Olimpo Informatico

[senzalimiti]

Salve a tutti, ho trovato il vostro forum dopo aver avuto un problema al pc e mi sembra siate molto esaurienti, preparati e disponibili.

Prima di aprire questo thread ho fatto un “cerca” all’interno del vostro forum ed ho trovato alcune spiegazioni ed istruzioni per debellare il problema (ma invano) che ora passo ad illustrarvi.
Ieri pomeriggio, vado per aprire NeroSmartSmart ed il programma mi dà il seguente errore “Impossibile accedere alla periferica, al percorso o al file specificato. E’ probabile che non si disponga delle autorizzazioni necessarie.” Parto dal presupposto che io sono l’unico utente del pc, dunque ho poteri illimitati essendo l’amministratore e poi, ho sempre usato quest’applicazione per masterizzare. Comunque, credevo fosse un problema transitorio, dunque ho provato a riavviare il pc ma nulla. Mi sono accorto, navigando sul web (con Firefox Mozilla), che quando eseguo ricerche online molto spesso mi apre altri siti estranei come ad esempio: pubblicità di suonerie, di film, di antivirus poi siti stranieri, ecc. Ho aperto Avira ho mandato una scansione ma tempo 5 minuti si è chiuso da solo impallandosi. Ho scaricato Malwarebytes e, dopo averlo installato, l’ho lanciato ma tempo due secondi e si è chiuso da solo. Ho provato a riaprirlo ma dà nuovamente il seguente errore: “Impossibile accedere alla periferica, al percorso o al file specificato. E’ probabile che non si disponga delle autorizzazioni necessarie.” Stessa cosa con Hijackthis. Sono riuscito a fare una scansione con MalwareBytes (in modalità provvisoria), ecco il log:

- mbam-log-2011-11-06 (23-10-38).txt

Dunque (essendomi preoccupato, visti i risultato del log visto che si parla di Trojan e backdoor) mi sono informato online ed ho trovato questo post sul vostro forum clicca qui!

Ho eseguito la reply n° 4 dell’utente Riverside il quale ha aggiunto questi passi: SuperAntispyware Free Edition, MalwareBytes, CCleaner e Hijackthis (ovviamente solo in modalità provvisoria, altrimenti non me li apre).

Ecco i log:

- mbam-log-2011-11-07 (13-30-22).txt

- hijackthis.log

Inoltre, quando riavvio il pc per passare in modalità SAFEBOOT, nella schermata iniziale mi chiede di accedere come utente OEM (io) oppure Administrator con password. Eppure io, dovrei essere amministratore!
Utilizzo Microsoft Windows XP Professional Versione 2002 con Service Pack 3. Il pc ha pochi mesi e fino a ieri non mi ha dato problemi. Aggiungo anche che tra il “Task Manager Windows” noto un .exe sospetto, chiamato 468779242:369037028.exe

Vi chiedo aiuto al riguardo, visto che temo si possano infiltrare persone nel pc ed anche perché vorrei salvare tutti i dati. Grazie mille anticipatamente!

Ps, non ho trovato la sezione "bevenuti" quindi scusate se non mi sono presentato

[menatwork]

ciao

da quello che ho visto in malwarebytes sei infettato dal rootkit zero access, c'e' il servizio eliminato per fortuna

per l'altro problema l'infezione molto probabilmente ti ha fatto saltare l'associazione dei file, lo controlliamo dopo


esegui queste scansioni nell'ordine in cui te le indico

scarica questo tool sul desktop eseguilo e digita la lettera Y attendi la fine della scansione e rieseguilo di nuovo, posta i due log


scarica TDSSKiller sul desktop ed estrai il contenuto

Start > Esegui > copia/incolla il seguente comando e dai OK.

"%userprofile%\Desktop\TDSSKiller.exe"

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo e allegalo


scarica combofix sul desktop
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:


"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt copia e posta il contenuto del file o allegalo.

Allega i rapporti a un server

[senzalimiti]

Ciao, grazie tante per la risposta.

Ti riporto i varii log da te richiesti:

- AntiZeroAccess AntiZeroAccess_Log.txt

- TDSSKiller TDSSKiller.2.6.16.0_07.11.2011_19.45.23_log.txt

- Combofix ComboFix.txt

ovviamente eseguiti in modalità provvisoria. Navingando un attimo sul web noto che non si aprono più quelle pagine di pubblicità o siti esteri.

Aspetto altre tue indicazioni, grazie ancora.

[menatwork]

disattiva il ripristino e rieseguimi tds killer

[senzalimiti]

scusa l'ignoranza menatwork, potresti spiegarmi brevemente come si disattiva il ripristino?

[menatwork]

tu hai windows xp

Attivazione e disattivazione di Ripristino configurazione di sistema in Windows XP

[R16]

@senzalimiti:
Per il momento non disattivarlo.
Esegui tds killer come consigliato.

@menatwork
PM.

[senzalimiti]

Grazie R16 non ho disattivato il riprisitino, quindi.

Vi riporto il log di TDSSKiller:

- TDSSKiller.2.6.16.0_07.11.2011_21.13.05_log.txt

[menatwork]

ci sono ancora delle infezioni da eliminare, nel frattempo vai qui e analizza il file in rosso

c:\documents and settings\LocalService\Dati applicazioni\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

ora apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:

[senzalimiti]

Il responso di VirusTotal (dimmi se ho eseguito bene questo passo):

[menatwork]

come prima

apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:

[senzalimiti]

ecco il nuovo log di ComboFix:

- log.txt

mentre:

c:\documents and settings\OEM\Impostazioni locali\Dati applicazioni\PowerDVDCox

c:\documents and settings\OEM\Impostazioni locali\Dati applicazioni\PowerDVDCinema

li ho già trovati installati quando circa 6 mesi fà, feci formattare il pc al negozio.

[menatwork]

scarica e installa ccleaner
Importante:
In fase d’installazione togli la spunta altrimenti viene installata Yahoo Tollbar.
Avvialo e clicca su:
- Opzioni Avanzate
Togli la spunta da:
- Elimina file solo se più vecchi di 48 ore
Clicca i tasti:
- Pulizia (il primo in alto a Sinistra)
- Analizza ( Pulsante in basso Centrale)
- Avvia Pulizia (Pulsante in basso a Destra)

Correzione errori File di Registro
CCleaner
Clicca i tasti:
- Registro (Secondo tasto in alto a Sinistra)
- Trova Problemi (Pulsante in basso Centrale)
- Ripara selezionati Pulsante in basso a Destra
- alla domanda:
- Vuoi eseguire il Backup delle modifiche del Registro”
- clicca:
- SI




- ScaricaATF-Cleaner
(Non richiede installazione)
Spunta la voce:
- Select all
Premi il tasto:
- Empty Select

rimuovi la cartella qoobox con Inherit

mettilo nella stessa directory della cartella BackEnv e poi trascina la stessa cartella sull'icona di inherinit.Aspetta la scritta OK.


Scarica e installa malwarebytes

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

controlla anche questa cartella, vedi cosa contiene

c:\documents and settings\OEM\Dati applicazioni\Eneqepz


fai anche una scansione completa con avira, dovrebbe rilevarti una chiave da eliminare

[senzalimiti]

Questo è il risultato di VirusTotal della cartella c:\documents and settings\OEM\Dati applicazioni\Eneqepz:

[menatwork]

riesegui malwarebytes aggiornalo siamo alla versione 8110 la tua e' la 7622

si devi eliminare la cartella qoobox

rimuovi avira con questo tool e reinstallalo pulito

aggiornalo e fai una scansione completa

[senzalimiti]

Ciao, ho eseguito l'aggornamento di Malawarebytes in modalità normale ed è andato a buon fine quindi, sempre in modalità normale, ho fatto la scansione. Ecco il log:

- mbam-log-2011-11-08 (11-12-49).txt

Ho eliminato la cartella qoobox sia da C che dal cestino.

Ho povato ad utilizzare il tool di Avira ma non ne sono capace, potresti gentilmente illustrarmi come si usa? Grazie tante ancora

[menatwork]

Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati".

Prima di usare avira devi farmi questo controllo

Apri il registro -> start/esegui e scrivi nel box bianco regedit e dai ok

segui il percorso di questa chiave

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.cdrom

quando se su cdrom clicca col destro e scegli esporta

salva il file .reg sul desktop e inviamelo in un messaggio privato

[senzalimiti]

Ho rifatto la scansione con Malwarebytes visto che prima non avevo rimosso gli elementi, ora tutto ok. Ti ho mandato l'mp.

Aspetto altre tue ulteriori spiegazioni.

[menatwork]

bene

ora avvia il programma di disinstallazione avira, clicca su ''scan for keys'' e lancialo, eliminera' tutti i componenti

scarica avira da qui

aggiornalo e fai una scansione completa, dovrebbe trovare ed eliminare anche questa chiave e il suo valore, secondo me e' un'infezione

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\.cdrom]
"ImagePath"="\*"


Prima di eseguire avira esegui questo passaggio

scarica avenger sul desktop
link
Decomprimi l'archivio

Avvia il file avenger.exe

Copi e incolli nella finestra: "Imput script here" questo testo in rosso

folders to delete:
c:\documents and settings\OEM\Dati applicazioni\Eneqepz

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

[senzalimiti]

non mi fà togliere queste Key.

devo ugualmente fare il passo di "avenger.exe"?