Olimpo Informatico

[alduti]

Ciao, Win XP SP3 su notebook Toshiba Satellite pro 300

dico subito che i 3 antivirus o antimalware che uso Spybot, Spyware terminator e Malwarebytes (aggiornatissimi) non mi segnalano nulla. Però XP è lentissimo all'avvio, la comparsa delle icone sul desktop avviene lentamente, le normali funzioni del notebook sono di molto rallentate. Dopo circa un 20 minuti di funzionamento, il NB si blocca e non funziona + nulla. Il primo indizio è che se clicco su Start il menu appare, ma in controluce (non chiaro come al solito) e non è cliccabile. Fuori uso Task manager e apertura finestre. Dopodichè blocco della macchina. Non funziona neanche l'avviare da CD il notebook (con Edit commander) ne la consolle di ripristino all'avvio della macchina.

La cosa strana è che invece quando funziona, la navigazione su internet è + veloce di prima. O c'è qualcosa che nessuno è in grado di segnalarmi o si è sputtanato qualche file di Windows.

Chi mi aiuta? Grazie

ComboFix.txt

[R16]

Ciao.
I sintomi, sembrano quelli del MBR infetto.
E anche Combofix, li rileva.
Solo che dice che lo ha riparato.
Vediamo se è vero:

Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
La scansione dura pochi secondi.
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C:\

[alduti]

Prima di tuuto grazie. Ho seguito le istruzioni ed ecco cosa riporta il .txt generato:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !

[R16]

Ciao.
Segui queste indicazioni:
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Conferma con Applica e poi OK.
Poi:
Dal Pannello di Controllo vai in Strumenti di Amministrazione ed apri Gestione Computer.
Espandi(clicca sul +) la visualizzazione di Utenti e gruppi locali.
Clicca una volta, sopra la cartellina Users,e sulla destra della pagina,trovi l'account HelpAssistant.
Clicca con il tasto destro del mouse, sull'account HelpAssistant.
clicca su: Proprietà.
Nella finestra di dialogo Proprietà metti la spunta, a l'opzione: Account disabilitato.
Poi, clicca nuovamente su: Proprietà, clicca sulla tabella in alto: "Membro di" e se nel box appare Amministratore, selezionalo, e premi il tasto "Rimuovi": in questo modo si esclude l'account HelpAssistant dal gruppo Amministratori.

A questo punto, segui questo percorso, ed elimina TUTTE le cartelle denominate HelpAssistant
C:\ Documents and Settings\ HelpAssistant
Svuota il cestino.
Riavvia il pc.

Fai una nuova scansione con Combofix.
Posta il log.

[alduti]

Fatto

ComboFix.txt

c'erano 2 cartelle HelpAssistant, una vuota e una piena di roba, tanto che ero persino preoccupato nel cancellarla ...

[R16]

Ciao.
Devi eliminarle.
Sono loro il problema.
Adesso, il pc dovrebbe funzionare bene.
O no....?

[alduti]

Prima di tutto ancora grazie per la tua presiosa disponibilità e grande competenza in merito (ma quanti rootkit hai beccato?

Dunque: il PC sembra non bloccarsi + e l'apertura di cartelle e file avviene con una buona velocità. Permane una notevole lentezza all'avvio: pensa che le icone del desktop ci mettono anche 10 secondi ad attivarsi dopo che sono comparse come icone generiche e lo fanno una alla volta.

Inoltre la prima operazione che faccio post avvio è veramente lenta; poi il tutto riprende normalmente.

[R16]

Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

[alduti]

ecco hijackthis

hijackthislog.txt

[R16]

Vai in "Installazione Applicazioni" e disistalla tutte le toolbar che trovi:
Toolbar: Easy-WebPrint
Toolbar: &Vocal Reader
Toolbar: Adobe PDF .

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

[alduti]

una toolbar non sono riuscito a toglierla. ecco il log

ComboFix.txt

[R16]

Segui questo percorso, ed elimina il file scritto in rosso:
c:\windows\system32\drivers\utiymzq1.sys

Segui le istruzioni di questo topic per rimuovere combofix, e gli altri eventuali tooll installati:
http://forum.zeusnews.com/viewtopic.php?t=47670

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Vocal Reader - {E00DD475-1DF2-4881-8CFE-65951AFFA46C} - C:\Programmi\VocalReader\VRForIEBand.dll
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [topi] C:\Programmi\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programmi\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Aldo\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU..Run: [Skype] "C:ProgrammiSkype\PhoneSkype.exe" /nosplash /minimized
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1D0C59-5ECC-4028-87F3-482191D2230F} (AxisRTPSrcFilter) - http://webcam.hotelbibionepalace.it/activex/AMC.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1247604384421
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab

Dai una pulita (registro compreso)con CCleaner.
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
SVUOTA IL CESTINO

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Fai una deframmentazione del HD.
Esegui anche uno Scandisk.

[alduti]

Ciao, ho fatto, ma non è cambiato molto.

Adesso ho provato a disattivare tutto quello che partiva all'avvio. Il problema è sparito. solo che mi tocca fare parecchi riavvì segnandomi i task in modo da indivisuare empiricamente quello che da problemi. Na faticaccia anche perchè sono 3 giorno che faccio riavvii ...

Grazie ancora e ciao
Aldo

[R16]

Sì, cerca di individuare il programma che crea il problema.
Poi fai una scansione con Tool di Kaspersky:
http://forum.zeusnews.com/viewtopic.php?p=297845
Posta il log.