Olimpo Informatico

[paola68]

Un saluto a tutti! Qualche giorno fa ho scaricato da Emule un giochino, tale Ancient Secrets (forse è ora che mi dia al poker). L'antivirus non ha segnalato nulla, ma quando ho provato ad aprire il file si è aperta una finestrella con la scritta: "Bitroll is running. Close it and continue installation?"
Se clicco Ok o clicco Annulla il risultato è uguale: non succede nulla.
Qualcuno riesce a spiegarmi di cosa si tratta?

[lorenaino]

ciao,ho trovato questa spiegazione,ma di più non sò dirti:

http://www.speedblog.net/2007/02/01/bittorrent-era-glaciale/

fossi in te farei una bella scansione completa con Malwarebytes antimalware:

http://majorgeeks.com/download.php?det=5756

[paola68]

E poi si apre di continuo una finestra con sysprotector!

[lorenaino]

[paola68]

Ecco il risultato di Mbam:

Malwarebytes' Anti-Malware 1.27
Versione del database: 1127
Windows 5.1.2600 Service Pack 3

10/04/2009 22.32.30
mbam-log-2009-04-10 (22-32-30).txt

Tipo di scansione: Scansione completa (C:\|E:\|)
Elementi scansionati: 148948
Tempo trascorso: 1 hour(s), 54 minute(s), 40 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 1
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\__c00919F1.dat (Trojan.Zlob) -> Delete on reboot.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00919f1 (Trojan.Vundo) -> Delete on reboot.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f1756943.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Documents and Settings\Paola\Impostazioni locali\temp\_A00F1756943.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c00919F1.dat (Trojan.Vundo) -> Delete on reboot.
-----------------------------------------------------------------------------


Ovviamente ho cancellato tutto e mi ha chiesto di riavviare il pc. Devo fare altro?

[R16]

[paola68]

Ecco il nuovo risultato di Mbam:

Malwarebytes' Anti-Malware 1.36
Versione del database: 1966
Windows 5.1.2600 Service Pack 3

11/04/2009 13.36.35
mbam-log-2009-04-11 (13-36-35).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 191575
Tempo trascorso: 1 hour(s), 16 minute(s), 50 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

Ed ecco Hijack:

hijackthis.log

[R16]

Ciao.
Mai tenere 2 antivirus su un singolo pc. (Norton, Virit)
Possono entrare in conflitto fra loro, e creano più problemi che benefici.
Il mio consiglio sarebbe di disistallarli tutti e 2 e installare Avira free.
In ogni caso, disistallane 1 con il suo Unistall.
Poi:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Documents and Settings\Paola\Desktop\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
Elimina TUTTE le voci 016
Fai una pulizia registro compreso con CCleaner:
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Riavvia il pc.

Segui le istruzioni di questo topic per eseguire combofix:
http://forum.zeusnews.com/viewtopic.php?p=235539#235539
Posta il log di Combofix,nelle modalità che hai postato il log di HJT.
E posta anche un log aggiornato di HJT.

[paola68]

Rieccomi! Ho fatto Hijack e ho spuntato le voci indicate. Ho aperto CCleaner che, una volta avviata la pulizia, si è interrotto, si è chiusa la finestra e tutto è tornato al desktop. Non è che ho cancellato qualche file di CCleaner nella pulizia precedente? Perchè lo avvio ma si chiude tutto.
Cmq, ho riavviato il pc, eseguito Combo e rifatto Hijack.
Ecco i due risultati:

logcombofix.txt


loghijackthis.txt

[R16]

Ciao.
Vorrei sapere se hai scaricato tu un software chiamato "ProcessExplorer "
E' un software "alternativo" al Task Manager.
Hai questi file che sono sospetti:
c:\windows\system32\drivers\PROCEXP90.SYS
C:\pv.exe
Il primo, può appartenere a "ProcessExplorer ". (software legittimo)
Il secondo, molto probabilmente è un eseguibile infetto, o un "rimasuglio"appartenente a WinAntiVirus 2006 Pro , un falso software di sicurezza .
Quello che trovo strano, è che sono stati scaricati in contemporanea, e non sò se sei stata tu oppure il virus.
Illuminami.

[paola68]

[R16]

Ok.
Apri un file di testo sul Desktop .
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

File::
c:\windows\system32\drivers\PROCEXP90.SYS
C:\pv.exe

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
************************************************************
Il Tool di Kaspersky che hai sul Desktop, lo puoi anche eliminare se l'hai già usato.
Riscontri qualche problema ?

[paola68]

Ecco il log di Combo.

logcombo.txt

e il nuovo di Hijack:

loghijackthis.txt

Non mi sembra di riscontrare problemi, spero di aver tolto quanto dovevo togliere!

[R16]

Ciao paola68.
I file sono stati eliminati.
Il log di HJT non presenta problemi.
Ti suggerisco di eseguire queste operazioni di pulizia:
Fai:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only) clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Riavvia il pc, e riattiva il ripristino configurazione di sistema.
Dovresti essere a posto.
Ciao.

[Riverside]

[*] eMule se lo conosci ... lo eviti 8)

[paola68]

Ho fatto le pulizie varie e l'orribile BitRoll sembra scomparso. Grazie ancora una volta per l'aiuto!

Eh, lo so, River, alla mia veneranda età dovrei pensare di non girare su Emule per scaricare giochini!