PDA

View Full Version : [WinXP sp2] Virus, malware, spyware....di tutto e di più !!

gwwmas
14-05-2009, 01:02
Richiedo un vostro consulto e ovviamente, ringrazio anticipatamente tutti quelli che vorranno aiutarmi.

Allora....l' altro giorno vado da un "cliente" che mi ha chiamato dicendomi che internet va a singhiozzi.....
Vado la ed incomincio a controllare e vedo che la connessione è perfetta.
Spulciando di qua e di la vedo che l' antivirus è scaduto e che gli ultimi aggiornamenti risalgono a fine novembre.
Tento allora una cosa molto veloce installando avast aggiornato, ma una volta riavviato il sistema si blocca.
Disinstallo allora avast e tento installndo avira (free) ma quest' ultimo, adirittura, non finisce l' installazione.
Decido allora di portarmi a casa il pc.
Disabilito il ripristino del sistema ed in modalità provvisoria disinstallo avira e faccio una passata di ccleaner.
Riavvio e poi, sempre in modalità provvisoria installo avira ( free ).
Faccio poi una scansione e quest' ultimo mi scopre la bellezza di 600 minacce ( c' era un poco di tutto ).

Ho incominciato a girare per internet ( con il mio pc ) e scopro questa sezione.
Decido di seguire allora la Guida alla disinfezione per Infetti.

Ecco il risultato:


Malwarebytes Anti-Malware LOG (http://wikisend.com/download/552658/mbam-log-2009-05-12 (19-00-47).txt)
A-Squared Free LOG (http://wikisend.com/download/576188/a2scan_090512-194053.txt)
F-Secure OnLine LOG (http://wikisend.com/download/508598/F-Secure.txt)
Dr.Web CureIT LOG (http://wikisend.com/download/445618/CureIt.log)
ESET SysInspector LOG (http://wikisend.com/download/496296/SysInspector-PC-8243250B7A20-090512-2224.xml)
HiJackThis LOG (http://wikisend.com/download/616616/hijackthis.txt)
Gmer LOG (http://wikisend.com/download/895648/GMER.log)
Prevx 3.0 LOG (http://wikisend.com/download/454298/Prevx Log.log)


http://img22.imageshack.us/img22/2102/prevxd.jpg (http://img22.imageshack.us/my.php?image=prevxd.jpg)

Ringrazio nuovamente chiunque vorrà darmi una mano.

Ciauz®;)
wjmat
14-05-2009, 09:03
Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)


O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Windows UDP Control Services] wksvcsc.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O20 - AppInit_DLLs: C:\WINDOWS\System32\infocardapi32.dll
O20 - Winlogon Notify: 48d51686560 - C:\WINDOWS\System32\infocardapi32.dll (file missing)
O20 - Winlogon Notify: dqfkyzud - zseebsw.dll (file missing)


devi aggiornare
Windows al service pack 3
Explorer alla versione 8
non si vede o è disattivato il firewall


carica anche il log di avira per completezza
gwwmas
14-05-2009, 13:34
Per HiJackThis questa sera lo faccio.....

Per
Windows al service pack 3
Explorer alla versione 8
non si vede o è disattivato il firewall

Non lo posso fare perchè il tipo ha lesinato e non è.......
Dovrei craccarlo ma non ho voglia e sopratutto non lo voglio fare.
Per il firewall c' ho pensato pure io ieri sera.
Ho provato ad aprire il centro di sicurezza ma non si apre :muro:
Che può essere ?

Ciauz®;)
wjmat
14-05-2009, 13:47
aspetto il nuovo log di hjt
poi se il pc rimarrà non genuino, qui non si può prestare assistenza
gwwmas
14-05-2009, 13:50
aspetto il nuovo log di hjt
poi se il pc rimarrà non genuino, qui non si può prestare assistenza

Perche scusa ?
Mica sto chiedendo come cra@@are windows.
Purtroppo quello è il sistema che mi son ritrovato e da parte mia sto utilizzando solo software free per venirne fuori.

Ciauz®;)
wjmat
14-05-2009, 14:37
aspettiamo il log di hjt

poi vedi con i mod il da farsi o il non da farsi :)
Chill-Out
14-05-2009, 21:06
Perche scusa ?
Mica sto chiedendo come cra@@are windows.
Purtroppo quello è il sistema che mi son ritrovato e da parte mia sto utilizzando solo software free per venirne fuori.

Ciauz®;)

E' semplicemente una questione di etica che prevede il rispetto della proprietà intellettuale di chi ha investito tempo, forze e denaro per realizzare un qualsivoglia prodotto.
Se non opti per una soluzione legale non può essere prestata assistenza, anche in funzione del fatto che un PC non aggiornato è sempre esposto a rischi, spero di essere stato chiaro ed esaustivo.
gwwmas
14-05-2009, 22:03
E' semplicemente una questione di etica che prevede il rispetto della proprietà intellettuale di chi ha investito tempo, forze e denaro per realizzare un qualsivoglia prodotto.
Se non opti per una soluzione legale non può essere prestata assistenza, anche in funzione del fatto che un PC non aggiornato è sempre esposto a rischi, spero di essere stato chiaro ed esaustivo.

Io ti capisco eccome e sono pure daccordo.
Il fatto è che devo sistemare sto pc in un modo in un' altro...

Ovviamente da parte mia è già partita la campagna di sensibilizzazione per regolarizzarsi.

Il problema è che alla fine lui non accetta, si porta via il pc e andrà in negozio a farsi sistemare la faccenda ( e sappiamo che li gli faranno il lavoro ), ed io perderei un po' di soldi che visto il momento delicato, anche se pochi, sarebbero importanti.

Ciauz®;)

EDIT
Un' info, se lo sapete.
Da quel che vedo, fino al service pack 2 ha utilizzato Autopatcher.
Se compra la licenza, si riesce ad aggiornare il tutto senza dover reinstallare ?

Ciauz®;)
gwwmas
14-05-2009, 22:45
Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite....

.....carica anche il log di avira per completezza

Ecco il log di avira e di HiJackThis
Le voci sono state fixate e non sono riapparse.

LOG AVIRA (http://wikisend.com/download/464106/AVSCAN.LOG)
LOH HIJACKTHIS (http://wikisend.com/download/488398/hijackthis-2.log)

Ciauz®;)
wjmat
15-05-2009, 08:27
le azioni per i rilevamenti di avira impostale come da guida in firma