Olimpo Informatico

[Aquarius]

Ciao a tutti! Oltre a questo problema il volume si azzera da solo (a volte quello degli altoparlanti e a volte anche quello di Wawe).
Ho Windows XP 3, avira 12 installato e aggiornato.

Grazie in anticipo

[R16]

Ciao.
Scarica Adwcleaner sul desktop:
link
N.B:
Hai Avira come antivirus, e detto software utilizza ASK Toolbar come parte della sua sicurezza del web.
Se eliminata, AntiVir WebGuard potrebbe non funzionare più correttamente.
Quindi:
Apri Adwcleaner e clicca sul ? in alto a sinistra.
Clicca su opzioni.
Metti la spunta su :
DisableAskDetection
Clicca OK.
Clicca sul pulsante "Elimina".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.

Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log con Wikisend o similari.

[Aquarius]

Grazie R16.

Eco i log:

.txt]AdwCleaner[S3].txt

OTL.Txt
Solo che OTL mi da scan complete e ha prodotto un unico file.

Ciao!

[R16]

Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

[Aquarius]

Ciao! combofix si è piantato e dopo un'ora ho riavviato.

Qi ho i log degli alti due:

mbam-log-2013-01-05 (20-12-36).txt

01052013_195909.log

Grazie!

[R16]

Ciao.
Scarica RougeKiller sul desktop.
link
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui.

[Aquarius]

Ciao e scusa ma wikisend non funge (?)

Mi permetto d'incollare il report qui:

RogueKiller V8.4.2 [Jan 6 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User : Proprietario [Admin rights]
Mode : Scan -- Date : 01/06/2013 13:34:33

¤¤¤ Bad processes : 3 ¤¤¤
[SUSP PATH] PCShowServerPMWrapper.exe -- C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe -> KILLED [TermProc]
[SUSP PATH] NDSPCShowServer.exe -- C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\NDSPCShowServer.exe -> KILLED [TermProc]
[HIDDEN] PCShowServerPMWrapper.exe -- C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe -> KILLED [TermThr]

¤¤¤ Registry Entries : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : EPSON Stylus D92 Series (C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S18A.tmp" /EF "HKCU") -> FOUND
[RUN][SUSP PATH] HKCU\[...]\Run : PCShowServer ("C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe") -> FOUND
[RUN][SUSP PATH] HKUS\S-1-5-21-583907252-484763869-1801674531-1003[...]\Run : EPSON Stylus D92 Series (C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S18A.tmp" /EF "HKCU") -> FOUND
[RUN][SUSP PATH] HKUS\S-1-5-21-583907252-484763869-1801674531-1003[...]\Run : PCShowServer ("C:\Documents and Settings\Proprietario\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe") -> FOUND
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤
SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xF7E77FBC)
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xF7E77F76)
SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xF7E77FC6)
SSDT[53] : NtCreateThread @ 0x80584D41 -> HOOKED (Unknown @ 0xF7E77F6C)
SSDT[63] : NtDeleteKey @ 0x80599777 -> HOOKED (Unknown @ 0xF7E77F7B)
SSDT[65] : NtDeleteValueKey @ 0x80598396 -> HOOKED (Unknown @ 0xF7E77F85)
SSDT[68] : NtDuplicateObject @ 0x8057F195 -> HOOKED (Unknown @ 0xF7E77FB7)
SSDT[98] : NtLoadKey @ 0x805D5235 -> HOOKED (Unknown @ 0xF7E77F8A)
SSDT[122] : NtOpenProcess @ 0x8057F942 -> HOOKED (Unknown @ 0xF7E77F58)
SSDT[128] : NtOpenThread @ 0x805E4817 -> HOOKED (Unknown @ 0xF7E77F5D)
SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xF7E77FDF)
SSDT[193] : NtReplaceKey @ 0x806571D6 -> HOOKED (Unknown @ 0xF7E77F94)
SSDT[200] : NtRequestWaitReplyPort @ 0x8057D143 -> HOOKED (Unknown @ 0xF7E77FD0)
SSDT[204] : NtRestoreKey @ 0x80656D6D -> HOOKED (Unknown @ 0xF7E77F8F)
SSDT[213] : NtSetContextThread @ 0x8063628D -> HOOKED (Unknown @ 0xF7E77FCB)
SSDT[237] : NtSetSecurityObject @ 0x8059DDD3 -> HOOKED (Unknown @ 0xF7E77FD5)
SSDT[247] : NtSetValueKey @ 0x80580090 -> HOOKED (Unknown @ 0xF7E77F80)
SSDT[255] : NtSystemDebugControl @ 0x80651AA1 -> HOOKED (Unknown @ 0xF7E77FDA)
SSDT[257] : NtTerminateProcess @ 0x8058E8B9 -> HOOKED (Unknown @ 0xF7E77F67)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7E77FEE)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7E77FF3)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] Unknown @ 0x8674FFA9)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST3320620AS +++++
--- User ---
[MBR] e07615afa4d6df91dd9adc1bd1f76b7f
[BSP] 4cffd84bfff48149c670b96c2f6d8beb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 90262f42546f55dc901d76dd4153c0ab
[BSP] 4cffd84bfff48149c670b96c2f6d8beb : Windows XP MBR Code [possible maxSST in 1!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
1 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625121280 | Size: 10 Mo

Finished : << RKreport[1]_S_01062013_02d1334.txt >>
RKreport[1]_S_01062013_02d1334.txt

[R16]

Ciao.
Il forte rallentamento all'avvio, e alla chiusura, è dovuto a una brutta infezione da rootkit al MBR. (Master Boot Record)
Proviamo la via più semplice:
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Se non funziona Wikisend, prova con questi :
link
Oppure:
link

[Aquarius]

Intanto Avira ha rilevato questo trojan e lo ha spostato in quarantena:

TR/Trash.Gen

TDSKiller salvato ma anche se clicco su Esegui, non si apre niente, ahimè

[R16]

[Aquarius]

Ho selezionato 0 in Physicall drive ma l'alro menù a tendina rimane grigio...

[R16]

Strano.
Dovrebbe segnalarti di quale S.O si è deciso per riscrivere l'MBR.
Per caso trovi scritto Windows XP MBR
?
Se sì, clicca su MBR RAZ
Se ti chiede il riavvio del pc: acconsenti, altrimenti riavvialo tu.

[Aquarius]

Lo vedo scritto qui sotto (copia/incollato) Poi c'è un bottone: FIX MBR

¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST3320620AS +++++
--- User ---
[MBR] e07615afa4d6df91dd9adc1bd1f76b7f
[BSP] 4cffd84bfff48149c670b96c2f6d8beb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 90262f42546f55dc901d76dd4153c0ab
[BSP] 4cffd84bfff48149c670b96c2f6d8beb : Windows XP MBR Code [possible maxSST in 1!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo
1 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625121280 | Size: 10 Mo

[R16]

Clicca FIX MBR

[Aquarius]

Unable to fix MBR : 0X0

Atroce. mi da questo errore...

[R16]

Proviamo un altro metodo:
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.

[Aquarius]

Niente, anche questo come tdsskiller clicchi su esegui e non si apre.

Inizio a disperare...

[R16]

Hai provato a vedere se tdsskiller o aswMBR.exe funzionano in Modalità provvisoria?

[Aquarius]

Adesso provo.

Grazie

[Aquarius]

SOno sempre qua. Ho provato ma anche in modalità provvisoria non si aprono e tdsskiller mi da lo stesso errore.

Da spararsi...