Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Una collezione di virus [RISOLTO]
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 17 Lug 2012 19:25    Oggetto: Una collezione di virus [RISOLTO] Rispondi citando

Ciao, dopo aver riparato il computer di un amico (win xp professional service pack 3),
lo ho acceso e ho subito notato una certa lentezza,
il firewall di windows disabilitato, AVG pure disabilitato e non aggiornabile.
Ho provato a fare un po' di pulizia con un antivirus su rescue-cd che ha trovato e ripulito questi:
NaviPromo.aa NaviPromo.af Exploit_c.nyb HackTool.nuu Generic2.bbug Vb.iqa Clicker.zyr Installer.exe
Treebus.exe Svcnost.exe Psw.sinowal.c.boot
Credendo di avere risolto, ho installato Avira, pero' non mi convince:
è ancora lento e non mi lascia riabilitare il firewall.
Non vorrei formattare per paura di perdere i programmi installati.
Potreste controllarmi i log di OTL ?

_OTL.zip
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 17 Lug 2012 19:36    Oggetto: Rispondi citando

Ciao.
Il pc è sicuramente ancora infetto.
E sospetto un'infezione al MBR.

Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.

Ti consiglio di fare una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix: ( e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 17 Lug 2012 22:03    Oggetto: Rispondi citando

Grazie sei velocissimo, ecco i due log:

TDSSKiller_ComboFix.zip
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 18 Lug 2012 17:40    Oggetto: Rispondi citando

Ciao Renzo(ita).
Rifai la scansione con TDSSKiller.
Quando trova queste voci:
Citazione:
\Device\Harddisk0\DR0\#
\Device\Harddisk0\DR0

Clicca sul pulsante "Delete".
Poi rifai la scansione e posta il log.

Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt


Codice:
KillAll::

Driver::
wscServer
xpsec

File::
C:\avg_remover_stf_x86_2012_2125.exe

Folder::
c:\documents and settings\All Users\Dati applicazioni\Avg7
c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Softonic-IT
c:\windows\003102_.tmp

NetSvcs::
wscServer

DDS::
mStart Page = hxxp://home.sweetim.com


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 18 Lug 2012 23:21    Oggetto: Rispondi citando

Ciao, eccomi, però ho un problema:

Citazione:
Quando trova queste voci:
Citazione:
\Device\Harddisk0\DR0\#
\Device\Harddisk0\DR0

Possibile che io non riesca a vedere queste voci? Le vedo solo nel log Embarassed
Ho copiato le immagini in un file di WordPad, puoi indicarmi dove cercare?
RisultatoTDSS.zip

Intanto ecco i nuovi:
TDSSKiller_ComboFix.zip
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 19 Lug 2012 16:41    Oggetto: Rispondi citando

Ciao Renzo.
Citazione:
Possibile che io non riesca a vedere queste voci? Le vedo solo nel log

Non ci sono nemmeno nell'ultimo log che hai postato.
Significa che TDSSKiller le ha copiate in quarantena,e non si sono rigenerate.
Per quello ti fatto fare una seconda scansione con TDSSKiller.
Meglio così.
Il pc dovrebbe essersi velocizzato.
In ogni caso facciamo un ultimo controllo al MBR:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 19 Lug 2012 21:13    Oggetto: Rispondi citando

Grazie R16, sei un mago Very Happy

Ecco il log:

aswMBR.txt

Adesso il computer sembra funzionare normalmente, riesce anche a fare gli aggiornamenti.

Se mi dai il permesso, installo un firewall e lo restituisco al mio amico.
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 20 Lug 2012 12:58    Oggetto: Rispondi citando

Ciao Renzo.
C'è un "rimasuglio" del rootkit nel settore esterno del MBR.
Citazione:
Disk 0 malicious Win32:MBRoot code @ sector 160055598 !

Per eliminarlo, dovrei farti usare un software piuttosto pericoloso, in quanto, se commetti uno sbaglio, hai fottuto il pc.
Quindi, essendo un rimasuglio, non attivo, e non pericoloso, direi di lasciare perdere.

Fai le solite pulizie:
Apri OTL e clicca su Cleanup.
Si disistallerà TDSSKiller, Combofix, e lo stesso OTL.
Ti chiederà di riavviale il pc. (acconsenti)
Elimina anche aswMBR dal desktop.

Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Svuota il cestino.

Riattiva il ripristino configurazione di sistema.

Installa un firewall, e restituisci il "macinino" all'amico.

Ciao!
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 23 Lug 2012 17:11    Oggetto: Rispondi citando

Sono di nuovo in difficoltà: ho scaricato alcuni aggiornamenti di windows poi ho cliccato su start
e su installa aggiornamenti e spegni, è apparso il solito messaggio di non spegnere il computer
perché si spegne da solo, però si è bloccato in quella schermata, il router ha cominciato a lampeggiare
come quando si scarica un file e non si fermava più.
Allora ho staccato il cavo di rete e a quel punto il computer si è spento.
Ho riavviato, ho lanciato una scansione con Avira che ha trovato un sacco di roba,
come se durante il precedente spegnimento ci fosse una calamita per i virus.
Questa volta ho riavviato in modalità provvisoria e ho fatto queste scansioni:
aswMBR, Malwarebytes Anti-Malware, SUPERAntiSpyware.
Allego i log nella speranza che ci si possa capire qualcosa.
Posso ancora sperare? Confused

Log_vari.zip
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 23 Lug 2012 17:39    Oggetto: Rispondi citando

Perchè si è "intrufolato" un account esterno, che ti infettando il pc di continuo.
Mi serve per una conferma questa cansione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Citazione:
Posso ancora sperare?

Non ti preoccupare ,che il pc te lo sistemo. (se hai un pò di pazienza)
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 23 Lug 2012 19:53    Oggetto: Rispondi citando

Eccomi con il log:

23_07_2012_20_41_report.zip

spero di aver fatto tutto giusto Wink
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 23 Lug 2012 20:29    Oggetto: Rispondi citando

Ciao.
Li conosci tutti questi Account?
Citazione:
Yes | Administrator
Yes | ANNA
| ASPNET
Yes | Aury
| Guest (Disabled)
Yes | HelpAssistant (Disabled)
Yes | PCHOME
| SUPPORT_388945a0 (Disabled)

Per entrare nella lista degli account:
Start\Esegui copia incolla questo comando:
control userpasswords2
E clicca ok
Seleziona HelpAssistant e clicca Rimuovi
Poi:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.

Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori.

Poi, esegui la stessa operazione con gli altri account che non conosci.

[b]Non eliminare questi account:[/b]

Administrator
ASPNET
Guest


Un'altro account sospetto è questo:
SUPPORT_388945a0
Se non lo conosci segui la stessa procedura di HelpAssistant
E anche questo:
PCHOME
Ovviamente se li conosci non eliminarli.

Poi:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

N.B: (Prima di eseguire Combofix)
Devi seguire questi percorsi, ed eliminare le cartelle HelpAssistant

C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini
C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\Shadow Ops_ Red Mercury Registration.lnk
C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\Utilità controllo supporti di Picture Motion Browser.lnk

TUTTE QUELLE CHE TROVI

Svuota il cestino.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 23 Lug 2012 23:09    Oggetto: Rispondi citando

Ciao, gli utenti HelpAssistant, Guest, SUPPORT_388945a0 erano già disabilitati.
Con il comando control userpasswords2 non vedo gli utenti disabilitati, devo riabilitarli per rimuoverli?
Intanto ho provato a toglierli dal gruppo administrator e ho cambiato le password agli altri utenti.
Rimuovendo un utente "buono" si perdono i file salvati nei suoi documenti e nel suo desktop vero?
Prima di cancellare un utente cerco di spostare nell'altra partizione tutto quello che trovo di immagini e file di testo.
Devo capire chi è PCHOME, ANNA e Aury dovrebbero andare bene.
Ho caricato l'immagine delle due schermate se vuoi controllare:

Utenti.zip
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 24 Lug 2012 17:11    Oggetto: Rispondi citando

Citazione:
Con il comando control userpasswords2 non vedo gli utenti disabilitati, devo riabilitarli per rimuoverli?

No, è sufficiente che li togli dal gruppo administrator.
Posso solo dirti, che è l'account HelpAssistant che di solito replica file e cartelle di Windows, (legittimi) fino a saturare il pc.
E' per quello che è lento.
Hai eliminato TUTTE le cartelle HelpAssistant che hai trovato?
Al limite fai un "Cerca" con windows e digita HelpAssistant ed elimina TUTTE le cartelle che trova.
Citazione:
Devo capire chi è PCHOME

A me "puzza" da morire.....
Ma sei tu che devi sapere cos'è.
Per aiutarti un pochino, guarda nel log di Systemscan, sotto la sezione NTFS ADS e trovi molti riferimenti: (Oltre a molti HelpAssistant)
Citazione:
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta eliminata\75A17524-00000001.eml:OEStandardProperty 1374 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\515324E2-00000003.eml:OEStandardProperty 1374 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\5F901649-00000001.eml:OEStandardProperty 1498 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\6DF15AF1-00000002.eml:OEStandardProperty 1622 bytes


Citazione:
Rimuovendo un utente "buono" si perdono i file salvati nei suoi documenti e nel suo desktop vero?

Non rimuovere un utente "buono" Razz

Mi manca il log di Combofix come richiesto.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 24 Lug 2012 20:08    Oggetto: Rispondi citando

Ciao, hai perfettamente ragione, PCHOME è sicuramente il colpevole di tutti i guai di questo povero pc.
Sul suo desktop ho trovato delle foto, dei filmati, delle canzoni e dei file di testo che sono certamente della famiglia del mio amico, però sono doppioni.
Comunque salvo tutto nella partizione E:\ poi riavvio come admin e lo cancello questo maledetto utente.
Appena posso ti posto il log Smile
Top
Profilo Invia messaggio privato HomePage
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 25 Lug 2012 00:08    Oggetto: Rispondi citando

Ecco il log di ComboFix:

ComboFix.txt

è tardissimo, buonanotte Smile
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 25 Lug 2012 16:39    Oggetto: Rispondi citando

Il log di Combofix non è male.
Dimmi quali problemi riscontri, e posta un nuovo log di Systemscan.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 25 Lug 2012 19:51    Oggetto: Rispondi citando

Ecco il log:

25_07_2012_20_09_report.zip

Diciamo che la velocità del computer mi sembra in regola, considerando l'ardware Wink
circa due minuti per essere usabile e rapido nella risposta ai comandi,
sembra che la scheda video abbia dei problemi di driver perché si vedono delle righe di colore nelle schermate bianche.
Non ho usato nessuno dei programmi installati, aspetto il tuo permesso.

Mi è rimasta una cartella che non riesco a cancellare da windows in modalità normale:
c:\Documents and Settings\PCHOME\Impostazioni locali\Temp\CarryItEasy\Images

Ho impostato così gli account rimasti:

Administrator Nessuna scadenza password (Metterò una passw buona prima di connettermi a internet)
ASPNET Users Modifica password non consentita Nessuna scadenza password
ANNA Power User Nessuna scadenza password Con passw buona
Aury Power User Nessuna scadenza password Con passw buona
Guest Guests Modifica password non consentita Nessuna scadenza password Account disabilitato

vanno bene?
Top
Profilo Invia messaggio privato HomePage
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 21:58
Messaggi: 10121

MessaggioInviato: 25 Lug 2012 20:00    Oggetto: Rispondi citando

Citazione:
Mi è rimasta una cartella che non riesco a cancellare da windows in modalità normale:
c:\Documents and Settings\PCHOME\Impostazioni locali\Temp\CarryItEasy\Images

Hai provato in Modalità provvisoria?

Citazione:
circa due minuti per essere usabile e rapido nella risposta ai comandi,

Non è male.
Si potrebbe velocizzarlo ulteriormente all'avvio, togliendo alcuni programmi inutili.
Per questa operazione serve un log di hijackthis. (se vuoi farla)

Sei in grado di seguire questi percorsi del registro ed eliminare le cartelle in rosso?

HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7Alrt
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7Core
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7RsW
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7RsXP
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7UpdSvc
HKEY_LOCAL_MACHINE\system\controlset001\services\AvgClean
HKEY_LOCAL_MACHINE\system\controlset001\services\xcpip
HKEY_LOCAL_MACHINE\system\controlset001\services\xpsec
Citazione:
Ho impostato così gli account rimasti:

Vanno benissimo.
Top
Profilo Invia messaggio privato
Renzo(ita)
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 21/09/08 12:04
Messaggi: 158
Residenza: Modena

MessaggioInviato: 25 Lug 2012 22:39    Oggetto: Rispondi

Ho eliminato dal registro di win tutte le voci che avevi elencato.

L'ultima cartella PCHOME era bloccata anche in modalità provvisoria
perciò ho usato un live cd.

Appena riesco posto il log di hijackthis

Buonanotte
Top
Profilo Invia messaggio privato HomePage
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi