Olimpo Informatico

[blumarinets]

Salve, sono Tiziana, eccomi ancora qui con un nuovo problema al pc.

Io uso il sistema operativo Vista Home Basic e come programma antivirus ho (o meglio avevo) Avast, inoltre uso Pc Tools Spywere Doctor e il Norton Security Scan (entrambi ancora funzionanti, per fortuna).
Già prima di Pasqua, una sera il pc mi è andato in schermo blu, salvo poi riavviarsi senza alcun problema, sembrava finita li, lo stesso fatto però si è verificato mercoledì sera, questa volta però è capitato più volte durante la serata, mi sono inoltre resa conto che il sistema di sicurezza del pc è disativvato e non riesco ad attivarlo, e Windows Defender non funziona e mi da errore 0x800106ba all'accensione del pc.
Sempre mercoldì sera mi è sparito Avast, ho tentato di reinstallarlo ma non mi è stato possibile, ho tentato di installare altre 2 antivirus (Avira quello con l'icona l'ombrello bianco in campo rosso e AVG Free) entrambi impossibili da installare, o una volta installati e fatta una prima scansione, a metà della stessa mi andava in schermo blu e al riavvio nuovamento non funzionavano.
Inoltre uso il programma CCleaner, ma pure quello non mi funziona più.
Che posso fare?
Grazie.

[Sante62]

Ciao Tiziana....

Segui questa discussione
per postare un log di Hijackthis.

[blumarinets]

Ho trovato e scaricato quel programma ma non funziona, mi da questo messaggio:
"impossibile aprire il file 'C:\Users\Tiziana|Desktop\HiJackThis_v2.exe' come archivio"

[Sante62]

Se non sbaglio Hijackthis è un file zip;

Quindi sicuramente non hai WinZip; WinRar oppure Izarc;

se è così scaricati uno di questi e riprova...

[bdoriano]

Chiedo scusa per l'intromissione.

Mi sono accorto ora che il messaggio riguardante hijackthis punta direttamente al file eseguibile e non più allo zip.
Adesso vado a correggerlo di conseguenza.

blumarinets, volevo anche un chiarimento, ogni volta che installavi un nuovo antivirus, disinstallavi quello precedente?
Perché troppi antivirus attivi creano parecchi casini.
A questo punto, prima di cominciare con le operazioni di pulizia, ti consiglierei di procedere così:

• Disinstalla tutti gli antivirus
  
• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui le istruzioni di questo topic per postare il log di hijackthis.

[blumarinets]

Si, ogni volta che tentavo di installare un antivirus nuovo, disinstallavo il precedente. Ma mi sono accorta che l'Avast, pur non funzionando, è ancora installato, ho tentato di toglierlo ma non me lo fa fare.

Non riesco a disattivare il Ripristino di sistema, le vostre istruzioni per farlo non riguardano il sitema operativo Vista, ma l'XP credo, ho cercato un pò dappertutto ma non ho trovato il sistema per farlo.

Io ho il CCleaner ma non funziona più, l'ho disinstallato e reinstallato ma niente da fare. Ho scaricato anche ATF-Cleaner ma neppure quello va...

Ho provato a scaricare e usare il programma HiJackThis, per estrarre i file io uso 7-zip, ma come ho detto in un post precedente, mi da errore...

Grazie per il vostro aiuto

[bdoriano]

Ho giusto sottomano un pc con Vista da curare, appena finito faccio un paio di prove e ti dico come partire in modalità provvisoria.

[bdoriano]

Ho trovato questa pagina del sito Microsoft che spiega come entrare in modalità provvisoria da Vista.

Potrebbe essere utile dopo, adesso fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[blumarinets]

Ho usato il programma Suspectfile (o si chiama SystemScan?). Questo il relativo link:

30_03_2008_13_40_report.zip

[blumarinets]

Che devo fare? Porto il pc a riparare o aspetto altre istruzioni da parte
vostra?

Grazie!

[bdoriano]

Ciao Tiziana,

Di seguito le istruzioni per disabilitare il ripristino di sistema con Vista:

• pannello di controllo
  
• Sistema
  
• Selezionare protezione di sistema sul pannello di sinistra
  
• Deselezionare il disco primario
  
• Infine accettare le condizioni che ci vengono proposte

Prova ora a fare i passaggi precedenti, intanto diamo un'occhiata al tuo log e vediamo cosa troviamo.

[bdoriano]

Sei infetta con il virus Bagle.

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui queste istruzioni per EliBaglA.
  
• Segui le istruzioni di questo topic per postare il log di combofix.
  
• Scarica Norman Malware Cleaner e NOD32 Scanner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia NOD32 e fagli fare la scansione completa.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-04-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Segui le istruzioni di questo topic per postare il log di hijackthis.

[blumarinets]

Devo eseguire le istruzioni proprio in quest'ordine?

Ho disabilitato il ripristino di sistema.
CCleaner e ATF-Cleaner non mi funzionano HO disinstallato e nuovamente installato CCleaner ma cmq non funziona.

Per gli altri punti, posso procedere anche se i 2 programmi suddetti non mi funzionano?

Grazie!

[bdoriano]

Si, vai avanti con il resto.
Se qualcosa non funziona, procedi al passo successivo e, quando invierai la tua prossima risposta, segnala quali sono stati i passaggi falliti.

[blumarinets]

Questo il link successivo alla scansione con Norman Malwere Cleaner:

NFix_2008-04-01_17-32-10.log

Log HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.43.24, on 01/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\PDFCreator\PDFCreator.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Tiziana\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fueps.com/gp/show.do
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AROReminder] C:\Program Files\Advanced Registry Optimizer\ARO.exe -rem
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: PDFCreator.lnk = C:\Program Files\PDFCreator\PDFCreator.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_34.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36DEAE2F-C21C-4B3E-A7F3-183C5C4D2A93}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6D9C49-DB67-4333-B5A9-0B0E0904ABE3}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CS1\Services\Tcpip\..\{36DEAE2F-C21C-4B3E-A7F3-183C5C4D2A93}: NameServer = 85.37.17.14 85.38.28.78
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 10160 bytes

[bdoriano]

Dunque, il fatto che tu sia riuscita a usare hijackthis e norman malware cleaner, mi dice che il virus sia stato eliminato da EliBagla/Combofix.
Dovresti postare anche i rispettivi logs: C:\InfoSat.txt e C:\ComboFix.txt per vedere cos'hanno combinato.

C'è ancora qualcosa da togliere, ma prima aspetto di vedere i 2 logs che ti ho chiesto.

[blumarinets]

Ok, prima ho dimenticato di mettere il log InfoSat, eccolo:


Tue Apr 01 15:14:25 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR
Reinicie para Completar la Limpieza.

Tue Apr 01 15:15:05 2008
EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\Windows\System32\drivers\HLDRRR.EXE.VIR --> Eliminado Bagle.dldr
C:\Windows\System32\drivers\down\101711138.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\23250045.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\625985.EXE --> Eliminado Bagle
C:\Windows\System32\drivers\down\639058.EXE --> Eliminado Bagle

Nº Total de Directorios: 17242
Nº Total de Ficheros: 80398
Nº de Ficheros Analizados: 11974
Nº de Ficheros Infectados: 6
Nº de Ficheros Limpiados: 6

Per quanto riguarda ComboFix non sono riuscita a farlo funzionare.

Per il resto ha funzionato tutto anche il CCleaner.

[blumarinets]

Che devo fare ora?

[blumarinets]

Ok, problema risolto!!!
Ora l'antivirus mi funziona di nuovo, come pure Windows Defender, l'unica cosa che non va è il Centro Sicurezza Pc (mi dice che è impossibile avviarlo...).
Volevo ringraziare tutti e in particolare Bdoriano per avermi aiutato a risolvere il problema.

Grazie!!!

Tiziana

[bdoriano]

Ri-ciao Tiziana,

scusa il ritardo, ma il lavoro mi ha reclamato per benino.

Venendo al tuo problema, direi che è quasi risolto.

• Scarica SuperAntiSpyware, installalo e fagli fare una scansione completa
  
• Scarica Spybot Search & Destroy, installalo e fagli fare una scansione completa
  
• Disabilita il tuo antivirus
  
• Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.