Olimpo Informatico

[ilconte30]

da qualche giorno ho notato comportamenti anomali.
- Il pc si spegne da solo, di colpo e senza preavviso (tipo mancanza energia elettrica)
- outlook ha strani comportamenti e si apre da solo più volte e poi si blocca
- alcuni file di sistema si duplicano.

Avast mi segnala la presenza di 8 rootkit.
Adesso ho installato gmer che me li ha confermati.

Come posso fare ad eliminarli e ad avere conferma che non ci sia altro?
Grazie mille

Luigi

[R16]

Ciao.
Posta il log che ha rilasciato Gmer.
Carica i log di Gmer,
su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

[ilconte30]

[R16]

Non ho capito, che problema ha ora il pc.

[ilconte30]

Outlook si apre da solo in nuove finestre con cadenza di 15 secondi.
Adesso lo rifà di nuovo.

GMER non mi rileva nulla

Sophos anti rootkit mi rileva
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Microsoft Visual Studio 8\VC#\Snippets\1040\Refactoring\PropertyStub.snippet
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Program Files (x86)\Common Files\microsoft shared\Windows Live\HWDeviceLogin.dll
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

non ci capisco più nulla.

grazie

[ilconte30]

sempre sophos

Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\winsxs\Backup\x86_microsoft-windows-f..temutilitylibraries_31bf3856ad364e35_6.0.6002.18005_none_eb81d0e3eccf24e4.manifest
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

[R16]

Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Carica il log di su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
www.wikisend.com

[ilconte30]

report.txt

Ho dovuto fare la scansione in modalità provvisoria perchè di colpo il pc si spegne (tipo mancanza improvvisa energia elettrica)

ciao

[R16]

Ciao.
Il log è tagliato.
In più, è un Sistema Operativo a 64 bit.

Prova a fare una scansione con DOCTORWEB. (è compatibile con S.O a 64 bit)

Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download)
link
Clicca su Avvia.
Farà una scansione preliminare.
Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde.
Se trova infezioni, usa il tasto "Sposta".
Posta solo gli eventuali file infetti che trova.
Il log lo trovi in:
C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log

[ilconte30]

[R16]

Devi provare a postarmi il log di Systemscan completo. (ne hai postato circa la metà)
Oppure, prova a postare un log di HiJackThis. ( eseguilo come Amministratore)
Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

Domanda:
Di recente, hai preso il Worm Beagle ?

[ilconte30]

[R16]

A me sembra, che hai scaricato (o qualcuno ti ha fatto scaricare) un software specifico per il Worm Beagle. (FyK)
Comunque segui queste indicazioni:

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Disattiva il Tea Timer di SpyBot così:
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.

Hai una specie di firewall che non conosco:
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
Prova a eliminarlo.

Avvia hijackthis, (eseguilo come Amministratore) metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

[ilconte30]

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
07/07/2010 - 19:29:35

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK

C:\Users\Luigi\Desktop\utility\Setup.exe Infetto da Packed.Win32.Katusha.E
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 291374.
Files Totali: 291374.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

[ilconte30]

vorrei però precisare che il file infetto in realtà non dovrebbe esserlo, perchè è uno dei file utility che ho scaricato da questo forum per la disinfezione.

La scxansione è avvenuta per tutti i file e non c'è nulla.

Ho verificato anche se si trattasse di problema hardware ma la cpu non è surriscaldata e tutti i problemi cessano in modalità provvisoria.

spero solo sia un problema di incompatibilità di file.

Ho disinstallato diversi programmi inutilizzati
ho ripulito tutto con cclean


ho seguito le istruzioni tue.
tolto tutti gli antivirus ed installato antivir

[ilconte30]

il monitori di virit mi da una serie di file in esecuzione automatica
molti di questi presentano un cerchietto rosso con x bianca.
nel file che ti allego c'è scritto file non trovato

Esecuzione automatica.txt

come posso pulirli?

P.S.: incrocio le dita: fino ad adesso nessun comportamento strano

[R16]

Ciao.
Non preoccuparti per quei file che ti segnala Virit.
Sono file che non trova in Esecuzione Automatica, ma ci sono nel pc.
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.

Fai una scansione con Avira e posta il log.
Se può servire:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228