Infezione scoperta dopo avere rilevato problemi di prestazioni del pc-mi manda Eress

[Freddo69]

Come da titolo Eress mi dice, dopo che ho aperto un topic nella sezione Microsoft Windows/Windows7 riguardante un altro problema, che da un log di HJT postato sono sicuramente infetto, vi copio nel seguito ciò che avevo scrittò di lì, nonostante Malwarebytes antimalware con licenza, Avira premium con licenza e windows defender attivato (Claudio mi disse di disattivarlo e come fare ma non ci ero riuscito).
Premetto che il pc sembra fungere bene per la maggior parte del tempo in cui ci sono, solo in effetti mi è capitato 3 volte tra stanotte e adesso che mi sia apparso schermo nero e si sia riavviato, ok ecco le mie parole dette nel topic aperto nell'altra sezione:

Buongiorno a tutti, ho letto svariate volte il regolamento generale e quello delle sottosezioni e per questo apro qui il mio thread visto che a mio avviso non riguarda solo la CPU e rispetta le regole, ovviamente se sbaglio mi corriggerete (come disse Papa Woytjla!)

Ne ho parlato già ieri con 2 membri esperti, io sono un niubissimo o giù di lì, "Ironherat" e "Kommodre" ma la questione non è propriamente la stessa infatti in quell'altro thread parlavo del mio PC se è ancora valido eccetera infatti si trova nella sezione apposita.

Riscontro 2 tipi di problemi che copio da dove li avevo inseriti con modifiche:

Ho acquistato nel mese di luglio del 2010 un nuovo PC che non mi ha mai dato grossi problemi se non a livello di hardware nel senso che la scheda madre non mi legge quasi mai il masterizzatore CD-DVD. Ecco la configurazione (me la ero dimenticata!):

1 x Thermaltake Element S VK60001N2Z (VK60001N2Z) = € 96.90
1 x Arctic Freezer Xtreme Rev. 2.0 1366/1156/775/AM3/AM2+/AM2/939 (FREEZER XTREME REV. 2) = € 32.40
1 x DVD-RW LG GH24NS50 NERO SATA (GH24NS50) = € 26.00
1 x SAMSUNG 1TB HD103SJ 7200rpm 32MB Spinpoint F3 (HD103SJ) = € 55.00
1 x AMD Phenom II X4 955 3.2Ghz 4x512KB Black Edition (HDZ955FBGMBOX) = € 132.00
1 x ATI HD5770 Sapphire 1GB Vapor-X 2xDVI/HDMI/DP (11163-05-20R) = € 163.50
1 x ASROCK AM3 870 EXTREME3 (870 EXTREME3) = € 79.50
1 x DDR3 1333Mhz PC10666 4GB CORSAIR CL9 DHX (2x2GB) (TW3X4G1333C9DHX) = € 116.00
1 x Corsair CMPSU-550VXEU 550W (CMPSU-550VXEU) = € 77.50

I prezzi sono del 7 luglio 2010

Ho notato anche che, forse dipende dal processore ma io non sono un esperto, nonostante in realtime io abbia solo Avira antivirus e Malwarebytes, entrambi con licenza, l'utilizzo della CPU, lo vedo sia dalla gestione attività che tramite SpeedFan, è sempre sopra il 25% e se lancio qualcosa sale di molto, ho Windows 7 64 bit sempre aggiornato; ah ecco, sempre SpeedFan mi dice che c'è una voce, "aux", la cui temperatura è di 81 gradi adesso infatti mi da il simbolo col fuochetto acceso ma non so cosa sia questo aux.

Problemi la cosa finora non me ne ha dati ma da qualche giorno è così allora mi preoccupo un pò, non ho molta voglia di cambiare PC; allego 4 screenshots per evidenziare meglio la problematica:

1
http://img38.imageshack.us/img38/2001/kcr4.jpg

2
http://imageshack.us/photo/my-images/36/o0vc.jpg/

3
http://imageshack.us/photo/my-images/855/al8a.jpg/

4
http://imageshack.us/photo/my-images/35/4kea.jpg/

[Freddo69]

Qui sotto il link in cui parlo con ERESS:

http://www.hwupgrade.it/forum/showth...1#post40317845

[Chill-Out]

Traccia di una infezione pregressa

Quote:

O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe

[Freddo69]

Quote:

Originariamente inviato da Chill-Out

Traccia di una infezione pregressa

Si, vista, è strano che l'autoanalizzatore del log che avevo fatto pochissimi giorni fa non me la segnalava nociva, l'unica cosa che mi diceva era di aggiornare IE alla versione 11 ma in 3 giorni e nonostante il prezioso aiuto di Claudio non sono ancora riuscito a installarlo, vabbè questo è un altro discorso; Chill, senti Eress mi ha detto che nel log c'era un'altra voce sospetta, cmq io cosa devo fare ora? Considera che ho già iniziato la procedura come nella guida di xcdegasp, ora sto ai primi passi (scansione Malwarebytes), dimmi tu, grazie

[Chill-Out]

Quote:

Originariamente inviato da Freddo69

Si, vista, è strano che l'autoanalizzatore del log che avevo fatto pochissimi giorni fa non me la segnalava nociva, l'unica cosa che mi diceva era di aggiornare IE alla versione 11 ma in 3 giorni e nonostante il prezioso aiuto di Claudio non sono ancora riuscito a installarlo, vabbè questo è un altro discorso; Chill, senti Eress mi ha detto che nel log c'era un'altra voce sospetta, cmq io cosa devo fare ora? Considera che ho già iniziato la procedura come nella guida di xcdegasp, ora sto ai primi passi (scansione Malwarebytes), dimmi tu, grazie

Fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.iminent.com/?appId=2A48...9-3A7B22290269

per il momento fai una scansione con HITMANPRO

[Freddo69]

Quote:

Originariamente inviato da Chill-Out

Fix

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.iminent.com/?appId=2A48...9-3A7B22290269

per il momento fai una scansione con HITMANPRO

Mannaggia avevo giò finito di scansionare con Malwarebytes-vabbè cmq ho tutto impostato per disinfettare, ora fixo ed eseguo hitman pro e ti allego il log, grazie chill-

http://wikisend.com/download/411730/...31122_1751.log

(mi ha fatto la scansione, è diventato tutto rosso c'era un casino di roba, io ho salvato il registro che ho allegato, clicco su avanti ma mi diceva "errore durante l'eliminazione", tracce trovate 47, è rimasto tutto lì temo-

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Paolo, poi mi spieghi come ci sei riuscito nel giro di soli 3 giorni

Ripeti L'INTERA PROCEDURA e allega tutti i report richiesti.

Eh, bella domanda Clà......... è che noi avevamo eliminato quelle schifezze ma non avevamo fatto un trattamento di disinfezione perchè infezioni non sembravano esserci, vabbè dai forse rimediamo dai, ora faccio tutto grazie Clà Ciaoooooo

Clà ma siamo OT se lo faccio qui? Boh-aspetto news anche da Chill-

[Freddo69]

Ecco i logs, quello di AWD è doppio non ricordo ma mi sembra che invece di cliccare, alla fine, su clean ho cliccato su avanti:

http://wikisend.com/download/101906/AdwCleaner[S1].txt

http://wikisend.com/download/426624/AdwCleaner[S2].txt

http://wikisend.com/download/362712/...31122_1929.log

http://wikisend.com/download/487496/hijackthis.log

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Eh no, Paolo, l'altro giorno il computer era non pulito, ma stra-pulito.

1) Disinstalla tutte le versioni di Flash player installate (compresa quella per Firefox);

2) Disinstalla Java (tutte le versioni installate);

3) Disabilita e arresta questo servizio:
O23 - Service: Serv Updater (ServUpdater) - ServiceUpd - C:\Users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe

4) Abilita la Visualizzazione delle cartelle e file nascosti, segui il percorso C:\Users\Paolo\AppData\Local\ServUpdater\ ed elimina la cartella ServUpdater

5) Riavvia il sistema, scarica: COMBOFIX.
E’ consigliato eseguire COMBOFIX a macchina dedicata: TUTTI I SOFTWARE DI PROTEZIONE (antivirus, antimalware, antispyware, firewall, ecc.) devono essere terminati e il computer NON CONNESSO alla rete.
a) tasto destro del mouse sull’icona e scegli ESEGUI COME AMMINISTRATORE;
b) durante la scansione NON ESEGUIRE operazioni sul computer;
c) Salva il REPORT rilasciato e allegalo.

Clà ti seguo a ruota e ho cercato di fare la massima attenzione sui passi che mi hai indicato, l'unica cosa che non sono riuscito a bloccare è il solito windows defender che inizia a starmi un pò sulle @@ e che elimineremo magari poi una volta che sarò tornato pulito-

Ecco il log di Combofix:

http://wikisend.com/download/943500/Report di Combofix 22 12 2013 ore 22,03 PaoloFreddo69.txt

[Freddo69]

Claudio intanto che attendo tue news, pure stanotte non si dorme ( ) posso rimettere flash player, schockwawe flash e java?

ah, update chjecker mi da questo errore se lo lancio Dio mio che bordello, vabbè questo non è importante rispetto al resto:

http://wikisend.com/download/190470/Immagine errore filehippo 23 novembre 2013 ore 06.10.jpg

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

No, non ancora.


Lascia perdere, non è fondamentale (non per ora almeno).

1) disinstalla COMBOFIX: START e nella casella di dialogo digita: uninstall /combofix e riavvia il sistema;

2) scansione con HITMANPRO e MALWAREBYTES (completa): rimuovi tutto quello che viene eventualmente rilevato e allega i due report;

3) lancia CCLEANER, scegli STRUMENTI / DISINSTALLAZIONE e in basso a destra clicca sul tasto SALVA COME TESTO (allega il file TXT generato).

OK i logs di Hit e Malw. non denotano nulla, cmq li allego, e allego anche il txt di Ccleaner:

http://wikisend.com/download/505212/...31123_1023.log

http://wikisend.com/download/276098/mbam-log-2013-11-23 (10-25-10).txt

http://wikisend.com/download/368176/install.txt

Clà per vedere la partita del Celtic in streming video su Channel67 devo avere flash player e Java, giusto?
E' che c'è alle 16, non voglio metterti fretta ovviamente hai un bel pò da fare-

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Paolo, direi che la partita del Celtic è meno importante del resto, in questo momento.

si lo so scherzavo, è che sono tifoso anche del Celtic a parte Bayern e Roma, ed oggi 2 miei amici sono a Celtic park per la gara Celtic-Aberdeen quindi ci tengo assai

1) DRIVERMAX non ti serve (il giorno che formatti il computer usando la partizione di ripristino, i driver sono già compresi): disinstalla;

fatto, disinstallato ma mi rimane "driver booster" installato-

2) disinstalla anche FOXIT READER (visto che usi Adobe Photoshop CS2, tanto vale installare la versione più recente di ADOBE READER.
Dopo l’installazione, sarà necessario scaricare manualmente un ulteriore aggiornamento minore (lanciare ADOBE READER, accettare il contratto di licenza, cliccare sul punto interrogativo (?), scegliere RICERCA AGGIORNAMENTI e installare l’aggiornamento proposto.

fatto tutto ok

3) visto che ti incasini con FLASH PLAYER e non utilizzi INTERNET EXPLORER (però vedo installati sia FIREFOX - che richiede l'istallazione di Flash Player - che CHROME), facciamo una scelta precisa: disinstalla FIREFOX (prima salvati i preferiti) ed utilizza solo CHROME (non richiede l'installazione di Flash Player perché ne ha uno interno che si auto-aggiorna);

eliminato firefox ok-pero internet explorer considera che lo uso, anche se ogni tanto per giocare nella msn.gaming.zone ad hearts o spades, che faccio qui col flash?

4) non installare JAVA: i siti che lo richiedono ormai sono ridotti all'osso; se proprio lo devi installare scaricalo dal SITO UFFICIALE;

l'ho messo dal sito ufficiale, è che mi sembra servisse a qualcosa di PES ma non sono sicurissimo, una volta mi fu detto tempo fa da un "pessaro" esperto-

5) UPDATE CHECKER e SECUNIA PSI fanno lo stesso lavoro quindi uno non serve: disinstalla il primo e usa Secunia PSI;

fatto-secunia psi gli do il tempo reale o lo lascio lì per lanciarlo io tipo 2 volte la settimana?

6) stesso discorso di cui al punto 5 per EMULE e VUZE: uno dei due ..... o se possibile, nessuno dei due (mio punto di vista, questo);

disinstallato emule, peraltro non ricordavo manco di averlo visto che non lo uso mai e non serve più a nulla visto che non scarico cose in modo illegale-almeno credo.......

7) per quel che NON serve, puoi anche disinstallare SILVERLIGHT;

fatto-

8) non ho idea di cosa possa servirti DAEMON TOOLS LITE: se non lo usi, disinstalla.

Daemon tools è un software di virtualizzazione che serve a creare immagini su unità disco virtuali, lo lascio per ora ma lo uso cmq poco

Quando hai finito, nuovo TXT di CCleaner (voglio essere sicuro).

ecco il log:

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

DriverBuster è un software per aggiornare i driver; se non ti interessa, disinstalla.

lo lascio dai-

Disinstalla le versioni di WinRAR installate (una è ancora la Beta), poi scarica ed installa l'ultima versione stabile 5.00: VEDI QUI.

fatto-

Vedo che non hai disinstallato JAVA; se proprio intendi utilizzare IE, lascialo installato e da Internet Explorer scarica ed installa ADOBE FLASH PLAYER.
Ogni volta che viene rilasciato un aggiornamento per Flash Player, dovrai scaricarlo sempre da Internet Explorer e sempre dal sito ufficiale.

okk-

Quando hai finito con questa parte, allega un nuovo report di Hijackthis.

P.S. 1: quel computer ha due partizioni disco?.

P.S. 2:


E riattiva la protezione in tempo reale di Malwarebytes e ..... disabilita Windows Defender (serve a zero).

Allora no l'HD principale non mi pare sia partizionato, ho 2 hard disks, quello secondario lo uso solo per il backup settimanale e per il backup con acronis true image-

protezione in tempo reale di M.bytes è attiva-windows defender.....mmm..........ti ricordi che giorni fa provammo a disinstallarlo? non ci ero riuscito-il centro operativo mi dice che 2 antimalware (o antivirus) possono causare rallentamenti, ma cmq non ne ho mai visti col defender, cmq se è lo tolgo dimmi tu come-

ecco il log di HJT:

http://wikisend.com/download/103928/hijackthis.log

(perchè mi da 4 volte nei servizi google chrome anche se ho solo una pagina aperta? e tutti quei "file missing"???)

Grazie ora attendo tue news-ah, il Celtic ha vinto 3-1 ehehehe

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Disattivare Windows Defender: VEDI QUI.



Perfetto, una volta disattivato WINDOWS DEFENDER:

1) esegui una pulizia con CCLEANER (sia pulizia normale che pulizia del registro);

2) esegui una deframmentazione del disco;

3) Disattiva il RIPRISTINO CONFIGURAZIONE DI SISTEMA (segui le istruzioni): ISTRUZIONI PER WINDOWS 7.

Riavvia il computer e, seguendo le istruzioni, RIATTIVA la funzione di RIPRISTINO CONFIGURAZIONE DI SISTEMA.

4) elimina tutti i BACKUP precedenti, in maniera da essere sicuro di non averne uno infetto;

5) visto che ora il computer è PULITO fai un BACKUP COMPLETO; avrai una immagine sicura da cui ripartire in caso di necessità (e conservalo come fosse la Champions League).

E con questo abbiamo concluso .... fino alla prossima volta


Paolo ..... solo fortuna ..... ci sentiamo la sera del 26 novembre .... finirà (minimo) 3 a 0 per il ...... Milan

Naaaaaaaaa, 3 goals di Samaras! Cmq Dortmund-Bayern 0:3, ancora devo svegliarmi da questo sogno!!!!!!!!!!!!!!

Grazie di tutto Clà sei un amico, seppur Bilanista ( ) se ho problemi riprendo da qui, ciaooooooooooooooo

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

spero proprio di no .... (almeno per un paio di mesi).

Lo spero anche io ma sai io sono un testone .......

Cmq Windows Defender non mi si disattiva, questa è l'mmagine dell'errore che mi da, sembra manchi una dll:

http://img703.imageshack.us/img703/8806/2gux.jpg

Per vedere il tutorial, molto semplice, ho dovuto reinstallare Microsoft Silverlight, ora lo ridisinstallo?

edit-il consumo di risorse però è rimasto a quei livelli eccessivi che avevo segnalato, sarà 1 problema di hardware?

edit2-

a: ora mi trovo 2 unistallers, Revouninstaller e Iobit, ne tolfo uno? Qui consigliano Revo ma qualcuno sempre qui me lo sconsigliò perchè poteva danneggiare il registro, posso usare il disinstallatore incluso in Ccleaner forse?

b: ti mostro una immagine che ho preso dal defrag, non capisco cosa sia quella cosa che dice "riservato per il sistema"......

http://img401.imageshack.us/img401/534/vibq.jpg

c: io ho eliminato tutti i backups da acronis true image e da D hard disk secondario ho eliminato tutto quello riguardante windows 7, cioè il backup di windows 7 inclusa l'immagine, solo che se vado a vedere l'hd secondario invece che vuoto, io lo vedo vuoto, mi dice che ci sono circa 17 gb occupati su 478 totali ora non ricordo cmq era un hd da 500 gb lordi-

[Freddo69]

Clà problemino, io ti giuro non ho fatto altro che seguire quanto mi hai detto, ma mi trovo questa stranezza che ti posto in un log di Hitman Pro:

http://wikisend.com/download/107444/...31124_1031.log

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Ti avevo detto che era meglio ripristinare il sistema alla condizioni di fabbrica: troppi errori.


Che ti devo dire? lascialo installato


Non è che IOBIT (fino a ieri sera non c'era) si è installato da solo: cosa hai installato per installare anche IOBIT?.
Rimuovi uno dei due.


è la partizione per i file di avvio di Windows 7; vengono memorizzati il boot manager di Windows e i dati che gestisce (e altro).


E quale sarebbe questo presunto consumo di risorse?


Formatta l'HD, Paolo ..... eddai .....

queste immagini spiegano il consumo-

1
http://img38.imageshack.us/img38/2001/kcr4.jpg

2
http://imageshack.us/photo/my-images/36/o0vc.jpg/

3
http://imageshack.us/photo/my-images/855/al8a.jpg/

4
http://imageshack.us/photo/my-images/35/4kea.jpg/


Noooooo te prego di formattare non mi vaaaaaaaaaaaaa

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Scusa ..... ma a me sembra tutto nella norma.
Rimuovi quel software di controllo ...... non serve a nulla

A me no Cla', considera che il livello di utilizzo della CPU era sempre zero o 1 % a fronte di 25% di adesso che sale vertiginosamente fino a farmi crashare il sistema, 2 giorni fa è successo, avevo lanciato Photoshop CS2, avevo aperto google chrome e avevo aperto un file di word, nulla di più, quindi credo sia 1 problema del processore che va pulito non saprei.......

Quel software di ctrl intendi speedfan? si lo posso pure togliere

-ma dal log di hitman pro è unscito di nuovo qualcosa non se lo hai guardato è nel msg precedente, qualcosa con yontoo dice qualcosa insomma era questo:

http://wikisend.com/download/107444/...31124_1031.log

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Questo dovrebbe essere un falso positivo:


Fai analizzare quella DLL su VIRUSTOTAL e pubblica il link al report.

ecco qui: https://www.virustotal.com/it/file/9...is/1385296747/

Per quanto riguarda questo:

HKU\S-1-5-21-2935630611-2778065561-3062206767-1000_Classes\Wow6432Node\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}\ (Yontoo)

apri il Regedit, segui il percorso ed elimina la chiave:

{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}\ (Yontoo)

fatto, spero.......(perchè era una cartella con dentro solo una chiave nn so)

Quando hai finito, esegui una nuova scansione con HitmanPro e allega il Report.

eccolo:
http://wikisend.com/download/263704/...31124_1407.log

(non fare caso al fatto che dice desktop, non lo trovavo dal scegli file di totalvirus e l'ho copiato e incollato lì per comodità

alla fine della scansione dopo che ho salvato il registro sui cookies mi diceva "errore eliminazione")

come non detto, è che non lo avevo avviato come amministratore-

Per la temperatura (che comunque, se i livelli sono quelli non è eccessiva), evidentemente c'è da pulire il computer (sarà pieno di polvere), e in quella occasione fai rimettere la pasta termica alla CPU.

ok lo farò-considera che io ho il case sempre aperto quindi facile sia bello impolverato

Che ti devo dire? tanto prima o dopo ci si arriva (visti i tanti errori di sistema).

sic purtroppo è vero, ho dovuto formattare 10 mesi fa ma come vedi avrò fatto qualche casino come al mio solito, è che sono davvero un niubbissimo o poco co manca-

[Freddo69]

Quote:

Originariamente inviato da [Claudio]

Adesso è a posto e puoi fare quel benedetto backup pulito (fino a quando non si sa .............).
P.S.: come immaginavo quella DLL è un falso positivo riscontrato da HitmanPro.

La questione non è essere "niubbissimo" ma evitare di utilizzare il mouse come se si stesse giocando con un videogioco (e cliccare su tutto quello che capita a tiro di mouse).

Fai pulire il computer.

okk grazie Clà!!!!!!!!!