Olimpo Informatico

[Superciaiaro]

Salve a tutti, sono nuovo di questo forum (in effetti mi sono iscritto qualche minuto fa), però leggo qui dentro da un pò di tempo. Oggi stesso mi è capitato il problema di "Avvio di Windows non riuscito", con le relative opportunità di avvio ( modalità provvisoria, modalità provvisoria con rete etc etc); ho risolto il problema andando in modalità provvisoria e ho fatto una scansione anti-virus con AVG Antivirus Free Edition, ho spento, ho riacceso ed il computer è ripartito come nulla fosse successo. Quindi mi sono informato un pò sul sito riguardo questo problema ed ho trovato molte soluzione che, francamente, per me erano parlare arabo (scusate l'ignoranza) però sono riuscito a fare una scnasione con HiJackThis e ora vorrei che deste un'occhiata al mio LOG sperando che vada tutto bene, dottori. Poi ho letto un pò la guida sul sito Zeus ma non sono riuscito a capire quali file eliminare e quali no, con la paura di fare qualche disastro più che altro. Sperando in qualche risposta di domani ora mi butto tra le braccia di Morfeo e vi posto il LOG:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.emuleplusitalia.net/tips_And_Kiks/update_server.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {029873CD-AC68-42CF-8B05-F5E327830992} - C:\WINDOWS\system32\mlJaBtSK.dll (file missing)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul0.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {826A5ED9-1316-4EFD-87F8-AA400C5D551A} - C:\WINDOWS\system32\tuvVOIbX.dll (file missing)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul0.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programmi\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O15 - Trusted Zone: www.cercoporno.com
O15 - Trusted Zone: www.eros-porno.com
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ciruzzo92.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186247359640
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab55668.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F53965-17A3-4C32-8574-E7FC9CDA4830}: NameServer = 151.99.125.2
O20 - Winlogon Notify: tuvVOIbX - tuvVOIbX.dll (file missing)
O21 - SSODL: drivers - {9EC5E491-58AA-42B4-B170-832880A8CCAC} - (no file)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Cerozzo/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm


Grazie dell'aiuto in anticipo, e scusate se al primo post chiedo già di vedere come sta il mio PC.

[chemicalbit]

[Superciaiaro]

[chemicalbit]

Ah, quindi quella scansione in modalità provvisoria l'avevi fatta con AVG 7 free?

E poi sei passato alla 8 free?

quanto ai "changed" , er aocn la versioen 7?
Può indicare un virus oppure no (anche a me segnalva changed nelle aree di sistema, ma avevo controllato per vedere se fosse un virus e non avevo trovato nulla).


Ora hai fatto una scansione competa con AVG 8 e nontiha trovato niente, giusto?

Dopo di quella,
vediamo un po' di controlli e pulizie generiche:

• Esegui in questo ordine le seguenti operazioni:
  
  • Pulisci i files temporanei con ATF-Cleaner e con CCleaner
    
  • Segui le istruzioni di questo topic per usare MBAM.
    
  • Segui le istruzioni di questo topic per eseguire combofix.
    
  • Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
  
• Metti uno alla volta su wikisend i vari log che hai attenuto dai programmi
  
  • MBAM
    
  • Combofix
    
  • HiJackThis
  e segnati i link che wikisend ti darà per ognuno.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta i link ai log che hai messo su wikisend

p.s.

[Superciaiaro]

[Superciaiaro]

Ok, ecco i Link:
MBAM: http://wikisend.com/download/492200/mbam-log-2008-09-29 (16-51-41).txt
ComboFix: http://wikisend.com/download/476844/ComboFix.txt
HiJackThis: http://wikisend.com/download/949222/HiJackThis LOG.txt

Questi sono tutti e 3 i Log che mi ghai richiesto dopo aver fatto le operazioni richieste. Però devo dirti che ho avuto qualche problema con ComboFix, poichè al riavvio mi diceva Acces Denied, e non so cosa facesse in seguito.

[baciami]

sei messo maluccio..mbam ti ha trovato diverse cosette tra cui il vundo riguardo al combofix è la prima volta che vedo un log del genere quindi ti consiglio di aspettare uno in gamba.in hijak fixa intanto queste voci
O15 - Trusted Zone: www.cercoporno.com
O15 - Trusted Zone: www.eros-porno.com
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Cerozzo/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg
poi volevo dirti se questo (che credo faccia parte di comodo)lo hai scaricato dal sito ufficiale xchè sembra infetto da trojan che ti dovrebbe aver creato problemi nel ripristino configurazione del sistema.
O20 - AppInit_DLLs: avgrsstx.dll C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll
cmq non eliminarlo xchè non ne ho la certezza..come ho detto aspetta uno bravo.ciao

[Riverside]

Vorrei chiarire, una volta per tutte, due concetti fondamentali:
1) quando fate eseguire operazioni che riguardano la disinfezione di un sistema infetto, per favore, abbiate la buona abitudine di far disabilitare il Ripristino di Configurazione di Sistema;
2 quando fate eseguire Combofix, ricordate, sempre, che il tool va eseguito a macchina dedicata, ovvero, in modalità provvisoria e senza essere connessi ad Internet.
Scusate la franchezza, ma io non so più come spiegarverlo

@ Superciaiaro, per ora lascia perdere tutto il resto e, ricomiciamo, tutto dall'inizio (ovviamente i programmi che hai già installato e trovi elencati non li devi installare nuovamente; nel caso, laddove venga suggerita una particolare configurazione, esegui solo la parte relativa alla configurazione):

Procedi in questa maniera:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate md5 checksum of streams
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa SuperAntispyware:
http://www.superantispyware.com/
devi scaricare la versione free - e la configuri come ho spiegato ad una altra utente in questo post: http://forum.zeusnews.com/viewtopic.php?t=35216
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
http://www.malwarebytes.org/
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
http://www.ccleaner.com/download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
http://www.wikisend.com/
I link ai log pubblicali in un unico post, proseguendo qui.

[Riverside]

[Superciaiaro]

Vabè, @Riverside, scusa per le disattenzioni, ma, sinceramente non lo sapevo che si dovesse usare in modalità provvisoria (che non so come si imposta) e del ripristino. Comunque, vabè, farò di nuovo le procedutre che mi hai indicato.

@ baciami: che significa fixa?? E poi sinceramente non so che diavolo sono quei files. Comunque, fixa = ????

[Riverside]

[chemicalbit]

[Riverside]

@ Chemi, tutte le versioni (anche quelle precedenti) di ComboFix giravano (ed andavano fatte girare) in modalità provvisoria (compresa questa).
La questione è un'altra: Combofix va sempre eseguito a macchina dedicata (ovvero, senza antivirus attivo, senza firewall attivo, senza altri programmi che abbiano funzioni di protezione in realtime, tipo, per esempio SpyBot o Prevx 2.0, software host intrusion prevention system (Hips), ecc. ecc. e, senza essere connessi ad Internet.

[baciami]

hai ragione..lo volevo segnalare solo xchè pur essendo una parte del firewall comodo (conosciuto) hijak lo da come sconosciuto..cmq ok..non voglio creare casini.

[Riverside]

[Superciaiaro]

[Riverside]

@ Superciaiaro, scusa una domanda: tu hai un problema di infezione (anche piuttosto serio), sul tuo computer e mi vieni a chiedere sta cosa :

[Superciaiaro]

[Riverside]

[Superciaiaro]