Olimpo Informatico

[david]

Prima di tutto cortesi saluti.

I problemi che ho riscontrato sul mio pc sono: cpu continuamente impegnata al 100%, impossibilità di ripristinare passate configurazioni di sistema, di visualizzare file e cartelle nascoste, di avviare il computer in modalità provvisoria e probabilmente ci sarà anche altro di cui non mi sono reso ancora conto. se tento di caricare norton internet security esce il seguente messaggio: C:\Programmi\File Comuni\Symantec Shared\NMAIN.EXE non è un'applicaione Win32 valida. Utilizzo Windows XP SP2.

Consultando un topic di questo sito in cui si lamentavano problemi analoghi ho fatto quanto segue.

ho verificato se in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ci fossero explorer.exe e iexplorer.exe. non ci sono. in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon userinit ha i seguenti valori: REG_SZ e C:\WINDOWS\system32\userinit.exe,

ho fatto una scansione con elibagla. Ha trovato file infetti ma non è riuscito ad eliminare tutto. Il problema della cpu almeno si è risolto. Il log ve lo posto in un successivo messaggio.

se provo ad avviare combofix mi dà lo stesso messaggio di errore del norton.

Non posso avviare nè avenger nè HiJackThis. quando clicco per avviarli, praticamente si blocca la finestra (anche le altre aperte) e non posso chiuderle nemmeno col taskmanager (chiude explorer.exe) Nel caso di avenger sono addirittura costretto a spegnere e riaccendere il computer.

Gromozon_removal non trova niente di anomalo. Con Prevx_CSI la scansione non parte perchè dice che non riesce a connettersi ad internet nonostante la connessione funzioni.

Con systemscan ho fatto la scansione e vi posto il log successivamente. Se cerco di rimuovere, col medesimo programma,i file che mi segnala elibagla, mi dà un messaggio di script non valido. copio e incollo le righe che avete postato voi in un altro tread:
Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWs\System32\drivers\hldrrr.exe
C:\WINDOWS\system32\mdelk.exe

Se provo ad avviare GMER mi dà il seguente messaggio di errore:
CreateFile "C:\WINDOWS\gmer.dll": Impossibile trovare il file specificato.

ogni volta che avvio windows si apre una finestra in cui mi chiede di selezionare il file da craccare. se chiudo questa finestra dopo poco il computer si riavvia inesorabilmente, se la lascio aperta non avviene. sicuramente è legato alla causa dei problemi che sto avendo.

spero di non essere stato eccessivamente confusionario e che possiate darmi una mano.

[david]

vi posto il log di elibagla.

InfoSat18.txt

[david]

il log di systemscan.

26_04_2008_22_50_report.zip

[bdoriano]

Ciao david,

Prima di farti fare operazioni manuali, vediamo se riusciamo a utilizzare metodi automatici.

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Scarica Norman Malware Cleaner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-04-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Segui le istruzioni di questo topic per postare il log di combofix.

PS: se vuoi, puoi presentarti qui

[david]

allora, ho utilizzato sia ATF-Cleaner che CCleaner.

a differenza di quanto accadeva precedentemente è stato possibile avviare il computer in modalità provvisoria.

ho fatto una scansione con Norman Malware Cleaner.
il link del log:

NFix_2008-04-27_13-24-54.log

combofix continuo a non poterlo utilizzare, mi dice che è un'applicazione win32 non valida.

grazie per la risposta.

[bdoriano]

Apri il notepad, e copia/incolla questo codice

[david]

avenger continua a non avviarsi. appena clicco sopra, la finestra si blocca e non si riesce più a chiudere, così come le altre che eventualmente sono aperte.
il computer si "incarta" e sono costretto a riavviarlo, cosa che avviene con grande fatica. ci vogliono alcuni minuti.

[bdoriano]

scarica questo file (lo script è fatto apposta per te) e scompattalo in una sua cartella.
Avvia il programma AvRunner.exe, premi Invio, poi digita Y e accetta il reboot. Al riavvio si dovrebbe aprire lo script di Avenger con l´esito delle operazioni fatte. Se ti sembra che non abbia fatto nulla, cioè dopo la riga Beginning to process script file: non c´è scritto cosa ha fatto, ma solo Completed script processing., prova ad riavviare AvRunner ancora una volta. Vediamo se riesce a combinare qualcosa.

[david]

Gent.mo bdoriano, ho fatto quanto hai detto. dopo il riavvio del computer mi esce un messaggio di errore: "Impossibile trovare il file avenger.txt. Creare un nuovo file?"

grazie per la pazienza.

[david]

ho creato in C:\ un file di testo chiamato avenger e ho copiato lo script che mi hai dato. se esco dalla directory e la apro nuovamente il file non c'è più. un'informazioe; avrunner, se non ho capito male, avrebbe dovuto agevolare l'avvio di avenger: ma come riesce a trovarlo? deve essere messo in un percorso specifico? deve trovarsi nella stessa cartella di avrunner?

io l'ho inserito in C:\avenger.

[bdoriano]

AVRunner dovrebbe fare tutto da solo e creare il log del risultato finale in C:\Avenger.txt
Se non ti ha creato il log non è detto che non abbia funzionato.
Prova a scaricare nuovamente combofix e a farlo girare. Vediamo se qualcosa ha combinato.

Eventualmente, puoi anche scaricare SuperAntiSpyware, installarlo e fargli fare una scansione completa.

[david]

ciao bdoriano.

combofix continua a non funzionare. Sto cercando di usare SuperAntiSpyware, ma la maggior parte delle volte non riesce proprio a caricarlo. quando riesco ad avviare la scansione, ad un certo punto, dopo aver trovato qualcosa di infetto, il computer si riavvia con relativo controllo di coerenza del disco e messaggio di ripristino dopo un grave errore.

hai presente quella finestra di esplora risorse che si apre sempre all'avvio e in cui dovrei selezionare un file da craccare? dopo aver installato SuperAntiSpyware (può essere un caso) capita che a volte se ne aprano 2!

Comunque, per ora insisto con SuperAntiSpyware, sperando che non si danneggi anche il disco per i continui riavvii. qualche volta riprovo anche ad utilizzare AvRunner, ma con scarsi risultati.

spero che ci sia ancora qualche carta da giocare, comincio a vederla male.

grazie.

saluti.

P.S. le finestre sono diventate 3! mi fermo e aspetto un tuo consiglio.

[bdoriano]

Non disperare, ci sono tanti modi di scuoiare un... virus.
Basta solo trovare quello giusto!

Scarica il file OTMoveIt2 e salvalo sul desktop.

• Doppio click sull'icona di OTMoveIT2.exe che hai salvato sul desktop
  
  
• Comparirà la seguente schermata:
  
  
• Copia il seguente elenco:
  

  Codice:

  C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\drivers\pci32.sys C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\drivers\mdelk.exe

  
  
• incollalo nella sezione Paste List of Files/Folders to Move del programma OTMoveIT2.
  
• Clicca il bottone rosso Moveit!.
  
• Verrà creato un log dell'operazione effettuata nella cartella c:\_OTMoveIt\MovedFiles, il nome sarà composto da data e ora (mmddyyyy_hhmmss.log).
  Copia il log così generato nella tua prossima risposta.
  
• Chiudi OTMoveIt2

Se una cartella o un file non possono essere spostati immediatamente, ti verrà richiesto di riavviare il pc per completare l'operazione. Clicca Yes.

[david]

ciao bdoriano.

il log di OTMoveIt2:

File/Folder C:\WINDOWS\system32\wintems.exe not found.
File/Folder C:\WINDOWS\system32\hldrrr.exe not found.
File/Folder C:\WINDOWS\system32\trusted.exe not found.
File/Folder C:\WINDOWS\system32\drivers\hidr.exe not found.
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\drivers\pci32.sys not found.
File move failed. C:\WINDOWS\system32\drivers\hldrrr.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\mdelk.exe scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04292008_141933

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\hldrrr.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\mdelk.exe scheduled to be moved on reboot.

esito negativo, ma teniamo duro.

[chemicalbit]

Non so se e quanto possano centrare,
ma prova a controllare i valori del registro di sistema indicati qui.

[bdoriano]

[david]

sì, me lo ha chiesto e l'ho fatto. dopo il riavvio è uscito il log che ti ho postato.

[bdoriano]

Scarica Malwarebytes' Anti-Malware da qui o qui e salvalo sul desktop.

**** INSTALLAZIONE ****

• Doppio click sull'icona di mbam-setup.exe che hai salvato sul desktop
  
  e procedi con l'installazione
  
• Al termine della procedura, comparirà la seguente schermata:
  
  Assicurati che ci siano entrambi i segni di spunta e clicca Fine
  
  
• Al primo avvio, ti comparirà il seguente messaggio:
  
  Assicurati che il collegamento Internet si attivo e clicca OK
  
• Attendi la fine dell'aggiornamento:
  

**** UTILIZZO ****

• Compare la seguente videata:
  
  
• Clicca Scansiona
  Potrebbe volerci parecchio tempo, quindi cerca di essere paziente
  
• Al termine della scansione, clicca OK
  
• Assicurati che tutti i files evidenziati siano selezionati e clicca Rimuovi Selezionati
  
• Quando la disinfezione sarà completata, verrà aperto Notepad con il risultato dell'operazione
  
• Riavvia il pc

In caso trovasse files difficili da eliminare, dovrebbe proporti di procedere con l'eliminazione al riavvio del pc.

[david]

ciao bdoriano. abbiamo fatto un passettino avanti.
non è stato possibile l'aggiornamento di Malwarebytes' Anti-Malware prima della scansione. questo è il log:

Malwarebytes' Anti-Malware 1.11
Versione del database: 599

Tipo di scansione: Scansione rapida
Elementi scansionati: 28810
Tempo trascorso: 3 minute(s), 23 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.
C:\WINDOWS\system32\lsprst7.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> No action taken.

dopo il riavvio, il log conteneva queste righe:
File infetti:
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lsprst7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> Delete on reboot.

in pratica aveva messo quei file in quarantena e li ho cancellati.

i miglioramenti riscontrati? non sempre esce quella finestra e il computer non si riavvia da solo. combofix, il norton e avenger non si aprono perchè dice che non sono applicazioni win32 valide. avenger prima bloccava il computer appena cliccavo sulla sua icona, quindi qualcosa è cambiato.

ciao.

[bdoriano]

Ottimo!

Ri-scarica combofix e prova a fargli fare la scansione.
Ri-scarica anche avenger.

Dal log di MBAM, vedo che c'era anche un altro ospite oltre Bagle.