Olimpo Informatico

[unodipalermo]

Ultimamente anche quando sono collegato alla home page di Google mi spuntano degli alert di Avira su infezioni in C:\System Volume Information, che a volte riesco a cancellare, ma spesso la finestra sparisce prima di farmi scegliere un azione.

Il pc inoltre è diventato di una lentezza elefantiaca, nonostante abbia eseguito defrag con JKDefraf e usato CCleaner e altri programmi di manutenzione.

Il mio firewall è Sygate versione 5.5, il mio antivirus Avira Antivir.


Ecco gli ultimi alert di Avira:

[Anny]

ciao unodipalermo

[unodipalermo]

Ripristino disattivato, prefetch eliminati, ecco il report di Avira:

[Anny]

allora unodipalermo - per me ci sono ancora diversi problemi

1 - disinstalla da Installazione Applicazioni tutte le toolbar che vedi installate

2 - lancia Hijackhis metti il flag a queste voci e poi fixale

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programmi\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\Orbitdownloader\GrabPro.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programmi\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programmi\pdfforge Toolbar\pdfforgeToolbarIE.dll
O3 - Toolbar: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - (no file)
O4 - Startup: Collegamento a USB_Disk_Eject.exe.lnk = C:\Programmi senza installazione\USBDiskEjector1.1.2\USB_Disk_Eject.exe
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Admin-Marco\Dati applicazioni\Dropbox\bin\Dropbox.exe
O4 - Startup: MoRUN.net Sticker Lite.lnk = C:\Programmi\MoRUN.net\StickerLite\sticker.exe
O4 - Global Startup: Launchy.lnk = C:\Programmi\Launchy\Launchy.exe
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe

3 - scarica e salva sul desktop Norman Malware Cleaner - lo trovi qui
- disconnettiti da Internet
- lancia Norman e fai uno scan
- finito lo scan viene creato un report - salvalo

allega il report qui in questo modo

[unodipalermo]

Non vi sto a spiegare perchè, ma ho dovuto lanciarlo 3 volte, quindi vi allego 3 report. Uno è stato fermato a metà, il secondo come il primo è stato eseguito con il cavo ethernet collegato, il terzo staccando il cavo ethernet:

NFix_2010-02-04_22-27-00.log

NFix_2010-02-04_23-36-42.log

NFix_2010-02-05_16-17-24.log

[Anny]

ciao
hai disinstallato le toolbar e fixato le cose che ti avevo detto?

questo succede ancora?

[unodipalermo]

Si ho fixato quelle voci che mi avevi detto con HijackThis e ho disinstallato tutti i programmi che apparivano con la dicitura "Toolbar" con Revo Unistaller. FIn' ora non ho avuto altri alert, anche se il pc oggi era più lento di ieri.

[Anny]

facciamo un altro controllo

1 - disattiva Avira

2 – scarica sul desktop combofix

3 - disconnettiti da internet

4 – apri Esegui – per aprire usa la combinazione di tasti Win+R (logo bandierina+R)

5 - nello spazio bianco di Esegui copia e incolla – comprese le virgolette iniziali - questo comando

"%userprofile%\desktop\combofix.exe" /killall

6 - conferma con OK

combofix farà uno scan – tieni conto che può durare diversi minuti

durante lo scan non devi fare assolutamente niente con il pc

finito lo scan devi riavviare e poi allegare il report combofix.txt - che trovi in C:\combofix.txt

[unodipalermo]

Ho un problema...combofix mi richiede di terminare i processi legati all' antivirus prima di iniziare, però quando vado nel task manager mi dice (e questa è una novità perchè non ho mai avuto problemi a farlo) "impossibile portare a termine l' operazione: accesso negato".

[Anny]

[unodipalermo]

Ah ok...si l' avevo disattivato ma il messaggio di combofix mi ha fatto pensare che rilevasse il processo di Avira e volevo chiuderlo dal Task Manager. Invece è solo un pop up di avvertimento capito

[unodipalermo]

Ecco il log di combofix:

ComboFix.txt

[Anny]

allora unodipalermo il log è a posto
pubblica un nuovo log di hijackthis vediamo se è rimasto qualcosa da sistemare

[unodipalermo]

Eccolo:

hijackthis.log

[Anny]

bene bene - certo che ne hai di roba installata

per eliminare combofix - scarica sul desktp OTC by OldTimer - lo trovi qui
doppio clic sulla icona per lanciarlo - clicca su CleanUP
quando ha finito devi riavviare il pc

poi - fixa queste voci con hijackthis

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [POP Peeper] "C:\Programmi\POP Peeper\POPPeeper.exe" –min
O4 - HKCU\..\Run: [MoRUN.net Sticker Lite] C:\Programmi\MoRUN.net\StickerLite\sticker.exe
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Programmi\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - Global Startup: Launchy (2).lnk = C:\Programmi\Launchy\Launchy.exe

poi devi aggiornare questi programmi

1 - Adobe reader - quindi fai cosi
Start – tutti i Programmi – apri Adobe Reader – in alto nel menu clicca sul ? – scegli ricerca aggiornamenti e scarica gli aggiornamenti che ci sono da fare

2 - JavaSun – quindi fai cosi
accedi questa pagina – installa la nuova versione (in automatico vengono disinstallate le vecchie versioni dal pc) – ti dirà se vuoi installare anche la "toolbar di Google" – togli il flag e non la installare

3- Adobe Flash Player – quindi fai cosi
prima disinstalla – da Installazione Applicazioni – la versione installata sul pc
poi accedi a questa pagina – installa la nuova versione – qui devi togliere il flag a “installa la versione gratuita di McAfee Security Scan Plus (opzionale)” – per non installarlo

fatto tutto questo:

[unodipalermo]

Tutto fatto, ecco il log:
hijackthis.log

[Anny]

ciao unodipalermo
adesso devi fixare queste

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Admin-Marco\Dati applicazioni\Dropbox\bin\Dropbox.exe

se il pc non ha problemi sei a posto - fammi sapere

[unodipalermo]

Meglio di prima, grazie a tutti