[winxp] problema trojan horse

[ruggialex]

ciao a tutti...ho un grosso problema sul mio pc...
innanzitutto premetto che utilizzo come antivirus norton antivirus con licenza acquistata regolarmente...
ho contratto 2 giorni fa un virus... norton l'ha rilevato ma è uscito il messaggio "impossibile risolvere".. il nome del virus era: backdoor.graybird..
ho eseguito una nuova scansione ma non ha dato nessun file infetto e quindi il problema sembrava essere risolto...
il giorno dopo ho subito riscontrato una incredibile lentezza nel computer che molto spesso si impalla rendendo impossibile il suo utilizzo..
inoltre, più volte al giorno, norton segnala il seguente tentativo di intrusione:


ho letto la guida alla disinfezione..ho disattivato il ripristino configurazione di sistema e ho eseguito atf cleaner..vi allego i log di hijackthis, Malwarebytes' Anti-Malware e Norton(anche se penso sia abbastanza inutile):

NORTON:

Statistiche scansione:
Durata scansione: 24201 secondi
Opzioni scansione:
Destinazioni scansione: C:\, D:\, F:\
Totali:
Totale elementi sottoposti a scansione: 708.862
- File e directory: 704.074
- Voci del Registro di sistema: 465
- Processi ed elementi di avvio: 4.096
- Elementi di rete e browser: 220
- Altro: 4
- File attendibili: 4.160
- File ignorati: 62

Totale rischi per la sicurezza rilevati: 3
Totale elementi risolti: 3
Totale elementi che richiedono attenzione: 0

Minacce risolte:
3 cookie di controllo
Tipo: Anomalia
Rischio: Basso (Basso Stealth, Basso Rimozione, Basso Prestazioni, Basso Privacy)
Categorie: Cookie
Stato: Risolto completamente
-----------
3 Registrazione cookie
Cookie:admin@atdmt.com/ - Eliminato
Cookie:admin@doubleclick.net/ - Eliminato
- Eliminato




Minacce non risolte:
Nessun rischio irrisolto

***************************

LOG HIJACKTHIS: http://www.filedropper.com/hijackthis

(scusami chill-out non avevo letto quella parte delle regole...)

spero mi possiate aiutare...vorrei evitare la formattazione....vi ringrazio per l'attenzione...

[Chill-Out]

Ciao e benvenuto, potresti allegare in formato testo .txt la rilevazione del Norton inerente:

"ho contratto 2 giorni fa un virus... norton l'ha rilevato ma è uscito il messaggio "impossibile risolvere".. il nome del virus era: backdoor.graybird..
ho eseguito una nuova scansione ma non ha dato nessun file infetto e quindi il problema sembrava essere risolto..."

[ruggialex]

innanzitutto grazie per la risposta...
mi potresti spiegare come posso fare? ho ripescato la rilevazione dalla cronologia ma:
1- dice che è il rischio è stato risolto
2- non riesco a trovare nessun .txt relativo alla rilevazione

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

innanzitutto grazie per la risposta...
mi potresti spiegare come posso fare? ho ripescato la rilevazione dalla cronologia ma:
1- dice che è il rischio è stato risolto
2- non riesco a trovare nessun .txt relativo alla rilevazione

Selezioni l'evento ed in basso a dx dovresti trovare Esporta, salva il log in formato .txt

[ruggialex]

esporta c'è solo nella schermata generale della cronologia...anche se seleziono l'evento mi esporta tutta la cronologia..ho fatto una specie di copia incolla tramite un tasto di norton in alto a destra nella schermata non so se può essere utile...
http://www.filedropper.com/norton_1

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

esporta c'è solo nella schermata generale della cronologia...anche se seleziono l'evento mi esporta tutta la cronologia..ho fatto una specie di copia incolla tramite un tasto di norton in alto a destra nella schermata non so se può essere utile...
http://www.filedropper.com/norton_1

Mi serve il log inerente la rilevazione di backdoor.graybird

Cronologia - Rischi per la sicurezza risolti - Esporta

Cronologia - Risvhi per la sicurezza non risolti - Esporta

allega entrambi i log

[ruggialex]

ok...
http://www.filedropper.com/rischiperlasicurezzarisolti

nei non risolti non c'era niente e quindi di conseguenza non era attivo il tasto esporta...

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

ok...
http://www.filedropper.com/rischiperlasicurezzarisolti

nei non risolti non c'era niente e quindi di conseguenza non era attivo il tasto esporta...

Ok, dal log si evince che il file non ha toccato terra è stato rilevato ed eliminato, comunque con il Browser chiuso esegui HJT clicca su Do a system scan only, metti il segno di spunta nella casella bianca a sx delle sotto indicate voci e clicca su Fix checked

Quote:

R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{73F45FB1-77CA-412A-8F90-15D0515F097C}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Filter hijack: text/html - {51a544c7-54e7-4f59-b740-1392d2a3e82c} - C:\DOCUME~1\ADMIN\IMPOST~1\Temp\mstmp.

successivamente da Pannelo di controllo - Installazione applicazioni disinstalla:

DVDVideoSoftTB Toolbar
Softonic-IT Toolbar

[ruggialex]

ok fatto...non so se è stata solo una coincidenza o ha qualcosa a che fare con le cose che ho cancellato ma non funzionava più la connessione a internet..
andando nelle proprietà della connessione ho visto che gli indirizzi dns sono si sono cancellati( è per questo che non andava) quindi ho dovuto mettere l'ip dinamico e il dns automatico mentre prima avevo tutto manuale...
comunque il problema sembra ancora esserci il desktop è ancora bloccato e il pc è piuttosto lento...
EDIT. è appena apparso l'avviso che un recente tentativo di attacco è stato bloccato...

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

ok fatto...non so se è stata solo una coincidenza o ha qualcosa a che fare con le cose che ho cancellato ma non funzionava più la connessione a internet..
andando nelle proprietà della connessione ho visto che gli indirizzi dns sono si sono cancellati( è per questo che non andava) quindi ho dovuto mettere l'ip dinamico e il dns automatico mentre prima avevo tutto manuale...
comunque il problema sembra ancora esserci il desktop è ancora bloccato e il pc è piuttosto lento...
EDIT. è appena apparso l'avviso che un recente tentativo di attacco è stato bloccato...

Come DNS imposta questi sono i Norton DNS 198.153.192.1 / 198.153.194.1

anche dal log di MBAM non risulta nulla, i rallentamenti non sono sempre riconducibili ad un Virus, ma se desideri fare un controllo approfondito segui la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[ruggialex]

bè si i rallentamenti forse no però il desktop, appena apro un programma, è sempre bloccato e continuano ad arrivare avvisi di minacce bloccate...comunque va bene farò come mi hai scritto..
gli allego sempre qua o apro un altra discussione?

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

bè si i rallentamenti forse no però il desktop, appena apro un programma, è sempre bloccato e continuano ad arrivare avvisi di minacce bloccate...comunque va bene farò come mi hai scritto..
gli allego sempre qua o apro un altra discussione?

Allegali qui, potresti inizare allegandomi il log delle minacce bloccate, grazie.

[ruggialex]

bè praticamente è sempre la stessa di cui ho messo lo screen nel primo post...sempre la stessa...ti faccio di nuovo il log dei rischi per la sicurezza risolti?

EDIT:
con mawarebytes la rifaccio la scansione o va bene quella che ho già fatto?

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

bè praticamente è sempre la stessa di cui ho messo lo screen nel primo post...sempre la stessa...ti faccio di nuovo il log dei rischi per la sicurezza risolti?

EDIT:
con mawarebytes la rifaccio la scansione o va bene quella che ho già fatto?

No, procedi come indicato.

Edit: MBAM lo puoi tralasciare

[ruggialex]

scusami ho appena finito la scansione con kaspersky ma non riesco a trovare il log...nella guida dice che andando su reports dovrei trovare save to file ma non riesco a trovarlo la schermata è questa:

[ruggialex]

ti allego i log delle diverse scansioni...
di kaspersky, come ti ho già scritto, non sono riuscito a trovare il log mentre gmer non riesco ad avviarlo perchè mi da una schermata blu e si riavvia il sistema( al riavvio esce il messaggio di windows che dice che c'è stato un errore grave)..

questi sono i log:

Malwarebytes Anti-Malware: http://www.mediafire.com/?ycw7iksxpnd51em
Emsisoft Anti-Malware 5.x: http://www.mediafire.com/?p717sj073k98lai
Dr.Web CureIT: http://www.mediafire.com/?caeal7zsa3chzpb
ESET SysInspector: http://www.mediafire.com/?7shjexhyvm7n0c1
HiJackThis: http://www.mediafire.com/?fqfcda18vetkvfu
Prevx 3.0: http://www.mediafire.com/?c855mztia517bab

e questa è la stampa di prevx come veniva richiesto nella guida:

[Chill-Out]

Ciao, dal log di Emsi si evince che non hai quarantenato tutti gli elementi infetti, avrei capito inoltre da dove si prendono i malware, per il resto siamo ok.

Ti suggerisco la lettura di:

http://www.hwupgrade.it/forum/showthread.php?t=1726383

http://www.hwupgrade.it/forum/showthread.php?t=2011681

[ruggialex]

ok ti ringrazio per i link..seguirò queste indicazioni...
ma, scusa la mia ignoranza, perchè non ho quarantenato tutti i file infetti?
come devo fare per pulire definitivamente il mio pc?

[Chill-Out]

Quote:

Originariamente inviato da ruggialex

ok ti ringrazio per i link..seguirò queste indicazioni...
ma, scusa la mia ignoranza, perchè non ho quarantenato tutti i file infetti?

Perchè il numero degli oggetti rilevati non corrisponde al numero degli oggetti quarantenati.

Quote:

Originariamente inviato da ruggialex

come devo fare per pulire definitivamente il mio pc?

Ti riferisci ad Emsi? Oppure il Norton continua a rilevare HTTP Trojan Monkif...?

[ruggialex]

no a dir la verità no....ma quindi scusa ma non ho capito...sono completamente pulito?? posso iniziare il trattamento post disinfezione? per i file non quarantenati cosa devo fare?
ti ringrazio nuovamente per l'aiuto che mi stai dando..