www.MegaLab.it

[torch]

Salve a tutti,

sto cercando di aiutare un'amica (che fra l'altro si trova all'estero, ed al cui pc posso accedere solo tramite teamviewer) con dei problemi che le si sono presentati sul pc.

Riassumendo: da alcuni giorni non riusciva a fare più nulla sul computer, poichè le compariva sempre il messaggio "Spazio insufficente sull'unità C: avviare pulizia ecc ecc).
Dopo aver lanciato la pulizia, il pc ha presentato i seguenti problemi: ogni applicativo (o quasi) che prova a lanciare, fa partire windows installer che va in loop, e non c'è modo di uscirne, ne di avviare il programma.

Avira, già installato, non parte più. Reinstallarlo, non è possibile; l'operazione si blocca.

Funziona solo explorer e la connessione ad internet.

Le ho scaricato hijackthis, che ha trovato solo un malware (di cui non ricordo la posizione, ma era nella "sezione" 04). Lo ha rimosso.
Ho lanciato la scansione online su housecall trend micro, e non ha trovato nessuna minaccia.
Ho scaricato malwarebytes antisyware ed ha trovato questi:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Versione database: v2013.02.26.11

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Daniela :: OEM-TDYOG7RCYK7 [limitato]

27/02/2013 1.18.13
MBAM-log-2013-02-27 (08-53-14).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 308041
Tempo impiegato: 1 ore, 6 minuti, 47 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 1
C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll (Trojan.Agent) -> Nessuna azione intrapresa.

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CnxTrApp (Trojan.Agent) -> Dati: rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB" -> Nessuna azione intrapresa.

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 1
C:\Documents and Settings\All Users\Dati applicazioni\IBUpdaterService (PUP.InstallBrain) -> Nessuna azione intrapresa.

File rilevati: 4
C:\Documents and Settings\Daniela\Impostazioni locali\Temporary Internet Files\Content.IE5\UJW96CC0\microsoft%20office%202013[1].exe (PUP.Offerware) -> Nessuna azione intrapresa.
C:\Documents and Settings\Daniela\Impostazioni locali\Temporary Internet Files\Content.IE5\W7I2GF8J\microsoft%20word[1].exe (PUP.Offerware) -> Nessuna azione intrapresa.
C:\Documents and Settings\All Users\Dati applicazioni\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Nessuna azione intrapresa.
C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll (Trojan.Agent) -> Nessuna azione intrapresa.

(fine)

Nel mentre, poiche questa mia amica sosteneva di aver copiato su hd esterno tutti i documenti, e successivamente di averli cancellati dall'hd del pc in questione, ho cercato fra le cartelle del disco c: cosa ci fosse di così "pesante".
Ho trovato la cartella: APP_NAME_NON_STRING, del peso di 54 gb con dento solo files nascosti, dal peso di pochi k, fino ad arrivare a oltre 2gb.

Ho cancellato l'intera cartella e riavviato il sistema (dopo aver detto a malwarebytes di rimuovere le minacce).

Ora sono riuscito a reinstallare avira, l'ho aggiornato on-line, e stò lanciando la scansione.

Come mi suggerite di muovermi?

Grazie

[torch]

Allego log di hijackthis appena eseguito

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9.20.43, on 27/02/2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TeamViewer\Version8\TeamViewer_Service.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\TeamViewer\Version8\TeamViewer.exe
C:\Programmi\TeamViewer\Version8\tv_w32.exe
c:\programmi\teamviewer\version8\TeamViewer_Desktop.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
c:\programmi\avira\antivir desktop\avcenter.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {48405d3d-2674-4cd8-b1ef-9a719443bd3f} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?a485477caeae4a16aca5f550b6bbb567
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?a485477caeae4a16aca5f550b6bbb567
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 1902066625
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C282BD3-C0EA-4903-9A26-DB896951C03D}: NameServer = 91.80.36.137 91.80.37.101
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bing Bar Update Service (BBSvc) - Unknown owner - C:\Programmi\Microsoft\BingBar\BBSvc.EXE (file missing)
O23 - Service: BBUpdate - Unknown owner - C:\Programmi\Microsoft\BingBar\SeaPort.EXE (file missing)
O23 - Service: Windows Presentation Foundation Font Cache 3.0.0.0 (FontCache3.0.0.0) - Unknown owner - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe (file missing)
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google Inc. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows CardSpace (idsvc) - Unknown owner - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)
O23 - Service: iPodService - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version8\TeamViewer_Service.exe

--
End of file - 6425 bytes

[torch]

E' appena "partito" windows update, ed ha scaricato 49 aggiornamenti della sicurezza (fra windows (xp) ed Office (2007)).
Sono in fase di installazione.

Intanto ho rilanciato Avira, che per ora ha trovato una minaccia.