pc tartaruga

[Randello]

- Salve a tutti, spero che possiate aiutarmi per questo problema. Parliamo di un piccolo notebook Asus che dopo aver disinfettato, speravo in modo definitivo, da un insidioso "SECURITY TOOL" che mi ha tenuto impegnato un giorno intero, ora è estremamente lento nelle sue operazioni. ho provato a lanciare ATF e CCLEANER ma la velocità non è cambiata.
Chi mi può aiutare? Grazie anticipatamente.

[shel]

CIAO

Scarica e installa malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e per ora non rimuovere nulla

[Randello]

Ho eseguito la scansione e il risultato è il seguente

Versione del database: 3481
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

02/01/2010 23.05.01
mbam-log-2010-01-02 (23-04-50).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 151513
Tempo trascorso: 1 hour(s), 53 minute(s), 19 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 1
File infetti: 7

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Documents and Settings\All Users\Dati applicazioni\06824929 (Rogue.Multiple) -> No action taken.

File infetti:
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\O9E9K307\wcap[1].exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\GIORDI\Menu Avvio\Programmi\Esecuzione automatica\siszyd32.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\ARIANNA\Desktop\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.
C:\Documents and Settings\ARIANNA\Menu Avvio\Programmi\Security Tool.LNK (Rogue.SecurityTool) -> No action taken.
C:\Documents and Settings\GIORDI\Dati applicazioni\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\GIORDI\Dati applicazioni\fvgqad.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\NetworkService\Dati applicazioni\fvgqad.dat (Malware.Trace) -> No action taken.

[shel]

una prima pulizia e' stata fatta, ora proseguiamo con quella piu' profonsa

se il tuo S.O. e' vista, devi avviare il programma col tasto destro ed eseguirlo come amministratore

Scarica ComboFix da qui http://download.bleepingcomputer.com/sUBs/ComboFix.exe , avvialo e quindi premi 1 per avviare la scansione. Alla fine della scansione ti verrà rilasciato un file chiamato combofix.txt nella cartella c:\combofix, allegami tale file nel prossimo

[shel]

dimenticavo...

riavvia malwarebytes ed elimina tutto prima della scansione con combofix

[Randello]

Rieccomi, ti posto il report di combofix, comunque già conla rimozionetramite MALWERBITES, va molto meglio : :
ComboFix 10-01-02.03 - GIORDI 03/01/2010 11.28.41.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.1015.623 [GMT 1:00]
Eseguito da: c:\documents and settings\GIORDI\Documenti\Download\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\WinPCap
c:\programmi\WinPCap\rpcapd.exe
c:\recycler\S-1-5-21-2025429265-527237240-1417001333-1003
c:\recycler\S-1-5-21-2092624404-4041999043-2465034123-1003
c:\windows\system32\config\systemprofile\Menu Avvio\Programmi\Security Tool.lnk
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((((( Files Creati Da 2009-12-03 al 2010-01-03 )))))))))))))))))))))))))))))))))))
.

2010-04-21 03:04 . 2007-06-13 20:39 1162 -c--a-w- c:\windows\sr.VBS
2010-04-21 01:45 . 2010-04-21 01:45 -------- d-----w- c:\programmi\Elantech
2010-01-02 20:02 . 2010-01-02 20:02 -------- d-----w- c:\documents and settings\GIORDI\Dati applicazioni\Malwarebytes
2010-01-02 20:00 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-02 20:00 . 2010-01-02 20:00 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-01-02 20:00 . 2010-01-02 21:59 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-01-02 20:00 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-02 16:44 . 2010-01-02 16:44 -------- d-----w- c:\documents and settings\GIORDI\Impostazioni locali\Dati applicazioni\Mozilla
2010-01-01 23:49 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-01-01 23:49 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-01-01 23:49 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-01-01 23:49 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-01-01 23:49 . 2010-01-01 23:49 -------- d-----w- c:\programmi\Avira
2010-01-01 23:49 . 2010-01-01 23:49 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2010-01-01 22:37 . 2010-01-01 22:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2010-01-01 22:17 . 2010-01-01 22:17 -------- d-----w- c:\programmi\VS Revo Group
2010-01-01 21:38 . 2010-01-01 21:38 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Yahoo! Companion
2010-01-01 21:38 . 2010-01-01 21:38 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Yahoo!
2010-01-01 21:38 . 2010-01-01 21:38 -------- d-----w- c:\programmi\Yahoo!
2010-01-01 21:38 . 2010-01-01 21:38 -------- d-----w- c:\programmi\CCleaner
2009-12-28 13:13 . 2009-12-28 13:13 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2009-12-27 16:45 . 2010-01-03 10:40 763904 ----a-w- c:\windows\system32\drivers\xdsxm.sys
2009-12-27 16:45 . 2009-12-27 16:45 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 10:39 . 2008-08-12 14:25 -------- d-----w- c:\documents and settings\GIORDI\Dati applicazioni\StarOffice8
2010-01-02 00:01 . 2008-08-22 16:04 -------- d-----w- c:\documents and settings\ARIANNA\Dati applicazioni\StarOffice8
2009-12-28 00:25 . 2009-03-06 20:42 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2009-12-12 21:56 . 2008-03-24 20:18 63600 ----a-w- c:\windows\system32\perfc010.dat
2009-12-12 21:56 . 2008-03-24 20:18 426042 ----a-w- c:\windows\system32\perfh010.dat
2009-11-15 20:06 . 2008-08-12 14:40 4138 ----a-w- c:\documents and settings\GIORDI\Dati applicazioni\wklnhst.dat
2009-11-15 16:41 . 2008-08-12 14:27 1 ----a-w- c:\documents and settings\GIORDI\Dati applicazioni\StarOffice8\user\uno_packages\cache\stamp.sys
2009-10-29 07:40 . 2008-03-24 20:18 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-23 14:17 . 2009-10-23 14:17 64088 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.736\Italian\setup.exe
2009-10-21 06:00 . 2008-03-24 20:17 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 06:00 . 2008-03-24 20:16 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 14:58 . 2004-08-03 23:00 263552 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:51 . 2008-03-24 20:17 267776 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:51 . 2008-03-24 20:17 112640 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 13:51 . 2008-03-24 20:17 69632 ----a-w- c:\windows\system32\raschap.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-09 39408]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2004-08-19 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-06 16858112]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
"ETDWare"="c:\programmi\Elantech\ETDCtrl.exe" [2008-04-16 335872]
"AsusTray"="c:\programmi\EeePC\ACPI\AsTray.exe" [2008-03-27 102400]
"AsusACPIServer"="c:\programmi\EeePC\ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"Adobe Reader Speed Launcher"="d:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

c:\documents and settings\ARIANNA\Menu Avvio\Programmi\Esecuzione automatica\
StarOffice 8.lnk - d:\programmi\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

c:\documents and settings\GIORDI\Menu Avvio\Programmi\Esecuzione automatica\
StarOffice 8.lnk - d:\programmi\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-8-26 217088]
AutoRun OSCleaner.lnk - c:\programmi\ASUS\Asus OS Cleaner\AsOSCleaner.exe [2008-4-17 118784]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programmi\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53:UDP"= 53:UDP:Promo

S2 gupdate1ca29906bdd031a;Servizio di Google Update (gupdate1ca29906bdd031a);c:\programmi\Google\Update\GoogleUpdate.exe [30/08/2009 17.39.16 133104]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - xdsxm
.
Contenuto della cartella 'Scheduled Tasks'

2010-01-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-08-30 16:38]

2010-01-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-08-30 16:38]

2010-01-03 c:\windows\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/index.html
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
IE: Google Sidewiki... - c:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
TCP: {713D187C-8D41-4041-805B-46E1A2EA3CF3} = 85.37.17.16 85.38.28.68
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\GIORDI\Dati applicazioni\Mozilla\Firefox\Profiles\tqg388q8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.alice.it/
FF - plugin: c:\programmi\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: d:\programmi\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
AddRemove-HijackThis - c:\docume~1\GIORDI\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-03 11:39
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xdsxm]

.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1600)
c:\windows\system32\WININET.dll
c:\progra~1\ALICET~1\SMARTB~1\SBHook.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\File comuni\InterVideo\RegMgr\iviRegMgr.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxext.exe
d:\programmi\Sun\StarOffice 8\program\soffice.exe
d:\programmi\Sun\StarOffice 8\program\soffice.BIN
c:\programmi\Alice ti aiuta\bin\mpbtn.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-01-03 11:44:23 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-01-03 10:44

Pre-Run: 554.569.728 byte disponibili
Post-Run: 455.700.480 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - DC99C9087F4641647E98ADD107CD1C5E

[shel]

combofix ha eliminato altre ''schifezze'' del rogue

fai un po' di pulizia

scarica Ccleaner

http://www.filehippo.com/download_ccleaner/

1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati. Riavvia il computer


vai in pannello di controllo\ installazione applicazioni e vedi se c'e' SECURITY TOOL - se lo vedi, rimuovilo

aggiorna malwarebytes e fai una nuova scansione completa

[Randello]

Salve ancora; ho controllato in"ISTALLAZIONI E APPLICAZIONI" e non c'è nessuna presenza di "SECURITY TOOL" (però non risultava presente quì fin dall'inizio del problema), ho eseguito la scansione ancora con "MALWARE BITES" che, durando molto menodella prima volta ha trovato ancora una infezione.
Comunque Ti allego il post. Sei un grande.

Malwarebytes' Anti-Malware 1.43
Versione del database: 3486
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

03/01/2010 13.59.58
mbam-log-2010-01-03 (13-59-53).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 151407
Tempo trascorso: 11 minute(s), 36 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\System Volume Information\_restore{7345B240-6B0C-4D0C-83BC-EBEB6BC0AADD}\RP2\A0001392.sys (Rootkit.Agent) -> No action taken.

[shel]

disattiva il ripristino e non riattivarlo per ora

riavvia malwarebytes ed elimina quello che ha trovato

vai in modalita' provvisoria

fai una scansione con virit

http://www.tgsoft.it/italy/download.htm

aggiornalo - alla fine della scansione posta il log. (lo trovi sull'icona in alto, con raffigurato un block notes ,con una penna)

[Randello]

Salve Shel, Ti posto questo log ed aggiungo una domanda se vuoi stupida, alla fine delle varie scansioni e controlli, i vari programmi utilizzati, conviene rimuoverli oppure lasciarli sul PC. Come avrai notato, come antivirus ho installato Avira che mi ha consentito di eliminare anche se parzialmente SECURITY TOOL, cosa ne pensi? Ancora grazie.

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
avgntflt - avgntflt - system32\DRIVERS\avgntflt.sys
avipbb - avipbb - system32\DRIVERS\avipbb.sys

OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/01/2010 - 23:31:38

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 33385.
Files Totali: 33385.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[shel]

sicuramente avira e' il migliore delle versioni free, kaspersky di quelle a pagamento(poi e' tutto da discutere) ci sono pareri contrastanti

dunque

virit non ha trovato niente e credo che dovresti essere a posto


disinstalla ComboFix in questa maniera:
Start
Esegui
nella casella di dlialogo copia ed incolla questo comando: combofix /u


2) vai in Disco Locale C: ed elimina la cartella QooBox

3) elimina l'eventuale cartella che avevi creato sul Desktop in cui avevi posizionato Combofix.