Olimpo Informatico

[yes_wecan]

Da ormai due giorni il mio computer si comporta molto stranamente: è lentissimo e si inchioda ogni 5 minuti, la connessione cade molto frequentemente, alcuni programmi si avviano da soli (ogni tanto si apre una finestra di windows installer che dice: wait while configurating).
Pensando che le alte temperature facessero riscaldare il processore così da renderlo meno efficente ho aperto il coperchio posteriore e ho rimosso la polvere. ma non è cambiato niente.

Posto il log di hjt:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:39:21, on 13/07/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Users\Emmanuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avgtray.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
E:\Vodafone Mobile Connect\Bin\MobileConnect.EXE
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10e.exe
C:\Users\Emmanuel\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - E:\Hp\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - E:\Hp\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [PC Suite Tray] "E:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - Startup: avgtray.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Visualizza o nasconde HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - E:\Hp\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4CD759C-48C4-4370-BC20-D7CEFD0962A3}: NameServer = 83.224.70.62 83.224.66.138
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG9\avgpp.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG9\avgwdsvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Accesso rete (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - E:\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6787 bytes


Windows 7 Ultimate
AVG 9 free edition
Windows firewall

[bdoriano]

Hai Windows 7 64bit.
Inoltre, il log di hijackthis va eseguito come amministratore (tasto dx del mouse e scegli la voce Esegui come amministratore).

Comincia a fare queste operazioni preliminari:

1. Pulisci i files temporanei con CCleaner
   
2. Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
   
3. Segui le istruzioni di questo topic per usare MBAM.
   
4. scarica e installa la versione Free di SuperAntispyware:
   la configuri come da immagini:
   
   http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
   
   http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
   esegui una scansione completa del sistema
   
   
5. Fai questa scansione con SystemScan.
   
   
6. Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
   
   • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

[yes_wecan]

Il log della scansione che ho fatto con hjt l'ho postato avviandolo come admin.

Purtroppo le due scansioni di MBAM, Systemscan e Antispyware stanno procedendo lentissimamente, è totalmente inchiodato sto pc. (Per dare un'idea ho impiegato dieci minuti per scrivere questo breve messaggio)

Inoltre ho scoperto che quella finestra di windows installer si apre quando clicco su apri nuova scheda in IE8

[yes_wecan]

Intanto dop 6 ore di scansione ho scoperto questo: Cattura.JPG

é uno stramaledetto trojan e qualsiasi azione cerco di compiere con l'antivirus mi viene impedita..

vorrei evitare di formattare perchè l'ho già fatto 2 giorni fa!!


Ecco og di MBAM: mbam-log-2010-07-14 (00-33-32).txt

[bdoriano]

Purtroppo, le operazioni di pulizia con le versioni a 64 bit di Windows sono abbastanza complesse.
La minaccia rilevata da AVG è abbastanza generica e viene rilevata all'interno di un file temporaneo.
Mi auguro tu stia facendo le scansioni in sequenza (una dietro l'altra) e non in contemporanea (non si guadagna tempo, anzi).

MBAM sembra non aver rilevato nulla.

Aspetto di vedere il log di SystemScan.

[yes_wecan]

Non riesco ad utilizzare systemscan: sia che provo a farlo partire normalemnte ( con doppio click) sia da admin non si avvia e mi appare la finetsra di avg che mi mostra l'infezione da virus che ho postato in precedenza. ho provato anche a disattivare l'antivirus e poi aprire il programma ma nnt da fare.. aspetto disposizioni grazie

**edit**

aggiungo che da stamattina il pc sembra essersi "schiodato" solo aprendo programmi un po' pesantucci subisce rallentamenti..
La scansione di Superantispyware serve ancora o visto che abbiamo scoperto che è un trojan posso evitare di farla??

[yes_wecan]

Due notizie una buona e una cattiva

La buona: ho fatto la scansione con systemscan avviando in modalità provvisoria.. qui il log report.txt

La cattiva: il pc è tornato lentissimo e ora comincia anche a spegnersi da solo

[R16]

Ciao.
Due notizie, una buona, e una cattiva .
La buona notizia, è che è stato individuato dove nasce il problema:
MBR infetto.
La cattiva, è che su un S.O a 64 bit, non esiste un tool che lo ripristini.
Ma forse bdoriano, riesce a levare il classico "coniglio dal cilindro".
Penso che servirà il CD o DVD di Windows.
Ciao.

[yes_wecan]

ciao R16

Innanzitutto grazie per la bella notizia.
cosa sarebbe mbr?? e come si è infettato?? perchè sono due giorni che penso a cosa ho fatto con il pc per beccarmi il virus ma nn mi viene in mente niente: non ho ne "scaricato" ne usato internet ne installato programmi, semplicemente di sera ho spento il pc e la mattina seguente ho trovato alla riaccensione la brutta notizia

[R16]

Ecco una spiegazione di cos'è e a cosa serve L'MBR. (Master Boot Record)
link

Non è necessario scaricare qualcosa per essere infettati.
Lo si può prendere anche semplicemente visitando un sito infetto. (e magari, i titolari, del sito, manco lo sanno)
Però trovo un pò strano, che con il S.O che hai, tu abbia preso questo tipo di infezione.
Comunque, se sei in possesso del CD\DVD originale, non dovresti avere grossi problemi.
bdoriano ti indicherà come fare.
Ciao.

[bdoriano]

Chiedo scusa, mi ero perso di vista la discussione.

Hai il DVD di installazione di Windows 7?

In caso negativo, puoi scaricare l'immagine ISO del recovery disk di Windows 7 64 bit da questo link usando BitTorrent o similare.

Una volta scaricata l'immagine ISO, segui le indicazioni di questa guida per masterizzarla su CD.

Quando hai fatto il tutto, fai un fischio.

[yes_wecan]

Ecco ho masterizzato recovery disk su dvd.. cosa faccio ora?

[bdoriano]

Non mi sono dimenticato di te, aspetto solo di avere a disposizione un Windows 64bit per poterti guidare meglio.
Nel pomeriggio avrò a disposizione un portatile con tale sistema operativo. Ancora un attimo di pazienza.

[bdoriano]

Ok, eccomi qui.

• Inserisci il cd che hai creato nel lettore/masterizzatore e riavvia il pc.
  
• Entra nel BIOS e assicurati di aver impostato come prima periferica di avvio il lettore/masterizzatore CD/DVD.
  
• All'avvio del CD, ti verrà chiesto di premere un tasto per continuare...
  

  Citazione:

  Press any key to boot from CD or DVD...

  
  se non premi tasti, verrà nuovamente avviato il tuo sistema operativo
  
• Comparirà la scritta Windows is loading files....
  Attendi pazientemente
  
• Comparirà la finestra System Recovery Options dove potrai scegliere la lingua della tastiera da utilizzare:
  Select a keyboard input method:
  Ovviamente, imposta su Italian
  
• Clicca Next >
  
• Comparirà una nuova finestra di ricerca del sistema operativo Searching for Windows... per qualche secondo.
  Attendi pazientemente
  
• In un'altra finestra, troverai il seguente messaggio:
  

  Citazione:

  Use recovery tools that can help fix problems starting Windows. Select an operating system to repair. If your operating system isn't listed, click Load Drivers and then install drivers for your hard disks.

  
  Seleziona il tuo sistema operativo e clicca Next >
  
• A questo punto comparirà una nuova finestra con le seguenti opzioni:
  
  • Startup Repair
    Automatically fix problems that are preventing Windows from starting
    Esegue una scansione automatica per tentare di rilevare eventuali problemi e sistemarli.
    
  • System Restore
    Restore Windows to an earlier point in time
    Ripristina il sistema utilizzando un punto di ripristino precedente.
    
  • System Image Recovery
    Recover your computer using a system image you created earlier
    Ripristina il sistema utilizzando un'immagine di sistema creata precedentemente.
    
  • Windows Memory Diagnostic
    Check your computer for memory hardware errors
    Esegue un controllo della memoria RAM.
    
  • Command Prompt
    Open a command prompt window
    Apre una finestra DOS dove poter esegure diversi comandi.
  
  e 2 bottoni:
  
  • Shutdown (Spegni)
    
  • Restart (Riavvia)
  
  
• clicca su Command Prompt, ti si apre una finestra DOS
  
• Nella finestra DOS, digita il seguente comando:
  

  Citazione:

  bootrec /fixmbr

  
  
• fatto questo, digita exit per chiudere la finestra DOS
  
• clicca su Restart per riavviare il pc.
  
• posta un log aggiornato di SystemScan

[yes_wecan]

Ciao bdoriano. ti ringrazio tantissimo per il tuo interessamento ma purtroppo, come forse hai dedotto dal fatto k non ti ho risposto, ho avuto grossi problemi con il pc.. non so se riguardasse l'MBR infetto o qualcos'altro, fatto sta che il pc non si avviava più e neanke il dvd di windows partiva (si bloccava sul logo windows con la scritta sotto: windows is starting e non si muoveva più).. ho dovuto collegare l'hard disk al pc di un mio amico per formattarlo poichè non riucivo nenche ad accedere al prompt.. alla fine dopo la formattazione e l'installazione di seven sembra essere tutto a posto..

ti chiedo ancora scusa per averti creato problemi con il mio maledetto 64-bit.

Grazie anche a tutto il forum perchè si è interessato del mio problema. come sempre siete UTILISSIMI!!!

[bdoriano]

Mi dispiace che tu abbia dovuto utilizzare mezzi drastici.
In ogni caso, se ti servono indicazioni per configurare al meglio il pc, fai un fischio.

[yes_wecan]

Grazie mille bdoriano.. come sempre sei stato gentilissimo

Ho una sola domanda: secondo te un buon antivirus per un 64-bit quale può essere? possibilmete che dia anche una sorta di sicurezza su interent perchè dopo aver preso quell'infezione vorrei evitare di ricadere nella trappola XD
Io avevo pensato ad AVAST 5

[bdoriano]

Io, tra quelli gratuiti, preferisco Avira.
Oltre all'antivirus, devi assicurarti di avere tutti i software di navigazione aggiornati (soprattutto Java) per evitare di ricadere nello stesso problema.

Puoi affiancare all'antivirus un buon antispyware in tempo reale come Spyware Terminator. Spybot e SpywareBlaster con la loro immunizzazione possono aiutarti a "limitare" i siti malevoli accessibili dal tuo pc.

Inoltre, anche un buon firewall come Comodo Personal Firewall può essere d'aiuto.

***********

Qualche indicazione pratica.

Installa la versione aggiornata di Adobe FlashPlayer:

1. Scarica il programma di disinstallazione di FlashPlayer
   
2. Scarica l'ultima versione di FlashPlayer per IE
   
3. Scarica l'ultima versione di FlashPlayer non per IE
   
4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
   
5. Esegui il programma di disinstallazione scaricato al punto 1.
   
6. Esegui il programma di installazione scaricato al punto 2.
   
7. Esegui il programma di installazione scaricato al punto 3.

Da questa pagina scarica l'ultima versione di Java Offline e installala.

Per quanto riguarda la lettura dei files PDF, installa un lettore PDF alternativo al classico Adobe Reader (PDF X-Change Viewer o SumatraPDF).