Olimpo Informatico

[goemon]

ciao a tutti.
Come descritto nell'oggetto, accendo il computer e improvvisamente è scomparso un anno intero di mail da Eudora...AVG imperturbabile...nessun problema.
Altri sintomi...computer lentissimo anche se la cpu non è impegnata.
E qui vado sul banale...VI PREGO AIUTATEMI!

[bdoriano]

Prima di tutto, ti conviene fare un backup completo (non si sa mai).
Per quanto riguarda eudora, prova a chiedere in Software per internet.

Dopo il backup:

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Fai una scansione cone Norman Malware Cleaner.
  
  • Scarica il programma
    
  • Avvia il pc in modalità provvisoria.
    
  • Avvia Norman Malware Cleaner e fagli fare la scansione completa.
    
  • Alla fine della scansione viene generato un log sul desktop chiamato NFix_2008-MM-gg_hh-mm-ss.log.
  
  
• Riavvia il computer in modalità normale
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di Norman Malware Cleaner su FreeFileHosting come indicato qui e posta il link che ti viene assegnato
    
  • Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

[chemicalbit]

Che versione di Eudora?
Sistema operativo?

[goemon]

Il sistema operativo è winXP professional SP2.
La versione di eudora al momento non la so perchè non voglio minimamente aprirlo prima di aver finito la procedura di Bdoriano
Per le procedure nessun problema rilevato
Questo il link del norman
NFix_2008-05-08_13-17-49.log

sotto invece il log del combofix
ComboFix 08-05-07.2 - nadia 2008-05-08 17.07.16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.407 [GMT 2:00]
Eseguito da: C:\Documents and Settings\nadia\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programmi\alexa toolbar

.
((((((((((((((((((((((((( Files Creati Da 2008-04-08 al 2008-05-08 )))))))))))))))))))))))))))))))))))
.

2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-05-08 12:53 . 2003-06-25 12:26 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-05-08 12:53 . 2008-05-08 17:09 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-08 12:53 . 2008-05-08 12:53 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-08 12:53 . 2008-05-08 17:07 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG
2008-05-08 12:44 . 2008-05-08 12:44 <DIR> d-------- C:\Programmi\CCleaner
2008-05-07 11:35 . 2008-05-07 11:35 <DIR> d-------- C:\Programmi\Foxit Software
2008-05-07 11:23 . 2008-05-07 11:23 <DIR> d-------- C:\Documents and Settings\nadia\Dati applicazioni\Leadertech

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 10:48 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-07 16:17 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\pdf995
2008-05-06 14:59 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-05-05 16:18 --------- d-----w C:\Programmi\FlashFXP.v3.1.11.1070.BETA.WinAll-PH
2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-03-22 10:06 160,648 ----a-w C:\Documents and Settings\nadia\Dati applicazioni\GDIPFONTCACHEV1.DAT
2003-11-04 16:53 7,687,736 ----a-w C:\Programmi\Eudora_6.0.exe
2003-11-04 16:19 18,033,256 ----a-w C:\Programmi\AdbeRdr60_ita_full.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:39 15360]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 09:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-10-12 21:00 294912]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"StartLockspam"="C:\Programmi\Polesoft\Lockspam_Pro\Lockspam.exe" [2004-07-20 16:16 34816]
"StartOEhooker"="C:\Programmi\Polesoft\Lockspam_Pro\Addins\oehooker.exe" [2004-07-22 18:09 86016]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-15 09:52 579584]
"Adobe Photo Downloader"="C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:39 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-24 13:41 219136]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= C:\Programmi\Qualcomm\Eudora\EuShlExt.dll [2006-08-17 15:57 86016]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

[chemicalbit]

Avevi disattivato il ripristino di configurazione di sistema ed eseguito ATF-Cleaner o CCleaner (o entrambi) subito prima di fare la scansione con Norman malw. cl.?
non mi pare ....

Il log di combofix sei sicura che sia completo? A me sembra che sia solo la prima parte.

[goemon]

il ripristino mi sembrava di averlo disattivato...ho controllato e hai ovviamente ragione tu.
Evvai...rifaccio tutto e rispedisco.
Sempregrazie

PS rivolgiti al maschile per favore, il computer è della segretaria, nota navigatrice di siti porno:-)
PS PS adesso mi fucila

[bdoriano]

Hai provato a reinstallare Eudora?

[goemon]

Non ci ho provato minimamente a reinstallarlo ne ad aprirlo di nuovo.
Comunque ho ripetuto le procedure assicurandomi di aver disattivato il ripristino

ecco il file norman
NFix_2008-05-13_19-19-15.log

nota:riavviando il computer alla fine del combofix il computer torna con il disattiva ripristino di sistema NON checkato

di seguito il log di combofix

ComboFix 08-05-07.2 - nadia 2008-05-13 21.29.57.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.407 [GMT 2:00]
Eseguito da: C:\Documents and Settings\nadia\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-04-13 al 2008-05-13 )))))))))))))))))))))))))))))))))))
.

2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-05-08 12:53 . 2003-06-25 12:26 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-05-08 12:53 . 2008-05-13 21:31 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-05-08 12:53 . 2003-06-25 19:08 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-08 12:53 . 2008-05-08 12:53 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-08 12:53 . 2008-05-13 19:16 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG
2008-05-08 12:44 . 2008-05-08 12:44 <DIR> d-------- C:\Programmi\CCleaner
2008-05-07 11:35 . 2008-05-07 11:35 <DIR> d-------- C:\Programmi\Foxit Software
2008-05-07 11:23 . 2008-05-07 11:23 <DIR> d-------- C:\Documents and Settings\nadia\Dati applicazioni\Leadertech

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 10:48 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-07 16:17 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\pdf995
2008-05-06 14:59 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-05-05 16:18 --------- d-----w C:\Programmi\FlashFXP.v3.1.11.1070.BETA.WinAll-PH
2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-03-22 10:06 160,648 ----a-w C:\Documents and Settings\nadia\Dati applicazioni\GDIPFONTCACHEV1.DAT
2003-11-04 16:53 7,687,736 ----a-w C:\Programmi\Eudora_6.0.exe
2003-11-04 16:19 18,033,256 ----a-w C:\Programmi\AdbeRdr60_ita_full.exe
.

((((((((((((((((((((((((((((( snapshot@2008-05-08_17.12.09,64 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-08 15:00:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-13 19:27:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:39 15360]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 09:57 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-10-12 21:00 294912]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"StartLockspam"="C:\Programmi\Polesoft\Lockspam_Pro\Lockspam.exe" [2004-07-20 16:16 34816]
"StartOEhooker"="C:\Programmi\Polesoft\Lockspam_Pro\Addins\oehooker.exe" [2004-07-22 18:09 86016]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-15 09:52 579584]
"Adobe Photo Downloader"="C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:39 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-24 13:41 219136]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= C:\Programmi\Qualcomm\Eudora\EuShlExt.dll [2006-08-17 15:57 86016]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Polesoft\\Lockspam_Pro\\jre\\bin\\lockspam.exe"=
"C:\\Programmi\\Macromedia\\FreeHand MX\\FreeHand MX.exe"=
"C:\\Programmi\\FlashFXP\\FlashFXP.exe"= C:\\Programmi\\FlashFXP\\flashfxp.exe
"C:\\Programmi\\Grisoft\\AVG Free\\avginet.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=
"C:\\Programmi\\Macromedia\\Fireworks MX\\Fireworks.exe"=
"C:\\Programmi\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\Grisoft\\AVG Free\\avgcc.exe"=
"C:\\Programmi\\Grisoft\\AVG Free\\avgamsvr.exe"=
"C:\\Programmi\\FlashFXP.v3.1.11.1070.BETA.WinAll-PH\\FlashFXP.exe"=


.
Contenuto della cartella 'Scheduled Tasks'
"2008-04-25 15:16:07 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Programmi\TuneUp Utilities 2004\SystemOptimizer.exe
"2008-05-13 19:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-13 21:32:25
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-05-13 21.35.07
ComboFix-quarantined-files.txt 2008-05-13 19:35:04

10 Directory 27,211,739,136 byte disponibili
14 Directory 27,201,454,080 byte disponibili

99 --- E O F --- 2008-04-09 11:06:41

[bdoriano]

Norman ha riabilitato una chiave di registro che impedisce di avviare il regedit di windows.
Tra l'altro ha tentato di leggere alcuni allegati di eudora senza riuscirci.
Combofix non ha rilevato nulla. Sei riuscito a rientrare in Eudora?

Comunque, ti faccio cancellare i files che Norman non è riuscito ad analizzare (contengono dei virus).
Crea un file di testo con le seguenti istruzioni: