Olimpo Informatico

[degu]

Salve!
Da qualche giorno il pc va molto più lentamente del solito. Ho quindi deciso di seguire i consigli di questo forum per capire se ci sono file sospetti.
Ho pulito i file temp con CCleaner, ho rimosso gli ADS con HiJackThis, ho fatto una scansione con MBAM ( http://freefilehosting.net/download/4642d ), con SuperAntispyware ( http://freefilehosting.net/download/4642e ) e con Systemscan ( http://freefilehosting.net/download/4642f ).
Vi ringrazio anticipatamente per l'aiuto.

[Riverside]

● Scarica ed installa Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di Combofix che hai scaricato
● accedi al sistema in modalità provvisoria con l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Note: durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verranno creati due log in C:\

● combofix.txt
● ComboFix-quarantined-files.txt

Riavvia il sistema in Modalità normale ed allega i due log, utilizzando questo servizio di upload: clicca qui per wikisend

[degu]

Grazie Riverside per la risposta e l'aiuto.
Ho eseguito combofix, ma ha creato un solo file di log ComboFix.txt
Mi sembra che ci sia un leggero miglioramento nella velocità del pc, anche se non è ritornato allo stato "normale".

[Riverside]

Disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop

Scarica ed installa Norman Malware Cleaner: clicca qui per il download
accedi a sistema in modalità provvisoria, con l?account Amministratore ed esegui una scansione completa del sistema, seguendo le istruzioni indicate in questa guida
Dopo aver eseguito la scansione:
1) riavvia il sistema e riesegui con le stesse modalità, Norman;
2) fai sapere se e cosa è stato rilevato (Norman non rilascia log);
3) riavvia nuovamente ed allega un nuovo log di Hijackthis eseguito dopo la scansione.

[degu]

Con la prima scansione di Norman sono stati cancellati 2 file:
1) installer-17122-Advanced-office-Password-recovery-Italian.exe
2) _restore{...}...exe
perchè infetti da W32/GrayBird.AHKE
Con la seconda scansione non è stato trovato nessun file infetto.
Questo è il file hijackthis.log
Hai altri suggerimenti ?

[Riverside]

Rilancia Hijackthis, spunta la casellina in corrispondenza di ogni singola voce che ti indicherò sotto ed una volta spuntate tutte le voci, chiudi tutte le pagine internet aperte, e clicca sul tasto FixChecked.
Queste le voci da fixare:

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O15 - Trusted Zone: http://fpdownload.macromedia.com
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://sdc.shockwave.com
O16 - DPF: {0E44035F-3526-4D21-932D-EEBE5EBD3FA0} (Abbeyphone4B XVOW SIP Component) - http://voip.repubblica.it/activex/Abbeyphone4BXVOW.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Riavvia il sistema e, da Installazione Applicazioni, disinstalla le versioni installate di Abobe Reader, Adobe Flash Player (comprese quelle marcate Macromedia) e Javasun (sono, tutte, superate).

Dopo la disinstallazione, installa le versioni aggiornate di:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download

Eseguite le installazioni, rilancia Hijackthis, portati alle voci contrassegnate con 04, spunta le caselline che fanno riferimento a Acrobat Reader e Javasun e clicca su FixChecked

Poi prosegui in questo modo:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

4) ripeti la scansione con MalwareBytes: dopo averlo aggiornato, esegui una scansione completa del sistema e, una volta terminata la scansione, salva il log che verrà rilasciato

Eseguiti i passaggi da 1) a 4), scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis ed allega un nuovo log assieme a quello di Malwarebytes.

[Riverside]

Altre due cose:

1) dal log di Malwarebytes che hai pubblicato nel tuo primo post si evince che il Disco D: era pieno di file infetti: quindi, quando esegui la scansione con Malwarebytes, impostala anche per quel disco.

2) allo stesso modo, quando disattivi il Ripristino di Configurazione di Sistema, disattivalo anche per quella unità disco.

[degu]

Scusa, ma non riesco a trovare dove spuntare le voci di Hijackthis.
Nella ignorelist non c'è nessuna voce.
Puoi indicarmi il percorso completo ?
Aggiungo poi che ho cercato di fare un update di XP online, ma mi da l'errore 0x800704DD per il quale non ho trovato nessun aiuto.

[Riverside]

[degu]

OK! Operazioni eseguite alla lettera, con le seguenti anomalie riscontrate:
1. Nel cancellare l'Adobe Reader ho ricevuto alcuni messaggi che dicevano "impossibile eliminare la chiave \.rmf." - "... chiave \.xfdf" - "... chiave \.xdp" - "... chiave \.pdx";
2. CCleaner non è riuscito a correggere nel registro la seguente voce: "D:\PROGRAMMI\ScanSoft\Presto\PMVIEWER.EXE" chiave di registro HKCR\.PFC\shell\open
Una precisazione: il s.o. XP è installato sul disco D: mentre i programmi sono alcuni su C: altri su D:
Qui i nuovi file hijackthis.log e mbam-log-2009-03-19 (22-05-15).txt

[Riverside]

La situazione è nettamente migliorata, ma ci sono ancora un paio di problemi:

[degu]

Di Adobe ho installato la versione 9.1.
Malwarebytes ha rilevato le stesse chiavi di registro di ieri, evidentemente non è riuscito a cancellarle neanche dopo il riavvio.
Ecco il nuovo file mbam-log3.txt

[Riverside]

Non ci siamo: in modalità provvisoria, esegui una scansione completa con Superantispyware ed allega il log che verrà rilasciato.
Una domanda: quel plugin per browser di VideoEgg lo hai installato tu? (VideoEgg è un servizio di video sharing che permette l?upload di filmati video camera, web cam, telefono celulare, ecc.).
Se si, disinstallalo, è portatore di adaware.

[degu]

Sinceramente non ricordo di aver mai installato VideoEgg, comunque nell'elenco dei programmi non appare, nè ho barre su I.E.
Ecco il nuovo log SUPERAntiSpyware Scan Log - 03-20-2009 - 21-01-09.log

[Riverside]

[Riverside]

Aspetta ad eseguire il pasaggio che ti ho indicato.
Questa chiave fa riferimento ad una toolbar di Megaupload:
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
Qunidi, torna in Installazione Applicazioni e controlla se è presente.
Se fosse presente;
1) rilancia Hijackthis, seleziona la casellina in corrispondenza della voce indicata sopra, chiuidi tutte le istanze internet aperte e fixala.
2) senza rilanciare il browser, da Installazione Applicazioni, disinstallala la toolbar.
Riavvia ed allega un nuovo log di Hijackthis.

[degu]

Una volta ho installato la barra di Megaupload, ma l'ho disinstallata subito.
Attualmente non ho nessuna barra che non sia di I.E.
Questo è il nuovo hijackthis.log

[Riverside]

Il riferimento alla toolbar è andato, ora esegui questo controllo:
Start
Cerca
nella casella di dialogo digita Megaupload
lancia la ricerca e verifica cosa viene rilevato; senza eliminare nulla, per ora, fammi sapere se viene rilevato questo file: Megaupload.jar (executable jar file)

[degu]

Non ha trovato il file .jar, ma ha trovato il file .exe per l'installazione della toolbar, 49 file .zip nella cartella recovery di Spybot, il file megauploadtoolbartb0500.cfg ed un collegamento internet nella cartella preferiti.

[Riverside]

Ok, ripeti la stesaa oprazione e, questa volta elimina tutto ciò che viene rilevato.
Aggiorna Malwarebytes, disconnetti il computer Interne ed esegui una scansione completa del sstema ed allega i llog che verrà rilasciato.