Olimpo Informatico

[maxismakingwax]

Da stamattina il computer del capo ha comportamenti molto più bizzarri dei miei e ciò mi incupisce non poco.

Sono spariti un po' di eseguibili, tipo il Pdf creator, Firefox, Works e un programma di gestione dei listini commerciali.

Non mi è possibile al momento postare log di alcun programma, quindi ne approfitto per chiedervi quali potrei postare per capire meglio insieme quale sia il problema.

Intanto un po' di inforamzioni aggiuntive.
Sistema operativo Xp Home SP2, antivirus scaduto NOD32, sono risucito ad installare Avira stamattina prima di tentare di ripristinare qualcosa, ma il NOD non me lo fa disinstallare.
All'arrivo in ufficio il NOD mi segnalava la presenza di alcuni file infetti, non mi ricordo il tipo di infezione (credo però anceh dal comportamento W32.tenga, ma non ne sono sicuro), in una cartella che noi usiamo da molto tempo regolarmente per l'aggiornamento del firmware delle fotocopiatrici, ovviamente senza mai aver avuto un problema.
Se provo a cliccare il tasto destro su un'icona di un eseguibile mi parte Dirict Printing System e mi chiede il Cd di isntallazione. Ovviamente dico annulla e mi fa finalmente vedere il menu.

Scansioni con Avira e Malwarebyte non hanno tovato nessun virus.

Grazie in anticipo

[R16]

Ciao maxismakingwax

[maxismakingwax]

Ecco i log di OTL
[Extras.Txt]
[OTL.Txt]
Per Combofix stasera non ce la faccio, lunedì al ritorno al lavoro ci riprovo.
Intanto spero bastino questi quantomeno per capire qualcosa

Grazie R16!

[R16]

Ciao maxismakingwax.
Il log di OTl non presenta grosse anomalie.
Comunque, i sintomi che rilevi fanno pensare che sia proprio il virus\worm Tenga.
Infatti la sua specialità è di infettare gli eseguibili.
link
Però, questo tipo di infezione, sfrutta le vulnerabilità del S.O, per cui, ti suggerisco di aggiornare l'SP2 al SP3 piuttosto in fretta.
Installa il service pack3 di Windows XP :

link

In ogni caso, devo aspettare il log di Combofix, per vedere se lo elimina, oppure lo si deve fare manualmente tramite script personalizzato.
Ci aggiorniamo a lunedì.
Ciao!

[maxismakingwax]

In gironata ero riuscito nei momenti di pausa a disinstallare la versione obsoleta dell'antivirus, aggiornare Avira e Malwarebyte e fare le due scansioni. Avira ha trovato un file infetto rimosso (trojan), e mentre smacchinavo mi ha dato diversi allert.
Purtroppo al posto di windows Update mi ritrovo il wizard per l'accesso facilitato. Andando manualmente sul sito mi dice che l'aggiornamento al SP3 è stato scaricato ma non me lo installa dandomi errore. Il computer ora funzionicchierebbe, ho dovuto reinstallare un po' di programmi, soprattutto aggirnandoli a versioni più recenti. Neanche il regedit mi funziona più. Per gli altri ancora spero che sto Tenga me li ridia.

[R16]

[maxismakingwax]

L'ultima rimozione di Avira è stato
VB.aqt.1
Ma ora che sono andato a controllare il log noto che a mia insaputa è stata fatta una scansione che ha trovato migliaia di file infetti. Non ho idea di come sia avvenuta la faccenda purtroppo.

Usata l'utility, ancora combofix non funziona dicendomi prima che lo scanner di Nod32 è ancora attivo (nessun processo con nome che mi faccia pensare al nod è ancora attivo) e continuando prima mi dice che regedit non funziona e di copiarlo da un altro computer. Così facendo il regedit non parte lo stesso e combofix dopo aver dato un paio di errori in partenza si blocca per troppo tempo (ore) su tentativo di creazione di un punto di ripristino. L'errore iniziale è
"ATTRRIB" non è riconosciuto come comando interno o esterno, un programma eseguibile o un fila batch.
impossibile trovare il file Mirrors.

Il SP3 semplicemente mi dice operazione non risucita

Mi consigli di:
- eseguire ulteriori scansioni con antivirus e antimalware?
- scaricare comunque la versione di rete del SP3 e tentare l'installazione di quella?

[R16]

Ciao maxismakingwax.
Purtroppo per ragioni di lavoro, sono costretto a risponderti solo alla sera.

[maxismakingwax]

Non ti preoccupare, purtroppo per ragioni di lavoro anch'io non riesco a fare molto celermente le operazioni su computer in questione.

Intanto nunzio vobis abemus SP3! Sto facendo anche gli altri aggiornamenti che sembrano installarsi.

Log si SuperAntispyware
SUPERAntiSpyware Scan Log - 09-20-2011 - 11-29-03.log

Ora riprovo una scansione completa con Malwarebyte ma ci mette troppo, sconfina oltre l'orario di lavoro

[R16]

[maxismakingwax]

Per il reedit ho provato tutto quello che mi avevi detto ma ancora niente
Domani eseguirò tutto la nuova procedura, intanto sempre per il regedit malwarebyte mi ha trovato una cosa interessante, ma pur rimuovendola non riparte regedit.
Ecco il log
mbam-log-2011-09-20 (18-47-28).txt

[R16]

[maxismakingwax]

TDSKILLER dopo essere sparito una volta dal desktop non ha trovato niente.
Ecco invece il post di MBRCheck
MBRCheck_09.21.11_12.21.30.txt

[R16]

Ciao.
Nessuna infezione.
Nessun rootkit in memoria.
L'MBR è a posto.
Avira non trova niente, Malwarebytes non rileva infezioni. (ha solo cercato di attivare la chiave del Regedit)
Superantispyware solo Cookie.

Però i problemi restano.

Proviamo a far funzionare il Regedit:

Scarica questa cartella .Zip.
link
Decomprimila sul desktop.
Apri la cartellina e trascina RestoreRegedit nel desktop.
Eseguilo.
Ti compare una finestra in cui dice:
"Regedit is Restored",
Clicca Ok.
Vedi se il regedit funziona.
Se no, riavvia il pc, e controlla.

Poi:
Vorrei "forzare" una scansione con Combofix in questo modo:
Scarica Combofix (usa Internet Explorer)

link

Rinomina combofix prima di salvarlo sul desktop in abc.exe
Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe)
Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK.
Durante la scansione non usare il pc. (nemmeno il mouse)
Ignora gli eventuali messaggi di allarme, sia dell'antivirus che di Combofix.
Posta il log

[maxismakingwax]

Fatto tutto alla lettera -> stessi comportamenti.

Aggiungo un ulteriore motivo di disturbo nell'uso abituale del computer: ogni volta che devo usare il tasto destro su un collegamento o su un eseguibile o anche solo lanciando un programma mi si apre l'installazione di un programma della Panasonic che a noi serviva per le stampanti. ORa non mi riesce ne a disinstallarlo ne a installarlo

[R16]

Ciao.
Hai il CD d'installazione originale di Windows?

[maxismakingwax]

No, trattasi di OEM, ho cd di installazione di Windows Xp Professional eventualmente

[R16]

[maxismakingwax]

Il programma serve meno che un tasto destro del mouse funzionante.
Intanto domattina riprovo OTL

[maxismakingwax]

Extras.Txt
OTL.Txt

Colgo l'occasione per segnalare che gli aggiornamenti che stavano procedendo benino, ora si sono bloccati con una serie di 5 già scaricati ma quando vado a spegnere il computer per installare gli aggiornamenti finge di installare e alla ripartenza rimangono ancora da installare