www.MegaLab.it

[adara]

niente, è stato quasi mezz'ora a cercare gli aggiornamenti disponibili, non sapendo come farlo smettere ho cliccato manualmente su "cronologia aggiornamenti" allora mi ha proposto un aggiornamento importante di NETframework da fare a parte, lo ha scaricato ma non è riuscito ad installarlo
sono cotta, vado a nanna
hashcat, ti ringrazio tantissimo per come mi stai seguendo a domani

[hashcat]

Windows Update:

Per tentare di risolvere il problema con gli aggiornamenti utilizza questo strumento

SystemLook:

Purtroppo anche questa volta lo script non è stato interpretato correttamente (assicurati che non ci siano spazi o caratteri superflui).

ritornando al tuo script per gli aggiornamenti, ho cliccato sulla voce "microsoft update" del menu start per vedere se il sistema è ben aggiornato; è già un po' che cerca aggiornamenti disponibili e mi sono accorta che non ha aperto mozilla (browser predefinito) per scaricarli, bensì IE, che non uso da una vita e che penso non sia aggiornato... mica imbarcherò altri virus

Su Windows XP gli aggiornamenti vengono scaricati sempre utilizzando Internet Explorer

è possibile che le chiavi usb e l'hard disk esterno siano infettati? cosa devo fare?

Si, è possibile. Se ricordo bene Avira possiede una funzione che protegge dalle minacce che utilizzano il file autorun.inf per propagrasi sfruttando le periferiche rimovibili.
Se possibile evita di collegare dispositivi rimovibili al computer prima del termine della disinfezione.

Per ottenere una protezione maggiore utilizza questo fix

Ninja:

Per proteggerti da questo tipo di minacce utilizza Ninja

MbrScan:

1. Scarica MbrScan da qui
2. Eseguilo
3. Clicca su Report
4. Si aprirà una finestra del Blocco Note con il log
5. Copia il log e postalo su MegaLab.it

Flash Player:

Aggiorna Flash Player alla versione 11

AdwCleaner:

1. Scarica AdwCleaner da qui
2. Avvialo
3. Clicca su Delete
4. Attendi fino al termine della procedura
5. Apparirà una finestra in inglese, premere Ok
6. Inserisci nel tuo prossimo messaggio il log di AdwCleaner che si trova in C:\

Stealth Rootkit Detector:

1. Scarica lo strumento da qui
2. Salvalo in C:\
3. Apri il prompt dei comandi
4. Digita cd C:\
5. Digita mbr.exe
6. Posta il log mbr che trovi in C:\

Malwarebytes Antimalware:

1. Scarica Malwarebytes Antimalware da qui
2. Installalo
3. Aggiornalo
4. Esegui una scansione completa
5. Metti tutte le minacce rilevate in quarantena
6. Salva il log e postalo su MegaLab.it

[adara]

1) log di Systemlook (forse stavolta ce l'ho fatta):

SystemLook 30.07.11 by jpshortstuff
Log created at 20:18 on 24/01/2012 by utente
Administrator - Elevation successful

========== filefind ==========

Searching for "ipsec.dll"
No files found.

Searching for "appmgmt.dll"
No files found.

Searching for "browsvr.dll"
No files found.

Searching for "trkw.dll"
No files found.

Searching for "trks.dll"
No files found.

Searching for "kdc.dll"
No files found.

Searching for "dmsrv.dll"
No files found.

Searching for "mesg.dll"
No files found.

Searching for "netlogin.dll"
No files found.

Searching for "protstrg.dll"
No files found.

Searching for "lmhosts.dll"
No files found.

Searching for "w32t.dll"
No files found.

Searching for "ntms.dll"
No files found.

Searching for "usb2.sys"
No files found.

========== regfind ==========

Searching for "AppMgmt"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"="6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov BITS wuauserv ShellHWDetection helpsvc WmdmPmSN napagent hkmsvc"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
"DllName"="appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_APPMGMT]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_APPMGMT\0000]
"Service"="AppMgmt"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Parameters]
"ServiceDll"="%SystemRoot%\System32\appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AppMgmt\Enum]
"0"="Root\LEGACY_APPMGMT\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Application Management]
"EventMessageFile"="%SystemRoot%\System32\appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_APPMGMT]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_APPMGMT\0000]
"Service"="AppMgmt"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AppMgmt\Parameters]
"ServiceDll"="%SystemRoot%\System32\appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Application Management]
"EventMessageFile"="%SystemRoot%\System32\appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000]
"Service"="AppMgmt"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters]
"ServiceDll"="%SystemRoot%\System32\appmgmts.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Enum]
"0"="Root\LEGACY_APPMGMT\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Application Management]
"EventMessageFile"="%SystemRoot%\System32\appmgmts.dll"

Searching for "ipsec.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\napipsecenf]
"EventMessageFile"="%SystemRoot%\System32\napipsec.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\System\napipsecenf]
"EventMessageFile"="%SystemRoot%\System32\napipsec.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\napipsecenf]
"EventMessageFile"="%SystemRoot%\System32\napipsec.dll"

Searching for "appmgmt.dll"
No data found.

Searching for "browsvr.dll"
No data found.

Searching for "trkw.dll"
No data found.

Searching for "trks.dll"
No data found.

Searching for "kdc.dll"
No data found.

Searching for "dmsrv.dll"
No data found.

Searching for "mesg.dll"
No data found.

Searching for "netlogin.dll"
No data found.

Searching for "protstrg.dll"
No data found.

Searching for "lmhosts.dll"
No data found.

Searching for "w32t.dll"
No data found.

Searching for "ntms.dll"
No data found.

Searching for "usb2.sys"
No data found.

========== service ==========

AppMgmt
Gestione applicazione
"Offre servizi di installazione di software come Assegna, Pubblica e Rimuovi."
Current Status: Stopped
Startup Type: Demand
Error Control: Critical
Binary: C:\WINDOWS\system32\svchost.exe -k netsvcs
Group: (none)
SafeBoot: Minimal Network
Dependencies:
(none)
Dependant Services:
(none)

========== Environment Variables ==========

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\utente\Dati applicazioni
asl.log=%asl.log%
CLASSPATH=.;C:\Programmi\Java\jre6\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programmi\File comuni
COMPUTERNAME=ACER-2D60536D59
ComSpec=C:\WINDOWS\system32\cmd.exe
configsetroot=%configsetroot%
DFSTRACINGON=%DFSTRACINGON%
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\utente
LOCALAPPDATA=%LOCALAPPDATA%
LOGONSERVER=\\ACER-2D60536D59
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programmi\PC Connectivity Solution;C:\Programmi\QuickTime\QTSystem;C:\WINDOWS\system32\WindowsPowerShell\v1.0
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.PSC1
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0d08
ProgramData=%ProgramData%
ProgramFiles=C:\Programmi
PROMPT=%PROMPT%
PUBLIC=%PUBLIC%
QTJAVA=C:\Programmi\Java\jre6\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\utente\IMPOST~1\Temp
TMP=C:\DOCUME~1\utente\IMPOST~1\Temp
TRACE_FORMAT_SEARCH_PATH=%TRACE_FORMAT_SEARCH_PATH%
USERDOMAIN=ACER-2D60536D59
USERNAME=utente
USERPROFILE=C:\Documents and Settings\utente
VBOX_INSTALL_PATH=%VBOX_INSTALL_PATH%
windir=C:\WINDOWS

-= EOF =-

2) ho installato il fix e Ninja


3) log di MbrScan

Codice: Seleziona tutto

MBRScan v1.0.7

OS             : Windows XP Home Service Pack 3 (32 bit)
PROCESSOR      : x86 Family 6 Model 13 Stepping 8, GenuineIntel
BOOT           : Normal Boot
DATE           : 2012/01/24 (ISO 8601) at 20:41:55
________________________________________________________________________________

DISK           : Device\Harddisk0\DR0 __SAMSUNG MP0804H (YS200-05)
BUS_TYPE       : (0x03)  P-ATA
USE_PIO        : YES
MAX_TRANSFER   : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________

Device\Harddisk0\DR0   74.56 Go  [Fixed] ==> Acer Recovery

MBR_MD5   : 64F20AFA3765D0548AE85C3FDCBD3AAD
MBR_SHA1  : ED607B3A3A3D864E0593E93AD04DB2C199F1446A

Device\Harddisk0\Partition1   3.13 Go     0x12 Diagnostic
Device\Harddisk0\Partition2   51.87 Go     0x0B FAT32 [CHS]  __ BOOTABLE __
Device\Harddisk0\Partition3   19.56 Go     0x0C FAT32 [LBA]
________________________________________________________________________________


_______MBR   \Device\Harddisk0\DR0 

0x00000000   31 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C   1À.м.|ûP.P.ü¾.|
0x00000010   BF 1B 06 50 57 B9 E5 01 F3 A4 CB BF 05 00 31 C0   ¿..PW¹å.ó¤Ë¿..1À
0x00000020   B2 80 CD 13 73 07 4F 74 02 EB F3 EB FE BD 79 07   ².Í.s.Ot.ëóëþ½y.
0x00000030   80 7E 00 5A 74 41 F8 B8 10 96 B3 15 CD 15 72 16   .~.ZtAø¸..³.Í.r.
0x00000040   81 F9 00 00 74 2E F8 B8 10 96 B3 16 CD 15 72 06   .ù..t.ø¸..³.Í.r.
0x00000050   81 F9 01 00 74 1E F8 B8 10 96 B3 18 CD 15 72 06   .ù..t.ø¸..³.Í.r.
0x00000060   81 F9 01 00 75 11 F8 B8 81 CA CD 15 80 FA 01 74   .ù..u.ø¸.ÊÍ..ú.t
0x00000070   06 E9 68 00 E9 65 00 BD BE 07 66 8B 5E 08 60 68   .éh.ée.½¾.f.^.`h
0x00000080   00 00 68 00 00 66 53 68 00 00 68 00 7C 68 01 00   ..h..fSh..h.|h..
0x00000090   68 10 00 B4 42 B2 80 89 E6 CD 13 61 61 73 0B 4F   h..´B²..æÍ.aas.O
0x000000A0   74 08 30 E4 B2 80 CD 13 EB CD E8 7F 00 BD BE 7F   t.0ä².Í.ëÍè..½¾.
0x000000B0   C6 46 00 80 C6 46 10 00 C6 46 04 0B A0 7A 7F A8   ÆF..ÆF..ÆF...z.¨
0x000000C0   04 74 04 80 4E 24 10 A0 7A 7F A8 08 74 04 80 4E   .t..N$..z.¨.t..N
0x000000D0   34 10 E8 7A 00 68 00 00 68 00 7C CB BD BE 07 66   4.èz.h..h.|˽¾.f
0x000000E0   8B 5E 18 60 68 00 00 68 00 00 66 53 68 00 00 68   .^.`h..h..fSh..h
0x000000F0   00 7C 68 01 00 68 10 00 B4 42 B2 80 89 E6 CD 13   .|h..h..´B²..æÍ.
0x00000100   61 61 73 0B 4F 74 08 30 E4 B2 80 CD 13 EB CD E8   aas.Ot.0ä².Í.ëÍè
0x00000110   1A 00 BD BE 7F 80 7E 04 12 74 BA C6 46 00 00 C6   ..½¾..~..tºÆF..Æ
0x00000120   46 10 80 C6 46 04 12 E8 25 00 EB A9 BF 05 00 31   F..ÆF..è%.ë©¿..1
0x00000130   C0 8E C0 BB 00 7E B8 01 02 B5 00 B1 01 B6 00 B2   À.À».~¸..µ.±.¶.²
0x00000140   80 CD 13 73 09 4F 74 06 30 E4 CD 0D EB DE C3 BF   .Í.s.Ot.0äÍ.ëÞÿ
0x00000150   05 00 31 C0 8E C0 BB 00 7E B8 01 03 B5 00 B1 01   ..1À.À».~¸..µ.±.
0x00000160   B6 00 B2 80 CD 13 73 09 4F 74 06 30 E4 CD 0D EB   ¶.².Í.s.Ot.0äÍ.ë
0x00000170   DE C3 00 00 41 63 65 72 0C 33 00 00 73 79 73 74   ÞÃ..Acer.3..syst
0x00000180   65 6D 00 00 00 00 00 00 00 00 00 00 00 00 00 00   em..............
0x00000190   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001A0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
0x000001B0   00 00 00 00 00 00 00 00 FD 34 FE 34 00 00 00 01   ........ý4þ4....
0x000001C0   01 00 12 FE 7F 97 3F 00 00 00 59 03 64 00 80 00   ...þ..?...Y.d...
0x000001D0   41 98 0B FE FF FF 98 03 64 00 B3 CA 7B 06 00 FE   A..þ....d.³Ê{..þ
0x000001E0   FF FF 0C FE FF FF 4B CE DF 06 7A 11 72 02 00 00   ...þ..KÎß.z.r...
0x000001F0   00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA   ..............Uª


4) ho aggiornato Flash Player, si è automaticamente scaricato e installato anche McAfee


5) log di adwCleaner

# AdwCleaner v1.407 - Logfile created 01/24/2012 at 20:45:19
# Updated 18/01/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : utente - ACER-2D60536D59 (Administrator)
# Running from : C:\Documents and Settings\utente\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Folder Deleted : C:\Documents and Settings\utente\Dati applicazioni\pdfforge
Folder Deleted : C:\Documents and Settings\utente\Dati applicazioni\Search Settings
Folder Deleted : C:\Documents and Settings\utente\Dati applicazioni\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Folder Deleted : C:\Programmi\pdfforge Toolbar
Folder Deleted : C:\Documents and Settings\utente\Dati applicazioni\Mozilla\Firefox\Profiles\ejlbqdcl.default\Conduit
Folder Deleted : C:\Documents and Settings\utente\Dati applicazioni\Mozilla\Firefox\Profiles\ejlbqdcl.default\extensions\engine@conduit.com
File Deleted : C:\Programmi\Mozilla Firefox\extensions\pdfforge@mybrowserbar.com

***** [Registry] *****

Key Deleted : HKCU\Software\AppDataLow\Software\pdfforge
Key Deleted : HKLM\SOFTWARE\Application Updater
Key Deleted : HKLM\SOFTWARE\pdfforge
Key Deleted : HKLM\SOFTWARE\Search Settings
Key Deleted : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Key Deleted : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

-\\ Mozilla Firefox v9.0.1 (it)

Profile : ejlbqdcl.default
File : C:\Documents and Settings\utente\Dati applicazioni\Mozilla\Firefox\Profiles\ejlbqdcl.default\prefs.js

Deleted : user_pref("CT1460988.CT1669115.CommunityChanged", true);
Deleted : user_pref("CT1460988.CTID", "ct1669115");
Deleted : user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER[...]
Deleted : user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146[...]
Deleted : user_pref("CT1460988.ct1669115.DialogsAlignMode", "LTR");
Deleted : user_pref("CT1460988.ct1669115.FeedLastCount128460900971181341", 166);
Deleted : user_pref("CT1460988.ct1669115.GroupingInvalidateCache", false);
Deleted : user_pref("CT1460988.ct1669115.GroupingLastCheckTime", "Thu Jan 07 2010 14:01:57 GMT+0100 (ora solar[...]
Deleted : user_pref("CT1460988.ct1669115.GroupingLastErrorCode", "");
Deleted : user_pref("CT1460988.ct1669115.GroupingLastResponse", true);
Deleted : user_pref("CT1460988.ct1669115.GroupingLastServerUpdateTime", "129072764613400000");
Deleted : user_pref("CT1460988.ct1669115.InvalidateCache", false);
Deleted : user_pref("CT1460988.ct1669115.LanguagePackLastCheckTime", "Thu Jan 07 2010 14:02:02 GMT+0100 (ora s[...]
Deleted : user_pref("CT1460988.ct1669115.Locale", "it-it");
Deleted : user_pref("CT1460988.ct1669115.RadioLastCheckTime", "Wed Jan 06 2010 21:16:26 GMT+0100 (ora solare E[...]
Deleted : user_pref("CT1460988.ct1669115.RadioLastUpdateIPServer", "4");
Deleted : user_pref("CT1460988.ct1669115.RadioLastUpdateServer", "128929877726170000");
Deleted : user_pref("CT1460988.ct1669115.SearchEngine", "Cerca||hxxp://search.conduit.com/Results.aspx?q=UCM_S[...]
Deleted : user_pref("CT1460988.ct1669115.SearchInNewTabLastCheckTime", "Wed Jan 06 2010 21:16:25 GMT+0100 (ora[...]
Deleted : user_pref("CT1460988.ct1669115.SettingsCheckIntervalMin", 120);
Deleted : user_pref("CT1460988.ct1669115.SettingsLastCheckTime", "Thu Jan 07 2010 14:01:57 GMT+0100 (ora solar[...]
Deleted : user_pref("CT1460988.ct1669115.SettingsLastUpdate", "1262795661");
Deleted : user_pref("CT1460988.ct1669115.ThirdPartyComponentsLastCheck", "Wed Jan 06 2010 21:16:24 GMT+0100 (o[...]
Deleted : user_pref("CT1460988.ct1669115.ThirdPartyComponentsLastUpdate", "1261066349");
Deleted : user_pref("CT1460988.ct1669115.components.128460851192119579", false);
Deleted : user_pref("CT1460988.ct1669115.components.128460900971181341", false);
Deleted : user_pref("CT1460988.ct1669115.components.128761517645732122", false);
Deleted : user_pref("CT1460988.ct1669115.components.128768425885000396", false);
Deleted : user_pref("CT1460988.ct1669115.components.128787331930894261", false);
Deleted : user_pref("CT1460988.ct1669115.components.128797897621094239", false);
Deleted : user_pref("CT1460988.ct1669115.components.128809954270425779", false);
Deleted : user_pref("CT1460988.ct1669115.components.128859305079237658", false);
Deleted : user_pref("CT1460988.ct1669115.components.128939520356206571", false);
Deleted : user_pref("CT1460988.ct1669115.components.128997326180156605", false);
Deleted : user_pref("CT1460988.ct1669115.components.129025146501519086", false);
Deleted : user_pref("CT1460988.ct1669115.components.129027706921450098", false);
Deleted : user_pref("CT1460988.ct1669115.components.129031210822444088", false);
Deleted : user_pref("CT1460988.ct1669115.components.129047602775450419", false);
Deleted : user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E[...]
Deleted : user_pref("CommunityToolbar.MiniIPageGadgetPosition.hxxp://cdn.labpixies.com/campaigns/blackjack/bla[...]
Deleted : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Deleted : user_pref("CommunityToolbar.ToolbarsList", "CT1460988");
Deleted : user_pref("CommunityToolbar.ToolbarsList2", "CT1460988");
Deleted : user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Deleted : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Thu Jan 07 2010 15:01:57 GMT+0100 (ora s[...]
Deleted : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Deleted : user_pref("CommunityToolbar.alert.locale", "en");
Deleted : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Deleted : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Wed Jan 06 2010 21:16:24 GMT+0100 (ora solar[...]
Deleted : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1234796400");
Deleted : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Deleted : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Deleted : user_pref("CommunityToolbar.alert.showTrayIcon", false);
Deleted : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Deleted : user_pref("CommunityToolbar.alert.userId", "{aba3b97b-b11d-4bbb-b504-81a11365da8b}");

*************************

AdwCleaner[S1].txt - [7431 octets] - [24/01/2012 20:45:19]

*************************

Temporary folder : : 6 folder(s) and 9 file(s) deleted

########## EOF - C:\AdwCleaner[S1].txt - [7647 octets] ##########

dopo il riavvio, si è verificato un problema: Avira non funziona più bene, Web protection e mail protection sono arrestati e non c'è verso di farli ripartire (ho pensato che ci fosse un conflitto con McAfee e l'ho disinstallato e riavviato: niente. Allora ho proprio spento e riacceso: niente da fare)


6) mi sono riconnessa a internet per scaricare lo Stealth, ed ho navigato senza protezione...
digitando cd C:\ mi diceva qualcosa tipo "disco mancante"; allora ho provato con
cd C:\ mbr.exe
e poi con
cd C:\mbr.exe
niente in entrambi i casi, sono riuscita a farlo partire solo digitando C:\mbr.exe, qui c'è il log:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_MP0804H rev.YS200-05 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

7) log di Malwarebyte

Malwarebytes Anti-Malware 1.60.0.1800
http://www.malwarebytes.org

Versione database: v2012.01.24.05

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
utente :: ACER-2D60536D59 [amministratore]

24/01/2012 21.32.07
mbam-log-2012-01-24 (21-32-07).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM | P2P
Opzioni di scansione disattivate:
Elementi esaminati: 253997
Tempo impiegato: 2 ore, 9 minuti, 49 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 1
C:\Programmi\Unlocker\eBay_shortcuts_1016.exe (Adware.Clicker) -> Spostato in quarantena ed eliminato con successo.

(fine)

anche adesso, sono connessa senza protezione, cosa rischio? Dobbiamo ricominciare da capo con le verifiche? e come posso far ripartire Avira?

Grazie

[hashcat]

Ciao adara, ti scrivo da cellulare quindi la mia risposta sarà concisa.

Appena possibile controllerò meglio il log di SystemLook, tutto il resto sembra a posto.

Per risolvere i problemi con Avira devi riparare il prodotto: dal pannello seleziona disinstalla (opzione ripara).

Persistono problemi?

Questo pomeriggio vedremo di ultimare la pulizia.

[adara]

grazie, credo di essere riuscita a riparare Avira perché l'ombrellino è di nuovo aperto e tutti i servizi sono attivi, mi si è solo presentata due volte una finestra che diceva più o meno "si è verificato un errore in avgnt.exe, l'applicazione verrà chiusa" : è un problema?
Nell'avviarsi, Avira ha rilevato un presunto virus, ma credo che si tratti di uno degli strumenti che abbiamo usato per la pulizia, e quindi l'ho ignorato, qui c'è il report:

Inizia con la scansione di 'C:\Documents and Settings\utente\Desktop\MbrScan.exe'
C:\Documents and Settings\utente\Desktop\MbrScan.exe
Object
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Crypted

Avvio della disinfezione:
C:\Documents and Settings\utente\Desktop\MbrScan.exe
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Crypted
[AVVISO] Il file è stato ignorato.

...però proprio mentre sto scrivendo, l'icona dell'ombrellino è sparita!!

Come posso verificare di non aver preso qualche altra infezione mentre navigavo con Avira mezzo spento, o anche adesso?

[hashcat]

Il tuo computer mostra strani comportamenti / problemi?

Dai log consultati finora non emergono minacce.

Rimozione degli strumenti utilizzati:

• Rimuovi Combofix rinominandolo in uninstall ed eseguendolo
• Elimina MbrScan ed Adwcleaner
• Disinstalla Malwarebytes
• Apri OTL e clicca su CleanUp (rimuoverà tutti gli strumenti utilizzati)

P.S.: Non so da cosa dipenda lo strano comportamento di Avira, al limite se il problema si verifica nuovamente, disinstallalo, fai pulizia con questo strumento e reinstallalo nuovamente.

I problemi con gli aggiornamenti e rallentamenti persistono?

[adara]

ho fatto tutto, ho anche disinstallato Hijackthis da pannello di controllo e messo nel cestino tutto quanto era ancora rimasto (hitman, dss, i vari fix).

per il momento, Avira non ha più dato problemi ma il pc è ancora un po' lento.

Credo che ci siano ancora dei problemi con gli aggiornamenti perché ogni volta che lo spengo fa sempre delle installazioni prima di chiudersi ma, alla riaccensione successiva, o mi ricompare lo scudetto giallo, o messaggi di problemi per cui non è stata fatta la notifica a windows.
A dire la verità, è da molto tempo che ho problemi in particolare con gli aggiornamenti di NetFramework e anche adesso penso che si tratti di quello.

quasi quasi, farei un'altra scansione con Avira sia al pc che alle chiavette usb e all'hard-disk esterno, che ne dici?

[hashcat]

per il momento, Avira non ha più dato problemi ma il pc è ancora un po' lento.

Credo che ci siano ancora dei problemi con gli aggiornamenti perché ogni volta che lo spengo fa sempre delle installazioni prima di chiudersi ma, alla riaccensione successiva, o mi ricompare lo scudetto giallo, o messaggi di problemi per cui non è stata fatta la notifica a windows.
A dire la verità, è da molto tempo che ho problemi in particolare con gli aggiornamenti di NetFramework e anche adesso penso che si tratti di quello.

Entro domani mi faccio venire in mente qualcosa per risolvere questi problemi.

quasi quasi, farei un'altra scansione con Avira sia al pc che alle chiavette usb e all'hard-disk esterno, che ne dici?

Mi sembra una buona idea, prima di far partire la scansione ricordati di aggiornare il database di Avira.

a domani

[adara]

Stasera cercherò di fare le scansioni con Avira, poi credo che non riuscirò più a collegarmi fino a domenica sera, quindi ci riaggiorniamo fra qualche giorno.
Grazie per tutto l'aiuto che mi hai dato fin'ora, sei molto gentile e disponibile, oltre che molto competente

[hashcat]

Stasera cercherò di fare le scansioni con Avira, poi credo che non riuscirò più a collegarmi fino a domenica sera, quindi ci riaggiorniamo fra qualche giorno.
Grazie per tutto l'aiuto che mi hai dato fin'ora, sei molto gentile e disponibile, oltre che molto competente

Ti ringrazio per i complimenti, salvo imprevisti ci si risente domenica

[adara]

rieccomi, giovedì sera ho fatto le scansoni con avira: le chiavette usb e l'hard-disk esterno sono puliti, sul PC ha trovato un file sospetto:

Inizia con la scansione di 'C:\Recycled\Dc21.exe'
C:\Recycled\
Dc21.exe
[0] Tipo di archivio: Runtime Packed
Object
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Crypted

Avvio della disinfezione:
C:\Recycled\
Dc21.exe
[RILEVAMENTO] Contiene il codice sospetto: HEUR/Crypted
[NOTA] Il file è stato spostato in quarantena con il nome '4da69ae4.qua'!


Fine della scansione: venerdì 27 gennaio 2012 07:04
Tempo impiegato: 00:48 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
56 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
1 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
55 File non infetti
0 Archivi scansionati
0 Avvisi
1 Note
24949 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti

gli aggiornamenti che non riesce ad installare sono questi:

Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2656352)
Aggiornamento di Microsoft .NET Framework 3.5 SP1 e .NET Framework 2.0 SP2 per Windows Server 2003 e Windows XP x86 (KB982524)
Aggiornamento della sicurezza per Microsoft .NET Framework 3.5 SP1 per Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 x86 (KB2416473)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2572073)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2539631)
Aggiornamento della sicurezza di .NET Framework 2.0 SP2 e 3.5 SP1 per Windows Server 2003 e Windows XP x86 (KB2518864)

[hashcat]

rieccomi, giovedì sera ho fatto le scansoni con avira: le chiavette usb e l'hard-disk esterno sono puliti, sul PC ha trovato un file sospetto

Il file sospetto è stato rimosso correttamente

gli aggiornamenti che non riesce ad installare sono questi:

Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2656352)
Aggiornamento di Microsoft .NET Framework 3.5 SP1 e .NET Framework 2.0 SP2 per Windows Server 2003 e Windows XP x86 (KB982524)
Aggiornamento della sicurezza per Microsoft .NET Framework 3.5 SP1 per Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008 x86 (KB2416473)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2572073)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2539631)
Aggiornamento della sicurezza di .NET Framework 2.0 SP2 e 3.5 SP1 per Windows Server 2003 e Windows XP x86 (KB2518864)

Cercando online ho trovato una soluzione per questo problema:

Devi disinstallare dal Pannello di Controllo tutti i pacchetti inerenti al Microsoft .NET Framework seguendo un ordine decrescente:

1. Disinstalla Microsoft .NET Framework 4 (se presente)
2. Disinstalla Microsoft .NET Framework 3.5
3. Disinstalla Microsoft .NET Framework 3.0 (se presente)
4. Disinstalla Microsoft .NET Framework 2.0
5. Avvia Windows Update e cerca gli aggiornamenti per il tuo computer
6. Seleziona ed installa solo quelli per Microsoft .NET Framework 2.0
7. Se richiesto riavvia il computer
8. Installa gli altri aggiornamenti disponibili
9. Riavvia il computer
10. Cerca nuovi aggiornamenti

Seguendo questa procedura dovresti essere in grado di installare gli aggiornamenti bloccati.

Il malfunzionamento di Avira si è verificato nuovamente?

Il tuo computer presenta ulteriori anomalie / rallentamenti ?

[adara]

ho disinstallato tutti i pacchetti Net.framework 4, (mi ha chiesto due riavvii e li ho fatti), ora non mi lascia più disinstallare il 3.5 perché mi dice che si è verificato un problema nel caricamento dei componenti di installazione, e mi annulla la procedura.
Li posso disinstallare con Ccleaner?

Il pc è ancora un po' lentino, Avira finora si è comportato bene.

[hashcat]

ho disinstallato tutti i pacchetti Net.framework 4, (mi ha chiesto due riavvii e li ho fatti), ora non mi lascia più disinstallare il 3.5 perché mi dice che si è verificato un problema nel caricamento dei componenti di installazione, e mi annulla la procedura.
Li posso disinstallare con Ccleaner?

Il pc è ancora un po' lentino, Avira finora si è comportato bene.

Rimuovi il .NET Framework con questo strumento:

http://blogs.msdn.com/cfs-file.ashx/__key/communityserver-components-postattachments/00-08-90-44-93/dotnetfx_5F00_cleanup_5F00_tool.zip

[adara]

ho usato lo strumento che mi hai indicato, dopo il riavvio sono tornata in pannello di controllo ed ho visto che erano sopravvissuti i language pack-ITA di Netframework 2.o e 3.0 service pack 2 . Ho provato a disinstallarli da lì, ma mi ha dato questo errore:

impossibile aprire il pacchetto di correzione. verificare che il pacchetto di correzione esista e che vi si possa accedere, o contattare il fornitore dell'applicazione per controllare che il pacchetto di correzione di windows installer sia valido.

Allora ho di nuovo usato lo strumento, riavviato e riguardato in pannello di controllo: i due language pack sono sempre lì e danno lo stesso errore se tento di disinstallarli.
Dopo il secondo uso dello strumento, l'ombrellino di avira si è chiuso, poi si è riaperto da solo e, dopo il riavvio, mi è apparsa la finestra di segnalazione errore relativo alla chiusura di avguard. Poi non ha più dato problemi.
Adesso avvio wondows update, posso fare le installazioni anche se ci sono ancora i resti dei due language pack?
Ah, una cosa che mi dimentico sempre di chiederti: da qualche giorno, non so dirti da quale punto delle operazioni di pulizia, quando riavvio mi appare per un attimo una schermata nera con delle scritte in bianco, sono riscita giusto a vedere che propone varie modalità di avvio ed è automaticamente selezionata windows xp; non mi pare che prima lo facesse, è sintomo di qualcosa?
Grazie per la pazienza

[hashcat]

ho usato lo strumento che mi hai indicato, dopo il riavvio sono tornata in pannello di controllo ed ho visto che erano sopravvissuti i language pack-ITA di Netframework 2.o e 3.0 service pack 2 . Ho provato a disinstallarli da lì, ma mi ha dato questo errore:

impossibile aprire il pacchetto di correzione. verificare che il pacchetto di correzione esista e che vi si possa accedere, o contattare il fornitore dell'applicazione per controllare che il pacchetto di correzione di windows installer sia valido.

Allora ho di nuovo usato lo strumento, riavviato e riguardato in pannello di controllo: i due language pack sono sempre lì e danno lo stesso errore se tento di disinstallarli.
Dopo il secondo uso dello strumento, l'ombrellino di avira si è chiuso, poi si è riaperto da solo e, dopo il riavvio, mi è apparsa la finestra di segnalazione errore relativo alla chiusura di avguard. Poi non ha più dato problemi.
Adesso avvio wondows update, posso fare le installazioni anche se ci sono ancora i resti dei due language pack?

Si, dovresti riuscire ad installare gli aggiornamenti senza (troppi) problemi.

Ah, una cosa che mi dimentico sempre di chiederti: da qualche giorno, non so dirti da quale punto delle operazioni di pulizia, quando riavvio mi appare per un attimo una schermata nera con delle scritte in bianco, sono riscita giusto a vedere che propone varie modalità di avvio ed è automaticamente selezionata windows xp; non mi pare che prima lo facesse, è sintomo di qualcosa?
Grazie per la pazienza

Credo di aver capito quale sia la causa, approfondiamo dopo aver risolto il problema degli aggiornamenti

[adara]

hashcat, ho combinato un guaio...
me ne sono resa conto solo ora , quando ho usato lo strumento per la rimozione di Net framework, non ho pensato di usare il menù a tendina ed ho lasciato l'opzione "tutte le versioni" e quindi adesso non ce l'ho proprio più, neanche la versione 1!! Restano solo quei due language pack rovinati...
Windows update mi ha proposto solo due aggiornamenti per la compatibilità di office e powerpoint, niente relativo a netframework...
sono un disastro...

[adara]

rettifico: fra gli aggiornamenti di software facoltativo, l'update mi ha segnalato anche il Netframework 1.1, l'ho installato.
Ora riprovo a far girare windows Update, ma se non mi dovesse trovare tutte le versioni nella sequenza giusta, posso scaricarle dal sito Microsoft dedicato apposta a Netframework?

[hashcat]

rettifico: fra gli aggiornamenti di software facoltativo, l'update mi ha segnalato anche il Netframework 1.1, l'ho installato.
Ora riprovo a far girare windows Update, ma se non mi dovesse trovare tutte le versioni nella sequenza giusta, posso scaricarle dal sito Microsoft dedicato apposta a Netframework?

Si, si possono scaricare i pacchetti singolarmente.

[adara]

pochi minuti fa, dopo l'ultimo riavvio, guarda cos'ha trovato avira:

Nel file 'C:\WINDOWS\Fonts\gulim.ttc'
è stato rilevato un virus o programma indesiderato 'EXP/CVE-2011-3402' [exploit].
Azione eseguita: Nega accesso