Olimpo Informatico

[smn]

salve, ho seguito tutte le istruzioni presenti su questo forum per cercare di eliminare un virus bagle trovato. allego i vari log per l'analisi.
grazie
find1
http://wikisend.com/download/515694/fk1.txt
find2
http://wikisend.com/download/944296/fk2.txt
elibagla
http://wikisend.com/download/591432/InfoSat.txt
norman1
http://wikisend.com/download/440738/norman1.log
norman2
http://wikisend.com/download/200002/norman2.log
superahttp://wikisend.com/download/469942/SUPERAntiSpyware Scan Log - 01-19-2010 - 23-17-07.logntispyware

hijackthis
http://wikisend.com/download/440364/hijackthis.log

[Anny]

Molte infezioni sono state rimosse - ma non sono convinta che tutto è a posto - segui le istruzioni per win XP riportate qui per fare girare combofix - poi pubblica il report - qualcuno lo controllerà.

[smn]

grazie, siete stati molto gentili.
ecco il link di combofix
http://wikisend.com/download/612986/logcombofix.txt

[Anny]

Mi sembra molto meglio - adesso fai che pubblicare un nuovo log di hijack e vediamo alcune cose - dovresti anche fare un controllo sui questi servizi – fai in questo modo – start – esegui – nella casella scrivi questo comando services.msc - conferma con ok – qui devi controllare se questi servizi sono abilitati oppure no:

avvisi - centro sicurezza PC - aggiornamenti automatici - connessioni di rete - zero Configuration reti senza fili - windows Firewall/Condivisione connessione Internet (ICS)

se non sono abilitati – per ogni servizio fai cosi: tasto destro del mouse sul servizio – proprietà – automatico – ok – avvia – ok

devi anche controllare – se lo usi – se il wifi funziona – se non funziona dimmelo che ti spiego cosa devi fare.

[smn]

vi invio il log hijack.
wifi funziona.
grazie mille.
http://wikisend.com/download/913502/2 hijackthis.txt

[Anny]

bene - adesso devi fare questo - ma ci sono ancora gravi problemi - come prima lancia hijackthis - poi devi selezionare le voci che ti indico:

R3 - URLSearchHook: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Programmi\Cerca_Italia\tbCer0.dll
R3 - URLSearchHook: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP1.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP1.dll
O2 - BHO: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Programmi\Cerca_Italia\tbCer0.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Cerca Italia Toolbar - {45dd02aa-87d3-441a-9e77-068f8fa93fc8} - C:\Programmi\Cerca_Italia\tbCer0.dll
O3 - Toolbar: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP1.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE

una volta che le hai selezionate - chiudi tutte le istanze di internet explorer aperte - e clicca sul tasto fix checked - poi - dopo il fix -pubblica un nuovo log.

Altra cosa - questa grave - dal tuo log sembra che sul tuo pc non sia installato nessun antivirus - è possibile? - non puoi navigare senza - quindi ne dovresti installare uno - e anche di corsa.

[R16]

[Anny]

ciao R1 - giusta la tua segnalazione - le voci le avevo viste anche io - aspettavo di vedere il nuovo log - poi pensavo di fare uno scan supplementare con norman - consigliare avira antivir è perfetto!! - smn - fai tutte le operazioni che ti ha consigliato R1.

[smn]

Salve l'antivirus l'ho istallato adesso perchè il virus l'aveva bloccato e io
per errore l'avevo cancellato.ho seguito alla lettera le istruzioni,vi invio il log richiesto.
grazie
http://wikisend.com/download/430378/1 logcombofix.txt

[Anny]

Se hai seguito le indicazioni di R1 - va bene - combofix ha eliminato diversa roba - adesso dovresti eseguire uno scan con avira - e pubblicare il report - assieme ad un nuovo log di hijackthis - fatto dpo la scansione con avira.

[smn]

Poi dovrebbe eliminare, seguendo il percorso i file\cartelle in rosso:
C:\WINDOWS\system32\drivers\sysmgr\svchost.exe
C:\WINDOWS\system32\drivers\sysmgr\init\svchost.exe
C:\Programmi\Cerca_Italia\tbCer0.dll
C:\Programmi\RapidBIT\cisvc.exe

scusate l'ignoranza ma da dove devo eliminare questi file?

[smn]

sono riuscita a cancellare le ultime 2 cartelle ma le cartelle presenti in sistem32\driver..... non me le fa cancellare.

[smn]

ciao, ho fatto tutto quello che dovevo e questi sono i log che ho ottenuto. spero di aver risolto...siete stati tutti gentilissimi.
l'unica cosa che non sono riuscita a fare e cancellare quelle 2 cartelle di sistem32 che mi diceva R1, mi dice che è protetto.
grazie ancora

http://wikisend.com/download/921696/hijackthisultimo.txt

http://wikisend.com/download/590956/mbam-log-2010-02-03 (11-30-01).txt

http://wikisend.com/download/512364/AVSCAN-20100203-113203-EDD03EDF.LOG

http://wikisend.com/download/529404/hijackthisdopo avira.txt

[R16]

Per favore, rifai la scansione con Malwarebytes.
Elimina, gli eventuali file infetti.
Posta il log.

Poi:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O23 - Service: Boonty Games - Unknown owner - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Remote Connections Service (FlexService) - Unknown owner - C:\Programmi\RapidBIT\cisvc.exe (file missing)
N.B: se non riesci a eliminarle, prova in Modalità provvisoria.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Fai una deframmentazione del HD.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

[smn]

ho eliminato i file senza problemi, spero di aver risolto.
questo è il log che mi hai chiesto
http://wikisend.com/download/912786/mbam-log-2010-02-03 (23-09-20).txt

grazie

[R16]

[smn]

ho riavviato il pc e avira funziona e scarica anche gli aggiornamenti.
io mi son sempre trovata bene con avast tolgo avira e scarico quello???

[Anny]

ciao smn

[smn]

ho seguito tutte le istruzioni di R1 ecco il log

http://wikisend.com/download/567366/log.txt

[R16]

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript