Precedente :: Successivo |
Autore |
Messaggio |
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 17 Lug 2012 19:25 Oggetto: Una collezione di virus [RISOLTO] |
|
|
Ciao, dopo aver riparato il computer di un amico (win xp professional service pack 3),
lo ho acceso e ho subito notato una certa lentezza,
il firewall di windows disabilitato, AVG pure disabilitato e non aggiornabile.
Ho provato a fare un po' di pulizia con un antivirus su rescue-cd che ha trovato e ripulito questi:
NaviPromo.aa NaviPromo.af Exploit_c.nyb HackTool.nuu Generic2.bbug Vb.iqa Clicker.zyr Installer.exe
Treebus.exe Svcnost.exe Psw.sinowal.c.boot
Credendo di avere risolto, ho installato Avira, pero' non mi convince:
è ancora lento e non mi lascia riabilitare il firewall.
Non vorrei formattare per paura di perdere i programmi installati.
Potreste controllarmi i log di OTL ?
_OTL.zip |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 17 Lug 2012 19:36 Oggetto: |
|
|
Ciao.
Il pc è sicuramente ancora infetto.
E sospetto un'infezione al MBR.
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Clicca su "Change parameters"
Metti la spunta sulle caselline: verify driver digital singatures e poi Detect TDLFS file system .
Conferma cliccando OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Ti consiglio di fare una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix: ( e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 18 Lug 2012 17:40 Oggetto: |
|
|
Ciao Renzo(ita).
Rifai la scansione con TDSSKiller.
Quando trova queste voci:
Citazione: | \Device\Harddisk0\DR0\#
\Device\Harddisk0\DR0 |
Clicca sul pulsante "Delete".
Poi rifai la scansione e posta il log.
Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Codice: | KillAll::
Driver::
wscServer
xpsec
File::
C:\avg_remover_stf_x86_2012_2125.exe
Folder::
c:\documents and settings\All Users\Dati applicazioni\Avg7
c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Softonic-IT
c:\windows\003102_.tmp
NetSvcs::
wscServer
DDS::
mStart Page = hxxp://home.sweetim.com |
e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 18 Lug 2012 23:21 Oggetto: |
|
|
Ciao, eccomi, però ho un problema:
Citazione: | Quando trova queste voci:
Citazione:
\Device\Harddisk0\DR0\#
\Device\Harddisk0\DR0 |
Possibile che io non riesca a vedere queste voci? Le vedo solo nel log
Ho copiato le immagini in un file di WordPad, puoi indicarmi dove cercare?
RisultatoTDSS.zip
Intanto ecco i nuovi:
TDSSKiller_ComboFix.zip |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 19 Lug 2012 16:41 Oggetto: |
|
|
Ciao Renzo.
Citazione: | Possibile che io non riesca a vedere queste voci? Le vedo solo nel log |
Non ci sono nemmeno nell'ultimo log che hai postato.
Significa che TDSSKiller le ha copiate in quarantena,e non si sono rigenerate.
Per quello ti fatto fare una seconda scansione con TDSSKiller.
Meglio così.
Il pc dovrebbe essersi velocizzato.
In ogni caso facciamo un ultimo controllo al MBR:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 19 Lug 2012 21:13 Oggetto: |
|
|
Grazie R16, sei un mago
Ecco il log:
aswMBR.txt
Adesso il computer sembra funzionare normalmente, riesce anche a fare gli aggiornamenti.
Se mi dai il permesso, installo un firewall e lo restituisco al mio amico. |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 20 Lug 2012 12:58 Oggetto: |
|
|
Ciao Renzo.
C'è un "rimasuglio" del rootkit nel settore esterno del MBR.
Citazione: | Disk 0 malicious Win32:MBRoot code @ sector 160055598 ! |
Per eliminarlo, dovrei farti usare un software piuttosto pericoloso, in quanto, se commetti uno sbaglio, hai fottuto il pc.
Quindi, essendo un rimasuglio, non attivo, e non pericoloso, direi di lasciare perdere.
Fai le solite pulizie:
Apri OTL e clicca su Cleanup.
Si disistallerà TDSSKiller, Combofix, e lo stesso OTL.
Ti chiederà di riavviale il pc. (acconsenti)
Elimina anche aswMBR dal desktop.
Disattiva il ripristino configurazione di sistema:
http://forum.zeusnews.com/viewtopic.php?t=22084
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Svuota il cestino.
Riattiva il ripristino configurazione di sistema.
Installa un firewall, e restituisci il "macinino" all'amico.
Ciao! |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 23 Lug 2012 17:11 Oggetto: |
|
|
Sono di nuovo in difficoltà: ho scaricato alcuni aggiornamenti di windows poi ho cliccato su start
e su installa aggiornamenti e spegni, è apparso il solito messaggio di non spegnere il computer
perché si spegne da solo, però si è bloccato in quella schermata, il router ha cominciato a lampeggiare
come quando si scarica un file e non si fermava più.
Allora ho staccato il cavo di rete e a quel punto il computer si è spento.
Ho riavviato, ho lanciato una scansione con Avira che ha trovato un sacco di roba,
come se durante il precedente spegnimento ci fosse una calamita per i virus.
Questa volta ho riavviato in modalità provvisoria e ho fatto queste scansioni:
aswMBR, Malwarebytes Anti-Malware, SUPERAntiSpyware.
Allego i log nella speranza che ci si possa capire qualcosa.
Posso ancora sperare?
Log_vari.zip |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 23 Lug 2012 17:39 Oggetto: |
|
|
Perchè si è "intrufolato" un account esterno, che ti infettando il pc di continuo.
Mi serve per una conferma questa cansione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Citazione: | Posso ancora sperare? |
Non ti preoccupare ,che il pc te lo sistemo. (se hai un pò di pazienza) |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 23 Lug 2012 20:29 Oggetto: |
|
|
Ciao.
Li conosci tutti questi Account?
Citazione: | Yes | Administrator
Yes | ANNA
| ASPNET
Yes | Aury
| Guest (Disabled)
Yes | HelpAssistant (Disabled)
Yes | PCHOME
| SUPPORT_388945a0 (Disabled) |
Per entrare nella lista degli account:
Start\Esegui copia incolla questo comando:
control userpasswords2
E clicca ok
Seleziona HelpAssistant e clicca Rimuovi
Poi:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori.
Poi, esegui la stessa operazione con gli altri account che non conosci.
[b]Non eliminare questi account:[/b]
Administrator
ASPNET
Guest
Un'altro account sospetto è questo:
SUPPORT_388945a0
Se non lo conosci segui la stessa procedura di HelpAssistant
E anche questo:
PCHOME
Ovviamente se li conosci non eliminarli.
Poi:
Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer, e ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.
N.B: (Prima di eseguire Combofix)
Devi seguire questi percorsi, ed eliminare le cartelle HelpAssistant
C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\desktop.ini
C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\Shadow Ops_ Red Mercury Registration.lnk
C:\documents and settings\HelpAssistant\Menu Avvio\Programmi\Esecuzione automatica\Utilità controllo supporti di Picture Motion Browser.lnk
TUTTE QUELLE CHE TROVI
Svuota il cestino. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 23 Lug 2012 23:09 Oggetto: |
|
|
Ciao, gli utenti HelpAssistant, Guest, SUPPORT_388945a0 erano già disabilitati.
Con il comando control userpasswords2 non vedo gli utenti disabilitati, devo riabilitarli per rimuoverli?
Intanto ho provato a toglierli dal gruppo administrator e ho cambiato le password agli altri utenti.
Rimuovendo un utente "buono" si perdono i file salvati nei suoi documenti e nel suo desktop vero?
Prima di cancellare un utente cerco di spostare nell'altra partizione tutto quello che trovo di immagini e file di testo.
Devo capire chi è PCHOME, ANNA e Aury dovrebbero andare bene.
Ho caricato l'immagine delle due schermate se vuoi controllare:
Utenti.zip |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 24 Lug 2012 17:11 Oggetto: |
|
|
Citazione: | Con il comando control userpasswords2 non vedo gli utenti disabilitati, devo riabilitarli per rimuoverli? |
No, è sufficiente che li togli dal gruppo administrator.
Posso solo dirti, che è l'account HelpAssistant che di solito replica file e cartelle di Windows, (legittimi) fino a saturare il pc.
E' per quello che è lento.
Hai eliminato TUTTE le cartelle HelpAssistant che hai trovato?
Al limite fai un "Cerca" con windows e digita HelpAssistant ed elimina TUTTE le cartelle che trova.
Citazione: | Devo capire chi è PCHOME |
A me "puzza" da morire.....
Ma sei tu che devi sapere cos'è.
Per aiutarti un pochino, guarda nel log di Systemscan, sotto la sezione NTFS ADS e trovi molti riferimenti: (Oltre a molti HelpAssistant)
Citazione: | C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta eliminata\75A17524-00000001.eml:OEStandardProperty 1374 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\515324E2-00000003.eml:OEStandardProperty 1374 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\5F901649-00000001.eml:OEStandardProperty 1498 bytes
C:\Documents and Settings\PCHOME\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Mail\Hotmail (an 2a\Posta in arrivo\6DF15AF1-00000002.eml:OEStandardProperty 1622 bytes |
Citazione: | Rimuovendo un utente "buono" si perdono i file salvati nei suoi documenti e nel suo desktop vero? |
Non rimuovere un utente "buono"
Mi manca il log di Combofix come richiesto. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 24 Lug 2012 20:08 Oggetto: |
|
|
Ciao, hai perfettamente ragione, PCHOME è sicuramente il colpevole di tutti i guai di questo povero pc.
Sul suo desktop ho trovato delle foto, dei filmati, delle canzoni e dei file di testo che sono certamente della famiglia del mio amico, però sono doppioni.
Comunque salvo tutto nella partizione E:\ poi riavvio come admin e lo cancello questo maledetto utente.
Appena posso ti posto il log |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 25 Lug 2012 00:08 Oggetto: |
|
|
Ecco il log di ComboFix:
ComboFix.txt
è tardissimo, buonanotte |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 25 Lug 2012 16:39 Oggetto: |
|
|
Il log di Combofix non è male.
Dimmi quali problemi riscontri, e posta un nuovo log di Systemscan. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 25 Lug 2012 19:51 Oggetto: |
|
|
Ecco il log:
25_07_2012_20_09_report.zip
Diciamo che la velocità del computer mi sembra in regola, considerando l'ardware
circa due minuti per essere usabile e rapido nella risposta ai comandi,
sembra che la scheda video abbia dei problemi di driver perché si vedono delle righe di colore nelle schermate bianche.
Non ho usato nessuno dei programmi installati, aspetto il tuo permesso.
Mi è rimasta una cartella che non riesco a cancellare da windows in modalità normale:
c:\Documents and Settings\PCHOME\Impostazioni locali\Temp\CarryItEasy\Images
Ho impostato così gli account rimasti:
Administrator Nessuna scadenza password (Metterò una passw buona prima di connettermi a internet)
ASPNET Users Modifica password non consentita Nessuna scadenza password
ANNA Power User Nessuna scadenza password Con passw buona
Aury Power User Nessuna scadenza password Con passw buona
Guest Guests Modifica password non consentita Nessuna scadenza password Account disabilitato
vanno bene? |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10123
|
Inviato: 25 Lug 2012 20:00 Oggetto: |
|
|
Citazione: | Mi è rimasta una cartella che non riesco a cancellare da windows in modalità normale:
c:\Documents and Settings\PCHOME\Impostazioni locali\Temp\CarryItEasy\Images |
Hai provato in Modalità provvisoria?
Citazione: | circa due minuti per essere usabile e rapido nella risposta ai comandi, |
Non è male.
Si potrebbe velocizzarlo ulteriormente all'avvio, togliendo alcuni programmi inutili.
Per questa operazione serve un log di hijackthis. (se vuoi farla)
Sei in grado di seguire questi percorsi del registro ed eliminare le cartelle in rosso?
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7Alrt
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7Core
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7RsW
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7RsXP
HKEY_LOCAL_MACHINE\system\controlset001\services\Avg7UpdSvc
HKEY_LOCAL_MACHINE\system\controlset001\services\AvgClean
HKEY_LOCAL_MACHINE\system\controlset001\services\xcpip
HKEY_LOCAL_MACHINE\system\controlset001\services\xpsec
Citazione: | Ho impostato così gli account rimasti: |
Vanno benissimo. |
|
Top |
|
|
Renzo(ita) Eroe in grazia degli dei
Registrato: 21/09/08 12:04 Messaggi: 158 Residenza: Modena
|
Inviato: 25 Lug 2012 22:39 Oggetto: |
|
|
Ho eliminato dal registro di win tutte le voci che avevi elencato.
L'ultima cartella PCHOME era bloccata anche in modalità provvisoria
perciò ho usato un live cd.
Appena riesco posto il log di hijackthis
Buonanotte |
|
Top |
|
|
|