Olimpo Informatico

[Andy_70]

Ciao a tutti, avrei bisogno del vostro aiuto per risolvere un problema con il mio pc: da qualche giorno quando avvio qualsiasi browser, il caricamento delle pagine è di una lentezza esasperante. Ho fatto una scansione prima con Avast che ha trovato il trojan Win32/Cycbot poi con Spybot&destroy che ha eliminato altri problemi nelle chiavi di registro. Ora la scansione è pulita però il problema rimane quindi penso che il virus non sia stato tolto del tutto.
Tra l'altro non so se c'entra ma il mese scorso mi sono state clonate 2 carte di credito con cui avevo fatto acquisti online su questo computer.
Ringrazio in anticipo per l'aiuto.

[Luko]

Ciao Andy_70.

Cominciamo a controllare il pc

N.B: Esegui queste procedure una alla volta seguendo questo ordine

• Disattiva il ripristino configurazione di sistema,
  http://forum.zeusnews.com/viewtopic.php?t=22084
  
  
• Pulisci i files temporanei con CCleaner (registro compreso)
  http://forum.zeusnews.com/viewtopic.php?p=282670#282670
  
  
• Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
  C:\Windows\Prefetch
  
  
• Segui le istruzioni di questo topic per eliminare gli ADS:
  http://forum.zeusnews.com/viewtopic.php?t=45223
  
  
• Scarica e installa la versione Free di SuperAntispyware:
  linklo configuri come da immagini :
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
  http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
  Aggiornalo ed esegui una scansione completa ed elimina quello che è stato trovato.
  
  
• Segui le istruzioni di questo topic per usare MBAM:
  http://forum.zeusnews.com/viewtopic.php?p=297823#297823
  Aggiornalo ed esegui una scansione completa, elimina gli eventuali file infetti trovati.
  
  
• Segui le istruzioni di questo topic per postare un log di Hijackthis:
  http://forum.zeusnews.com/viewtopic.php?p=194964#194964
  
  
  
• Carica i log di SuperAntispyware, Mbam, Hijackthis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
  link

Successivamente provvederemo a cambiare i tuoi software di sicurezza.

[Andy_70]

Ciao Luko e grazie per la risposta!
Ho provato a fare l'upload delle scansioni su wikisend ma mi compare la scritta "We are sorry, but an error has occured while uploading.", come posso fare per postare i log?

[Luko]

Prova su freefilehosting!

[Andy_70]

Ecco, su freefilehosting li carica senza problemi...sono questi i link da postare?

link

link

link

[Luko]

Err... Ora sono io ad avere un problema
Non riesco a scaricarli...

Me li manderesti come allegato per email?
Provvederò io a farne l' upload ed ad aggiungere i link a questa discussione.

La mia mail è luko92@gmail.com

[Andy_70]

Ok, mail inviata

Edit by Luko: ecco i report

• mbam-log-2011-01-03 (17-56-51).txt
  
• hijackthis.log
  
• SUPERAntiSpyware Scan Log - 01-03-2011.log

[Luko]

OMG, c'è di tutto

Come al solito esegui la procedura in ordine.

• Ripeti la scansione con mbam, devi farla completa e non veloce.
  Rimandami il log per email quando hai finito.
  Nonostante sia stata fatta una scansione veloce, mbam ha rilevato molte cose e gli hai detto di non rimuoverle (No action taken.)
  Aggiorna mbam, fai una scansione completa ed elimina tutto quello che trova.
  
  
• Superantispyware ha rilevato di tutto, già che ci sei aggiorna il programma, rifai una scansione e mandami per email il log, giusto per essere sicuri che abbia rimosso tutto.
  
  
• Avvia Hijackthis, nel menù principale clicca Do a system scan only, metti la flag sulle seguenti voci:
  

  Citazione:

  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50370 O16 - DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} (nvEPLMedia Control) - http://10.1.1.10:8080/nvEPLMedia.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pusinantitelefonia.it O17 - HKLM\Software\..\Telephony: DomainName = pusinantitelefonia.it O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pusinantitelefonia.it O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pusinantitelefonia.it O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\2.bin\ASKTBAR.DLL (file missing) O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\2.bin\ASKTBAR.DLL (file missing)

  
  
  
• Posta un nuovo log di Hijackthis.

Più tardi dovremo cambiare il tuo antivirus e fare altre cose sul tuo pc, ma non c'è fretta.

N.B: Dovevi fare delle operazioni con Ccleaner ma non lo vedo sul tuo pc, lo hai disinstallato o non le hai proprio fatte?
A dopo

[Luko]

Anche io ho problemi con il servizio di upload
Prova ad usare 2shared, supporta anche gli upload multipli.

hijackthis
mbam
SUPERAntiSpyware

Le operazioni con HJ sono andate a buon fine ma sei ancora infetto

Il log di mbam è incompleto, che fine ha fatto questo oggetto?

[Andy_70]

Ecco il link della scansione: Combofix

Per l'oggetto apparentemente mancante, ho controllato e si trova in

c:\documents and settings\monica pela\dati applicazioni

qui c'è una cartella chiamata oro1lzcvriwanrbecrpkz che è vuota.

[Luko]

Cancella anche la cartella.

Siamo alla fine dei giochi, l' infezione è rimossa ma bisogna levare i rimasugli.

Scarica The Avenger e scompattalo in una sua cartella.

Avvia il tool e segui queste istruzioni:

1. Compare la videata dell'avvertenza, clicca OK
   
   
   
2. Nella videata successiva:
   
   • togli il segno di spunta a Scan for rootkits
     
   • Inserisci il seguente script nel riquadro segnalato in rosso
     

     Codice:

     Files to delete: c:\documents and settings\Monica Pela\Dati applicazioni\xssendmelv1ydusgcvjdypoylj2bmrnvobtyh c:\documents and settings\Monica Pela\Dati applicazioni\oro1lzcvriwanrbecrpkzxtzvfcm12n2

     
     
   • Clicca Execute
   
   
   
   
3. Conferma l'avvio dell'operazione cliccando Si
   

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger (lo trovi nel file C:\avenger.txt).


Dopo aver postato il log non sparire, abbiamo ancora un po' di lavoro da fare

[Andy_70]

Intanto ho notato che la velocità di navigazione è decisamente migliorata

Ecco il link di Avenger

[Luko]

Perfetto, sei pulita

Continuiamo con aggiornamenti e sostituzioni.
Leggi tutto prima di cominciare e segui la lista in ordine.

• Scarica Avira Antivir e non avviare il programma.
  
• Scarica questo programma per disinstallare avast!
  
  • Riavvia il computer in modalità provvisoria
    
  • Esegui il programma che hai appena scaricato
    
  • Clicca su Remove
    
  • Al termine della procedura riavvia il computer
  
  
• Utilizza questa guida per installare Avira Antivir (per non accedere ad Internet senza antivirus utilizza un altro computer per leggere la guida oppure fai una copia del 3D sul tuo pc e scollegati da internet).
  
• Disinstalla Ad-Aware
  
• Disinstalla Spybot-S&D
  
• Disinstalla tutte le toolbar (a meno che tu non le usi) [trovi l' elenco in Installazione applicazioni]
  
• Disinstalla Adobe Acrobat Reader 9.0 ed installa la versione successiva
  
• Disinstalla PC Fix 2010 Registry Cleaner
  
• Disinstalla Live msn 6 ed installa la versione più recente
  
• Vai in Installazione Applicazioni, e disistalla TUTTE le versioni Java che trovi.
  Installa questa:
  link
  
• Aggiorna Internet Explorer

Aggiorna Adobe FlashPlayer:

1. Scarica il programma di disinstallazione di FlashPlayer
   
2. Scarica l'ultima versione di FlashPlayer per Internet Explorer (Windows 7/Vista/XP/2003/2000):
   Sito 1
   Sito 2
   FlashPlayer per Internet Explorer (Windows 98/ME)
   
3. Scarica l'ultima versione di FlashPlayer per Mozilla, Opera, Chrome, etc...:
   Sito 1
   Sito 2
   
4. Chiudi tutti i browser (IE, Opera, Firefox, Chrome, etc)
   
5. Esegui il programma di disinstallazione scaricato al punto 1.
   
6. Esegui il programma di installazione scaricato al punto 2.
   
7. Esegui il programma di installazione scaricato al punto 3.

• Pulisci i file temporanei con Ccleaner
  
• Scarica Glary Utilities (free) e installalo
  In fase di installazione ti chiederà di installare anche la Ask Toolbar, scegli tu se farlo o meno
  
• Avvia Glary Utilities
  
• Menu - Settings per impostarlo in lingua italiana
  
• Moduli - Ottimizza e migliora - Gestione menù contestuale
  Da qui puoi verificare che tutte le voci proposte siano corrette (se trovi qualche voce nulla, eliminala) e puoi disabilitare o rimuovere quelle che non ti interessano più
  
• Moduli - Strumenti di sistema - Assistente di Internet Explorer
  Controlla le varie voci:
  
  • BHO IE
    
  • Barre Strumenti IE
    
  • Barre Esplorazione IE
    
  • Menù Contestuali Extra di IE
    
  • Pulsanti Extra di IE
    
  • ActiveX Scaricate in IE
  
  Da qui puoi verificare che tutte le voci proposte siano corrette (se trovi qualche voce nulla, eliminala) e puoi disabilitare o rimuovere quelle che non ti interessano più.
  
• Deframmentazione del disco
  
• Posta un log di HJ.

[Andy_70]

Ottimo Luko, grazie mille per l'aiuto!
Visto che il pc infetto è quello dell'ufficio e rientro Lunedì, farò le prossime operazioni appena torno al lavoro e nel frattempo scarico i programmi

[Luko]

Ma... Dirlo prima?
Avresti dovuto contattare il reparto tecnico della tua azienda!

[Andy_70]

Purtroppo in azienda non c'è un reparto tecnico...se un pc ha dei problemi in pratica dobbiamo arrangiarci!
Cambia qualcosa il fatto che sia il pc dell'ufficio e non di casa? Posso comunque fare le ultime operazioni che mi hai suggerito?

[Luko]

è una mia scelta non dare assistenza su computer aziendali in quanto potrebbero essere "diversi" da quelli normali e non so quale sia la politica dei software da installare. Ma quel che è fatto è fatto...

Si, dovresti poter continuare le operazioni senza alcun problema.

Ti consiglio di fare una copia di backup dell' intero sistema prima di procedere, ormai il peggio è passato e queste operazioni non hanno mai creato problemi, ma il pc non è tuo e sarebbe il caso utilizzare tutte le possibili precauzioni.