridotto.txt
DrWeb non mi ha consentito di salvare il log:
diceva: scansionati 390667, trovati infetti 0, modificazioni 0, sospetti 0, adware 0, dialers 0, jokes 0, riskware 0, hacktools 0

http://wikisend.com/download/504484/SysInspector-COMPAQ-081020-1940.zip
http://wikisend.com/download/584568/log_hijackthis_20_10_08_PC2.txt
http://wikisend.com/download/420818/log_gmer_PC2.log
http://wikisend.com/download/345450/log_CSI_20_10_08_PC2.log

Buona serata.

Allego i log del PC2:

http://wikisend.com/download/908478/mbam-log-2008-10-19 (18-39-55).txt
http://wikisend.com/download/573716/a2scan_081019-185914.txt
http://wikisend.com/download/537212/f-secure_20_10_08_PC2.txt
http://wikisend.com/download/921212/log_kaspersky_20_10_08_PC2_ridotto.txt
DrWeb non mi ha consentito di salvare il log:
diceva: scansionati 390667, trovati infetti 0, modificazioni 0, sospetti 0, adware 0, dialers 0, jokes 0, riskware 0, hacktools 0

http://wikisend.com/download/504484/SysInspector-COMPAQ-081020-1940.zip
http://wikisend.com/download/584568/log_hijackthis_20_10_08_PC2.txt
http://wikisend.com/download/420818/log_gmer_PC2.log
http://wikisend.com/download/345450/log_CSI_20_10_08_PC2.log

Buona serata.


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NSCSysTrayUI] "C:\Programmi\Samsung\NetworkScan\NSCSysTrayUI.exe" /HIDEUI
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O16 - tutte le voci

OK
Ti allego il nuovo log di HiJackThis di PC2:
http://www.fileqube.com/file/WwwTGq136918

Dovrebbe essere aggiornato.
Quando si libera PC3 ti invio anche quello.
Grazie e buona giornata.

sul pc3 mi pare ci fosse da fare solo il fix con hjt e verificare che mbam di cui non trovavi il log abbia eliminato tutto

poi come da trattamento cerca di aggiornare/mettere al sicuro i 3 pc

Una informazione:
Per questi benedetti file e cartelle con nomi illeggibili e impronunciabili, visto che se tento di rinominarli (per vedere cosa c'è dentro) mi viene un messaggio di errore che dice "Impossibile rinominare file: Impossibile leggere dal file o dal disco di origine", non esiste qualche programma che forzi volutamente ciò, consentendomi di verificare se dentro ci sono immagini o cos'altro?
Purtroppo ho sparso le fotografie sia di lavoro che di vacanza un po' dappertutto (lo so, sono disordinato anche con il pc) in quanto quando dovevo svuotare un po' il disco fisso, creavo cartelle sui dischi esterni e spostavo, perchè non mi funziona più il lettore-scrittore di cd-dvd del pc!!!
Mi spiacerebbe perdere così foto e ricordi a cui sono affezionato!
Ciao e grazie.

potresti farmi uno screen del monitor?
(alt + stamp , poi vai in paint e premendo il tasto destro poi selezioni "incolla")

lo screen del monitor:
http://www.fileqube.com/file/wFxFWcyPl137766
spero si capisca.... ci ho impiegato un po' per farti lo screen..... (a dire la verità ci ho impiegato un po' io a capire come fare :D :D :D )

Fammi sapere.
grazie e buona serata

ma è roba reale? cioè cartelle tue o che si sono generate per qualche misterioso motivo?

Penso siano state cartelle mie rinominate.....
.... anche se non ne sono particolarmente sicuro.
Non c'è modo di rinominarle così da aprirle e vedere se dentro ci sono file da rinominare .jpg e vedere se sono le mie foto?
Ho anche il dubbio che non potendole leggere anche gli antivirus con cui ho scansionato il sistema non le abbia analizzate.....

se tu non puoi accedere a quelle cartelel non può nemmeno l'antivirus perchè sono cartelle o con permessi fallati (cioè sbgaliati) o corrotte..
ma tu avevi così tante directory? se si allora erano tue, se no devi trovare quelle che funzionano e sperare che contenbgano cio che speri :)

Ho spostato tutto ciò che mi poteva interessare ed ancora leggibile su altro disco fisso.

Poichè dovrò formattare questo, ho fatto partire una scansione con Smart Data Recovery.
Non so se servirà a qualcosa (è più di 30 ore che sta analizzando il disco) ha analizzato più di 660.000 file e ha trovato più di 60.000 file eliminati.

Vi saprò dire, nel caso il problema si presentasse anche a qualcun'altro.

Salutoni.

:sperem: facci sdapere ;)

Già, sperando che finisca questa benedetta scansione...... ormai sono ore ed ore.... un po' va, poi rallenta, e siamo oltre 690.000 file.... ma dove sarà andato a prenderli tutti sti file? bho :rolleyes: :rolleyes: :rolleyes:
Comunque spero che questa notte finisca, altrimenti non so come fare per portarmi domattina il pc in ufficio senza interromperla... (il che significherebbe ricominciare da zero immagino....) visto che le batterie del pc sono morte ormai da qualche mese!!! :( :( :(

Tre giorni e tre notti (72 ore) che 'sto programma sta scansionando il disco da 160 GB ......... 928.000 file.... e non ha ancora finito!!!:eek: :eek: :eek:
Ma cosa ci impiega 'sto Smart Data Recovery?
Qualcuno ha già provato ad usarlo? :( :( :(

Alle 23,11 di questa sera, la scansione è arrivata a 1.000.000 di file!!!!
Comincio ad avere il dubbio che dopo 83 ore di scansione 'sto programma sia proprio un po' "farlocco"......
...... e chi li ha mai visti un milione di files su un disco esterno da 160 Giga? Se poi si considera che gran parte dovrebbero (o potrebbero) essere mie fotografie di 2000 KB ciascuna.....
Al futuro la sentenza.....

Ciao a tutti.
Dopo sei giorni di scansione e oltre 1.200.000 file ho interrotto....
Spento il PC e buonanotte ai suonatori!!!!:( :( :(
Smart Data Recovery....... non "recovery" un bel nulla!!!!!
Ciao

Ragazzi ho lo stesso problema identico!! un hard disk esterno usato per fare i backup ove dentro alle directory ci sono le mie directory e i miei file backuppati con nomi illegibili (simboli stranissimi) e non me li fa ne' aprire ne' leggere ne' copiare ne' cancellare!
come avevate poi risolto questo problema?c'è il modo di recuperare questi file e directory che assumono questi nomi assurdi? e poi come x l'utente che ha aperto questo post essi hanno la stessa caratteristica di risultare come directory da centinaia di giga (una è 300 giga) , è assurdo dato che l'hard disk contiene 250 giga massimo!! ho dati importanti da recuperare avete consigli x piacere?
grazie
saluti
venexiano

x completezza: è un'hard disk esterno WD alimentato da penna USB.

"x completezza: è un'hard disk esterno WD alimentato da penna USB."

Se questo è l'ultimo messaggio, la mia risposta sarebbe: si, è un WD alimentato con usb, da 250 giga! questo Hard disk ha problemi?
Il mio è pieno di filmini di arte e di famiglia, creati da mio marito e non, nonché foto degli stessi argomenti.
Abbiamo praticamente gli stessi problemi già esposti dagli altri nel 3D, ma non capisco se i files e le directory dai nomi "grafici" (Çý@4 2¥.]o oppure 4è0Ñ╣Ä.┤õ╣.) sono recuperabili ..(?).. e se avete scoperto qualcosa in più rispetto a questo ultimo messaggio. Nel copiare i nomi dal mio esplora risorse, i caratteri cambiano, all'origine ci sono molti più quadratini! mah

Aggiongo che una stranezza di questo Hdisk è stata che ad un certo punto il guard di Avira ha cominciato a bloccare l'apertura automatica del file autorun.inf presente nella cartella WDsync dell'Hdisk stesso. Ho messo il file tra le eccezioni (processi e files) del Guard Avira, ma ha continuato a bloccarlo lo stesso. Ho fatto uno Scandisk e una Deframmentazione dell'Hdisk (qualche forum lo suggeriva), ma niente. Ho recuperato qualche file che non si apriva più (né con WMP, né con VL), ma aveva ancora il suo nome originario: l'ho fatto con Recuva Piriforme; ma il recupero non ha riguardato i files con il nome cambiato.
Avete un' idea per possibile ripristino files illeggibili?
Parto con disinfezione infetti per evitare che la cosa dilaghi ad altri dischi/chiavette/PC?
grazie 1000 e a presto :help:

se ti segnalava autorun.inf sei sicuramente infetto. procedi con la guida :)

se ti segnalava autorun.inf sei sicuramente infetto. procedi con la guida :)

Ahii! :muro: e va beh!
Stasera mi metterò all'opera. Convolgo il portatile principale della casa, e una chiavetta che ha lo stesso inconveniente dell'autorun.inf
Gli altri per il momento li lascio stare.
Grazie e a prestissimo

................... a prestissimo
Prestissimo si fa per dire perché le scansioni sono davvero lunghe (visti i Giga).
Fino a Dr Web nessuna schifezza rilevata, ora qualcosa invece c'è. Dr.Web sta ancora andando, ma nell'analisi preliminare si intoppava all'infinito (oltre un'ora) su una cartella "arte greco-romana" che contiene la maggior parte dei file rinominati/avariati. Ho quindi fermato tutto e sono ripartita con Dr Web senza l'hd WD , che però è il maggior malato. Quando finirà questa scansione parziale di Dr Web posso fare qualcosa per forzare l'entrata nell'hd WD o per il momento vado avanti (ricollegandolo) e poi vedremo dopo il da farsi?

no ocio che quando lanci dr.web lui parte in automatico con la scansione "veloce" ma tu devi stopparla e far partire quella completa.
ci metterà parecchio se hai anche un hdd esterno ciccione e ben gonfio di file per stasera mi auguro sia finita :p
poi il log, che sarà di svariati megabyte dovrai filtrarlo come indicato nella guida :)

intanto uppa i log che possiedi così vediamo già qualcosa..

Eccomi.
Preliminarmente è sempre un piacere vedere che i bodhisattva della rete ci sono sempre!;)

Cosa volevo scansionare: oltre a
- C-D-E-F - portatile Fujitsu, ho collegato anche
- I - l’hard disk WD da 250giga (principale incriminato, probabilmente non unico),
- G - chiavetta Nilox ,
- H - chiavetta Emtec.
“I” contiene i files rinominati e rovinati che mi piacerebbe tanto recuperare (in cartella arte greco-romana). Con “I” e “H”, la Guard di Avira blocca l’ “autorun.inf”. “G” Nilox è una chiavetta fastidiosa che da sempre qualche problema (non mi ricordo più quale).
Finché è collegato il WD 250 (I), il cestino non si svuota, neppure con ATF o C-cleaner (il messaggio che compare è: “Impossibile eliminare File: Impossibile leggere dal file dal disco di origine”); bisogna scollegarlo e tutto va a posto.
Di seguito i log fino a Dr Web.

Malwarebytes - http://wikisend.com/download/511846/01_mbam-log-2011-01-10 (13-11-03).txt
Emisoft - http://wikisend.com/download/413488/02_a2scan_110110-210736.txt
Kaspersky - http://wikisend.com/download/484484/03_kasp filtrato.txt
Dr Web - http://wikisend.com/download/404748/04_cureit filtrato.txt

Kasp si è smagrito pochissimo rispetto all’originale.
Dr Web “non ha voluto scansionare le periferiche collegate”; alla fine ho desistito: nell’analisi preliminare si è bloccato all’infinito (un’oretta) sulla cartella “arte greco-romana” (incriminata) dell'hard disk WD 250 “I”. Al termine della scansione del portatile Fujitsu, ha chiesto “Scansionare un altro disco rimovibile?” (mancava G e H); ho detto “si”, ma si è intoppato su G; dopo n volte dello stesso copione ho staccato “G”. Poi sembrava intopparsi su “A” (?): periferica sconosciuta…… insomma alla fine gli ho detto di non scansionare più niente, ho staccato tutto e ho chiuso Dr Web.
Ora avvio ESET.
Se avete commenti intermedi, dite pure.:mc:

....segue....

ESET - http://wikisend.com/download/404778/05_SysInspector-USER-B57F042586-110112-2211.zip
HijackThis - http://wikisend.com/download/949352/06_hijackthis.log

(in corso GMER):mc:

Eccomi.
Preliminarmente è sempre un piacere vedere che i bodhisattva della rete ci sono sempre!;)

Cosa volevo scansionare: oltre a
- C-D-E-F - portatile Fujitsu, ho collegato anche
- I - l’hard disk WD da 250giga (principale incriminato, probabilmente non unico),
- G - chiavetta Nilox ,
- H - chiavetta Emtec.
“I” contiene i files rinominati e rovinati che mi piacerebbe tanto recuperare (in cartella arte greco-romana). Con “I” e “H”, la Guard di Avira blocca l’ “autorun.inf”. “G” Nilox è una chiavetta fastidiosa che da sempre qualche problema (non mi ricordo più quale).
Finché è collegato il WD 250 (I), il cestino non si svuota, neppure con ATF o C-cleaner (il messaggio che compare è: “Impossibile eliminare File: Impossibile leggere dal file dal disco di origine”); bisogna scollegarlo e tutto va a posto.
Di seguito i log fino a Dr Web.

Malwarebytes - http://wikisend.com/download/511846/01_mbam-log-2011-01-10 (13-11-03).txt
Emisoft - http://wikisend.com/download/413488/02_a2scan_110110-210736.txt
Kaspersky - http://wikisend.com/download/484484/03_kasp filtrato.txt
Dr Web - http://wikisend.com/download/404748/04_cureit filtrato.txt

Kasp si è smagrito pochissimo rispetto all’originale.
Dr Web “non ha voluto scansionare le periferiche collegate”; alla fine ho desistito: nell’analisi preliminare si è bloccato all’infinito (un’oretta) sulla cartella “arte greco-romana” (incriminata) dell'hard disk WD 250 “I”. Al termine della scansione del portatile Fujitsu, ha chiesto “Scansionare un altro disco rimovibile?” (mancava G e H); ho detto “si”, ma si è intoppato su G; dopo n volte dello stesso copione ho staccato “G”. Poi sembrava intopparsi su “A” (?): periferica sconosciuta…… insomma alla fine gli ho detto di non scansionare più niente, ho staccato tutto e ho chiuso Dr Web.
Ora avvio ESET.
Se avete commenti intermedi, dite pure.:mc:

in questi nulla di interessante, quelllo di kav non l'ho proprio scaricato perchè ho letto come dimensione 35Mb :eek:
dopo proseguo con gli altri :)

Eccomi2.

ESET SysInspector - http://wikisend.com/download/404778/05_SysInspector-USER-B57F042586-110112-2211.zip
HijackThis - http://wikisend.com/download/949352/06_hijackthis.log
GMER - http://wikisend.com/download/566084/07_Gmer.log
Prevx 3.0 - http://wikisend.com/download/436588/09_Prevx 3.0.txt

Gmer ha scansionato/può scansionare i dischi collegati? Ho flaggato C/E/I; F non ce l’avevo, G e H non c’erano; ma non so se è stato scansionato altro oltre C.
Prevx: mi sono dimenticata di salvare la schermata, ma non segnalava virus. Neanche lui ha scansionato I, G, H.
Di tanto in tanto compariva l’etichetta di Avira per il bloccaggio dell’”autorun.inf”.

Kaspersky: come già accennato, lo smagrimento di Kaspersky ha tolto solo pochi bite; l'ho smagrito più volte, ma il risultato è stato sempre lo stesso. Prima avevo provato F-Secure OnLine, ma -se non ricordo male- rimaneva all'infinito sull'analisi preliminare. Se utile, stasera potrei provare con Eset OnLine.

Cosa faccio? Attendo istruzioni.
:help:

per il momento direi di aggiornare quel che si possa aggiornare, quindi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)
ps: la versione che hai usato di hijackthis è vecchia

poi se ti va prova pure la scansione web di eset che male non fa', questo pm analizzo il log di sysinspector :)

uppa il logdi sysinspector non zippato, non lo avevo notato prima

Ohps scusate! Intanto
HijackThis BIS: http://wikisend.com/download/437498/06_hijackthisBIS.log

Ho notato che gli stessi strani caratteri dei files avariati li vedo anche nel mittente di amici giapponesi: ci dice qualcosa?

Se può essere utile, ho incollato la schermata dell'esplora risorse da cui si vedono files/cartelle rinominati con i caratteri bislacchi.
http://wikisend.com/download/470282/EsplRisorCaratteriBislacchi.doc

Più tardi procederò con gli aggiornamenti:(

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - Startup: CD-MENU.LNK = D:\AutoMenu.exe

è solo per disabilitare questi auto avvii nulla di importante ma libera ram e velocizza il pc.

ti insegno un trucco per gli screenshot, anzicchè scomodare word per incollare lo screen tu aprissi paint potresti salvarlo in jpg, poi vai su imageshake e la uppi e incolli qui l'indirizzo che loro ti comunicano :)

Fatti fixaggi HijackThis.

Ri-applodo ESET SysInspector non rar:
http://wikisend.com/download/465180/SysInspector-USER-B57F042586-110112-2211.xml

Mi chiedo: ma quante delle scansioni hanno analizzato G, H e I (l'incriminato principale)?
Autorun.inf continua ad essere bloccato da Avira sia con WD (I) che con Emtec (H).

E qualche antivirus specializzato per dischi esterni?
:mc:

Grazie per il "trucco screenshot/paint/jpg".
Ho fatto Eset Online, non ho trovato nulla: è pazzesca questa storia. Ma non c'è un log da applodare, e non credo che hard disk WD e le chiavette siano state scannerizzate.

L'aggiornamento programmi non sono riuscita a portarlo a termine perchè Java non funziona correttamente, non so perché; ho fatto tutti i check indicati, è tutto a posto (ho provato e riprovato), ma mi pare mi dica che l'analisi è comunque impedita da Java. Ora provo a riavviare il computer, hai visto mai che .....

parentesi penso banale [!! Ora rilevo una strana novità spiacevole: per aprire sul portatile o sul disco esterno la cartella dei documenti personali, devo cliccarci col tasto di dx e clic su apri; cliccando 2 volte, si apre VLC, il lettore dvx!!. Sul disco esterno succedeva anche ieri sera, ma non gli ho dato peso. Sapreste indicarmi come rimettere la cosa a posto? !!]

Per il resto, vi attendo

Nessuna idea?

Intanto sulla [parentesi] solo apparentemente banale: ho scoperto che dal pannello di controllo/opzioni cartella si possono cambiare i comandi associati a ciascuna icona, ma non è così semplice intervenire su "cartelle" e "cartelle di file" (la classica valigetta gialla). Ho creato una nuova associazione "apri" che non riesco più a cancellare e che non funziona. Gli ho detto di usare come predefinito il comando " Open" originario (che ora è in neretto), ma non funziona lo stesso. Ora non va né "Apri", né "apri"; tutte le valigette gialle si aprono solo con tasto dx "Esplora"; il doppio clic non va più!!. Anche in questo caso, avete qualche idea?

Attendo:cry: :cry: :cry:

Fra un :cry: e un'altro :cry: , non so darmi pace.

Ho trovato questa guida, che però non sembra aver dato esito positivo a tutti.
Ho cercato l'autorun.inf in tutti i dischi, anche fisso, e ho applodato la schermata dell'esplora risorse che ho ottenuto.
http://img37.imageshack.us/i/autoruner.jpg/

Mi chiedo perché ci sono 2 autorun.inf nel disco C datati 2001?

Che ne pensate? Torno a :cry:

Ho trovato questa guida, ............

Avevo dimenticato il link della guida:
http://www.settorezero.com/wordpress/il-doppio-click-sulle-unita-non-le-apre-piu-e-si-apre-invece-la-finestra-cerca-oppure-apri-con/#comment-7699

scarica la nuova java, disinstalla l'attuale e instalkla la nuova poi ritorna sul sito di secunia per fare la verifica del software :)
sto controllando il log di sysinspector, non è così immediato e veloce :)

Stavo per affogare!! e invece ...Risolto il problema del doppio click :D che non apriva più le cartelle; la soluzione era qui:

http://www.hwupgrade.it/forum/showthread.php?t=2013795
http://support.microsoft.com/kb/321186/it

Cominciavo a sentirmi Cimabue!!

Nel frattempo ho passato con VirScan e VirusTotal alcuni (non tutti) degli autorun.inf di C/E e I: con VirusTotal, solo McAfee dice Generic!atr.b, mah! quindi niente di fatto.

Tutto il resto è ancora in pista.

Non volevo mettervi fretta, lo so che non è facile neppure per dei geni...Torno a tribolare su Java e aggiornamenti...
:mc:

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll

per il resto il log è ok :) son contento che intanto hai risolto i problemi :p

Aggiornamento Java, e tutto il resto.... riuscito!!!! Ho aggiornato anche Vuze, C-cleaner e VLC che non venivano sagnalati come da aggiornare. Quindi ottimo!

Attendo istruzioni per i file rinominati in simil giapponese!
Arigatò:mc:

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll

per il resto il log è ok :) son contento che intanto hai risolto i problemi :p

Scusa Gasp, ma non ho capito se devo cancellare qualcosa (tipo: c:\windows\system32\appmgmts.dll)?
Inoltre l'autorun.inf continua ad essere bloccato da Avira sia su I che su H, e le cartelle in simil giapponese, che cosa ci faccio?
La situazione vi sembra risolvibile? o devo amputarle? Non ci sarebbe qualche antivirus specifico per Hard disk esterni e/o chiavette?

:cry:

in services.msc hai un refuso dell'infezione, non credo sia una voce attiva:
"gestione applicazione" -> c:\windows\system32\appmgmts.dll
........

Scusami xcdegasp, ho cercato questo file per analizzarlo con Visus Scan e VirusTotal, ma non lo trovo! Dove/come lo cerco? Come immaginerai non sono praticissima (anzi sono una "praticante scarsa"). Attendo un chiarimento:nono:

.... nell'attesa, ho pensato di fare una scansione con HijachThis e lo allego
http://wikisend.com/download/452912/110116-hijackthisTER.log

Non abbiamo la Yahoo tool bar quindi potrei eliminare 02 BHO (no name) ....eccecc ? e cos'altro?
:wtf:

Aiuto!...... nell'attesa prendo coscienza di una situazione ormai peggiorata oltre misura: IE gira gira gira….!!! Navigazione quasi paralizzata.
Ho IE8 (anche Google Crome –appena istallato- ma non gira in contemporanea), la linea oscilla tra 18 e 24 Mbps, dal Task Manager vedo 11 processi iexplore.exe aperti su un totale di 76, tanti svchost.exe, la navigazione è lenta allo sfinimento... a volte infinita, CPU basso. Chiudo internet del tutto e ne rimangono in pista 6. Passo ATF e C-cleaner, il totale scende a 72 e gli iexplore.exe restano 6. Per scrivervi ho dovuto riavviare il pc xché la pagina non si apriva proprio.
Vi prego fatevi vivi!
:confused:

quel file ovviamente non c'è più nel tuo pc perchè è stato giustamente rimosso, dicevo di fare questa cosa:
start -> esegui..: -> services.msc
nella finestra che si apri cerchi se c'è questo servizio che ti ho indicato dal nome "gestione applicazione" e controlli in che stato sia, deve essere su arrestato.

mi spieghi perchè usi InternetExplorer? usa firefox con adblock plus, noscript e wot :)

quel file ovviamente non c'è più nel tuo pc perchè è stato giustamente rimosso, dicevo di fare questa cosa:
start -> esegui..: -> services.msc
nella finestra che si apri cerchi se c'è questo servizio che ti ho indicato dal nome "gestione applicazione" e controlli in che stato sia, deve essere su arrestato.

mi spieghi perchè usi InternetExplorer? usa firefox con adblock plus, noscript e wot :)

"gestione applicazione" era su Manuale. Ho messo Disabilitato.

Per Firefox (con adblock plus, noscript e wot) ci penserò seriamente non appena prenderò atto di non poter fare più niente per questo hd WD.
Magari sottoporrò alla procedura disinfezione infetti anche il vecchio pc dei bambini prima di chiudere la partita (se troverò schifezze, aprirò un altro 3D).
Oggi ho scansionato l'hd WD con McAfee da un altro pc: la scansione si è svolta senza blocchi. Non ho il log, ma nessuna schifezza è stata rilevata.
Se non avete altri suggerimenti, ho pensato che comprerò un altro hd nei prossimi giorni (non ho abbastanza spazio per un transito momentaneo), ci travaso i file ancora sani, e formatto l'hd WD.
Certo mi sarebbe piaciuto capire il perché di questo strano fenomeno e soprattutto perché Avira blocca l’autorun.inf se non ci sono virus (?).

Io però ho notato che l’autorun.inf in questo hd WD, non è solo nella cartella WDsync che vi ho indicato all’inizio (l'unica che viene fuori con il "cerca"), ma si trova anche altrove (palese o nascosto), probabilmente con scritte diverse all’interno.
Può essere significativa una ricerca in tal senso?
A presto:confused:

per il nome delle cartelle che ora compaiono in caratteri asiatici non saprei che dirti..

mi sembra strano che non ci sia l'autorun.. ma non è che quando lo vedi è perchè prima sto hdd esterno lo hai collegato ad un pc diverso rispetto a quello dove stai facendo le scansioni?

Io però ho notato che l’autorun.inf in questo hd WD, non è solo nella cartella WDsync che vi ho indicato all’inizio (l'unica che viene fuori con il "cerca"), ma si trova anche altrove (palese o nascosto), probabilmente con scritte diverse all’interno.
Può essere significativa una ricerca in tal senso?
***
Per curiosità, io la ricerchina l'ho fatta. Ho trovato 4 autorun.inf:

A-in My Passport (I)
1 File nascostoDoppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto

B-in cartella WDsync
2[autorun]
open=wdsync.exe
ICON=AUTORUN\WDLOGO.ICO

C-DENTRO LA NOSTRA CARTELLA DATI
3-in Cartella autorun
[autorun]
ICON=AUTORUN\WDLOGO.ICO
è insieme ad un autorun.run e un autorun.bat, nonché un wdlogo.ico
---
4-file nascosto nella nostra cartella dati
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO

Vedete qualcosa di significativo?
Che ne direste di cancellare l'autorun.inf A-1?
:confused:

dipende da cosa contiene come stringhe, probabilmente lo mostra vuoto perchè ne viene bloccata anche la visualizzazione/modifica del contenuto..
prova a scansionare su virustotal i due file autorun.run e autorun.bat e autorun.bat

Il pc principale è quello da cui scansiono. L'hard disk è stato usato sia qui che altrove, ma questo è il principale.
L'autorun.inf c'è nel WD, anzi, come detto, ne ho trovati 4 (uno con la funzione "cerca" e gli altri 3 a mano).

Li ho scansionati tutti e 4 con VirusTotal e VirusScan, ecco i risultati:

A-in My Passport (I), che sarebbe il WD
1 File nascosto
Doppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto
Risultato:
Su Virus Total non si fa scansionare: una finestra avvisa di non chiudere il pc poiché l’operazione potrebbe richiedere del tempo in relazione alla dimensione del file e alla velocità della linea. Dopo pochissimo ricompare la pg di Virus Total senza più il percorso del file. Si può ricominciare all’infinito.
Su VirusScan lo carica all’infinito e non lo scansiona.
Questo è quello che dicevo di cancellare!

B-in cartella WDsync SUL WD
2[autorun]
open=wdsync.exe
ICON=AUTORUN\WDLOGO.ICO
Risultato:
Già analizzato nei giorni scorsi: pulito per entrambi, tranne “ McAfee dice Generic!atr.b”
Ieri, come detto, ho però scansionato con McAfee, da un altro pc, tutto il WD e non ha trovato niente.

C-DENTRO LA NOSTRA CARTELLA DATI SUL WD
3-in Cartella autorun
[autorun]
ICON=AUTORUN\WDLOGO.ICO
è insieme ad un autorun.run e un autorun.bat, nonché un wdlogo.ico
Risultati:
autorun.bat: -VirusTotal - pulito
-VirusScan - pulito
autorun.run: -VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
-VirusScan - pulito
---
4-file nascosto nella nostra cartella dati del WD
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO
Risultato:
VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
VirusScan – pulito (in base a scansioni già fatte, mi sa che per oggi ne ha analizzati troppi).

Non sono troppi questi autorun? quale cancellereste, se ne cancellereste qualcuno? Io cancellerei l'A1.
Attendo-vi:confused:

il problema sicuramente è sicuramente quell'altrove visto che nel tuo pc non ci sono tracce di infezione in corso.. c'era qualche segno ma ora è pulito.
quello che mi chiedo e che devo capire bene è se avira ogni volta incondizionatamente che colleghi il WD ti segnala quel file nascoosto, se sì puoi mmetterlo nella exclusion list del guard e finalmente aprirlo con "tasto destro -> modifica" non fare semplice doppio click.
una volta aperto dovresti visualizzarne il contenuto.

se invece è stato già messo in quarantena da avira non avresti ogni volta la segnalazione se questo WD non lo hai più collegato in altri pc..

rimango comunque dell'idea che non stiamo scansionando il pc artefice di questo disastro del WD, il pc è un altro forse anche estraneo al tuo appartamento..

Allora... una piccola novità.

avevo detto
"A-in My Passport (I), che sarebbe il WD
1 File nascosto
Doppio click, Accesso negato, e Avita blocca; il file blocco notes sembra vuoto
Risultato:
Su Virus Total non si fa scansionare: una finestra avvisa di non chiudere il pc poiché l’operazione potrebbe richiedere del tempo in relazione alla dimensione del file e alla velocità della linea. Dopo pochissimo ricompare la pg di Virus Total senza più il percorso del file. Si può ricominciare all’infinito.
Su VirusScan lo carica all’infinito e non lo scansiona.
Questo è quello che dicevo di cancellare!"
Non potevo metterlo tra le eccezioni della Guard di Avira, perché nel menu sfoglia delle eccezioni Guard, quel file non mi compariva, e i nomi che gli davo, me li dichiarava non corretti.
Allora l'ho rinominato "autorunno.inf" e l'ho aperto; dentro c'è scritto:
[autorun]
open=WD_Windows_Tools\Setup.exe
ICON=AUTORUN\WDLOGO.ICO
L'ho potuto anche scansionare con il seguente risultato:
-VirusTotal - pulito, tranne “ McAfee dice Generic!atr.b”
-VirusScan - pulito
Ho collegato l'hard disk più di una volta e non mi compare più l'avviso di Avira per il blocco dell'autorun.inf, ma l'autoplay parte normalmente. Direi buono, a meno che voi non la vediate diversamente........

Altra cosuccia che ci fa capire che non abbiamo lavorato per niente.
La stampante multifunzione HP ink 364 wireless, comprata a settembre (?) con piccole cartucce balorde dotate di microcip e difficilmente ricaricabili, stampava 1 volta su 10, anche dopo la ricarica dell'inchiostro (sembrava non amasse le ricariche!); dopo lo zoccolo duro della disinfezione infetti è ripartita seriamente e ora stampa ogni volta che le viene richiesto.
Quindi lode alla procedura disinfezione infetti:O e grazie a voi!

Se non avete altro da dirmi, chiudo qui con questo portatile e anche con l'hd WS (come detto, nei prossimi giorni, travaserò i file superstiti e lo fomatto).

Ma da domani procedo con la disinfezione sul vecchio pc dei bambini, ancora ben sfruttato e a volte collegato all'hd WD: potrebbe essere lui l'origine del malanno dell'hd WD, come da indizi forniti da Gasp.

Per ora buona notte;)

ok a questo punto si potrebbe inviare quel file al laboratorio di avira per ccorreggere la falsa segnalazione.
sì direi che questo pc sia stato ripulito, dovrai pensare però ad auumentarne la sicurezza tipo installando per lo meno un firewall di terze parti come OnlineArmor-free o Comodo-Firewall o PrivateFirewall (tutti e tre free).

Procedi pure con il baby-pc però non ci collegare il WD fino a che non è ripulito, attendo qui i soliti log :)

ok a questo punto si potrebbe inviare quel file al laboratorio di avira per ccorreggere la falsa segnalazione.
sì direi che questo pc sia stato ripulito, dovrai pensare però ad auumentarne la sicurezza tipo installando per lo meno un firewall di terze parti come OnlineArmor-free o Comodo-Firewall o PrivateFirewall (tutti e tre free).

Procedi pure con il baby-pc però non ci collegare il WD fino a che non è ripulito, attendo qui i soliti log :)

On Line Armor ce l'abbiamo su questo portatile genitori (anche sul pc fisso dei bambini, non sul portatile dei bambini*): strano che non l'abbiate visto dai log (magari è giusto che non si veda!). E' attivo solo il Firewall e non la Protezione programmi, xché con quest'ultima non si viveva più.
In realtà ho provato a comunicare con Avira, non ci sono riuscita, non ricordo il xché e il percome, ma ci riproverò. Se avete una mail da indicarmi faccio prima.:)

PS sembra che i nostri figli siano degli espertoni informatici, ma non è assolutamente così! è che lo scorso giugno abbiamo avuto la fortuna di vincere un portatile con windows 7 alla lotteria della scuola; su quest'ultimo portatile non ricordo se ho istallato On-Line Armor.....

devi mandare l'email in inglese e con l'allegato zippato e protetto da password al seguente indirizzo: virus_malware@avira.com
ovviamente nel corpo email devi indicare quale sia la password.

sì lo avevo visto ma non lo ricordavo.. la protezione programmi è indispensabbile che sia attiva nel firewall altrimenti perde di efficacia, se il problema sono gli avvisi puoi sostituire OA con PrivateFirewall (sempre gratuito) raggiungendo un livello ottimale di protezione senza continui avvisi.

comunque per avere le email dei vari laboratori basta che fai riferimento a questo thread: http://www.hwupgrade.it/forum/showthread.php?p=21663909
è linkato nel "thread importanti" della sezione "av e sicurezza in generale".

Carissimi sono di nuovo qui. Il travaso dei files superstiti su un nuovo hd è stato laboriosissimo (oltre che moderatamente costoso), poiché di cartelle geroglifiche non ce ne era solo una grossa, ma anche diverse più piccole di tanto in tanto, e quando ne incontrava una, la copiatura andava fallita; quindi ho dovuto fare un lavoretto di fino ben più lungo. Su 232 G ne ho salvati circa 150. Direi che la memoria familiare è comunque salvaguardata. Il vecchio hd è stato ora formattato.
Passiamo quindi al trattamento del vecchio pc fisso dei bambini Windows XP Home SP3, ram pochina e la scheda grafica indicata di seguito (ultima cartella disinfezione log è di febbraio 2009: quindi direi che ci si difende). Questo pc, se lasciato acceso a lungo, a volte si spegne da solo. Più di una volta in questi giorni, mi è capito di riaccenderlo dopo uno di questi eventi e in un caso windows mi ha dato delle indicazioni sulle cause possibili del crash che potevano essere: aggiornamento drivers della scheda video (che è una Radeon HD 3650 512M Sapphire Ati Agp installata per permettere di giocare con Madagascar2 (!)). Ho provato a studiare un po’ la faccenda, ma mi risulta decisamente ostica, quindi al momento l’ho accantonata, nella speranza che tale disturbo sia dovuto ad una schifezza che la preziosa guida DI eliminerà (come successo per la stampante).
Veniamo ai log. Non ho tenuto un diario perfetto di tutto quello che è successo durante le scansioni: errori e spegnimenti mentre gli antivirus giravano…. con Emisoft mi pare si fosse spento, ma ho potuto salvare il primo log per questo ne applodo 2. Ecco:

1 Malwarebytes - http://wikisend.com/download/496756/01-mbam-log-2011-01-27 (21-00-33).txt
2 Emisoft prima parte - http://wikisend.com/download/616616/02A-a2scan_110128-073000-A.txt
2 Emisoft seconda parte - http://wikisend.com/download/534882/02B-a2scan_110128-080409-B.txt
3 F-secure - http://wikisend.com/download/471990/03-F-secureOnLine.txt
4 DrWebCureit filtrato - http://wikisend.com/download/886010/04-cureit filtrato.txt
5 ESET SysInspector - http://wikisend.com/download/442382/05-SysInspector-NOME-909BE0A725-110129-1208.xml
6 Hijackthis - http://wikisend.com/download/938806/06-hijackthis.log
7 Gmer - http://wikisend.com/download/596366/07-gmer.log
8 Prevx - http://wikisend.com/download/567350/08-prevxcsi.log

Questa rilevazione di DrWebCureIt C:\SDFix\apps\Process.exe (che vedrete nel log) non è stata curata né niente xchè il programma non ha chiesto nulla ed è andato avanti da solo. Credevo fosse un errore nostro e ho rifatto la scansione, ma su quel file si è comportato allo stesso modo, mentre non ha più segnalato gli altri 3 che erano stati curati. Mentre facevo la seconda scansione, su un vecchio 3D del forum mi pare di aver capito che si tratta di un falso positivo.

Attendo vostre istruzioni, se ne avete e davvero tanta gratitudine in anticipo.:flower:


PS: la segnalazione ad Avira ero riuscita poi a farla, non ricordo più come e sicuramente non bene come da Gasp indicato. Per l’On Line Armor senza analisi programmi, hai ragione, :fiufiu: ma bisogna pur vivere un sereno quotidiano senza essere chiamati in continuazione per le finestrelle che si aprono….. che francamente anche io faccio fatica a decifrare, figuriamoci per telefono (ancora lotto affinché gli utilizzatori dei pc azionino C-cleaner e ATF!). Comunque vedrò per OA.

Toc toc ..... la situazione è grave? ...... si sono un po' in ambasce...... attendo di leggervi:rolleyes:

malwarebytes non era aggiornato, quindi se tu potessi rifarla sarebbe ottimo :)

nella seconda scansione di emsisoft emerge:
C:\WINDOWS\system32\drivers\uti5njy3.sys rilevati: Trojan.Win32.Bagle!IK
ma per tutti gli altri non v'è traccia del bagle..

con hijackthis, fixa:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Programmi\Spyware Terminator\sp_rsser.exe (file missing)


devi aggiornare anche questo pc, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)

malwarebytes non era aggiornato, quindi se tu potessi rifarla sarebbe ottimo :)

nella seconda scansione di emsisoft emerge:
C:\WINDOWS\system32\drivers\uti5njy3.sys rilevati: Trojan.Win32.Bagle!IK
ma per tutti gli altri non v'è traccia del bagle..

con hijackthis, fixa:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Programmi\Spyware Terminator\sp_rsser.exe (file missing)


devi aggiornare anche questo pc, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce :)
poi rifai anche un log di hijackthis :)

Sto riscansionando con MalwareBites, ma è già la seconda volta che mi scompare lo schermo, per spegnere pigio a lungo il pulsante di avvio e poi riaccendo il tutto. A periodi la cosa si presenta con più frequenza. Devo dire che ho letto qualcosa su questi Bangle e questi riavvii continui mi hanno dato da pensare.
Appena riesco, posto :mc:

Sto ri-scansionando ma c'è qualcosa che non mi torna.
Com'è possibile che

prima il log di Mbam era:
Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 228372
Tempo trascorso: 1 ore, 10 minuti, 5 secondi

Adesso siamo a 1 ora e 50 minuti , circa 94000 files.

Non vi pare che qualcosa non torna?:confused:

Ecco il log di Malwarebite aggiornato
http://wikisend.com/download/420590/01BIS-mbam-log-2011-02-01 (19-34-56).txt
non ha trovato niente ma ci ha messo un sacco di tempo in più?!
Procedo con il resto.....:mc:

non lo hai aggiornato prima di farla comunque rifai una scansione con hijackthis, con prevx e con cludi con una di sysinspector.

:doh: eehh ...i neuroni si stanno diradando.
Comunque sto rifacendo Malware bites sicuramente aggiornato, stavolta. Poi continuo.
Intanto stasera e ieri mi sono dedicata a informative dal web, controlli vari e aggiornamenti: grande impazzimento!. Diciamo che, dai e dai, si è sistemato quasi tutto ... (ho installato anche il sostituto di Adobe Reader e ho messo Crome come predefinito, un giorno passerò a quello da te consigliato)... tranne forse la cosa più importante: Windows Home! che resta fermo a SP3, ma gli mancano un sacco di aggiornamenti che non riesco ad installare, ho provato decine di volte. Di fatto questo è un problema che si è verificato a partire da , circa , settembre 2008. Prima di questa data, il pc è stato spento per più di un anno perchè noi eravamo assenti da casa; al nostro ritorno gli aggiornamenti si erano accumulati e nonostante ci fosse impostato l'aggiornamento automatico ... insomma, così come oggi, ci ho perso ore ed ore senza risultato. Ovviamente non vanno neppure uno ad uno mettendoli in ordine. Se qualcuno mi sa dare una dritta sull'argomento è naturalmente assai benvenuto.
A domani per i log richiesti:mc:

che errore ti da?

Malwarebytes - http://wikisend.com/download/470160/TER-mbam-log-2011-02-03 (02-13-48).txt
Hijackthis - http://wikisend.com/download/887108/TER-hijackthis.log

Ora ritento gli aggiornamenti Windows:confused: , così vi so dire qualcosa di più riguardo l’errore.

Attese infinite, 82 aggiornamenti non riusciti di cui uno segnalato importantissimo. Quando clicco sul link che mi dovrebbe dare l'elenco degli errori, il riquadro opzioni si sbianca e la clessidra pensa all'infinito. Allego la pagina che mi viene fuori dopo la segnalazione errori a windows. Riproverò stasera, ma così mi sa che non vado da nessuna parte perchè ho già provato decine di volte
http://wikisend.com/download/522272/Problema agiornamentoWindows.JPG
è pesante forse non potrete visualizzarla:cry:

Mentre ero in ufficio, la schermata si è manifestata. Non so se vale per tutti (sto controllando) ma mi pare che l'errore sia sempre lo 0x80246008.

con hijackthis fixa:
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Programmi\Spyware Terminator\sp_rsser.exe (file missing)
devi comunque disinstallarlo perchè non sta funzionando :)

per quanto riguarda gli aggiornamenti devi farli per forza via InternetExplorer e assicurati che il browser usi https:// in caso contrario aggiungila tu la s ;)
se ancora desse problemi potresti fare un nuovo screenshot e pubblicarlo tramite imageshake.us ?
basta che copi il link "thunmbnail forum" o "minatura forum" :)

Mentre ero in ufficio, la schermata si è manifestata. Non so se vale per tutti (sto controllando) ma mi pare che l'errore sia sempre lo 0x80246008.

Guide Microsoft:
http://support.microsoft.com/kb/910337/it
Verifica della corretta configurazione di BITS......

Ci sto riuscendoooooo:eek: !!!! sono al 10° di 81 aggiornamenti!!! incrocio le dita.... tornerò!!!:eek:

con hijackthis fixa:
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Programmi\Spyware Terminator\sp_rsser.exe (file missing)
devi comunque disinstallarlo perchè non sta funzionando :)

per quanto riguarda gli aggiornamenti devi farli per forza via InternetExplorer e assicurati che il browser usi https:// in caso contrario aggiungila tu la s ;)
se ancora desse problemi potresti fare un nuovo screenshot e pubblicarlo tramite imageshake.us ?
basta che copi il link "thunmbnail forum" o "minatura forum" :)

Hijackthis fixato.
La seconda parte del messaggio non l'ho capita, ma forse al momento non serve.

Log Prevx – http://wikisend.com/download/397636/FIN-prevxcsi.log
Log SysInspector- http://wikisend.com/download/397706/FIN-SysInspector-NOME-909BE0A725-110204-0024.xml

Inoltre:
- pare che gli 82 (!!??) aggiornamenti siamo andati in porto: domani sera ricontrollo (con Microsoft e Secunia)
- Il problema è risultato essere: nel “Servizio trasferimento intelligente in background”(vedi guida Microsoft errore 0x80246008) il Tipo di Avviso era Manuale e Disabilitato, ora è Automatico e Avviato.
- Ho tolto lo screen saver e, non so per il futuro, ma nelle utime 24 ore il video non è scomparso, poi vedrò il da farsi
- Al riavvio dopo gli aggiornamenti, :doh: “Errore: non è possibile avviare il servizio on line armor” che ho notato risultare aggiornato appena al dicembre 2008 (!). Immagino dovrò disinstalare e reinstallare da capo On Line Armor, a meno che non ci sia una soluzione + rapida; c'é?:wtf: .

A parte quanto sopra, il pc è lentissimo (soprattutto all'accensione), ma forse dipende dal fatto che è vecchietto!!
A domani

..... i suoni degli avvisi di windows sono spesso gracchianti e non fluidi. L'audio però va bene se si fa partire una canzone con Windows Media Player. Magari dipende dal pc vecchietto.
Riavvio per un aggiornamento che è stato installato automaticamente!!! tu pensa!

"-Il problema è risultato essere: nel “Servizio trasferimento intelligente in background”(vedi guida Microsoft errore 0x80246008) il Tipo di Avviso era Manuale e Disabilitato, ora è Automatico e Avviato."

Sto cantando vittoria troppo in fretta: non tiene la giusta impostazione. Stamattina è di nuovo su "Manuale" e "Arrestato". Me ne sono accorta perché -dopo l'aggiornamento fatto in automatico- sono andata sul sito Update di Windows per vedere se il pc era a posto, con la speranza di veder comparire la scritta. "il computer è aggiornato" o simili.... e invece c'erano 8 ulteriori aggiornamenti che non si installavano causa settaggio di cui sopra di nuovo in disordine!!. L'ho rimesso a posta ed ora probabilmente scaricherà e installerà gli 8 aggiornamenti.
La domanda è però : come faccio ad evitare che il "Servizio trasferimento intelligente in background” tutte le volte si rimetta su Manuale/Arrestato?
A stasera:confused:

benissimo la soluzione che hai trovato funziona alla grande :)
sì di default il servizio trasferimento intelligente in backkground è impostato su manuale/arrestato e si dovrebbe avviare solo quando windows ne ha necessità.
fa riferimento a: C:\WINDOWS\system32\svchost.exe -k netsvcs
comunque nella scheda "ripristino" (sempre delle proprietà di questo servizio) puoi controllare le azioni che windows deve compiere se questo servizio non funziona, io ho per 3 volte riavvia il servizio dopo 1 minuto

direi che eri molto molto arretrata su onlinearmor, fin troppo.. credo fosse stata una delle prima versioni e magari nemmeno tradotta in italiano :p
sì quella versione dovrai disinstallarla, riavviare e installare la nuova e riavviare ancora dopo il completamento della fase di apprendimento :)
oppure passi a privatefirewall, vedi te..