Olimpo Informatico

[SMIGOL85]

Salve a tutti...

Due giorni fa ho beccato due cavalli di troia: Mebload e Mebroot. In due giorni ho effettuato svariati scan (locali e profondi) con il mio antivirus (Nod32) eliminando manualmente i vari virus che ne risultavano.

Ieri ho scoperto il vostro sito e mi son adoperata subito seguendo la scaletta del Pronto Soccorso. Ho tenuto chiuse tutte le applicazioni, eccetto le pagine internet da cui leggevo le istruzioni. Posto i vari risultati in calce.

Nonostante tutto, riscontro ancora problemi, soprattutto con Firefox. Le pagine continuano a bloccarsi se aperte contemporaneamente. E risulta impossibile vedere un qualsiasi video per più di un minuto. Infine, continua a crearsi una cartella "illegittima" chiamata "Help Assistent" nella mia cartella "Documenti".

Spero di avervi dato tutte le informazioni di cui avete bisogno...Il mio s.o. è Windows Xp.

[SMIGOL85]

1. Puliti i file temporanei con CCleaner
2. Rimossi gli ADS con HiJackThis
http://wikisend.com/download/202412/hijackthis.log
3. Scansione Gmer 1°passaggio
http://wikisend.com/download/443330/Gmer1.rtf

[R16]

Ciao.
Da come la racconti, dovresti avere l'MBR infetto.
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

[SMIGOL85]

Ciao R1!!!
Grazie per la pronta risposta...
Mi adopero subito per seguire i tuoi step. Ti aggiorno...Grazie ancora!

P.s. Ho dimenticato di postare i risultati degli altri test...
4. Gmer 2°passaggio
http://wikisend.com/download/118314/Gmer2.log
5. Malwarebytes
mbam-log-2009-10-30 (22-34-06).txt
6. SuperAntiSpyware
Un file sospetto eliminato

[bdoriano]

Se si tratta di MBR Rootkit:

1. Scarica questo programma e salvalo in C:\
   
2. Clicca Start
   
3. Clicca Esegui...
   
4. Digita:

   Codice:

   cmd

   
   
   
5. Clicca su ok
   
6. si apre la finestra DOS, digita:
   

   Codice:

   CD \

   
   premi invio
   
7. digita:
   

   Codice:

   mbr -f

   
   premi invio
   
8. digita:
   

   Codice:

   exit

   
   premi invio
   
   
9. Riavvia il pc
   
10. Posta qui il contenuto del log C:\mbr.log

Poi, procedi con le altre operazioni indicate da R1.

[SMIGOL85]

Eccomi...
Allora, ho eseguito i procedimenti in questo ordine (avevo già iniziato ad eseguire quelli di R1 quando ho letto quello di bdorian):

1. Disattivato il ripristino conf.sis.

2. Combofix
combofix.txt

3. Mbr
mbr.log

4.Systemscan
Ho provato più volte tra ieri sera e non me lo faceva installare (non trovava il file d'origine). Stamattina ho riprovato e mi è comparso l'allarme cavallo di troia variante di win32 genetik.

[bdoriano]

E' un falso allarme del tuo antivirus, ricordati di disabilitarlo prima di scaricare e avviare SystemScan.

Effettivamente, si tratta dl MBR Rootkit:

[SMIGOL85]

Anche disattivando l'antivirus, non riesco a scaricare SystemScan..
Mi compare scritto: "Il file xxxxxx non può essere salvato in quanto non è possibile leggere il file d'origine". Ho provato più di una volta. C'è un altro programma che posso usare?

Il nuovo rapporto di mbr è:
mbr.log

Grazie ancora per il prezioso aiuto...

[SMIGOL85]

P.s. SystemScan non me lo fa scaricare nemmeno disattivando il blocco pop-up (come consigliato dalla schermata di download)

[bdoriano]

Ok, il rootkit MBR è stato reso innocuo.

Per quanto riguarda SystemScan, clicca qui per scaricarlo (in formato zippato).
Scompattalo sul desktop e avvialo, ovviamente disattivando il tuo antivirus.

[SMIGOL85]

Niente da fare...Anche con due strade diverse:

1. Se faccio semplicemente temina su Nod32 il download arriva a 98% poi si blocca e dice:
"Il file xxxxxx non può essere salvato in quanto non è possibile leggere il file d'origine"

2. Se chiudo tutti i vari filtri di Nod32 (Amon, Dmon, Emon, Imon) e poi termino Nod32, internet non funziona più e non riesco nemmeno ad accedere alla pagina di download.
Allora provo a sconnettermi e riconnettermi ma compare scritto:
"L'istruzione a 0x0012e7b4 ha fatto riferimento alla memoria 0x00000000. La memoria non poteva essere "written"". E devo per forza riavviare il pc.

[bdoriano]

Disinstalla NOD32 e riprova.
Eventualmente, lo reinstalliamo alla fine della procedura di pulizia.

[SMIGOL85]

Fatto finalmente...
Ecco il report:
report.txt

Procedo a reinstallare Nod32?

[bdoriano]

Aspetta, prima finiamo alcuni passaggi...

Fai questa scansione con Kaspersky.

[SMIGOL85]

Eccomi...Perdono ma ho avuto un week end impegnatissimo...
Comunque, ho dovuto lanciare il test a più riprese perchè ci metteva tropo tempo (due notti). Nel primo mi aveva individuato un virus (che ho eliminato), mentre il secondo era pulito.
Però credo che non si sia salvato il report del test. Ci sono dei file chiamati ScanObjects eventlog ma ho provato ad aprirli con il blocco e non son caratteri alfabetici. Ho sbagliato qualcosa?

[bdoriano]

Dalla modalità provvisoria, fai questa scansione con Norman Malware Scanner
Vediamo se di questo riusciamo a recuperare i logs.

[SMIGOL85]

Ecco fatto lo scan:
NFix_2009-11-05_10-25-27.log

[bdoriano]

Ok, Norman non ha trovato alcunché.

Reinstalla NOD32 e posta un log aggiornato di hijackthis.

[SMIGOL85]

Lo scan con Hijack this è pulito...

[bdoriano]

Bene, mi fa piacere saperlo.