Olimpo Informatico

[eins]

Ho WinXP PRO SP3 aggiornato. Posto in questa area perché sospetto la presenza di malware sulla base comportamenti anomali:


1) nella lista dei miei programmi istallati è presente ZoneAlarm (che avevo istallato io in precedenza), ma che ora non riesco a disitallare neanche con ccleaner (mi dice che non ho diritti sufficienti, nonostante usi un account amministratore);

2) ho passato vari antivirus (avira residente ed altri live da CD), ma nessuno trova niente, salvo MalwareBytes che si arresta inspiegabilmente dopo circa 20 minuti di scansione e dà una schermata tutta nera che mi costringe al riavvio;

3) nonostante siano da sempre aperte le apposite porte del router, emule risulta accecato (in precedenza non era così).


Ho anche staccato fisicamente il disco (due partizioni, programmi e dati) e l'ho collegato ad altro PC per scannerizzarlo dall'esterno, ma anche lì riusulta tutto ok. Da dove mi conviene partire per analizzare meglio la situazione? Un grazie anticipato a tutto il forum.

[Luko]

Ciao eins

Beh, direi che hai fatto quasi tutte le scansioni esistenti, ma prova a seguire queste indicazioni e rifai le scansioni che hai già fatto e postane i risultati come descritto fra poco.
Zone Alarm che non si disinstalla potrebbe anche essere "normale", ora lo forziamo un po'.
Di Emule con ID Basso ne parliamo più tardi.
MBAM potrebbe essere installato male o essere corrotto (magari lo hai scaricato da qualche sito poco attendibile).

Se i sintomi sono questi potresti anche non essere infetto, ma per scrupolo facciamo un controllo.

Prima di cominciare scarica MBAM, disinstalla quello che hai sul pc ed installa quello appena scaricato.

Disinstallare Zone Alarm

• Procurati la versione più aggiornata di Zone Alarm ed installala nella cartella di default (C:\Programmi\ZoneAlarm)
  
• Elimina l'avvio di ZoneAlarm dall'esecuzione automatica e riavvia il PC. Utilizza msconfig oppure Ccleaner.
  
• Una volta riavviato il pc controlla che la chiave di registro "ZoneAlarm Client"="\"C:\Programmi\ZoneAlarm\zlclient.exe\" che si trova in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (utilizza regedit). Se la chiave è presente cancellala e riavvia il computer.
  
• Vai su Start ---> Esegui ---> "C:\Programmi\ZoneAlarm\zauninst.exe " /clean /rmlicense
  Partirà una disinstallazione.
  
• Dopo aver riavviato ancora il pc cerca le seguenti cartelle ed eliminale:
  
  • C:\Programmi\Zonealarm
    
  • Windows\system32\ZoneLabs
    
  • Windows\Internet Logs

___________
Controllo antivirus.


Hai un pc HP o Packard Bell?
Hai un sistema a 32 bit o a 64 bit?

N.B: Esegui queste procedure una alla volta seguendo questo ordine

• Disattiva il ripristino configurazione di sistema,
  http://forum.zeusnews.com/viewtopic.php?t=22084
  
  
• Pulisci i files temporanei con CCleaner (registro compreso)
  http://forum.zeusnews.com/viewtopic.php?p=282670#282670
  
  
• Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
  C:\Windows\Prefetch
  
  
• Segui le istruzioni di questo topic per eliminare gli ADS:
  http://forum.zeusnews.com/viewtopic.php?t=45223
  
  
• Scarica e installa la versione Free di SuperAntispyware:
  linklo configuri come da immagini :
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  Aggiornalo ed esegui una scansione completa ed elimina quello che è stato trovato.
  
  
• Segui le istruzioni di questo topic per usare MBAM prima in normale e poi in provvisoria se non dovesse partire :
  http://forum.zeusnews.com/viewtopic.php?p=297823#297823
  Aggiornalo ed esegui una scansione completa, elimina gli eventuali file infetti trovati.
  
  
• Segui le istruzioni di questo topic per postare un log di Hijackthis:
  http://forum.zeusnews.com/viewtopic.php?p=194964#194964
  
  
  
• Carica i log di SuperAntispyware, Mbam, Hijackthis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
  link

[R16]

Ciao Luko.
Forse il nostro amico potrebbe provare a disistallare Z.A con questo tool.
Zone Alarm Removal Tool
link

[Luko]

Non lo conoscevo
Certo, penso anche io che quel tool sia la strada migliore.

[eins]

Grazie ad entrambi, molto gentili e preziosi. Ho scaricato una nuova versione di ZoneAlarm ma non me la fa istallare (dice che non ho diritti sufficienti, e anche questo è strano). La chiave di registro c'era e non si faceva cancellare, fortunatamente è stato tutto ripulito dal tool di rimozione di ZA stesso che mi avete consigliato.

Avevo comunque fatto anche prima di scrivere una bella pulizia generale (vuotata cartella prefetch, pulito tutto con ccleaner, disistallato e reistallato tutti gli antivirus compreso Avira Malwarebutes e Superantispyware, verificato che fosse e rimanesse disabilitato il ripristino automatico di sistema). Però dopo la rimozione di ZA mi sembra che la situazione sia migliorata.

E' secondo voi possibile che un virus si camuffi da programma? Tenete presente che avevo avuto una infezione di Bagle tre mesi fa, che ho risolto da solo staccando il disco e mettendolo come esterno in un altro computer con Linux, che ha rilevato e rimosso tutto. Dopo avevo anche passato più volte combofix.

Se permette guardo se rimane stabile per qualche giorno, altrimenti farei tutti i test gentilmente consigliatimi da Luko, postando i relativi report. Per ora un grazie a tutti e molti auguri di buone feste.

[Luko]

Se il tool ha rimosso ZA non credo che fosse un virus
Si, non è affatto strano che un virus si camuffi da programma (o addirittura da antivirus).
Io ti consiglio di eseguire le scansioni che ti ho proposto e poi di continuare con delle scansioni specifiche per Bagle. (che ti posterò dopo)

La scelta è tua


P.S: Che antivirus hai usato su Linux per fare la scansione del disco? Che distro hai usato?