Pc Infetto, Mi Aiutate?

[bigbaby]

buongiorno a tutti, ho beccato un virus dalla pennina di mia figlia (purtroppo non ricordo più il nome del virus visto che sono tre giorni che ci sto smanettando su) su pc dell'ufficio (una tragedia), la situazione attuale è la seguente:

dopo tante scansioni con Malwarebytes' Anti-Malware questo è il risultato: allega log;

ho lanciato combofix (diverse volte) ma dopo ore ed ore la scansione resta bloccata e devo arrestare manulamente il programma, quindi niente log;

il ripristino configurazione del sistema dice che è stato disattivato e quindi non riesco ad avviarlo;

infine HijackThis: allega log.

che fare? è possibilire sistemare? grazie anticipatamente.

mbam_log_2010_02_25__08_37_47_.txt

hijackthis.log

[Luna75]

hai provato ad effettuare la procedura rinominando combofix?

ripetila, quando lo salvi sul desktop salvalo come abc.exe e avvialo secondo la procedura indicata per il tuo sistema operativo.

[bigbaby]

buongiorno e grazie per avermi risposto.

dopo tanti tyentativi finalmente ci sono riuscito, ho utilizzato prima combo rinominato in modalità provvisoria (perchè in mod. normale non andava neanche rinominato) e poi dopo diversi tentativi finalmente è partito anche in modalità normale. ecco i log:

ComboFix2modalit__provvisoria.txt

ComboFix_modalit__normale.txt

[$angelique!?]

Ciao bigbaby,

combofix e malwarebytes hanno rimosso una gran quantità di file infetti

Dai report non risulta nessun antivirus installato,

ti consiglio AntivirPe, installalo, aggiornalo ed esegui una scansione completa del sistema

[bigbaby]

ho l'antivirus mcaffe, che tralaltro ho ptrovato a disintallare per installare avira , ma non me lo fa disintallare. posso installarlo comunque avira?

[$angelique!?]

Prova a rimuovere McAfee con questo tool MCPR.exe

[bigbaby]

ho utilizzato advance system care e mi ha rilevato un elemento malevole, allego log.

che faccio lo fixo.

intanto proro a rimuovere mcaffe.

Security Analyzer Log File Analysis Beta

The online application will automatically analyze your Security Analyzer log file, and give you recommendations based on the analysis. Please note they are far from perfect and should be used with extreme caution!!! So any changes you make to your PC are your own responsibility. This online application is always evolving. We keep making it better to recognize more malware!

Please note the log file of Security Analyzer is 100% compatible with HijackThis log. So you can save the report and submit it to any qualified online HijackThis log analyzer and HijackThis forum.

Tips:

1) Try Alternative Online Analyzer

2) If suspicious files or settings are found, you can use NOD32 Online Antivirus (Top, Free, Scan and Remove)

Type Status Entry Describe

Process System No Record

Process smss.exe Session Manager Subsystem

Process csrss.exe Client/Server Runtime Server Subsystem

Process winlogon.exe Windows Logon Process

Process services.exe Windows Service Controller

Process lsass.exe Local Security Service

Process svchost.exe Service Host Process

Process svchost.exe Service Host Process

Process svchost.exe Service Host Process

Process svchost.exe Service Host Process

Process svchost.exe Service Host Process

Process svchost.exe Service Host Process

Process spoolsv.exe Printer Spooler Service

Process jqs.exe No Record

Process FrameworkService.exe No Record

Process McciCMService.exe No Record

Process naPrdMgr.exe No Record

Process Mcshield.exe McAfee VirusScan

Process VsTskMgr.exe No Record

Process mdm.exe Machine Debug Manager

Process sqlservr.exe No Record

Process NBService.exe No Record

Process explorer.exe Windows Explorer

Process SupServ.exe No Record

Process SbieSvc.exe No Record

Process HP1006MC.EXE No Record

Process ssclisv.exe No Record

Process TeamViewer_Service.exe No Record

Process TeamViewer.exe No Record

Process ssclitr .exe No Record

Process ctfmon.exe Alternative User Input Text Processor

Process Skype.exe No Record

Process IseeSrv.exe No Record

Process ImApp.exe No Record

Process AWC.exe Advanced WindowsCare

Process skypePM.exe No Record

Services alg.exe Added by W32/Tilebot-EU WORM!, Note: not to be confused with see_Here located in C:\Windows\System32\ this infection is locate in C:\Windows\

Services GoogleUpdate.exe No Record

Services GoogleUpdaterService.exe Related to Google_Updater_Service Note: Located in C:\Program Files\Google\Common\Google Updater\

Services jqs.exe No Record

Services FrameworkService.exe McAfee/CA related

Services McciCMService.exe No Record

Services Mcshield.exe Related to McAfee_Virus_Shield Note: Located in \%Program Files%\McAfee\VirusScan Enterprise\

Services VsTskMgr.exe Related to Network Associates Virus protection software. Previously known as McAfee.

Services NBService.exe Related to Nero Backup service. Note: Located in C:\Program Files\Nero\Nero 7\Nero BackItUp\

Services NMIndexingService.exe Part of a Nero product

Services SupServ.exe No Record

Services SbieSvc.exe Related to Sandboxie Service. Intercepts changes to both your files and registry settings, making it virtually impossible for any software to reach outside the sandbox. Note: Located in \%Program Files%\Sandboxie\

Services ssclisv.exe No Record

Services TeamViewer_Service.exe No Record

Start UP minimized No Record

Start UP c No Record

Start UP ssclitr .exe No Record

Start UP auto No Record

BHO 02478D38-C3F9-4efb-9B51-7695ECA05670 Ycomp*_*_*_*.dll, Ycomp*,*,*,*.dll, yt.dll - Yahoo Companion, http://companion.yahoo.com/

BHO 18DF081C-E8AD-4283-A596-FA578C2EBDC3 No Record

Tool Bar BC4FFE41-DE9F-46fa-B455-AAD49B9F9938 toolbar.dll - SweetIM, //www.sweetim.com - see eula, //www.sweetim.com/eula.html

Tool Bar EEE6C35B-6118-11DC-9C72-001320C79847 No Record

Tool Bar EF99BD32-C1FB-11D2-892F-0090271D4F88 Ycomp*_*_*_*.dll, yt.dll - Yahoo Companion!, //companion.yahoo.com/

Tool Bar 2318C2B1-4965-11d4-9B18-009027A5CD4F googletoolbar.dll, googletoolbar*.dll, googlenav.dll, googletoolbar_en_*.**-big.dll, googletoolbar_en_*.*.**-deleon.dll - Google Toolbar, //toolbar.google.com/

Menu Aggiungi destinazione link a PDF esistente No Database

Menu E No Database

Button {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} No Database

Button {92780B25-18CC-41C8-B9BE-3C9C571A8263} No Database

Button {e2e2dd38-d088-4134-82b7-f2ba38496583} No Database

Button {FB5F1910-F110-11d2-BB9E-00C04F795683} No Database

ActiveX 05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8 Related to Microsoft Office Genuine Advantage Validation Tool.

ActiveX 0CCA191D-13A6-4E29-B746-314DEE697D83 No Record

ActiveX 0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75 http://www.kaspersky.com

ActiveX 17492023-C23A-453E-A040-C7C580BBF700 http://www.microsoft.com/genuine/downloads...;displaylang=en

ActiveX 1EF9F042-C2EB-4293-8213-474CAEEF531D No Record

ActiveX 233C1507-6A77-46A4-9443-F871F945D258 No Record

ActiveX 6414512B-B978-451D-A0D8-FCFDF33E833C http://v5.windowsupdate.microsoft.com

ActiveX 8AD9C840-044E-11D1-B3E9-00805F499D93 http://java.sun.com/j2se

ActiveX CAFECAFE-0013-0001-0018-ABCDEFABCDEF No Record

ActiveX CAFEEFAC-0015-0000-0014-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0015-0000-0016-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA No Record

ActiveX CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA No Record

ActiveX D27CDB6E-AE6D-11CF-96B8-444553540000 http://www.macromedia.com/software

[bigbaby]

NON RIESCO PROPRIO A DISINSTALLARE MCAFFE NEPPURE CON IL TL PROGRAMMA CHE MI HAI INVIATO.

[bigbaby]

ecco il log di avira.

approfitto per inviare anche un log di hijackthis

hijackthis.log

AVSCAN_20100226_193738_1ECFCCC1.LOG

[Riverside]

Beh, per essere un computer in uso in un ufficio .... sono davvero diverse le cose curiose.

Intanto, Avira ha fatto una strage (ha trovato residui di Vundo, crack in Incredibilmail e diverse altre cose).

A mio parere (non so cosa ne pensa Angelique) la questione non è del tutto risolta, ma lascia diversi dubbi.

Ammesso che tutto quel caos sia stato provocato da una pendrive infetta, è senz'altro necessario disinfettarla (possibilmente dopo aver inibito la funzione di autorun) e poi rivedere, velocemente, il resto (anche se gran parte della infezione sul pc è stata risolta).

MaAfee sei riuscito a disinstallarlo? (ne dubito, soprattutto se quel computer è un client in rete).

In definitiva, la cosa più urgente sarebbe capire, effettivamente, a che uso è destinato quel computer e, poi, eventualmente, proseguire con il resto.

Off Topic: Ciao Ange!!

[bigbaby]

il computer effettivamente è ad uso ufficio, ma diciamo che ci lasciano "ampia libertà di utilizzo".

il computer resterà ad uso ufficio e speriamo che si riesca ad utilizzarlo esclusivametne per tale scopo. la pennina che ha fatto questo "casino" è stata letteralmente distrutta.

dopo tanto tempo sono riuscito anche a disinstallare mcaffe utilizzando "total unistall".

cha fare adesso?

grazie per la disponibilità

[$angelique!?]

Ciao bigbaby,

Scarica OTC by OldTimer sul desktop

http://oldtimer.geekstogo.com/OTC.exe

doppio clic per eseguirlo

clicca su "CleanUP" > "Yes" > "Yes"

riavvia

Ripulisci il sistema con Ccleaner

Esegui una scansione online ed allega il report

PS. Ciao River

[bigbaby]

buona giornata a tutti, allego il log di kasperky.

log_kaspersky.txt