Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
PC lento
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 17 Mar 2009 06:18    Oggetto: PC lento Rispondi citando

Salve!
Da qualche giorno il pc va molto più lentamente del solito. Ho quindi deciso di seguire i consigli di questo forum per capire se ci sono file sospetti.
Ho pulito i file temp con CCleaner, ho rimosso gli ADS con HiJackThis, ho fatto una scansione con MBAM ( http://freefilehosting.net/download/4642d ), con SuperAntispyware ( http://freefilehosting.net/download/4642e ) e con Systemscan ( http://freefilehosting.net/download/4642f ).
Vi ringrazio anticipatamente per l'aiuto.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 17 Mar 2009 13:33    Oggetto: Rispondi citando

● Scarica ed installa Combofix: clicca qui per il download
● crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di Combofix che hai scaricato
● accedi al sistema in modalità provvisoria con l'account Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
● se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Note: durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)

Verranno creati due log in C:\

● combofix.txt
● ComboFix-quarantined-files.txt

Riavvia il sistema in Modalità normale ed allega i due log, utilizzando questo servizio di upload: clicca qui per wikisend
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 18 Mar 2009 16:52    Oggetto: Rispondi citando

Grazie Riverside per la risposta e l'aiuto.
Ho eseguito combofix, ma ha creato un solo file di log ComboFix.txt
Mi sembra che ci sia un leggero miglioramento nella velocità del pc, anche se non è ritornato allo stato "normale".
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 18 Mar 2009 20:18    Oggetto: Rispondi citando

Disinstalla ComboFix in questa maniera:
● Start
● Esegui
● nella casella di dlialogo copia ed incolla questo comando: combofix /u
2) vai in Disco Locale C: e, elimina questa cartella: QooBox
3) elimina la cartella che avevi creato sul Desktop

Scarica ed installa Norman Malware Cleaner: clicca qui per il download
accedi a sistema in modalità provvisoria, con l?account Amministratore ed esegui una scansione completa del sistema, seguendo le istruzioni indicate in questa guida
Dopo aver eseguito la scansione:
1) riavvia il sistema e riesegui con le stesse modalità, Norman;
2) fai sapere se e cosa è stato rilevato (Norman non rilascia log);
3) riavvia nuovamente ed allega un nuovo log di Hijackthis eseguito dopo la scansione.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 19 Mar 2009 07:11    Oggetto: Rispondi citando

Con la prima scansione di Norman sono stati cancellati 2 file:
1) installer-17122-Advanced-office-Password-recovery-Italian.exe
2) _restore{...}...exe
perchè infetti da W32/GrayBird.AHKE
Con la seconda scansione non è stato trovato nessun file infetto.
Questo è il file hijackthis.log
Hai altri suggerimenti ?
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 19 Mar 2009 10:28    Oggetto: Rispondi citando

Rilancia Hijackthis, spunta la casellina in corrispondenza di ogni singola voce che ti indicherò sotto ed una volta spuntate tutte le voci, chiudi tutte le pagine internet aperte, e clicca sul tasto FixChecked.
Queste le voci da fixare:

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O15 - Trusted Zone: http://fpdownload.macromedia.com
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://sdc.shockwave.com
O16 - DPF: {0E44035F-3526-4D21-932D-EEBE5EBD3FA0} (Abbeyphone4B XVOW SIP Component) - http://voip.repubblica.it/activex/Abbeyphone4BXVOW.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Riavvia il sistema e, da Installazione Applicazioni, disinstalla le versioni installate di Abobe Reader, Adobe Flash Player (comprese quelle marcate Macromedia) e Javasun (sono, tutte, superate).

Dopo la disinstallazione, installa le versioni aggiornate di:
Adobe Reader: clicca qui per il download
Adobe Flash Player: clicca qui per il download
JAVASun: clicca qui per il download

Eseguite le installazioni, rilancia Hijackthis, portati alle voci contrassegnate con 04, spunta le caselline che fanno riferimento a Acrobat Reader e Javasun e clicca su FixChecked

Poi prosegui in questo modo:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

4) ripeti la scansione con MalwareBytes: dopo averlo aggiornato, esegui una scansione completa del sistema e, una volta terminata la scansione, salva il log che verrà rilasciato

Eseguiti i passaggi da 1) a 4), scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis ed allega un nuovo log assieme a quello di Malwarebytes.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 19 Mar 2009 10:36    Oggetto: Rispondi citando

Altre due cose:

1) dal log di Malwarebytes che hai pubblicato nel tuo primo post si evince che il Disco D: era pieno di file infetti: quindi, quando esegui la scansione con Malwarebytes, impostala anche per quel disco.

2) allo stesso modo, quando disattivi il Ripristino di Configurazione di Sistema, disattivalo anche per quella unità disco.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 19 Mar 2009 16:17    Oggetto: Rispondi citando

Scusa, ma non riesco a trovare dove spuntare le voci di Hijackthis.
Nella ignorelist non c'è nessuna voce.
Puoi indicarmi il percorso completo ?
Aggiungo poi che ho cercato di fare un update di XP online, ma mi da l'errore 0x800704DD per il quale non ho trovato nessun aiuto.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 19 Mar 2009 16:47    Oggetto: Rispondi citando

degu ha scritto:
Scusa, ma non riesco a trovare dove spuntare le voci di Hijackthis. Nella ignorelist non c'è nessuna voce. Puoi indicarmi il percorso completo ?

Ma che percorso completo ed ignore list??? ti ho spiegato cosa fare:

quella in immagine è la situazione che ti si presenta quando lanci Hijackthis: devi spuntare le caselline in corrispondenza delle voci che ti ho indicato prima e seguire la procedura che ti ho spiegato.
Citazione:
Aggiungo poi che ho cercato di fare un update di XP online, ma mi da l'errore 0x800704DD per il quale non ho trovato nessun aiuto.

Update di che, scusa? ti ho mai detto di fare degli update?.
Io non riesco a capire questa tendenza a complicare le cose al posto di porre attenzione su quelle da risolvere.
Fai una cosa per volta, per favore, partendo da quelle che ti ho suggerito, altrimenti facciamo notte.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 20 Mar 2009 06:48    Oggetto: Rispondi citando

OK! Operazioni eseguite alla lettera, con le seguenti anomalie riscontrate:
1. Nel cancellare l'Adobe Reader ho ricevuto alcuni messaggi che dicevano "impossibile eliminare la chiave \.rmf." - "... chiave \.xfdf" - "... chiave \.xdp" - "... chiave \.pdx";
2. CCleaner non è riuscito a correggere nel registro la seguente voce: "D:\PROGRAMMI\ScanSoft\Presto\PMVIEWER.EXE" chiave di registro HKCR\.PFC\shell\open
Una precisazione: il s.o. XP è installato sul disco D: mentre i programmi sono alcuni su C: altri su D:
Qui i nuovi file hijackthis.log e mbam-log-2009-03-19 (22-05-15).txt
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 20 Mar 2009 11:41    Oggetto: Rispondi citando

La situazione è nettamente migliorata, ma ci sono ancora un paio di problemi:
degu ha scritto:
Nel cancellare l'Adobe Reader ho ricevuto alcuni messaggi che dicevano "impossibile eliminare la chiave \.rmf." - "... chiave \.xfdf" - "... chiave \.xdp" - "... chiave \.pdx";

Hai installato la versione più recente, come ti avevo indicato?
Poi, rilancia Hijackthis, spunta la casellina in corrispondenza di questa voce:
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
chiudi tutte le pagine internet aperte e clicca sul tasto FixChecked
Poi, da Installazione Applicazioni, disinstalla tutte le toolbar eventualmente installate.
Inoltre Malwarebytes ha rilevato, ancora, due chiavi di registro infette:
Chiavi di registro infette:
Citazione:
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> Delete on reboot.

quindi, riesegui la scansione; al termine della scansione elimina tutto ciò che verrà eventualmente, rilevato, salva il log (che devi allegare) e riavvia il sistema.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 21 Mar 2009 01:30    Oggetto: Rispondi citando

Di Adobe ho installato la versione 9.1.
Malwarebytes ha rilevato le stesse chiavi di registro di ieri, evidentemente non è riuscito a cancellarle neanche dopo il riavvio.
Ecco il nuovo file mbam-log3.txt
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 21 Mar 2009 02:03    Oggetto: Rispondi citando

Non ci siamo: in modalità provvisoria, esegui una scansione completa con Superantispyware ed allega il log che verrà rilasciato.
Una domanda: quel plugin per browser di VideoEgg lo hai installato tu? (VideoEgg è un servizio di video sharing che permette l?upload di filmati video camera, web cam, telefono celulare, ecc.).
Se si, disinstallalo, è portatore di adaware.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 21 Mar 2009 17:56    Oggetto: Rispondi citando

Sinceramente non ricordo di aver mai installato VideoEgg, comunque nell'elenco dei programmi non appare, nè ho barre su I.E.
Ecco il nuovo log SUPERAntiSpyware Scan Log - 03-20-2009 - 21-01-09.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 21 Mar 2009 22:17    Oggetto: Rispondi citando

degu ha scritto:
Sinceramente non ricordo di aver mai installato VideoEgg, comunque nell'elenco dei programmi non appare, nè ho barre su I.E.

Va beh, risolviamo la cosa rimuovendo, manualmente, le due chiavi.
Quindi:

Start
Esegui
nella finestra di dialogo digita Regedit

Segui questo percorso:

HKEY_LOCAL_MACHINE
SOFTWARE
MozillaPlugins
@videoegg.com/publisher,version=1.5
tasto destro el mouse sulla voce @videoegg.com/publisher,version=1.5
ed eliminala

Ripeti lo stesso passaggio:

HKEY_CURRENT_USER
SOFTWARE
MozillaPlugins
@videoegg.com/publisher,version=1.5

Riavvia il sistema, nuova scansione con Malwarebytes ed allega il nuovo log.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 22 Mar 2009 06:48    Oggetto: Rispondi citando

Aspetta ad eseguire il pasaggio che ti ho indicato.
Questa chiave fa riferimento ad una toolbar di Megaupload:
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
Qunidi, torna in Installazione Applicazioni e controlla se è presente.
Se fosse presente;
1) rilancia Hijackthis, seleziona la casellina in corrispondenza della voce indicata sopra, chiuidi tutte le istanze internet aperte e fixala.
2) senza rilanciare il browser, da Installazione Applicazioni, disinstallala la toolbar.
Riavvia ed allega un nuovo log di Hijackthis.
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 22 Mar 2009 07:40    Oggetto: Rispondi citando

Una volta ho installato la barra di Megaupload, ma l'ho disinstallata subito.
Attualmente non ho nessuna barra che non sia di I.E.
Questo è il nuovo hijackthis.log
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 22 Mar 2009 11:49    Oggetto: Rispondi citando

Il riferimento alla toolbar è andato, ora esegui questo controllo:
Start
Cerca
nella casella di dialogo digita Megaupload
lancia la ricerca e verifica cosa viene rilevato; senza eliminare nulla, per ora, fammi sapere se viene rilevato questo file: Megaupload.jar (executable jar file)
Top
Profilo Invia messaggio privato
degu
Mortale pio
Mortale pio


Registrato: 06/02/08 02:52
Messaggi: 27

MessaggioInviato: 22 Mar 2009 16:33    Oggetto: Rispondi citando

Non ha trovato il file .jar, ma ha trovato il file .exe per l'installazione della toolbar, 49 file .zip nella cartella recovery di Spybot, il file megauploadtoolbartb0500.cfg ed un collegamento internet nella cartella preferiti.
Top
Profilo Invia messaggio privato
Riverside
Ban a tempo indeterminato
Ban a tempo indeterminato


Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House

MessaggioInviato: 22 Mar 2009 19:48    Oggetto: Rispondi

Ok, ripeti la stesaa oprazione e, questa volta elimina tutto ciò che viene rilevato.
Aggiorna Malwarebytes, disconnetti il computer Interne ed esegui una scansione completa del sstema ed allega i llog che verrà rilasciato.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi