Virus o ERRORE hardware

[numatu]

Sono utente unico e quindi amministratore forse però devo abilitare la password,
ora provo.

[numatu]

ok mi arrendo non so come fare la scansione con F-Secure online,

attorno al 5 % della scansione mi dà la stessa schermata di cui sopra.

Provo Kaspersky

il link sulla GUIDA alla DISINFEZIONE non mi funziona, forse è cambiato il link.

Scarico da internet "SoftonicDownloader_per_kaspersky-virus-removal-tool.exe"

e scansiono

[xcdegasp]

il link per scaricare kasperky tool è ancora valido, ti porta alla pagina greenzone e devi attendere quei secondi necessari che ti si apra in automatico la richiesta di download
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

[numatu]

kaspersky ha riscontrato diversi seri (credo) problemi ma non riesce a eliminarli ti allego file

http://wikisend.com/download/495128/Kaspersky ven 08042011 1809.txt

Rifaccio la scansione con l'opzione di eliminazione diretta attivata.

[numatu]

niente non me le elimina

[xcdegasp]

mmhh.. prosegui con la prossima, vedremo poi

[numatu]

Finalmente ti allego il txt di d web e procedo con l'altra scansione, speriamo non così eterna.

http://wikisend.com/download/227086/cureit filtrato.txt

[numatu]

allego gmer.txt

http://wikisend.com/download/420590/Gmer do 10042011 1012.txt

[numatu]

Allego hijackthis

http://wikisend.com/download/592664/hijackthis do 10042011 1014.txt

[xcdegasp]

Quote:

Originariamente inviato da numatu

Allego hijackthis

http://wikisend.com/download/592664/hijackthis do 10042011 1014.txt

ottimo, ho visto anche le scansioni di cureit e gmer.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
ora fixa:

Codice:

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IEPro\iepro.dll
O2 - BHO: MAX IT Atube - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\prxtbMAX0.dll
O2 - BHO: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Ant.com browser helper (video detector) - {346FDE31-DFF9-418A-90C8-BA31DC9FF2EF} - C:\Programmi\Ant.com\IE add-on\Download.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: DepositFiles.com BHO - {9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F} - C:\PROGRA~1\DEPOSI~1\DFMANA~1\DEPOSI~1.DLL
2 - BHO: (no name) - {BBEDB999-1ECD-474F-BA1E-24FBE469D523}} - (no file)
O2 - BHO: (no name) - {BBEDB999-1ECD-474F-BA1E-24FBE469D523} - C:\Programmi\Dream Desktop Agent\DDIEBHO.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: Interest recogniser for Freecompressor (powered by Spointer) - {d9fc24df-b4ab-493a-8f33-52f6fcc536c1} - C:\Programmi\FreeCompressor\spointer\extensions\freecompressor_air_ie.dl
O3 - Toolbar: MAX IT Atube Toolbar - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\prxtbMAX0.dll
O3 - Toolbar: Deposit IE Toolbar - {6AA40521-14E7-4B1D-B1B4-98528C1388C9} - C:\PROGRA~1\DEPOSI~1\DFMANA~1\DEPOSI~1.DLL
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\IEPro\IEProRecorder.dll
O3 - Toolbar: Ant.com Download Toolbar - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - C:\Programmi\Ant.com\IE add-on\AntToolbar.dll
O3 - Toolbar: Conduit Engine  - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [SwitchBoard] C:\Programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ClipboardFusion] "C:\Programmi\ClipboardFusion\ClipboardFusion.exe"
O4 - HKCU\..\Run: [DS Clock] "C:\Programmi\DS Clock\DSClock.exe"
O4 - HKCU\..\Run: [PicPick Start] C:\Programmi\PicPick\picpick.exe
O4 - HKCU\..\Run: [Procexp] "C:\Programmi\procexp\procexp.exe"
O4 - Startup: setup_9.0.0.722_08.04.2011_18-46.lnk = C:\Documents and Settings\Andrea\Desktop\Virus Removal Tool\setup_9.0.0.722_08.04.2011_18-46\startup.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programmi\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra button: Download videos by Ant.com - {70AF6C9F-0818-4cf7-924A-BBDBB24211D3} - C:\Programmi\Ant.com\IE add-on\Download.dll
9 - Extra button: Spin Palace Casino - {1169BE7D-42C4-4834-91DF-3D2ACBBAA937} - C:\Microgaming\Casino\SpinPalace\casinogame.exe (HKCU)
O9 - Extra button: Mummys Gold Casino - {A1E00E86-D232-4D1C-A42A-30014BA40526} - C:\Microgaming\Casino\MummysGoldCasino\casinogame.exe (HKCU)
O9 - Extra button: Ruby Fortune Casino - {E56079D4-9D8D-4676-A0FE-A431B25A5033} - C:\Microgaming\Casino\RubyFortune\casinogame.exe (file missing) (HKCU)

non ti preoccupare, nulla viene cancellato, ti tolgo dei residui dell'infezione e ti faccio disabilitare cose inutili all'avvio del pc e di IE. tutto rimane funzionante.

poi procedi con prevx e poi concludi con una scansione completa di avira così controllo le impostazioni anche dell'antivirus

[numatu]

Ho provato 2 volte a fare le correzioni che mi hai indicato ma HiJackThis
ma dopo che sembrava averle effettuate il computer si impallava e l'ho dovuto riavviare forzatamente entrambe le volte perdendo così le modifiche fatte.
Alla fine sono riuscito a fare le mdifiche in modalità provvisioria.
ma il notebook sembra dare ancora problemi di impallamento.

Procedo con Prevx.

[numatu]

Allego i risultati di Prevx.

http://wikisend.com/download/378072/Prevx 11042011 1232.txt

http://img831.imageshack.us/i/prevx110420111232.png/

[xcdegasp]

prevx ha trovato:

Codice:

[b] c:\windows\system32\mfc45.dll	[PX5: 10DADA8ECF71B35823810103791F2F00BC9FE320]	Malware Group: Medium Risk Virus
[BP] c:\programmi\quickfix\lfx.exe	[PX5: 0FEA8F60009CCE98C8AF080B6A30FE008EA42829]	Malware Group: High Risk Cloaked Malware
[b] c:\microgaming\casino\mummysgoldcasino\casinogame.exe	[PX5: 414AFA86007BA141A05A0604875B100093AB2D2E]	Malware Group: Medium Risk Malware

ora con l'antivirus

[numatu]

Sono al 17 % con la scansione dell'antivirus.

Credo che ci impiegherà anche lui diverse ore.
Appena finito ti aggiorno.
In quest'ultimo riavvio del computer sembra tutto normale; il notebook sembra ben operativo, ma non vorrei parlare troppo presto.

Oltre a questi problemi di Prevx volevo chiederti se i problemi rilevati dal tool di Kaspersky sono falsi positivi, sono stati risolti oppure bisogna far qualcosa. Soprattutto con riferimento ai:

C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\ ecc....

Infine magari x capirci qualcosa anch'io che cosa "abbiamo" ("hai") trovato e da cosa può essersi originato, visto che ormai mi sembra evidente che non trattavasi di problema dell'Hardware.

e se quei programmi tipo Unlocker, Procexp, atnotes che mi hai fatto disabilitare con HiJackThis poi li posso riabilitare o mi sconsigli di farlo.

Grazie di tutta la tua disponibilità e pasienza.

[xcdegasp]

l'avvio automatico di quei programmi non ti serve, se ti servissero così massivamente significa che il pc ha gravi problemi pertanto puoi avviarli solo quando strettamente necessario senza appesantire la ram con avvii di servizi inutili.

poi, dopo che abbiamo certificato la pulzia del pc ti aiuto a migliorare la protezione e gestione del pc, perchè i problemi nascono proprio da questo.

quello che hai evidenziato è questo:

Codice:

08/04/2011 17.52.37	Rilevato: Trojan-Downloader.JS.Iframe.cau	C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\Cache(2)\16B60119d01/iye5p69e		
08/04/2011 17.52.37	Non disinfettato: Trojan-Downloader.JS.Iframe.cau	C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\Cache(2)\16B60119d01/iye5p69e	Scrittura non supportata

mi fa' strano però che mi chiedi la causa vista l'elevata mole di crack e keygenb che erano presenti nel pc, e questa segnalazione di kaspersky riguarda pagine web visitate dove appunto c'è inoculato del codice maligno atto a infettare il navigatore ovviamente il malware è presenti anche nei fantomatici e tanto ambiti keygen ma è di un altra famiglia.


la causa è sempre tra il monitor e la sedia della scrivania comunque basterebbe veramente poco a cambiare abitudini essendoci software gratuiti che non fanno minimamente rimpiangere quelli più famosi commerciali, ci vuole solo quel piccolo sforzo di cercare e chiedere.

[numatu]

Tutto nasce dall'Ignoranza!
Pensavo che sebbene pericolosi quei Keygen, non usandoli non potevano far danno. Credevo che lasciandoli nei file rar scaricati senza avviarli e senza applicare il crack non portassero problemi.
A volte (spesso) mi faccio prendere dalla smania di provare software! e tendo a conservare tante cose che magari sono inutili ma penso erroneamente che all'occorrenza potrebbero servire.

[numatu]

Ti allego i risultati di avira

http://wikisend.com/download/401052/...4-0BDEFB43.txt

http://wikisend.com/download/430468/...6-25D7112F.txt

poi mi ha chiesto di riavviare x rimuovere alcuni problemi e x ora sta facendo una ulteriore scansione.

[xcdegasp]

provare software non ti mette nella condizione di crackare il software perchè per provarlo basta la semplice versione gratuita o di prova.
comuqnue windows non è il sistemaoperativo più adatto epr le continue installazioni-disinstallazioni quindi è meglio che installi virtualx e crei un avirtualmachine per queste attività.
in questo modo non alteri il sistema operativo principale ossia quello residente nel pc.

ma se lo scarichi il keygen in funzione del "se un domani.." significa che comunque un domani ti infetterai nuovamente, visto che ti sei già infettato a visitare quei siti.

guarda, non ti sto facendo l'inquisizione, ma non c'è nulla che renda più soft le tue colpe o che ne giustifichi l'azione svolta. prima di prendere software randome, o peggioa ncora consigliato o presente nei cd di riviste, chiedi! i forum servono anche a questo perchè non sono dei "pronto soccorsi" ai quali rivolgersi solo per disastri da sanare, sono in primis un importante fonte di informazione dove ll'esperienza di uno può aiutare 1000 persone.
è un continuo circolo di informazione.

il primo passo da compiere la consapevolezza senza commiserazione

[xcdegasp]

ci sono delle impostazioni da correggere, la prima azione che deve compiere avira è sempre "disinfetta" come secondaria "quarantena".

poi:

Codice:

Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo

queste due devono essere attive!

le estenbsioni smart degli archivi disabilitala, deve scansionare tutte le estensioni. non vedo l'abilitazione alla scansione per le applicazioni non volute.
segui la guida -> http://www.hwupgrade.it/forum/showthread.php?t=1514684

alcune cose vedo che le hai modificate prima della seconda scansione...

[numatu]

NOn saprei dove metterci mano. Mentre scansionava mi ha mandato una finestra in cui mi chiedeva se intervenire su dei rilevamenti e io mi sono limitato a dare l'ok.

Ho seguito la guida e penso di aver configurato avira per bene.

Devo fare ripartire il notebook (lo ha chiesto l'antivirus dopo una modifica alle opzioni) e/o far ripartire la scansione con le nuove opzioni?