Olimpo Informatico

[ventosa]

salve a tutti.
il mio pc è lentissimo all'avvio, il cursore a volte immobile e bloccato. spesso devo riavviare, e se va bene si ripiglia. quando però mi connetto, dopo un paio d'ore di navigazione diventa di una lentezza esasperante e si blocca.

ho effettuato una scansione con una serie di antivirus e non solo, e tutti mi hanno trovato un virus e chiavi di registro infette. tutti hanno messo i files malevoli in quarantena, i quali puntualmente si ripristinano. nell'ordine ho scansionato con: superantispyware, malwarebytes, virit, vundofix (perché superantispyware mi segnalava il virus con questo nome) e combofix. NIENTE. il virus torna puntualmente.

posto il file di log di HJT, ditemi voi:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.18.54, on 12/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Java\jre1.5.0_16\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_16\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_16\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_16\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_16\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CDBD989-0586-4C5A-AAAA-66968404D537}: NameServer = 192.168.0.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

--
End of file - 5769 bytes

[R16]

Ciao ventosa.
Bisogna postare i log delle scansioni che hai fatto, perchè vengano analizzati da un moderatore.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

[ventosa]

grazie R1,
ecco i log delle scansioni, dovrebbero essere dal meno recente a quello fatto con malwarebytes oggi. da quest'ultima scansione non risulta esserci nulla, ma il mio portatile è ancora lentissimo, e già so che se la scansione la rifaccio domattina, ritrovo i soliti files infetti, come sempre mi succede da qualche giorno a questa parte..
grazie a chi mi verrà in ausilio


VundoFix.txt

SUPERAntiSpyware_ 11_03_2009.txt

ComboFix.txt

mbam-log-2009-03-12 (13-54-33).txt

[R16]

Ciao ventosa.
Hai un Dialer.
Niente di irreparabile, o che possa giustificare una formattazione.
Aspetta un moderatore, e vedrai che ti risolverà il problema.
Abbi solo un pò di pazienza.

[ventosa]

grazie tante tantissime!
attendo fiduciosa..

[R16]

Per guadagnare tempo:
Disattiva il Ripristino configurazione sistema, e lascialo disattivato fino alla soluzione del problema.
Dai una pulita (registro compreso)con CCleaner:
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Svuota del suo contenuto la cartella Prefetch, segui questo percorso:
C:\Windows\Prefetch
Poi:
Scarica FindAWF:
http://noahdfear.geekstogo.com/FindAWF.exe
Esegui FindAWF.
premi un tasto qualsiasi.
Poi premi il tasto 1 e INVIO, aspetti il log che FindAWF stamperà su un file di testo alla fine della ricerca.
Il filelog lo carichi con le stesse modalita del post precedente.
Ciao

[ventosa]

fatto
ecco qui il log di FindAWF:

awf.txt

attendo nuove.

[ventosa]

scusa R1, ho visto meglio solo ora le tue istruzioni.. avevo disattivato ripristino configurazione sistema SOLO mentre usavo CCleaner! ho compromesso i risultati di AWF? e dovrei continuare a tenerlo disattivato anche mentre sono collegata ad internet?

[R16]

[ventosa]

ehm..
posso aspettare tutto il tempo che volete, purché mi diciate che è, per l'appunto, solo questione di tempo, perché capisco benissimo che di cose da fare ne abbiate una miriade, davvero!

ma se, al contrario, non avete intenzione di aiutarmi, per cause che comuque trascendono la vostra volontà, beh, lo comprendo, ma vorrei saperlo, così da non attendere invano e cercare altrove una soluzione.

attendo una risposta senza pretesa alcuna
grazie

[R16]

Ciao ventosa.
Purtoppo i moderatori saranno molto occupati.

Scarica Avenger: scompatta Avenger all'interno di una apposita cartella.
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

Files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\SWSETUP\Default\Cpqset.exe
C:\SWSETUP\OneTouch\Disk1\ONETOUCH.EXE
C:\SWSETUP\Touchpad\SynTPEnh.exe
C:\SWSETUP\Touchpad\SynTPLpr.exe

Files to move:
C:\Programmi\iTunes\bak\iTunesHelper.exe|C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Hewlett-Packard\HP Software Update\bak\HPWuSchd.exe|C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\HPQ\Default Settings\bak\cpqset.exe|C:\Programmi\HPQ\Default Settings\cpqset.exe
C:\Programmi\HPQ\Notebook Utilities\bak\hptasks.exe|C:\Programmi\HPQ\Notebook Utilities\hptasks.exe
C:\Programmi\HPQ\One-Touch\bak\OneTouch.EXE|C:\Programmi\HPQ\One-Touch\OneTouch.EXE
C:\Programmi\OLYMPUS\OLYMPUS Master\bak\FirstStart.exe|C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
C:\Programmi\OLYMPUS\OLYMPUS Master\bak\Monitor.exe|C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe|C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe|C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\bak\hpotdd01.exe|C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\hpztsb08.exe|C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe

Togli la spunta da Scan for Rootkit
Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta il risultato di Avenger con un log aggiornato di hijackthis.

Rifai la scansione con Find AWF e posta il log.

[ventosa]

grazie R1!!
fatto tutto
ecco i tre log di testo

avenger_17_03_09.txt

hijackthis_17_03_09.txt

awf_17_03_09.txt

[R16]

Ciao.
Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:


Files to move:
C:\cpqs\scom\bak\srmclean.exe|C:\cpqs\scom\srmclean.exe

Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger
Fai un'altra scansione con Find AWF e posta il log.
************************************************************
Hai ancora Combofix nel Desktop?
Se si fai questa operazione:

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f9e6953-db81-11db-86e5-000d9d5b956a}]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
************************************************************
Hai delle chiavette USB o HD esterni infetti:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI


Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai una scansione delle stesse, con il tuo antivirus. Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso al contrario.
Dimmi se ci sono miglioramenti.

[ventosa]

per ora ecco i file di logi di Avenger e di FindAWF
non so se ho fatto male, ma ho tolto la spunta da Scan for Rootkit prima di cliccare su excute, anche se non me lo hai scritto, ho creduto fosse tacito.. ho fatto una cavolata?


avenger_18_03_09.txt

awf_18_03_09.txt

procedo con COMBO..

[ventosa]

ecco il log di combofix

ComboFix.txt

HD esterni non ne uso, la chiavetta usb usata di recente non è mia.. dovrò recuperarla.
attendo nuove.

[R16]

Ciao ventosa.
Non preoccuparti non hai fatto nessuna cavolata.
Quando recuperi quella chiavetta ricordati la procedura descritta nel post precedente.

Vai in "Installazione Applicazioni", e rimuovi tutte le versioni Java che trovi , poi fai una pulizia con CCleaner, e installi questa:
http://www.java.com/it/download/index.jsp
Poi:
Lancia Hijackthis e pulisci gli ADS:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Fai una scansione completa con Malwarebytes(aggiornalo prima) e posta il log.
Poi posta anche un log aggiornato di HijackThis
Riscontri problemi?

[ventosa]

il log di malwarebytes:

mbam-log-2009-03-19 (01-07-01).txt

il nuovo log di HJT:

hijackthis_19_03_09.txt

dopo la scansione con malwarebytes ho dovuto riavviare perché il portatile s'era impallato, per spegnerlo ci ho messo una vita, poi ho dovuto anche riconnettermi perché al primo tentativo mi apriva le pagina non lentamente, no, di più! insomma, ha fatto come spesso che faccia, ma non dispero. vedrò come va domani..
grazie infintamente!
se c'è qualcos'altro che debbo fare..

[R16]

Ciao ventosa.
Non visualizzo il log di Malwarebytes.
Il log di HJT dice che non hai un antivirus, o perlomeno ,non è attivo.
Il mio consiglio, è di disistallare quello che hai (Bitdefender?) e installare Antivir.
E' uno dei migliori antivirus (se non il migliore) free, in circolazione.
Scarica Antivir :
http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html
Questa è una guida in formato PDF per configurarlo:
http://www.zeusnews.it/zz_upload/PSV/avira.pdf
Fai una scansione completa ,e postami il log.
Ho visto che hai installato anche SuperAntispyware, aggiornalo, fai una scansione ,e mi posti il log.
Per ultimo posti un nuovo log di HJT.
Coraggio, siamo nella fase finale.
Ciao.

[ventosa]

in questi due giorni il mio portatile era praticamente bloccato come non mai.. anche fare la scansione con avira è stata un'impresa perché ho dovuto scaricarlo 3 volte, le prime due mi diceva che un file dell'antivirus era corrotto, e che dovevo scaricare una versione più recente, allora ho cambiato sito da cui scaricarlo..
ecco finalmente il file di log di avira:

AVSCAN_21_03_09.txt

appena potrò, farò la scansione con superantispyware..

[Riverside]