Olimpo Informatico

[delfina1982]

Ciao a tutti ho un problema con il mio pc, a tratti va molto lento...si blocca completamente per un pò poi riparte .. è un Pentium Dual core 2.93GHz con 2 GB di ram SO:windows xp Pro SP3
ho fatto una scansione con Avira e mi ha rilevato un trojan TR/Crypt.ZPACK.Gen in C:\System Volume Information\_restore{5832A143-7146-4868-94ED-FA61BCD0FD5F}\RP5\A0000832.exe
ke ha messo in quarantena non so se potrebbe essere quello il problema...allego i log di HijackThis e mbam

hijackthis.log

mbam-log-2010-08-16 (15-34-52).txt

grazie

[R16]

Ciao.
Segui queste indicazioni:
Disattiva il ripristino configurazione di sistema. http://forum.zeusnews.com/viewtopic.php?t=22084

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Riavvia il pc.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
************************************************************

Poi fai questo controllo:
Scarica Bootkit Remover sul desktop
link
Estrai la cartella e posiziona il file remover.exe sul desktop (è importante che il file "remover" sia sul Desktop)

Doppio click su "Remover".
Ti appare una finestra tipo Dos.
Copiami qui, quello che c'è scritto sotto: " MBR Status "

[delfina1982]

ciao grazie per la risposta...allora fatto tutto ..mi esce questa scritta :




Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

[R16]

Ciao.
In questo periodo, c'è un'autentica epidemia di infezioni al MBR.
Fai così:
Chiudi la finestra di "Remover". (se l'hai ancora aperta.)
Poi:
Start > Esegui > copia/incolla questo comando:
"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0
Clicca OK.
La scansione dura meno di 1 secondo.
Chiudi la finestra.
Riavvia Windows.

Rifai la scansione con Remover.
Sotto "MBR status" dovresti trovare scritto:
OK <DOS/Win32 Boot Code Found>

Dimmi se puoi confermare.
E vedi se il problema è risolto.

[delfina1982]

si ho fatto come mi hai detto ed è uscita quella scritta...era un virus? ora vedo un pò se il pc va ancora a scatti o è risolto cmq grazie mille ti farò sapere

[R16]

[delfina1982]

purtroppo continua a bloccarsi appena apro qualche programma in piu oppure se voglio salvare tipo un immagine da internet per cercare la cartella di destinazione sta un bel po con la torcia a caricare... allego l'immagine del task manager nel momento del rallentamento ho visto ke la memoria allocata era di 3038M ..avendo la ram di 2GB credo sia per questo ke si blocca...però nn capisco come arriva a 3GB ..ecco il task ( nn so come si allegano le immagini )

task.JPG

grazie...ciau

[R16]

Ciao delfina1982.
Proviamo a controllare se ci sia qualche infezione nascosta:
Segui le istruzioni di questo topic per usare Combofix: (usa IE)
http://forum.zeusnews.com/viewtopic.php?t=45224

Posta il log.

[delfina1982]

la scansione è finita ( scrivo da un altro pc ) ma è rimasta la skermata di preparazione report da piu di 10 min..e inoltre è sparito il desktop ( le icone del desk) la barra in basso..è normale? devo aspettare ancora?

[R16]

Sì, è normale che siano sparite le icone.
Quello che non è normale, è che ci metta così tanto, a creare il report.
Riavvialo tu.
E vedi se trovi il report in C:\ComboFix.txt

[delfina1982]

in C: c'è solo la cartella combofix il file combofix.txt l'ho trovato in questa cartella ma credo non sia il report... c'è scritto solo :


ComboFix 10-08-16.04 - Utente 17/08/2010 13.04.11.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1538 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Utente\Desktop\Combo--Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}

credo sia l'avviso di disattivare antivir desktop che mi è uscito prima della scansione anke se avevo disattivato gia l'antivirus

[R16]

Sì, il report è quello, ma non è competo. (è appena all'inizio)
Tagliamo la testa al toro:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Questa scansione, serve per darmi informazioni più dettagliate sullo stato del tuo pc.
Non esegue nessuna eliminazione.

[delfina1982]

ok fatto..questo è il file di report:

17_08_2010_15_25_report.zip

[R16]

Ciao.
A parte dei "rimasugli" di software disistallati male, non vedo infezioni attive.

Poi trovo strano che Combofix ti sia finito nei "Servizi".

Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
link

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

[delfina1982]

ciao..e chissà allora dove sta il problema, ti allego i log
grazie

avenger.txt

hijackthis.log

[R16]

Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: PEVSystemStart - Unknown owner - C:\Combo--Fix\PEV.cfxxe

Fai una pulizia con CCleaner.

[delfina1982]

fatto.. ecco il nuovo log anke se
O23 - Service: PEVSystemStart - Unknown owner - C:\Combo--Fix\PEV.cfxxe lo vedo ancora

hijackthis.log

[R16]

Segui le istruzioni di questo topic per rimuovere combofix. http://forum.zeusnews.com/viewtopic.php?t=47670
Poi controlla se c'è ancora questa voce di HJT:
O23 - Service: PEVSystemStart - Unknown owner - C:\Combo--Fix\PEV.cfxxe
Se la vedi, la elimini.
Dopo queste operazioni, riscontri sempre gli stessi problemi?

[delfina1982]

ho seguito le istruzioni..provato per 2 volte ma quella riga ( O23 - Service: PEVSystemStart - Unknown owner - C:\Combo--Fix\PEV.cfxxe) non vuole proprio andare via..il problema si è presentato anke poco fa per aprire una cartella è stata la clessidra ferma per un bel po..poi quando si sblocca va veloce..non so forse un problema di ram...cmq guardando visualizzatore di eventi vedo ke ci sono molti errori in APPLICAZIONI e in SISTEMA ..in sistema ci sono 18 errori solo nella giornata di oggi molti di origine DCOM non so se sono normali tutti questi errori Oo....

[R16]

Prova cosi:
Scarica e installa Pserv sul desktop:
link
Lo lanci da "Tutti programmi" cliccando : "Services & Devices"
Nella schermata che apparirà, cerca e trova il servizio incriminato. (Service: PEVSystemStart - Unknown owner )
Clicca con il tasto destro sopra il servizio, e scegli : Delete.
Conferma l'eliminazione.
Chiudi Pserv.
Riavvia il pc.

Vedi se è stata eliminata.

Probabilmente quegli errori, sono riferiti alle operazioni che abbiamo fatto.

Se hai un pò di pazienza, aspetta per vedere cosa ne pensa bdoriano.