Olimpo Informatico

[Mattaius91]

premetto che uso windows xp service pack 2

come antuvirus ho avira anitivir versione free ( fino a pochi giorni fà usavo avast), in più uso anche ccleaner, hjt e shops anti-rootkit.

i problemi sono questi: 1)non posso visualizzare nessuna pagina degli antuvirus on line
2)non sono più riuscito ad aggiornare l'archivio virus di avast( versione 4.8 free)
3) proprio avasti mi aveva riscontrato pochi giorni fa questo malware: BV:AutoRun-S [Wrm] per la cui rimozione ho provato a seguire il procedimento dei questo topic http://forum.zeusnews.com/viewtopic.php?p=428813&sid=3d455681996e2d13f9b97b855f38449f senza successo.
segue il log di hjt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.19.46, on 17/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\Avira\AntiVir Desktop\sched.exe
F:\Programmi\Avira\AntiVir Desktop\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Programmi\Java\jre6\bin\jusched.exe
F:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
F:\Programmi\Avira\AntiVir Desktop\avgnt.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
F:\Programmi\DAP\DAP.EXE
F:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\Programmi\Java\jre6\bin\jqs.exe
F:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
F:\WINDOWS\system32\svchost.exe
F:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Programmi\Mozilla Firefox\firefox.exe
F:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - F:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - F:\Programmi\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - F:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nTrayFw] F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NeroFilterCheck] F:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] F:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "F:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [DownloadAccelerator] "F:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = F:\Programmi\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: &Clean Traces - F:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - F:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programmi\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - F:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - F:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - F:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: WWDGKW - Sysinternals - www.sysinternals.com - F:\DOCUME~1\MM0937~1\IMPOST~1\Temp\WWDGKW.exe

--
End of file - 6588 bytes
aspetto il vostro aiuto grazie

[bdoriano]

Ciao Mattaius91 e benvenuto,

tieni conto che ogni infezione è una storia a sé, nel tuo caso, qualcosa si vede dal log di hijackthis (la voce riferita a SysInternals è fasulla).

Procedi con queste operazioni preliminari:

• Disinstalla Lavasoft Ad-Aware
  
• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti al Caffé dell'Olimpo.

[Mattaius91]

ho fatto la scansione con mbam ecco il log:
mbam-log-2009-07-17 (11-48-10).txt

e con superantispyware
SUPERAntiSpyware Scan Log - 07-17-2009 - 11-58-10.log

ma system scan si blocca quando durante la scansione arriva allo step 9 "loaded modules" quindi niente log.
grazie per aver risposto in così poco tempo

[bdoriano]

Segui le istruzioni di questo topic per postare il log di combofix.
Dopodiché, riprova con SystemScan.

[Mattaius91]

questo è il log di combofix: combofix log.txt


systemscan continua a bloccarsi allo step 9

[bdoriano]

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[Mattaius91]

ho fatto cio' che hai suggerito
ecco il log di combofix: log combofix.txt

e finalmente systemscan è riuscito a superare il difficilissimo step 9 ecco il report: report systemscan.txt

[bdoriano]

Ottimo!

Intanto che mi spulcio il log di SystemScan, fai queste operazioni:

• Disabilita il Guard di Antivir
  
• Fai questa scansione con Kaspersky
  
• Riabilita il Guard di Antivir
  
• Fai una scansione completa con Antivir e posta il log generato

Così ci portiamo avanti...

[Mattaius91]

la scansione con kaspersky è durata 1 ora e 45 minuti, è normale? qui c'è il log: report kaspersky.txt

questo è invece il log di avira: avira log.txt

[bdoriano]

Normale, ha controllato tutto quello che c'era sul tuo pc.
Vedo che Kaspersky ha eliminato un file infetto e Avira, invece, se l'è presa con SystemScan...

Ora, direi di procedere con gli aggiornamenti:

• Installa il service pack3 di Windows XP
  
  
• Scarica e installa una versione più recente di Internet Explorer:
  
  • Installa Internet Explorer 7
    oppure
    
  • Installa Internet Explorer 8
  
  
  
• Scarica e installa tutti gli altri aggiornamenti di Windows (escludendo quelli riferiti al Genuine Advantage, che non servono a nulla):
  
  • Clicca sul bottone Personalizzato
    
    
  • Clicca su Priorità alta
    
  • De-seleziona (togli il segno di spunta) gli aggiornamenti riferiti al Genuine Advantage
    
  • Clicca su Verifica e installa aggiornamenti
    
  • Clicca su Installa aggiornamenti
    
  • segui il resto delle istruzioni a video

Installa l'ultima versione di Java

Posta un log aggiornato di hijackthis.

[Mattaius91]

per gli aggiornamenti il mio xp non è originale quindi temo che aggiornandolo io venga scoperto da zio bill. aggiungendo che non conosco bene il regolamento del forum su questo tema ti chiedo la tua collaborazione finisce qui?
se la tua risposta è negativa ti chiedo se devo assolutamente installare il service pack 3 o no. per internet explorer io non lo uso da anni sono un fedele di mozzilla firefox devo aggiornarlo ugualmente?
in ogni caso grazie per il tuo aiuto

[bdoriano]

A questo punto il pc è ripulito da presenze estranee (virus e simili).

E' augurabile fare gli aggiornamenti di sistema proprio per evitare di ribeccarsi eventuali infezioni (che sfruttano falle in sistemi non aggiornati).

Sarebbe meglio aggiornare almeno IE (verranno aggiornati anche alcuni files di sistema).
Che io sappia IE7 e IE8 non controllano l'originalità di Windows prima dell'installazione... ma non ho dati certi in mano per potertelo garantire con assoluta sicurezza.

Per il resto, ci sono da fare aggiornamenti agli altri software:

• Installa l'ultima versione di Java (se non l'hai già fatto)
  
• Aggiorna il lettore PDF
  
  • Scarica e installa l'ultima versione di Adobe Reader
    
  • Una volta installato, aggiornalo:
    
    • Clicca ?
      
    • Clicca Ricerca aggiornamenti...
      
    • Scarica e installa tutti gli aggiornamenti proposti
      
    • Clicca Modifica
      
    • Clicca Preferenze...
      
    • Clicca Javascript
      
    • Togli il segno di spunta a Abilita Javascript di Acrobat
      
    • Clicca Ok
  
  oppure (meglio ancora)
  
• installa un lettore PDF alternativo (PDF X-Change Viewer, FoxIT Reader, SumatraPDF)

Una volta fatte queste operazioni, posta un log aggiornato di hijackthis.

[Mattaius91]

ho aggiornato java con successo
ho aggiornato IE 7
ho scaricato 3 volte adobe reader 9.1 ma mi ha sempre detto che il file era danneggiato per un errore durante il download, ho provato ad aggiornarlo partendo dal programma da
- ?
- ricerca aggiornamenti
ma ha fallito ancora.
ho provato a scaricare PDF X-Change Viewer ma si è riavviato il computer.

ho provato ad aggiornare IE8 che però al termine dell'installazione dopo aver riavviato il sistema mi dice che c'è stato un errore grave
allego il log di hjt:
hijackthis 18 07 09.txt

[bdoriano]

Quindi il problema ce l'hai solo con i lettori PDF?

Che cosa curiosa...

Chiudi tutti i browser
Disinstalla Adobe Reader
Riavvia il pc
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[Mattaius91]

ho disinstallato adobe ( e riavviato il pc)
ho eseguito hjt per "fixare" le voci che avevi segnalato
ho scaricato adobe dal collegamento che hai postato e quando ho eseguito il programma è comparso questo messaggio di errore
AdbeRdr910_it_IT_Nosso_error.log

ho fatto un altra scansione con hjt, se ti è utile ecco il log:
hijackthis.txt

[R16]

[bdoriano]

Quel messaggio di errore compare quando, effettivamente, viene scaricato un file danneggiato.

Non so se sia dovuto a un problema del sito Adobe o ad altro.
Quando lo scarichi dal sito Adobe, usi l'Adobe Download Manager?

Provo a caricartelo su un paio di siti di hosting, vedi se così riesci a scaricarlo e installarlo:
AdbeRdr910_it_IT.zip
AdbeRdr910_it_IT.zip

[Mattaius91]

[R16]

Ciao
Prova a installare Windows Installer CleanUp:
link
Una volta installato, lancialo da Tutti Programmi.
Sulla finestra che apparirà, scorri il menu a tendina,(Adobe si troverà nelle prime voci) e selezioni le voci che riguardano Adobe.
Poi clicca su "remove".
Esegui una pulizia con CCleaner (registro compreso).
Riavvia il pc
Riprova a installare Adobe.

[Mattaius91]

ciao R1
ho fatto come hai detto ma non sono riuscito a intallare adobe.

ho anche scaricato SP3 da qui (senza usare alcun download accelerator) : link
ma mi dice che il file è danneggiato.
ho provato allora con il file iso sempre di SP3 prendendolo da qui(ancora senza usae alcun download accelerator):
link
e l'ho montato con magic iso ma dice ancora file danneggiato.
a questo punto non capisco se durante il download davvero "perdo dei pezzi" dei file che scarico ( facendoli risultare danneggiati) oppure il pc riconosce come danneggiati file che non lo sono