Olimpo Informatico

[alefra]

Ciao a tutti,
ho un grosso problema con un virus che probabilmente è Win32 (nel senso che avast a un certo punto lo ha rilevato insieme a Jade-A [heur] e Jade-C [heur]) e che non sono riuscita a eliminare. Adesso Avast non trova più virus.
Win32 o quello che è mi impedisce di lanciare buona parte dei programmi; posso scaricare qualche nuovo programma antivirus da internet, ma il più delle volte non me lo fa lanciare.
Insomma, sono disperata!

Ecco quello che ho fatto finora seguendo le indicazioni del vostro forum (grazie di esistere!), poi ho finito le idee:

1. Ho ripristinato il sistema a una versione di 2 giorni fa, e le cose sono migliorate abbastanza.
2. Ho disattivato il ripristino sistema
3. Ho fatto andare Ccleaner secondo le vostre indicazioni, e poi anche, nell'ordine
4. Hijackthis
5. MBAM
6. SuperAntispyware
7. Systemscan, sempre secondo le vostre indicazioni.
8. A questo punto ho fatto ripartire l'antivirus (Avast) e al riavvio le cose sono peggiorate di nuovo, tornando a funzionare male come all'inizio.

ho provato ad allegarvi il log di MBAM, di SystemScan e di Superantispyware (Hijackthis ha fatt un log vuoto) con WikiSend, ma dice che il server ha un problema, quindi vi incollo sotto i report di Superantispyware e quello di MBAM (l'altro è lunghissimo), grazie a chi potrà darmi una mano! E scusate se ho fatto qualche pasticcio nel messaggio, ma è la prima volta che scrivo.


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/06/2011 at 09:50 AM

Application Version : 4.47.1000

Core Rules Database Version : 6140
Trace Rules Database Version: 3952

Scan type : Complete Scan
Total Scan Time : 01:03:51

Memory items scanned : 824
Memory threats detected : 0
Registry items scanned : 16063
Registry threats detected : 0
File items scanned : 82692
File threats detected : 3

Adware.Tracking Cookie
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@imrworldwide[2].txt
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@eyewonder[2].txt
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\system@atdmt[2].txt



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 5468

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06/01/2011 08:16:00
mbam-log-2011-01-06 (08-16-00).txt

Tipo di scansione: Scansione completa (C:\|E:\|F:\|G:\|)
Elementi esaminati: 362737
Tempo trascorso: 43 minuti, 12 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[bdoriano]

Ciao alefra,

se Wikisend non funziona, puoi utilizzare anche Wikifortio, FreeFileHosting.

Appena puoi, carica il log di SystemScan.

[alefra]

ciao,
grazie di aver risposto subito!
allora sono riuscita a caricare il file di SystemScan qui: link
Grazie ancora, resto in fiduciosa attesa!
Francesca

[bdoriano]

Ri-ciao alefra,

mi sono accorto solo ora che il tuo sistema operativo è Windows7 64bit...

Per cortesia, segui le indicazioni di questa discussione per postare i logs di OTL.

[alefra]

allora, al terzo tentativo (al primo non si è avviato, al secondo si è avviato ma si è piantato dopo 2 secondi di scansione) Otl ha prodotto i file che si trovano qui:
http://www.freefilehosting.net/extras_1
e qui
http://www.freefilehosting.net/otl_1
incrocio le dita!

[bdoriano]

Dunque, ci sono diversi programmi da aggiornare e alcuni programmi che (secondo me) si possono eliminare. Ma lo vedremo dopo.

Vedo che utilizzi ThreatFire, ti ha rilevato qualche elemento sospetto?

Sembra che il problema sia da imputare a qualche file java... puoi postare anche il log di Avast! ?

[alefra]

La prima volta al riavvio del computer in modalità simile al Dos dopo una scansione approfondita, Avast ha trovato Win32-Malware-gen due volte e poi Java: Jade-C [heur] e Java:Jade-A [heur].

Ecco le posizioni in cui si trovava il primo Win-32:
C:\users\alessandra\appdata\local\temp\(7f3c2910-8616-493C-AE4A-6930E861CC75)\spycheck Anti-Spyware.msi|>Data1.cab\>spycheck.exe.
In questo caso Avast ha detto che "Questo tipo di archivio non supporta questa operazione (42111)"

Questa è la posizione del secondo Win-32
C:\windows\installer\95c85.msi|>Data1.cab\>spycheck.exe

Java:Jade-A [heur] si trovava in:
C:\users\alessandra\appdata\localLow\sun\Java\deployment\cache\6.0\29\7c8bd21d-73479dac\>c.class

Java:Jade-C [heur] si trovava in:
C:\users\alessandra\appdata\localLow\sun\Java\deployment\cache\6.0\17\6fb881d1-1454efb0|>vload.class

Al momento si trovano tutti tra i risultati della scansione; che azione devo eseguire? Cestino, Ripara, Elimina? E per il primo file che dà quell'errore che ti dicevo, che cosa devo fare?

______________________________

All'ultima scansione fatta dopo aver eseguito tutta la lista di programmi elencati nel mio primo messaggio, Avast non ha trovato niente.
Ma qui viene il bello: ho lanciato Threatfire con livello di sicurezza 3 (me ne sono accorta solo alla fine che era impostato sul medio, adesso lo rilancio con livello protezione 5).
dopo aver impostato il livello su 5 e chiuso Threatfire ho aperto Avast e all'apertura è venuto subito fuori il messaggio di pericolo di Threatfire che aveva rilevato un file sospetto: C: programfiles\alwil software\avast5\avastui.exe e poi un altro simile che non ho segnato (scusa, sono distrutta!). Ti manderei il log ma non è in txt o non ho capito come fare.

Anche nel caso di Threatfire devo scegliere l'azione da fare, che cosa mi consigli?

Grazie grazie grazie!

[alefra]

ultimo aggiornamento: threatfire al livello di protezione 5 non ha rilevato minacce.

Ho provato a riavviare ma è tutto come prima: si aprono una serie di finestre con: "Acro Tray ha smesso di funzionare" (ma la volta prima erano Vaio Entertainment Adapter upnp e una serie di altri programmi Vaio), "Adobe Launch ha smesso di funzionare". Diversi programmi, tra cui excel non si avviano (come prima), insomma un pasticcio generale...

[bdoriano]

Il problema più grosso è rappresentato da SpyCheck, che è un falso antispyware.

Dati gli ultimi sviluppi, immagino che si sia attivato.

Procedi così:

1. Disabilita il tuo antivirus
   
   
2. Scarica rkill da uno dei links seguenti (è lo stesso programma con nomi diversi):
   rkill.com
   rkill.exe
   rkill.scr
   eXplorer.exe
   iExplore.exe
   WiNlOgOn.exe
   uSeRiNiT.exe
   (se non dovesse funzionare il primo, procedi con i successivi)
   
   
3. salvalo sul desktop e avvialo
   se non dovesse funzionare al primo colpo, ritenta nuovamente (magari scaricando uno dei files rinominati).
   
   
4. dovrebbe comparire una finestra DOS:
   

   Citazione:

   Rkill by Lawrence Abrams (Grinler) BleepingComputer.com Terminating known malware process. Please be patient.

   
   al termine, la finestra verrà chiusa e comparirà una finestra con un log contenente un elenco dei processi terminati dal rkill.
   
   
5. a questo punto, effettua una nuova scansione completa con MBAM

[alefra]

ciao,
grazie mille per i suggerimenti!

Rkill ha funzionato alla prima, ma mentre andava si apriva continuamente una finestra che diceva: "pev.exe ha smesso di funzionare" (si è aperta una decina di volte, poi a forza di chiuderla ha smesso).
Comunque Rkill ha finito in un paio di minuti, e il log era vuoto:
"Processes terminated by Rkill or while it was running:"
(vuoto).

Ho fatto partire MBAM (al terzo tentativo è andato), non ha trovato niente.

Ho svuotato il cestino dei virus di Avast (per eliminare i 2 Win32 e i 2 Jade), ma per tutti e 4 mi ha detto "impossibile trovare il file".

Ho riavviato, non si sono aperte tutte le solite finestre di errore di Vaio (solo quella di Messenger), ma quando cerco di aprire programmi come Mozilla o Excel non lo fa.

Qual è il prossimo passo?
Grazie ancora

[bdoriano]

Mali estremi...

Segui le istruzioni di questo topic per postare il log di combofix.

[alefra]

ciao,

scusa il silenzio, ieri poi ho fatto gli ultimi tentativi e, visto che non era cambiato nulla e il computer sembrava piuttosto devastato, ho fatto andare i dischi di ripristino... sto finendo di rimetterlo a posto.
Comunque grazie 1000 per il l'aiuto e la presenza costante!
Posso segnalare il forum sul nostro blog? si chiama Parole aperte, parliamo di scrittura, traduzione e letture, ma qualche volta anche di strumenti di lavoro (e scommetto che qualsiasi traduttore o autore prima o poi si è trovato alle prese con un virus!)

ciao e grazie ancora di cuore!
Francesca

[bdoriano]

Ciao Francesca,

spiacente che tu abbia dovuto procedere con il ripristino del pc.

Come antivirus gratuito, ti consiglio l'ottimo Avira AntiVir.
In questa discussione trovi le indicazioni per la configurazione.

Per me nessun problema se vuoi segnalare il forum sul blog.