Olimpo Informatico

[bassottovolante]

Grazie anticipatamente.
Ho letto come segnalare il problema e cerco di essere sintetico:
sistema operativo: windows xp sp3
antivirus: AVG Free 9

L'antivirus mi ha trovato come minaccia "patched.cg" ho cercato su google e mi ha rimandato qui, quindi ho letto cosa fare:

ho scaricato mbam che mi ha trovato 9 "minacce" (immagine uplodata qui:

ed ho uplodato il log qui:
hijackthis

ho scaricato combofix ho riavviato in modalita' provvisoria e dopo i riavii ho uplodato il file qui:
combofix

Ho provato a incollare il file log di HJT sul loro sito ma quando cliccavo analizza mi compariva la schermata della mancata risposta del server... E' sempre colpa del virus???

Anticipo che e' la terza/quarta volta che trovo questa minaccia che credo mi abbia causato il danneggiamento di alcuni file importanti, tantevvero che la sera spengo il pc e la mattina successiva al riavvio mi mostra una schermata nella quale devo selezionare con che utente devo accedere... ma non ci sono utenti (!!!) e anche se seleziono sia amministratore che bobo non mi fa assolutamente accedere. Ho provato in modalita' provvisoria ma niente. Sono riuscito solo con la consolle di ripristino e con una guida fenomenale che (mi sembra) ho scaricato sempre dal vostro sito e solo recuperando i files system, default, software, sam, security dalla cartella snapshot sono riuscito a ripristinare la situazione. Adesso invece vorrei non doverlo piu' fare in questo modo perche' e' evidente che da qualche parte il problema si e' annidato visto che si ripresenta e chiedo il vostro aiuto. Non sono stato sintetico pero' credo che la descrizione del problema potrebbe essere di aiuto a qualche altro sfortunato...

graziegraziegrazie e buon lavoro

[bassottovolante]

...help me! C'è qualcuno che potrebbe controllarmi i log che ho postato prima?
I NEED HELP, PLEASE!!!!

[bassottovolante]

forse inconsapevolmente ho posto la domanda in maniera sbagliata, e se cosi' fosse me ne scuso, ma potreste darmi una risposta voi dell'olimpo?

grazie

[bdoriano]

Ciao bassottovolante,

ho dato un'occhiata veloce ai logs e di problemi ne hai diversi.
Solo una curiosità, quando hai fatto la scansione con MBAM, hai provveduto a eliminare gli elementi riconosciuti come pericolosi?

[bassottovolante]

Si ho provveduto all'eliminazione, ma dal primo messaggio ho lanciato nuovamente una scansione che mi ha trovato anche altre minacce che ho rimosso. Probabilmente da quei primi logs qualcosa sara' cambiato... Mi aiuti per piacere? Dimmi cosa devo fare...grazie

[bdoriano]

Ok, comincia con queste operazioni:

1. Scarica questo programma e salvalo in C:\
   
2. Clicca Start
   
   • Per Windows XP:
     Clicca Esegui...
     Digita:

     Codice:

     cmd

     
     
     Clicca su ok
     
     
   • Per Windows Vista/7:
     Tutti i programmi
     Accessori
     Clicca con il tasto destro del mouse su Prompt dei comandi e scegli Esegui come amministratore
   
   
3. si apre la finestra DOS, digita:
   

   Codice:

   CD \

   
   premi invio
   
4. digita:
   

   Codice:

   mbr -f

   
   premi invio
   
5. digita:
   

   Codice:

   exit

   
   premi invio
   
   
6. Riavvia il pc
   
7. Posta qui il contenuto del log C:\mbr.log

[bassottovolante]

ecco:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x863f0440
NDIS: SiS 900-Based PCI Fast Ethernet Adapter -> SendCompleteHandler -> 0x860c6330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

che altro dottore?

[bdoriano]

Ok, adesso procedi con queste operazioni:

1. Pulisci i files temporanei con CCleaner
   
2. Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
   
3. Segui le istruzioni di questo topic per usare MBAM.
   
4. scarica e installa la versione Free di SuperAntispyware:
   la configuri come da immagini:
   
   
   
   
   esegui una scansione completa del sistema
   
   
5. Fai questa scansione con SystemScan.
   
   
6. Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
   
   • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
     
   • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

[bassottovolante]

Grazie, eseguito quasi tutto: non ho potuto rimuovere gli ADS con HiJackThis perche' il disco e' formattato FAT 32.

Questi gli upload

http://wikisend.com/download/553322/hijackthis.log
http://wikisend.com/download/486524/mbam-log-2010-04-12 (10-15-15).txt
http://wikisend.com/download/909322/SUPERAntiSpyware Scan Log - 04-12-2010 - 13-37-44.log

aspetto

da quando mi hai scritto che di problemi ne ho parecchi mi sento come se avessi le pulci addosso (non che le abbia mai avute)...

[bdoriano]

MBAM risulta lindo e pulito.
SuperAntiSpyware ha eliminato altra robaccia.

Manca un log:

[bassottovolante]

ops... scusa.

http://wikisend.com/download/467698/report.txt

ecco

[bdoriano]

Ok, decisamente meglio.
Riscontri ancora problemi?

Ci sono da fare ancora alcune operazioni, ma prima voglio essere sicuro che sia tutto a posto.
Utilizzi Smart Protector e WebRoot SpySweeper?

[bassottovolante]

Ciao! Si per smartprotector, invece WebRoot SpySweeper l'ho installato ieri per fare un controllo, l'ho pescato da un altro "pronto soccorso virus" qui sul sito, ma lo tolgo domani mattina.
Altri problemi per il momento no. Quali altre operazioni facciamo?

[bdoriano]

Cominciamo con le disinstallazioni:

• Disinstalla Combofix, utilizzando OTC come indicato in questa discussione.
  
• Disinstalla WebRoot SpySweeper
  
• Disinstalla FileAssassin (è stato integrato in MalwareBytes' AntiMalware)
  
• Disinstalla a-squared HiJackFree 3.1

Passiamo agli aggiornamenti:

• Aggiorna Mozilla Firefox
  
  
• Aggiorna Adobe FlashPlayer:
  
  1. Scarica il programma di disinstallazione di FlashPlayer
     
  2. Scarica l'ultima versione di FlashPlayer per Internet Explorer (Windows 7/Vista/XP/2003/2000)
     
  3. Scarica l'ultima versione di FlashPlayer per Mozilla, Opera, Chrome, etc...
     
  4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
     
  5. Esegui il programma di disinstallazione scaricato al punto 1.
     
  6. Esegui il programma di installazione scaricato al punto 2.
     
  7. Esegui il programma di installazione scaricato al punto 3.

Scarica e installa l'ultima versione di Adobe Reader o, meglio ancora, un lettore PDF alternativo (PDF X-Change Viewer, FoxIT Reader, SumatraPDF)

Installa l'ultima versione di Java, scaricando la versione Offline da questa pagina

Al termine di queste operazioni, posta un log aggiornato di SystemScan.

[bassottovolante]

Systemscan log aggiornato:
http://wikisend.com/download/441324/report.txt

com'e'?

[bdoriano]

Presumo vada bene... il log manca delle voci riguardanti i servizi attivati, il software installato e i programmi eseguiti all'avvio del pc.

• Pannello di controllo
  
• Strumenti di amministrazione
  
• Servizi
  
• Cerca il servizio Java Quick Starter (serve a velocizzare l'avvio di Java)
  
• clicca con il tasto destro del mouse sul servizio indicato
  
• Arresta
  
• clicca con il tasto destro del mouse sul servizio indicato
  
• Proprietà
  
• Tipo di avvio: Disabilitato
  
• Conferma con Ok
  
• Chiudi le varie finestre

esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[bassottovolante]

... e come faccio a farti il log con quelle voci che mancano e perche' mancano?

Si tanto tempo fa c'era Norton, mcAfee mi sembra di si, ma non ricordo... Piuttosto, non ho piu' la guida di windows, ma gia' da un po', ho provato a cercare sia qui che in altri forum, ma non sono riuscita a ripristinarla. Hai visto anche questo nella palla di vetro?
Gli aggiornamenti di windows non posso scaricare, nel senso che ogni volta che me li installa s'impalla qualcosa e devo tornare indietro con i punti di ripristino... Che antivirus leggero posso usare? Avevo AVG 9, lo reinstallo?

log di hijackthis:
http://wikisend.com/download/560820/hijackthis.log

[bdoriano]

Quando esegui SystemScan, tutte le voci sono selezionate?

Visto che non usi più McAfee e Norton, ti faccio eliminare altre voci inutili...

esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[bassottovolante]

Si, tutte selezionate, comunque ho rifatto il log di SystemScan:
http://wikisend.com/download/539278/report.txt

Qui invece quello di hijackthis:
http://wikisend.com/download/505386/hijackthis.log

[bdoriano]

Nuovo aggiornamento Java:
Installa l'ultima versione di Java, scaricando la versione Offline da questa pagina

Hai le versioni vecchie di:

• Mozilla Firefox
  
• Unlocker
  
• Revo Uninstaller

Disinstalla Java(TM) 6 Update 7

Posta un log aggiornato di hijackthis