Salve a tutti.
Ho un problema con il portatile di mia moglie: da alcune settimane ha iniziato a diventare sempre più lento tanto da essere praticamente inutilizzabile (aprire firefox richiede circa 3 minuti e la scansione con DrWeb è durata 2 giorni). Inoltre, ultimamente ha avuto anche dei crash e ha segnalato che alcuni componenti di windows hanno smesso di funzionare (Cash Builder...).

Si tratta di un laptop del 2006

Asus Pro52AL intel core due duo T5250 con 2GB di RAM HD 120GB
SO Vista Home Premium SP1
Security: COMODO, AVG 8.5, Spyware terminator e Spybot.

In ognuna delle due partizioni dell'HD ci sono circa 10 GB liberi.
Il PC viene usato soprattutto per andare su internet, scrivere mail e memorizzare foto (senza editing), niente giochi e pochissimo P2P (penso che l'ultima volta che ha acceso Vuze sia stata maggio scorso).

La scansione completa con AVG ha evidenziato un rootkit
"Rootkits"
"File";"Infection";"Result"
"C:\Windows\system32\drivers\GETPADD.sys";"Hidden driver";"Object is hidden"

senza però riuscire ad eliminarlo. Leggendo su internet ho trovato indicazioni contrastanti su questo file che alcuni indicano come legittimo di un PC Asus :confused:
Allego comunque il file di log: avg_2009_10_29.txt (http://wikisend.com/download/447760/avg_2009_10_29.txt)
Spywareterminator e spybot non hanno evidenziato nulla.

Ho cercato di seguire quanto indicato nella "guida alla disinfezione per infetti" ma ho avuto enormi problemi dovuti alle bassissime prestazioni del sistema. Tutto questo mentre la CPU resta sempre intorno al 10% :mc:

Malwarebytes Anti-Malware: nessuna segnalazione, ecco il log mbam-log-2009-10-30 (09-09-04).txt (http://wikisend.com/download/931164/mbam-log-2009-10-30 (09-09-04).txt)


A-Squared Free v4.x: trovati 8 elementi e messi in quarantena, ecco il log a2scan_091030-123035.txt (http://wikisend.com/download/317640/a2scan_091030-123035.txt)


F-Secure OnLine: non sono riuscito a portare a terme la scansione, dopo 6 ore il tutto era ancora bloccato su "download dei file 0%"


Dr.Web CureIT: la scansione è durata 2 giorni e 2 ore dopo di che il PC è crashato (schermata blu) prima che potessi curare quanto segnalato. Delle 11 infezioni però, 9 fanno riferimento a file di installazione di Prevx e le altre 2 (avgfw2kv.exe e PxSecure.dll) sono risultate OK per virustotal: ma magari ho fatto casino. Allego il file cureit filtrato.txt (http://wikisend.com/download/917594/cureit filtrato.txt)


ESET SysInspector: ecco il log SysInspector-PC-SARA-091105-1110.xml (http://wikisend.com/download/441800/SysInspector-PC-SARA-091105-1110.xml)


HiJackThis: ecco il log hijackthis.log (http://wikisend.com/download/443330/hijackthis.log)


Gmer: non sono riuscito a fare la scansione. Ho scaricato l'esguibile con nome casuale dal sito (più di una volta) ma ogni volta che lo lanciavo o il programma non si avviava o se si apriva la schermata di gmer ed avviavo la scansione il sistema crashava (schermata blu).


Prevx 3.0: segnala una sola infezione (dixml.exe) che però è l'eseguibile di un sw per il backup dei dischi e per virustotal è OK. Ecco il log Prevx_2009_10_30.log (http://wikisend.com/download/440944/Prevx_2009_10_30.log) e lo screenshot
http://img97.imageshack.us/img97/6583/immagine1y.th.gif (http://img97.imageshack.us/i/immagine1y.gif/)


A questo punto non ho idea di cosa possa avere questo PC e inizio persino a dubitare che abbia veramente un virus. :confused:
Sono tentato di formattare e reinstallare tutto ma nella partizione D ci sono alcuni Giga di foto che non posso cancellare e vorrei salvarle su un altro PC senza portarmi dietro nessun virus.

Mi scuso per la lunghezza di questo post ma ho cercato di seguire la guida per infetti (proverò ancora a produrre i log mancanti) e volevo fornire tutte le informazioni che ho raccolto.

Grazie in anticipo a chiunque potrà aiutarmi.

ciao

manca il log di asqured


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)


O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: "C:\Program Files\iTunes\iTunesHelper.exe"
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) -
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.6.0_11) -
O23 - Service: TPA - Unknown owner - C:\Users\Sara\AppData\Local\Temp\TPA.exe (file missing)
O23 - Service: YBECRXYJKUYRVNB - Unknown owner - C:\Users\Sara\AppData\Local\Temp\YBECRXYJKUYRVNB.exe (file missing)




devi aggiornare
Windows al service pack 2
non si vede o è disattivato il firewall


prova per il momento a rimuovere avg che può essere un motivo di rallentamento

in caso di dischi IDE/PATA per il rallentamento io verificherei il DMA

Start - esegui - digita DEVMGMT.MSC invio
espandi il ramo [I]Controller IDE ATA/ATAPI
click dx sul canale primario relativo al disco
scheda Impostazioni avanzate
verifica che sotto Modalità di trasferimento ci sia DMA se disponibile
e sotto Modalità di trasferimento corrente ci sia DMA o Ultra DMA

Ciao


manca il log di asqured


Ops!! Ho postato 2 volte quello di mbam :doh: ecco il log corretto a2scan_091030-123035.txt (http://wikisend.com/download/317640/a2scan_091030-123035.txt)
Ho aggiornato anche il post iniziale.

Il Firewall di Windows è disattivato perchè avevo installato COMODO.
Prima di iniziare la procedura per infetti, però, ho disinstallato sia COMODO che Spywareterminator, adesso farò lo stesso con Avg (usando RevoUnistaller).

Appena avrò finito con le altre verifiche che mi hai suggerito comunicherò i risultati ma temo che mi ci vorrà un po' viste le prestazioni del PC :( Scusa per il ritardo.

Ad ogni riavvio Windows mi segnala che il Resource Cache Builder ha smesso di funzionare. Sai di cosa si tratta?

Grazie per ora

probabilmente è riferito al componente installato dallo scanner online di bitdefender che puoi benissimo disinstallare.

io installerei avira antivir in verione "personal" cioè quella gratuita e doppo averlo impostato come descritto dalla guida ( http://www.hwupgrade.it/forum/showthread.php?t=1514684 ) ed aggiornato, farei una scansione completa pubblicando poii il log :)

poi a te la scelta se continuare ad usare avg o avira :)

Anche io pensavo di abbandonare AVG e Nod32 per passare ad Avira: lo ho già fatto in tutti gli altri PC di casa :D

Il problema con questo portatile è che qualunque attività richiede un tempo lunghiiiiiiiiiiiissimo. E' da stamattina alle 10 che provo a portare a termine le verifiche suggerite wjmat e la disinstallazione di AVG sta richiedendo 45 minuti e non è finita! :muro:

Comunque Grazie appena avrò delle notizie ve lo farò sapere anche se temo che ci vorrà del tempo..........

Ma una simile lentezza sarà dovuta a un virus (o simili) oppure ad un sistema instabile? Ardua domanda

Ciao

hai già verificato che sia attiva quell'opzione indicata da wjmat? quella è importantissima per avere un trasferimento veloce tra cpu e hdd quindis e fosse disabilitata saresti molto molto lento in ogni operazione

Finalmente sono riuscito a disinstallare AVG !!! :)
Ho dovuto ripetere la procedura 2 volte: la prima volta dopo il riavvio non aveva eleminato nulla e segnalava un'errore. Al secondo tentativo finalmente il programma si è rimosso anche se ha indicato di non essere riuscito ad eliminare un driver: sapete indicarmi se esiste un qualche tool per eliminare completamente questo antivirus?
Adesso sembra andare un po' meglio ma non troppo....

Ho fixato le voci che mi sono state indicate del log di HijackThis e ad una seconda scansione non sono ricomparse. Ho eliminato anche la voce relativa allo scanner on line di Bitedefender e così non ho più la segnalazione relativa al modulo Resource Cash Builder non funzionante.
Allego comunque il log.

Ho verificato le impostazioni DMA come è stato descritto e sul canale del disco ho trovato "Modalità 5 Ultra DMA" attivato: quindi dovrebbe essere tutto Ok.

Non sono riuscito ad aggiornare Vista al sp2 perché non aveva ancora terminato il download del pacchetto: ci riproverò più tardi anche se mi spaventa un po' collegarmi ad internet non avendo l'antivirus installato.

Ho provato a rilanciare gmer e sembrava funzionare un po' di più ma poi è tornata ancora la schermata blu!!!! :muro:

A questo punto io vorrei provare i seguenti passi:

scaricare avira da un altro PC, installarlo sul portatile, aggiornare e fare una scansione completa
terminare il download del sp2
riprovare con gmer

Ma se qualcuno ha delle idee diverse ben venga.......

Secondo voi su questo Pc c'è un virus (magari un rootkit)? Inizio a dubitarne.

Ciao

Ho installato Avira, aggiornato e configurato come da guida: la scansione non segnala nessuna infezione! Ecco il log http://www.mediafire.com/?jnki2az0mdt

Ho anche riprovato con Gmer (dopo aver scaricato nuovamente l'eseguibile) ma non sono riuscito a terminare la scansione: dopo un po' schermata blu!

Intanto il portatile continua ad essere praticamente inutilizzabile per la lentezza ed ad ogni riavvio mi segnala componenti di windows non funzionanti: di nuovo il Resource Cache Builder (anche se ho rimosso il plug in di bitedefender) ed ora anche si Sistema Avvisi di Windows.

A questo punto non so più che pesci pigliare :boh:

Grazie in anticipo per qualunque suggerimento

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)


vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente..

Scusa per il ritardo con cui rispondo ma ormai l'utilizzo del portatile è proibitivo...

Ho fixato le voci di HijackThis che sono state segnalate

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)


Allego il nuovo log.



vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner",


Ho provato ad andare sul sito di Secunia per verificare gli aggiornamenti dei sw installati sul PC ma non ho potuto eseguire lo scanner perché il sito non rilevava nessuna installazione java: mentre sul PC io lo avevo installato.

Ho provato ad effettuare l'aggiornamento di Java da pannello di controllo ma mi indicava che non erano necessari aggioanmenti anche se verificando io avevo java 6 update 14 e non update 17.

A questo punto (e qui temo di aver fatto il casino :rolleyes: ) ho disinstallato completamente Java con Revounistaller (rimuovendo anche tutte le chiavi di registro ed i files lasciati indietro) ma adesso non riesco più ad installare java scaricato dal sito SUN!!!
Ho provato 3 volte (facendo download differenti) ottenendo sempre la risposta "impossibile scompattare gli eseguibili"

Adesso non so più dove sbattere la testa :muro:

dal log di hijackthis sembra ancora installata la java 6 update 14

dal log di hijackthis sembra ancora installata la java 6 update 14

Io ho fatto girare hijackthis prima di disinstallare java e questo è il motivo per cui lo trovi ancora nel log.

Adesso non posso accedere al Portatile, ma appena possibile proverò ancora ad installare java e farò un nuovo run di hijackthis.

ok :)