Buongiorno a tutti, vado subito al dunque senza perdere tempo.

Alcuni giorni fa mentre stavo facendo una ricerca con google (parola d'onore che non ero su siti "particolari" o rischiosi) l'antivirus (ANTIVIR) mi ha segnalato un virus che io ho prontamente cancellato.

Virus or unwanted program 'TR/Rootkit.Gen [trojan]'
detected in file 'C:\WINDOWS\Temp\B7.tmp.
Action performed: Delete file

Ora però il problema è che il pc è più lento del solito e soprattutto INTERNET è lento. Uso FF 3.6.3, ho provato a mettere la versione portable o I.E. ma il problema persiste.
Cosa mi accade di preciso? Una cosa mai vista. Ovvero quando vado su google o inserisco una parola nel rettangolino in alto a destra che mi dovrebbe indirizzare sui risultati di google, mettiamo caso che scrivo CIAO e poi premo INVIO i risultati non escono subito, ma tra l'invio e la visualizzazione dei risultati passano circa 6-7 secondi. Anche quando navigo sui siti la navigazione è lenta, sembra come se la connessione va a singhiozzo... ma so che il problema non è l'adsl.

Ora altro indizio che potrebbe esservi utile per capire cosa potrei avere, quando accendo il pc la CPU è per molto più tempo al 100%, nello specifico è la voce services.exe ad essere al massimo per almeno 1 minuto dopo che ha caricato i programmi all'avvio.
Ho usato un po' di programmi (ad-aware, malwarebytes e diverse scansioni con antivirus online) ma niente, non mi trova niente.

Ecco il log di HijackThis (http://wikisend.com/download/478364/hijackthis.log%5Dhijackthis.log)

Spero di aver rispettato le regole, vi prego AIUTO.

GRAZIE a chi mi vorrà aiutare.

prima del log hijackthis è il caso che pubblichi un log di una scansione completa di avira :D

poi ti farò seguire la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Grazie 1000 per avermi risposto subito.
Ecco il risultato di Avira (http://wikisend.com/download/500472/AVSCAN-20100602-170525-5760EB18.LOG).

Sto provando Prevx CSI ma dopo averlo installato si chiude da solo senza aver fatto la scansione completa. Ho provato a lanciarlo più volte, ma succede sempre che si chiude dopo pochi secondi.

avira non è impostato correttamente:

Primary action......................: interactive
Search for rootkits.................: off
Scan all files......................: Intelligent file selection
Smart extensions....................: on

usa la guida presente qui nel forum -> http://www.hwupgrade.it/forum/showthread.php?t=1514684

poi rifai la scansione :O

Ho sistemato Antivir e rifatto la scansione (http://wikisend.com/download/230770/AVSCAN.LOG).

Riconfermo che Prevx CSI si chiude dopo che cerco di lanciarlo.

Grazie.

nella scheda file compressi ti consiglio di togliere l'attivazione a "smart extension" perchè ti serve solo se vuoi scansionare determinate estensioni. effettivamente è un errore nella guida :)

ora segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così vediamo che tipo di problemi ci sono nel pc..

Ciao a tutti, sto facendo la scansione con i programmi della guida, fino a pochi minuti fa non trovavo niente ma adesso Dr.Web Scanner mi ha trovato

OGGETTO
Master Boot Record HDD1
STATO
BackDoor.MaosBoot.35

Sto ancora scansionando C, modalità RAPIDA.

------
Qui non ci vedo nulla di strano

LOG Malwarebytes
http://wikisend.com/download/465818/Malwarebytes.txt

LOG a2AntiMalware
http://wikisend.com/download/953676/a2AntiMalware.txt

Per curare una o più infezioni, potrebbe essere richiesto il riavvio.
Vuoi curare con il riavvio?
SI NO

Gli dico SI?

LOG Dr.WEB (http://wikisend.com/download/449172/cureit filtrato.txt)

http://wikisend.com/download/449172/cureit%20filtrato.txt

L'unico modo per rimuovere l'infezione è riavviare.

Meno male che ci sei, che Dio ti benedica.
Gli ho detto CURA e lui mi ha risposto

La lista delle minacce rilevate, contiene oggetti per i quali non è stata applicata alcuna azione. Raccomandiamo di neutralizzarle prima di chiudere l'applicazione.
SI NO

Meno male che ci sei, che Dio ti benedica.
Gli ho detto CURA e lui mi ha risposto

La lista delle minacce rilevate, contiene oggetti per i quali non è stata applicata alcuna azione. Raccomandiamo di neutralizzarle prima di chiudere l'applicazione.
SI NO

Le altre infezioni rilevate le sposti in quarantena esattamente come indicato in Guida.

Le altre infezioni rilevate le sposti in quarantena esattamente come indicato in Guida.

Alla fine ho riavviato e il pc ha ancora gli stessi sintomi di prima. Ma come faccio/facevo a spostare le infezioni in quarantena? Mi sembra che non potevo fare altro...
Mi sono letto l'altro thread dove altri utenti hanno avuto lo stesso mio problema, ho visto che PrevX e Gmer sono quelli più usati per curarli, giusto?
Ma io PrevX non riesco a farlo partire.

Come posso muovermi...? Aiutami, ti prego sono abbastanza impedito...


HO LANCIATO GMER

Alla fine ho riavviato e il pc ha ancora gli stessi sintomi di prima. Ma come faccio/facevo a spostare le infezioni in quarantena? Mi sembra che non potevo fare altro...
Mi sono letto l'altro thread dove altri utenti hanno avuto lo stesso mio problema, ho visto che PrevX e Gmer sono quelli più usati per curarli, giusto?
Ma io PrevX non riesco a farlo partire.

Come posso muovermi...? Aiutami, ti prego sono abbastanza impedito...

Fai un'altra scansione rapida con CureIt ed allega il log

Ok l'ho avviata, ma anche se rapida avando un pc non molto potente penso che ci metterà almeno 30 minuti. Purtroppo ha già rilevato il BackDoor MaosBoo.35

Dopo posto il LOG quando ha finito. GRAZIE

Ok l'ho avviata, ma anche se rapida avando un pc non molto potente penso che ci metterà almeno 30 minuti. Purtroppo ha già rilevato il BackDoor MaosBoo.35

Dopo posto il LOG quando ha finito. GRAZIE

Come pensavo, vuol dire che precedentemente non hai curato l'infezione.

Sono circa al 55% della scansione. Ma come faccio a curare l'infezione?
Cioè sono io che non premo i pulsanti giusti oppure è il tipo di programma che non è in grado di risolvermi la cosa?

Sono circa al 55% della scansione. Ma come faccio a curare l'infezione?
Cioè sono io che non premo i pulsanti giusti

Esatto, terminata la scansione devi selezionare gli elementi da curare.

Scusami, mi dispiace abusare della tua disponibilità, ma cosa devo premere di preciso?
Sono circa all'80% tra circa 10 minuti avrà finito.
CURA RINOMINA SPOSTA CANCELLA
Io avevo premuto cura e lui mi diceva che avrei dovuto riavviare e io poi ho riavviato.



OK!!!

Scusami, mi dispiace abusare della tua disponibilità, ma cosa devo premere di preciso?
Sono circa all'80% tra circa 10 minuti avrà finito.
CURA RINOMINA SPOSTA CANCELLA
Io avevo premuto cura e lui mi diceva che avrei dovuto riavviare e io poi ho riavviato.



OK!!!

Terminata la scansione in basso a dx clicca su seleziona tutto (select all), dopodichè su cura e riavvia come richiesto.

Allora ha finito, lui mi chiede se voglio curare l'infezione con il riavvio e io ho detto di si.
Adesso se seleziono la riga (cioè l'elemento) e poi clicco su CURA
CURA comprende 3 possibilità:
Cancella Incurabili
Rinomina Incurabili
Sposta Incurabili

Accanto a CURA ci sono RINOMINA, SPOSTA, CANCELLA

Cosa devo fare di corretto?

Non trovo il select all.

Ecco cosa vedo io

http://img257.imageshack.us/img257/9220/cura.png

Allora ha finito, lui mi chiede se voglio curare l'infezione con il riavvio e io ho detto di si.
Adesso se seleziono la riga (cioè l'elemento) e poi clicco su CURA
CURA comprende 3 possibilità:
Cancella Incurabili
Rinomina Incurabili
Sposta Incurabili

Accanto a CURA ci sono RINOMINA, SPOSTA, CANCELLA

Cosa devo fare di corretto?

Sposta

Il LOG
http://wikisend.com/download/532078/cureit%20filtrato.txt

Spostato, riavvio adesso?

Grazie per tutto l'aiuto.

Sono andato per chiudere l'app e riavviare e mi esce ancora scritto
La lista delle minacce rilevate, contiene oggetti per i quali non è stata applicata alcuna azione. Raccomandiamo di neutralizzarle prima di chiudere l'applicazione.

Il LOG
http://wikisend.com/download/532078/cureit%20filtrato.txt

Spostato, riavvio adesso?

Grazie per tutto l'aiuto.

Il log dopo il riavvio, così vedo che cosa hai fatto :)

Ma noooooo me l'ha ritrovato! :cry: :cry: :cry:
Che tristezza... sta facendo lo scan.

Mi sa che da qua non ci muoviamo... sbaglio? Dov'è che sbaglio?

La mia situazione è come questa:
http://www.hwupgrade.it/forum/showpost.php?p=31620878&postcount=2696

solo che non riesco a fare questa parte:
... Navigando per il web sono riuscito a trovare un post in inglese in cui si parlava di un certo antivirus "Dr Web" suggerito a un tizio che aveva gli stessi miei problemi.
L'ho scaricato, e subito ha trovato questo virus "Master Boot REcord Hdd1" "backdoor.maosboot.35".Finita la scansione rapida glil'ho fatto elminare. Successivamente il problema (fin'ora ) non si è piu presentato.

Grosso modo ecco cosa mi accade (alla fine allego tutte le immagini passo dopo passo così da far capire bene).

Faccio la scansione, a fine scansione lui mi dice che potrebbe essere necessario il riavvio per eliminarli, io gli dico SI, poi seleziono l'oggetto (compare un pallino verde accanto all'oggetto) e poi clicco su SPOSTA ma non noto alcun cambiamento sia quando il programma è aperto (e io gli ho appena detto SPOSTA), sia quando in seguito ho riavviato il PC (l'oggetto ricompare, insomma l'operazione l'avrò fatta almeno 5 volte tra ieri e oggi e nessun cambiamento).
Ho anche provato a stoppare la scansione subito dopo che me l'aveva rilevato e cliccare su altre opzioni (es. CANCELLA) ma niente.
Ah cosa importante, ogni volta prima di chiudere il programma (e riavviare) mi esce scritto:
La lista delle minacce rilevate, contiene oggetti per i quali non è stata applicata alcuna azione. Raccomandiamo di neutralizzarle prima di chiudere l'applicazione.


Allego l'ultimo LOG di qualche minuto fa
http://wikisend.com/download/491700/cureit%20filtrato.txt


Insomma, io sono imbranato in queste cose (è la verità) però qua mi sa che nel mio PC al momento questo programma è incapace di spostare quanto rileva, no? Non è che di default rispetto agli altri utenti ho qualche cosa che impedisce al programma di "operare" o la mia situazione è più grave?

Domanda OT: se decidessi di formattare il problema sarebbe risolto al 100% o ci sono probabilità che non si risolva perchè il virus è alla radice?


ALLEGO TUTTE LE IMMAGINI.
Durante la scansione (lo rileva subito)
http://img199.imageshack.us/img199/74/nuovaimmagineyc.jpg

Appena finita la scansione ecco cosa appare (PREMO SI)
http://img291.imageshack.us/img291/2645/1nuovaimmagine.jpg

Vuole curarlo, PREMO SI (anche se non cambia niente a video)
http://img710.imageshack.us/img710/7404/2nuovaimmagine1.jpg

Seleziono l'oggetto e premo SPOSTA
http://img12.imageshack.us/img12/3151/3nuovaimmagine2.jpg

AVendo fatto l'operazione SPOSTA non ne posso fare altre sull'oggetto
http://img215.imageshack.us/img215/5662/4nuovaimmagine3.jpg

Visto che non posso fare più niente decido di chiudere l'app e riavviare, ecco il messaggio
http://img7.imageshack.us/img7/9567/5nuovaimmagine5.jpg

Riavvio e torna tutto come prima.



Grazie Chill-Out, xcdegasp e a chi risponderà per la vostra pazienza e disponibilità. Il mio PC è nelle vostre mani.

Arrivato a questo punto

http://img710.imageshack.us/img710/7404/2nuovaimmagine1.jpg

devi cliccare su SI

Io lì premo SI (ho provato sia sia su SI che su SI ALL) ma non cambia niente.

Io lì premo SI (ho provato sia sia su SI che su SI ALL) ma non cambia niente.

Nel senso che la macchina si pianta e non risponde ai comandi (mouse bloccato......)

No a me il pc non si è mai impiantato. Io premo SI ma non cambia niente, non è che scompare dalla schermata o altro.
Adesso ho rilanciato il programma, l'ho bloccato subito dopo che l'ha rilevato. Dopo aver premuto SI è scomparsa la schermata che mi chiedeva (cosa doveva fare) ma non ho visto nessun cambiamento.

No a me il pc non si è mai impiantato. Io premo SI ma non cambia niente, non è che scompare dalla schermata o altro.
Adesso ho rilanciato il programma, l'ho bloccato subito dopo che l'ha rilevato. Dopo aver premuto SI è scomparsa la schermata che mi chiedeva (cosa doveva fare) ma non ho visto nessun cambiamento.

Facciamo l'ultimo tentativo che consiste nel non stoppare la scansione rapida.

Quindi rilancio tutto e faccio lavorare la scansione fino alla fine (circa 30 minuti) e poi rifaccio tutto (cura SI, ecc.)
Io lo faccio perchè con tutta la disponibilità che stai mostrando è il minimo, però questa operazione tra ieri e oggi l'ho fatta almeno 4-5 volte e sempre con gli stessi risultati.

Me l'ha già rilevato, lascio finire la scansione.

Chill Out ma secondo te il file .dll e' il solo ad essere infetto o e' un problema di MBR, modificatosi in qualche modo?
Se il problema e' solo la .dll si puo' cancellare il file con CD live di Linux, cosa ne pensi?

Eccomi, purtroppo nessun miglioramento. Ho fatto fare tutta la scansione, ho detto SI alla CURA e alla fine prima di chiudersi mi ha sempre mostrato il messaggio (La lista delle minacce rilevate, contiene oggetti per i quali non è stata applicata alcuna azione. Raccomandiamo di neutralizzarle prima di chiudere l'applicazione.) come se io non avessi fatto niente (e infatti nel riquadro Azione non compare alcuna frase del tipo "curato", come a logica dovrebbe apparire).

Fammi fare tutti gli esperimenti che ritieni opportuni, ma non mi dire che non esistono possibili soluzioni.
Ti ringrazio.

A questo punto poseguiamo qui, quindi segui le indicazioni di questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1715546 >> :: PRIMA FASE ::

Ho lanciato GMER, grazie.

Eccomi.

LOG GMER (l'ho dovuto caricare qua)
http://www.filedropper.com/gmerlog
Mi sembra di aver visto che ci sono problemi...

Ho installato e lanciato PrevX e come gli altri giorni va in crash il programmino dopo pochi secondi, non facendo pertanto alcuna scansione.

Eccomi.

LOG GMER (l'ho dovuto caricare qua)
http://www.filedropper.com/gmerlog
Mi sembra di aver visto che ci sono problemi...

Ho installato e lanciato PrevX e come gli altri giorni va in crash il programmino dopo pochi secondi, non facendo pertanto alcuna scansione.

Che gran pasticcio, lancia questo tool

:: SECONDA FASE ::


Download tools necessari per la rimozione/disinfezione:

Stealth MBR rootkit detector

e nel frattempo procurati il CD di installazione di Win

Oh mamma mai. Devo formattare??? Io non è che sono molto bravo in queste cose...
Ma è tanto grave? Ti prego dimmi qualcosa.

Ho scaricato il programmino Stealth MBR rootkit detector ce l'ho sul desktop, ma nella guida leggo che poi dovrò metterlo in C e andare in modalità provvisoria ecc.

Ciao Chill-Out,
alla fine mi sono armato di coraggio e ho fatto una piccola prova... (ti prego non ti arrabbiare se ho fatto un po' di testa mia senza consultarti prima).

Insomma ho messo mbr.exe (quello che mi avevi fatto scaricare) in C: e ho riavviato in modalità provvisioria. Sono entrato e ho digitato c:\mbr.exe -f e premuto ok (ho seguito la guida che c'è su questo sito).
Poi ho cancellato la cartella HelpAssistant che si era creata in Documents and Settings.

Adesso ho riavviato e ho visto che firefox funziona bene (non c'è più quel gap tra quando scrivevo una parola e google mi restituiva i risultati) e la CPU non mi sembra più impazzita.

Ho subito iniziato a fare i controlli prima di cantare vittoria.
Avviato Dr.Web Scanner e non ha trovato niente.
Ecco il suo LOG.
http://www.filedropper.com/cureitfiltrato

La cartella HelpAssistant non si è ricreata.
Adesso lancio GMER e poi ti posto il LOG.

Come ti sembra? Grazie per tutto.

GMER LOG
http://www.filedropper.com/gmerlog_1

Adesso lancio PrevX che per la prima volta da giorni funziona (prima si chiudeva da solo).

Mi sembra ok.
http://img229.imageshack.us/img229/3832/uovaimmagine.jpg


UPDATE2
Fino adesso mi sembra che tutto proceda per il meglio, ma aspetto una tua valutazione/conferma.

F-Secure BlackLight standalone rootkit scanner
Non ha trovato niente

Ho lanciato anche Norman SinowalMBR Cleaner
Ecco il suo log
http://www.filedropper.com/nfix2010-06-0414-50-55

Ciao Chill-Out,
alla fine mi sono armato di coraggio e ho fatto una piccola prova... (ti prego non ti arrabbiare se ho fatto un po' di testa mia senza consultarti prima).


Il coraggio è la virtù dei forti :D ed in ogni caso hai seguito alla lettere le indicazioni della guida, allegami il log di Stealth MBR rootkit detector + il log di una scansione completa di DrWeb CureIt.

Aglia non mi sembre che vada bene (il pc però mi funziona bene adesso)

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

Lanciata scansione di Dr.Web completa.
Piccola domanda, basta che rispondi SI o NO. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 ecc che ad es. ho sul disco?

Sto facendo la scansione COMPLETA mi ha rilevato 2 cosette (forse di poco conto? :rolleyes: )

Ti allego l'immagine.
http://img375.imageshack.us/img375/4920/dimmagine.jpg

Ho premuto SI (adesso funziona questa operazione) e me li ha spostati.

Buongiorno Chill-Out,

tra ieri pomeriggio e ieri sera ho fatto ore e ore di scansioni e tranne quello che DrWeb mi aveva rilevato nel pomeriggio all'inizio della scansione completa (e che ti avevo segnalato) e messo in quarantena (su questa cosa ci ritorno tra poco) non ho trovato più nulla né con PrevX, né con Malwarebytes e soprattutto rilanciando DrWeb che nel mio caso si è dimostrato l'unico programma efficace nel rilevare il rootkit.
Ho lanciato DrWeb più volte (sia in modalità scansione rapida che completa) e non trova più niente.

Ecco i log aggiornati.
LOG GMER (fatto ieri sera prima di spegnere il pc)
http://www.filedropper.com/gmer

LOG MBR.EXE (fatto adesso)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x04A891C1
malicious code @ sector 0x04A891C4 !
PE file found in sector at 0x04A891DA !

LOG Dr.WEB
http://www.filedropper.com/cureitfiltrato_1
(fatto adesso, modalità personalizzata su C che come profondità ho visto è uguale alla completa solo che non va nell'unità D... ieri ci ha messo circa 6 ore a fare tutto il PC (C e D), adesso circa 2 ore dicendogli solo C, con la rapida invece 40 min ma ho visto che è meno profonda).

Quando ieri ti avevo segnalato che mi aveva trovato 2 cose (eccoli in foto)
http://img375.imageshack.us/img375/4920/dimmagine.jpg
adesso questi due file sono nella cartella DoctorWeb Quarantine.
Li devo cestinare a mano o vanno lasciati lì?

---

Piccola domanda ot, basta che rispondi SI o NO se possibile. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 video ecc che ad es. ho sul disco?

Ti comunico che a me il PC da ieri funziona perfettamente, però è ovvio che aspetto il tuo giudizio tecnico :sperem: e rimango a disposizione nel fare ulteriori controlli.

:) GRAZIE :) di cuore per la disponibilità e l'aiuto.

Buongiorno Chill-Out,


Piccola domanda ot, basta che rispondi SI o NO se possibile. Ma quel virus che ho preso può aver danneggiato/infettato anche i file .doc .txt .mp3 video ecc che ad es. ho sul disco?

Ti comunico che a me il PC da ieri funziona perfettamente, però è ovvio che aspetto il tuo giudizio tecnico :sperem: e rimango a disposizione nel fare ulteriori controlli.

:) GRAZIE :) di cuore per la disponibilità e l'aiuto.

Buongiorno, la risposta alla tua domanda è no, direi che siamo ok, come controllo finale allegami un log di HijackThis.

Ecco qui il log:
http://www.filedropper.com/hijackthis_3

Grazie ancora! :friend:

PS: cosa faccio con quei 2 file in QUARANTENA? Li cestino?

Ecco qui il log:
http://www.filedropper.com/hijackthis_3

Grazie ancora! :friend:

PS: cosa faccio con quei 2 file in QUARANTENA? Li cestino?

A posto, aggiorna IE alla versione 8 ed i software complementari (utilizzi una versione di Java obsoleta quindi vulnerabile) segui questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

Ok, lo faccio! Scusa di quei due file in quarantena con DrWeb che faccio, li cestino o li lascio lì?

Grazie di TUTTO, hai veramente salvato il mio pc :)

Ok, lo faccio! Scusa di quei due file in quarantena con DrWeb che faccio, li cestino o li lascio lì?

Grazie di TUTTO, hai veramente salvato il mio pc :)

Prego, le info anche riguardo a DrWeb le trovi al Punto 16 delle Guida che ti ho linkato, buon proseguimento.

Comunque li puoi eliminare in tranquillità.