PROBLEMA PC e internet explorer lento e infetto

[Alex Del Piero]

Salve a tutti

In pratica come da titolo il mio PC (Windows XP) da un po' di tempo a questa parte risulta essere lento,ossia da quando Microsoft Security Essential (che è il mio antivirus) mi segnala la presenza di un virus dal nome AdAware:Win32/OpenCandy, quindi presumo che sia proprio quest'ultimo a causare i rallentamenti.

Ho gia usato Superantispyware e Malwarebytes e uso regolarmente CCleaner, tolta molta robaccia ma il problema si ripropone, perchè appena rimosso e riavviato il pc l'antivirus me lo segnala sempre.

Adesso voglio seguire questa guida http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html quindi ho scaricato per prima cosa combofix e l'ho fatto partire.

Il log è questo qui ComboFix.txt]Wikisend: free file sharing service[/URL], non so di preciso a cosa serva ma lo posto per avere dei consigli su cosa devo fare e in generale su come è messo il PC.

Vi ringrazio della disponibilità, se avete bisogno di altre info sono disponibilissimo a darvele.

 

[R16]

Ciao.
Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Avvialo e clicca sul pulsante search.
Finita la scansione, elimina il log che rilascia sul desktop, e clicca su "Delete".
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.


Poi:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::

Driver::
cstjlnun
dhmpylzb
imnrpkxy
lnnmmfxr
lriqxpdw
pbfpklxm
petfyjoy
ugsxcmvh
vkjbcidh

RegNull::
[HKEY_USERS\S-1-5-21-602162358-412668190-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B9D0CE35-5715-D860-F936-D8A18762D613}*]

SecCenter::
{76982075-28F8-003D-A41D-9876301E9876}
{0012F2B4-5CC9-7C92-0300-000000000000}

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix

Vedi se il pc è migliorato.

 

[Alex Del Piero]

ciao, per quanto riguarda il primo punto ecco il log che mi hai chiesto:

# AdwCleaner v2.001 - Logfile created 09/13/2012 at 09:56:44
# Updated 09/09/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : Pc - COMPUTER-50847E
# Boot Mode : Normal
# Running from : C:\Documents and Settings\Pc\Desktop\adwcleaner.exe
# Option [Delete]

***** [Services] *****

***** [Files / Folders] *****
Folder Deleted : C:\Documents and Settings\All Users\Dati applicazioni\Babylon
Folder Deleted : C:\Documents and Settings\All Users\Dati applicazioni\boost_interprocess
Folder Deleted : C:\Documents and Settings\Pc\Dati applicazioni\OpenCandy
Folder Deleted : C:\Programmi\Conduit
***** [Registry] *****
Key Deleted : HKCU\Software\cacaoweb
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKCU\Software\Iminent
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Key Deleted : HKCU\Software\myBabylon_English
Key Deleted : HKCU\Software\Softonic
Key Deleted : HKCU\Toolbar
Key Deleted : HKLM\Software\Babylon
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\BabylonIEPI.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Key Deleted : HKLM\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl
Key Deleted : HKLM\Software\Iminent
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{196E013D-D011-410D-A76D-84381DBB8E54}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
Key Deleted : HKLM\Software\myBabylon_English
Key Deleted : HKLM\SOFTWARE\Software
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
Restored : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
*************************
AdwCleaner[R1].txt - [3354 octets] - [13/09/2012 09:55:07]
AdwCleaner[S1].txt - [3386 octets] - [13/09/2012 09:56:44]
########## EOF - C:\AdwCleaner[S1].txt - [3446 octets] ##########


per il secondo punto ti rispondo tra poco

- - - Updated - - -

per il secondo punto ecco il log http://wikisend.com/download/236706/ComboFix.txt]ComboFix.txt[/URL]

- - - Updated - - -

il PC sembra essersi leggermente velocizzato, inoltre non compare piu il messaggio di avviso dell'antivirus, il che è positivo.

Cosa mi consigliate ancora dopo aver visionato i log?

 

[Alex Del Piero]

un altro problema si ha quando apro IE 8 due processi (iexplore.exe e svchost.exe) cominciano col consumare tanta di quella memoria da far aumentare il file di paging anche di 500mb (ho 448 mb di memoria). Che fare?

 

[Alex Del Piero]

qualcuno ha la gentilezza di rispondermi please? R16 ho postato i log che mi hai consigliato, ma se nessuno commenta che senso ha?

 

[R16]

KillAll::

Folder::
c:\documents and settings\Pc\Dati applicazioni\xsecva

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

RegNull::
[HKEY_USERS\S-1-5-21-602162358-412668190-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B9D0CE35-5715-D860-F936-D8A18762D613}*]

DDS::
uInternet Settings,ProxyServer = 10.0.0.4:80

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Rifai una scansione completa con Malwarebytes.
Posta il log.

 

[Alex Del Piero]

Ciao, quando avvio combofix come mi hai detto mi compare questa immagine e poi immediatamente dopo (quando clicco su ok o X) si chiude il programma, quindi non riesco a fare la scansione.

In che modo posso ovviare al problema?

Visualizza allegato 32997

 

[R16]

Il messaggio dice che non hai eseguito correttamente le indicazioni:
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

KillAll::

Folder::
c:\documents and settings\Pc\Dati applicazioni\xsecva

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

RegNull::
[HKEY_USERS\S-1-5-21-602162358-412668190-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{B9D0CE35-5715-D860-F936-D8A18762D613}*]

DDS::
uInternet Settings,ProxyServer = 10.0.0.4:80

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.

Rifai una scansione completa con Malwarebytes.
Posta il log.

 

[Alex Del Piero]

ecco il primo log ComboFix.txt]Wikisend: free file sharing service[/URL]

ecco anche il secondo, quello di Malwarebytes, che non ha rilevato nulla di nocivo:

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org
Versione database: v2012.09.17.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Pc :: COMPUTER-50847E [amministratore]
17/09/2012 17:04:27
mbam-log-2012-09-17 (17-04-27).txt
Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 461364
Tempo impiegato: 1 ore, 25 minuti, 17 secondi
Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)
Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)
Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)
Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)
Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)
Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)
File rilevati: 0
(non sono stati rilevati elementi nocivi)
(fine)

 

[R16]

E' rimasta solo questa chiave da eliminare:
[HKEY_USERS\S-1-5-21-602162358-412668190-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B9D0CE35-5715-D860-F936-D8A18762D613}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode)
"iagkpahpkciddjiccj"=hex:69,61,63,6d,6a,6b,66,6d,62,6b,6c,6f,66,67,6d,66,69,6f,
00,00
"hamkjamidfinblii"=hex:69,61,63,6d,6a,6b,66,6d,62,6b,6c,6f,66,67,6d,66,69,6f

Fai:
Start\Esegui\digita regedit e poi ok.
Si apre l'editor del registro.
Clicca in alto su "Modifica" e poi su "Trova".
Copia-incolla questo valore:
{B9D0CE35-5715-D860-F936-D8A18762D613}*
E batti Invio.
Finita la ricerca, a destra della pagina dovresti trovare questo:
"iagkpahpkciddjiccj"=hex:69,61,63,6d,6a,6b,66,6d,62,6b,6c,6f,66,67,6d,66,69,6f,
00,00
"hamkjamidfinblii"=hex:69,61,63,6d,6a,6b,66,6d,62,6b,6c,6f,66,67,6d,66,69,6f,
00,00

Confermi?

 

[Alex Del Piero]

ho fatto la ricerca come mi hai detto ma mi è uscita soltanto la conferma che era finita la ricerca, non è uscita nè la chiave ne il messaggio che dici, probabilmente l'ha già cancellata easy cleaner che ho fatto partire proprio 10 minuti fa

- - - Updated - - -

no non l'ha cancellata easycleaner, non c'è proprio, ho controllato tutte le chiavi e non c'è , ho ripristinato tutte le 585 chiavi di registro cancellate (con easycleaner si può), ho fatto la ricerca come mi hai detto ma nulla

- - - Updated - - -

l'ho trovata manualmente però se ci clicco su mi dice "impossibile aprire. errore nell'apertura della chiave". Però si può cancellare manualmente, perchè cliccando sul tasto sinistro esce l'opzione elimina. Che faccio?

 

[R16]

Però si può cancellare manualmente, perchè cliccando sul tasto sinistro esce l'opzione elimina. Che faccio?

La elimini. (per sicurezza fai prima un Backup della chiave.)
Attenzione:
Devi eliminare questo:
{B9D0CE35-5715-D860-F936-D8A18762D613}* (che è una cartella)
Conferma l'eliminazione.
Riavvia il pc.
Rifai la scansione con Combofix.
Posta il log.

 

[Alex Del Piero]

allora il backup della chiave non lo fa, quindi ho fatto un backup del registro.

La cartella non si elimina, dice "imposibile eliminare{B9D0CE35-5715-D860-F936-D8A18762D613}. Erroredurante l'eliminazione della chiave.

Ah un'altra cosa, la scansione con combofix che avrei dovuto fare dopo, quella normale o con CFScript.txt?

 

[R16]

Prova a eliminarla in Modalità provvisoria.

la scansione con combofix che avrei dovuto fare dopo, quella normale o con CFScript.txt?

Quella normale. (se la chiave riesci ad eliminarla)

 

[Alex Del Piero]

la chiave non viene nè salvata in backup nè eliminata nemmeno in modalità provvisoria