Olimpo Informatico

[Adamus]

Salve a tutti, da qualche giorno sul mio pc si sono dati appuntamento alcuni virus, improvvisamente AVG mi manda alcuni avvisi di minaccie diverse che di seguito riporto. Il computer è diventato instabile: se navigo dopo poco mi si aprono altre pagine web, se ci lavoro per altro mi si blocca improvvisamente e devo riavviarlo. Systemscan non riesco a farlo partire, ho provato a escludere AVG ma non parte lo stesso.
GMER, sono riuscito a fare solo il primo scan, il secondo ha iniziato ma dopo ¼ d’ora s’è bloccato tutto compreso pc, con conseguente riavvio. Qualcosa sono riuscito a fare, tipo hijackthis, gmer 1° scan, dds.
Di cui posto i relativi log
Questi gli avvisi ricevuti:
- Virus rilevato Win32/Heur
- Rilevata chiave del registro di sistema con riferimento al file infetto: C\Windows\system32\net.net
- Virus rilevato Rozena
- Trojan Clicker AFJE
- Rilevamento multiplo di minacce: nome processo C\Windows\system32\svchost.exe
- Infezione Trojan generic 17 COBS

Inoltre mi è anche comparso un avviso di Windows che mi dice: “dalla prima attivazione di Windows, sul computer in uso è stato apportato un numero notevole di modifiche hardaware. Di conseguenza, è necessario ripetere l’attivazione di Windows entro 3 giorni. Riattivare ora?” proprio nello stesso momento dei virus ?? comunque il giorno dopo ho anche fatto la riattivazione ma nulla è cambiato.

Di seguito alcuni log che sono riuscito ad ottenere, vi chiedo aiuto e vi faccio anche una domanda: mi conviene reinstallare Windows ? Resettare ?

Alcuni dati:
-WINDOWS XP SP3
-AVG FREE
-SPYWARE TERMINATOR
-FIREFOX
tutti sempre aggiornati

http://wikisend.com/download/913556/hijackthis.log

http://wikisend.com/download/580642/DDS.txt

http://wikisend.com/download/561536/gmer 6 giu 2010.txt

http://wikisend.com/download/883648/Attach.txt

GRAZIE per i vostri contributi !!!

[lorenaino]

ciao,in attesa degli esperti,se riesci, fai queste scansioni e posta i log

combofix:

http://forum.zeusnews.com/viewtopic.php?t=45224

malwarebytes:

http://forum.zeusnews.com/viewtopic.php?t=45222

quando fai la scansione con combofix disattiva momentaneamente il tuo antivirus.

[Adamus]

ciao e grazie

posto il log di combo, il 2° non sono ancora riuscito a farlo
nel frattempo però sono riuscito a far partire systemscan (non avevo capito bene come disattivare avg ),
anche se ha impiegato un po' di tempo a fare lo scan e mi si è bloccato sulla casellina "Hidden objects".
Inoltre si è bloccato anche il pc con conseguente riavvio...
Spero che il log che ne è conseguito possa dare cmq informazioni utili

ComboFix.txt

report systemscan.txt

Rimango in fedele attesa di suggerimenti utili per la buona causa


grazie

[R16]

Ciao.
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
La scansione, dura pochi secondi.
Riavvia in modalità normale.
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C:\

Poi esegui queste indicazioni:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Clicca ok alle finestre successive.

In seguito fai :

Start\ Esegui\ copia-incolla questo comando:

control userpasswords2 e clicca Ok.

In "Nome Utente", vedrai questo account:

HelpAssistant

Lo selezioni, e clicca su "Rimuovi".

Poi segui questo percorso, ed elimina TUTTE le cartelle denominate "HelpAssistant" (le cartelle in rosso)

c:\documents and settings\HelpAssistant

Svuota il cestino.

Riavvia il pc.

Dimmi come funziona il pc.

Seguiranno ulteriori istruzioni.

[Adamus]

Grazie R16, ho provveduto e di seguito il log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

non so perchè ma qualcosa mi dice che c'è un intruso...

ho eseguito anche la 2° operazione, cancellando anche la cartella helpassistant, ma...
al riavvio l'ho ritrovata esattamente dove l'avevo trovata, in pratica si è replicata
anche in questa occasione qualcosa mi fa supporre nella presenza di intrusi..

rimango in attesa di ulteriori istruzioni e ringrazio sempre mai abbastanza per quello che fate tutti voi

[Adamus]

chiedo venia per l'errore grammaticale

[Adamus]

Ulteriore aggiornamento
dopo ripetuti tentativi sono riuscito ad effettuare la scansione completa di systemscan. di seguito il log:
report systemscan.txt

sono riuscito a fare anche la scansione con Malwarebytes e mi ha rimosso una minaccia. purtroppo tento di salvare il log ma mi si è bloccato il pc.
la dinamica tipica di questi giorni è la seguente:
compio un operazione (come quella sopra), sul più bello si blocca tutto, curiosamente il mouse si muove come voglio ma tutto il resto rimane pietrificato.
non solo, il pc emette anche un suono acuto che smette solo se lo spengo

[R16]

Rimuovi ancora l'account HelpHassistant.
E rimuovi ancora la cartella che ti è ricomparsa.

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Scarica TFC by OldTimer sul desktop
link
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
link
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Pulisci i files temporanei con CCleaner (pulisci anche il registro.)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Disistalla AVG8 (obsoleto) così:
Cessane l'esecuzione dalla Tray bar. (vicino all'orologio)
Vai in Installazione Applicazioni, e lo rimuovi.
Scarica questo Tooll specifico sul Desktop, per eliminare eventuali "rimasugli":
link
Fai una pulizia con CCleaner.
Riavvia il pc.

Scarica questo antivirus:
Guida e installazione di Avira:
http://forum.zeusnews.com/viewtopic.php?t=42228
Fai una scansione completa.
Posta il log.

[Adamus]

Eseguito tutte le operazioni
- l'account HelHassistant l'ho rimosso 2 volte nel frattempo (ogni tanto andavo a controllare), domanda: l'account ASP.NET è normale ?
-ora nella cartella D. & S. compaiono dei file HELPAS1 2 3 e 4, ma non so come postare lo screenshot, il sito che ho visto non me la carica http://imageshack.us/
- nota: dopo TFC il riavvio è più veloce
-non ho trovato ADS da eliminare
AVG eliminato ed instalalto AVIRA
posto il log

AVSCAN-20100610-154221-B714C2D6.LOG

[R16]

Ciao.

[Adamus]

Ciao,
questo il log di combo:

log Combo 11 giu.txt
sperem....

grazie di tutto

[R16]

Facciamo per sicurezza un ultimo controllo al MBR:

Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK

Posta il log.

Attenzione, a non confonderlo con il primo log, in cui hai fatto la prima scansione.

Elimina Combofix così:
http://forum.zeusnews.com/viewtopic.php?t=47670

Se il pc funziona bene, possiamo chiudere qui.

[Adamus]

ciao,
questo il log di MBR:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

[R16]

Molto bene.
Direi che se non riscontri problemi, ho finito di "tormentarti".
Ciao.