[Windows 7] Infezione risolta grazie alla guida. O no?

[Vegetallaro]

Ciao a tutti,
ho avuto un problema che credo, ma non sono sicuro, di aver finalmente risolto facendo la procedura descritta nella guida alla disinfezione, quindi prima di tutto ne approfitto per ringraziare tutti quelli che hanno collaborato a farla. E poi volevo chiedervi cosa ne pensate, se secondo voi ho debellato la causa del problema o mi consigliate di fare qualcos'altro, perché il fatto che non si stiano ripresentando i problemi in questo momento, non è che mi dia grandi certezze, anche perché già ci sono cascato una volta...

Sintomi iniziali:
1) Avast 4.8 disabilitato (errore "il sottosistema AAVM ha trovato un errore RPC", ed era impossibile riparare l'installazione);
2) Sistema lentissimo una volta completato l'avvio, nonostante nessun processo impegnasse la cpu;
3) lucetta dell'hard disk sempre accesa;
4) Task Manager che si bloccava totalmente non appena cliccavo su "mostra i processi di tutti gli utenti" o da qualche altra parte, con tanto di suono -din!- di Windows di quando clicchi su finestre che non possono passare in primo piano;
5) freeze totale dopo qualche minuto (variabile).
Tutti questi problemi erano presenti anche in modalità provvisoria.

Che ho fatto:
essendo quasi inutilizzabile Windows 7 (C, ho eseguito quasi tutte le operazioni da Windows XP, a quanto pare del tutto funzionante e pulito, che ho su un'altra partizione (E.

Il ripristino su C era già disattivato.

1) Prima di cominciare a seguire la vostra guida ho fatto una scansione totale con Avast che mi ha trovato 1 file infetto. Vi risparmio il report completo (ditemi se comunque è meglio che lo posti) e vi copio solo le due righe secondo me importanti:

Codice:

C:\pagefile.sys [L] Win32:FraudLoad-P [Trj] (0)
Durante lo spostamento al cestino, c'è stato un errore: Spazio su disco insufficiente
File cancellato con successo...
C:\Program Files\Avast4\Setup\vps-10122900.vpu [E] Impossibile leggere dalla periferica specificata (30)

Per sicurezza ho eliminato manualmente (senza problemi) anche il file vps-10122900.vpu che stranamente non leggeva.

Dopo questo punto ho notato un miglioramento: la lucetta dell'hard disk non più perennemente accesa e il rallentamento del sistema che ora iniziava solo qualche minuto dopo l'avvio.

2) Malwarebytes AM: non ha rilevato niente.

3) Emsisoft Anti-Malware: trovati svariati malware:
http://www.filedropper.com/3a2scan110101-171309

4) F-Secure Online Scanner: trovati altri malware:
http://www.filedropper.com/4f-secure...1-1-2011222657

5) Dr.Web CureIt: dopo ore di lavoro, niente.

6) SysInspector (questo ho dovuto farlo dal sistema infetto se no non aveva senso):
chiedo scusa ma questo report contiene talmente tante informazioni che mi chiedo se non sia il caso di evitare di postarlo pubblicamente... posso sempre mandarlo privatamente a chi si offre di aiutarmi.

7) HijackThis (anche questo su Windows 7):
http://www.filedropper.com/7hijackthis


8) GMER: il log che sono riuscito a salvare è relativo a una scansione PIU' O MENO completa, perché il rallentamento estremo di Windows 7 cominciava sempre prima che finisse la scansione, quindi ho dovuto stopparla prima della fine. Solo una volta sono riuscito a vederlo completo, ma non ho fatto in tempo a salvarlo, e rispetto a quella volta MI PARE che in questo log non manchi comunque nulla.
http://www.filedropper.com/8gmerlog

9) Prevx: e qui il log mi sa che mi sono scordato di salvarlo. Comunque mi ha segnalato un unico file che era c:\giochi\epsxe\plugins\spuandy.dll e che ho rimosso manualmente.

Fino al punto 8 il problema ha continuato a presentarsi, solo dopo aver rimosso quell'ultima dll segnalata da Prevx, che probabilmente stava lì da anni, funziona tutto apparentemente alla perfezione. Ottimo, ma strano. L'unico problema rimasto è che adesso se reinstallo Avast si installa ma mi dice che non può funzionare perché ha problemi di compatibilità con il sistema... Poco male, installo Avira, però non vorrei che fosse un segnale che qualcosa è rimasto.

Cosa ne pensate? Posso stare tranquillo o avete altre operazioni da consigliare?

Scusate per la lunghezza del post ma non sapevo come riassumerlo più di così, anzi se per caso sono necessarie altre informazioni per potermi aiutare o ho dimenticato qualcosa, ditemi.

Grazie

[xcdegasp]

ci servono tutti i log e in forma completa, ma era già ampiamente ribadito nella guida.

[Vegetallaro]

Lo so, infatti ho spiegato le difficoltà che ho avuto. Speravo che poteste dirmi qualcosa lo stesso... ok, dunque:

Il log di Avast non è richiesto dalla guida, quindi non credo che serva...

Il log di MalwareBytes' AM eccolo qua:
http://www.filedropper.com/2mbam-log...1-0116-36-23_1

Il pesante log di Dr. Web è questo:
http://www.filedropper.com/5cureit

Il log di GMER completo non riesco ancora a ottenerlo: nonostante il sistema adesso mi funzioni bene e non mi rallenta mai, quando faccio la scansione con GMER a un certo punto si ripianta come prima che si risolvesse il problema, solo che da ieri pomeriggio ad ora questo mi è successo esclusivamente durante la scansione di GMER.

Il log di SysInspector te l'ho appena mandato in privato

Il log di Prevx l'ho ritrovato, è questo:
http://www.filedropper.com/9prevxlog

Manca niente?


Un'ulteriore informazione: ho scoperto un'applicazione dubbia presente tra le regole di Windows Firewall che ovviamente consentiva la connessione, sotto il nome molto strano di "67583", che faceva riferimento all'applicazione C:\Users\Riccardo\AppData\Local\Temp\wmpscnfg.exe. Questo file però non c'era, forse era stato cancellato da qualche pulizia che avevo fatto con CCleaner visto che non era nemmeno stato segnalato dagli anti-malware. Cercando wmpscnfg.exe su Google pare proprio che fosse un malware. Forse c'entrava qualcosa, chissà...

[xcdegasp]

se non cambi abitudini sarà difficile che il pc rimanga pulito!

i log di hijackthis e gmer sono insolitamente corti e mancano di alcune parti, per gmer devi attendere fino a che non abbia completamente finito

[Vegetallaro]

Potresti essere cortesemente più chiara sulle mie abitudini da correggere? Altrimenti è impossibile per me capire dove ho sbagliato.

Per quanto riguarda il log di GMER, ribadisco ancora una volta che purtroppo mi si blocca il sistema mentre scansiona.
Più precisamente:
Dopo una decina di minuti dall'inizio della scansione, durante quella dei files (quindi dopo tutte le altre fasi fino al registro), a un certo punto mentre scorrono velocemente i nomi di file specifici che scansiona (e più precisamente mentre sta scansionando i files dei programmi dentro a C:/Users/Riccardo/AppData), cominciano a scorrere, più lentamente, nomi di cartelle molto più generiche, come quelle che si trovano dentro a C:/Users/Riccardo/ senza ulteriori sottocartelle (per esempio mi scrive "C:/Users/Riccardo/Documenti", poi "C:/Users/Riccardo/Download" e così via). Dopo 15-20 secondi la scansione si ferma come se fosse finita (ma dubito che sia completata veramente), e a quel punto il sistema si ritrova talmente addormentato che la maggior parte delle volte è impossibile persino riavviarlo se non con il tasto reset. Salvare il log invece mi è stato impossibile tutte le volte: il sistema continua a "dormire" durante il salvataggio e non si risveglia. Intanto il monitoraggio risorse di Windows mostra la cpu che ancora funziona correttamente, intorno al 10%, e non ho notato la presenza di processi strani, ma se provo ad aprire una cartella o qualcos'altro di banale, il puntatore diventa cerchio e c'è da aspettare all'infinito.
Ho riprovato adesso e questo è quanto.

Per quanto riguarda il log di HijachThis, quello mi ha dato, giuro che non l'ho tagliato io. :P Se può essere utile, eccone un altro fatto adesso:
http://www.filedropper.com/7hijackthis2
anche se dubito che lo sia visto che non mi pare più lungo dell'altro... altrimenti potresti, per favore, dirmi che cosa dovrei fare se così non va bene?

Estendo l'invito ad aiutarmi anche a tutti gli altri che vogliano offrirsi, grazie.


edit: ho corretto la spiegazione del problema di GMER dopo aver riprovato la scansione, prima l'avevo spiegata malissimo.

[xcdegasp]

forse noi lo diamo per scontato ma mentre stai scansionando non devi fare altro con il pc! e gmer va lasciato andare difficile che termini in 30 secondi e se il pc sembra addormentato è giusto che lo sia visto che lavora a basso livello gmer.
devi farci doppio click poi attendi che finisca di passare alcune directory e poi premi scan, infine attendi che il pulsante "stop" diventi nuovamente "scan" quindi premi "save" e salvi sto benedetto log.

chiarito questo dubbio amletico è il caso che tu la rifaccia la scansione con gmer.


per abitudini da cambiare mi riferisco a quella serie di keygen di winXP che possedevi ovviamente spero che win7 sia correttamente licenziato quindi licenza acquistata legalmente, e comunque sono maschile

[Vegetallaro]

Non ho fatto un singolo click durante la scansione con gmer.
Avevo solo perfmon.exe aperto per vedere se tante volte mostrasse cos'era a rallentare tutto, e ovviamente NON era gmer dal momento che, come ho già detto, il rallentamento continua una volta terminata la scansione.
Inoltre ho scritto che la scansione si ferma dopo "una decina di minuti", non "30 secondi".
La scansione l'ho fatta più e più volte, il risultato è sempre quello che ho scritto nel post precedente.

Che altro posso fare per chiedere gentilmente un'opinione agli utenti più esperti del forum riguardo al mio problema di infezione?

[xcdegasp]

rileggi il mio messaggio precedente perchè nel frattempo l'ho farcito

per quanto riguarda sysinspector è pulito

[xcdegasp]

pulito anche hijackthis, vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[Vegetallaro]

Pardon, scusami per il "chiara"! XD
Riguardo ai keygen, ho già eliminato tutto ciò che mi è stato segnalato dagli anti-malware eccetera, e comunque consideriamoli roba vecchia. ^^'

Per quanto riguarda il funzionamento di gmer ribadisco ancora che è esattamente quello che ho fatto. Quando clicco su save si fa il puntatore a cerchio e mi fa aspettare all'infinito, così come ogni altra cosa io provi a fare, dopo che gmer ha già finito la scansione e il pulsante stop diventa di nuovo scan.

Scusate lo sfogo, ma dopo una giornata e mezza che ho dedicato ad eseguire tutto il procedimento della guida, e altri due giorni passati dal mio primo post qui... possibile che non ci sia assolutamente nulla che si possa ricavare da tutti i log che ho pazientemente ricavato e postato?


Edit: non avevo ancora letto il tuo ultimo post, ora provo a fare come mi hai detto...

[xcdegasp]

infine pubblica il log di prevx
comunque i dns consigliati li hai impostati nel router?

[Vegetallaro]

Dopo un po' di problemi di compatibilità di Java con i browser, sono riuscito finalmente a completare la scansione totale di Secunia.
Alcuni programmi li ha ripetuti due volte, per esempio dice che ho Winamp 5.5.6.2512 e più in basso dice anche Winamp 5.0.0.5... ma non è vero, io ho un solo Winamp! Forse prende dati di installazioni precedenti... vabbè, non credo sia importante.
Comunque sinceramente mi suona un po' strana l'idea che qualunque applicazione non attualmente aggiornata all'ultimissima versione debba essere insicura... nel senso, è davvero possibile per esempio che mi sia beccato il virus perché ho il Java 6.0.200.2 invece che 6.0.220.4?
In ogni caso provvedo al più presto ad aggiornare tutto, anche se a dire il vero sono un po' restio ad attivare gli aggiornamenti automatici di Windows, e seguirò molto volentieri anche il tuo consiglio sul lettore di pdf, non vedo l'ora di cambiarlo.

Il log di Prevx l'avevo postato, comunque lo riposto qua:
http://www.filedropper.com/9prevxlog

Infine per quanto riguarda i DNS, effettivamente quel passo lo avevo saltato. Ho letto come si fa, ma non sono sicuro di una cosa: devo impostarli sia sul sistema che sulle impostazioni del router? Inoltre, se devo cambiare delle impostazioni per tutti i pc connessi al router non so se posso farlo perché qui siamo 4 persone con 4 pc sullo stesso router e non sono io a gestire la cosa. A che serve di preciso impostare questi DNS? Chiedo scusa per l'ignoranza sui DNS in particolare e ti ringrazio ancora per i consigli.

[xcdegasp]

saranno almeno due anni che i virus usano come vettori infettivi i programmi non aggiornati come java, flash player, realplayer, quik time, itunes e via di conseguenza.
cerca su secunia le informazioni su java vedi la criticità delle segnalazioni, così come gli altri programmi che ti ho menzionato.
se seguirai costantemente la sezione "news av" vedrai che in breve tempo colmerai quell'immenso vuoto che tieni dentro di te

i dns puoi impostarli nel solo pc come nel router, sta a te scegliere dove, è ovvio che la cosa migliore sarebbe nel router e la guida per farlo è presente nel sito indicato e in un colpo solo quei dns valgono per tutti i pc. quei dns dns che contengono una blacklist aggiornata dei siti pericolosi o nocivi e impediscono pertanto di contattare un dominio pericoloso, questo evita che un'infezione possa rigenerarsi durante le procedure di disinfezione ma questi dns sono anche di prevenzione perchè si comportano come i normali dns tranne per il fatto che bloccano la connessione a siti pericolosi e per pericolosi si intende infetti.

dal log non compare nulla di anomalo quindi dovremmo essere arrivati in fondo.