Pc Lentissimo e miliardi di pop up

[Sir Jack]

Questo pomeriggio antivir ha improvvisamente rivelato 4 infezioni, che ho prontamente bloccato. I file avevano tutti nomi come lh7.exe o cose simili....

Tuttavia, il pc ha iniziato a sperimentare rallentamenti paurosi, programmi chenon riescono a partire (Chrome e il mulo su tutti) e l'apertura di migliaia di pop up da internet explorer.

Ho effettuato una scansione con Malwarebytes, che ha rilevato 7 infezioni e ha rimosso i file in questione.
La situazione è migliorata ma non si è risolta: ho effettuato uno scan con Hijack in Modalità Provvisoria che allego qui, e sto ora effettuanto nella stessa modalità un'altra ricerca sul disco fisso su cui monta il SO con MB.

Aiuto? :D
Il mio pc monta Windows 7 ultimate.

hijackthis222.zip


Aggiornamento: MB in modalitàprovvisoria ha rilevato Hijack.zones, sembra sia una chiave di registro.
Dopo averlo rimosso ho effettuato un altro scan con Hijack, stavolta in modalità normale. I rallentamenti sono diminuiti ancora, l'unico sintomo evidente è la non funzionalità di google chrome. Vanno bene invece Firefox e Explorer.

http://www.mediafire.com/?pe8vemczorkfsq2

 

[Sir Jack]

Rilevato un'altro trojan, ora avira è bloccato. Help!

 

[Sir Jack]

Dopo aver rimosso i quattro di ieri, stamane MB continua a rilevare Hijack.zones. Ho provato a far partire combo fix, ma si è crashato windows con tanto di schermata blu.

 

[pegifr]

Ciao

Scarica TDSSKiller e salvalo sul desktop.
Estrai il contenuto sul desktop.
Avvialo e clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C > TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report . Salva il contenuto in un file di testo per poi allegarlo.

Poi scarica OTL e salvalo sul desktop> http://oldtimer.geekstogo.com/OTL.exe
Assicurati che tutte le altre applicazioni siano chiuse ed avvialo.
Metti la spunta a Scan All User e di fianco seleziona Minimal Output.
Nella sezione Extra Registry seleziona Use SafeList e clicca su Run Scan.
Al termine della scansione si apriranno due reports, salvali ed allegali.
OTL.txt ed Extras.txt
Se dovessi avere difficoltà ad allegare i files allora caricali su Wikisend e posta il forum link che ti viene assegnato.

NB: Qualora avessi necessità di utilizzare Wikisend ti chiederei la cortesia di caricarli senza nessuna estensione. Devi visualizzare le estensioni dei file conosciuti e togliere .txt

 

[Sir Jack]

OTL

Extras

TDSSKiller.2.4.21.0_31.03.2011_19.18.59_log

la situazione peggiora...

Non vorrei fare il drammatico, ma il Pc ora è inutilizzabile
Non riesco più nemmeno ad entrare in modalità provvisoria.

 

[Sir Jack]

Fantastico, ora si è anche installato Windows Repair.

 

[pegifr]

Era già pronto lo script per OTL... :mad::mad::mad:

A questo punto riesegui TDSSKiller ed OTL.
Posta i rispettivi rapporti come già sai.

Non è che vuoi formattare... :D:D:D

 

[Sir Jack]

Ecco

TDSSKiller.2.4.21.0_01.04.2011_22.41.07_log

OTL

Extras

Dio ma cos'è successo al menu avvio?

Cmq non rileva più niente... nè Avira nè MB. Ma come ho fatto a prendere tutto sto schifo? Non avevo mai preso un virus! C'è qualche modo per ripristinare il menu avvio? Non c'è più nulla ora!

 

[pegifr]

Esegui OTL. Copia/incolla il codice sottostante nel Custom Scans/Fixes.

:Services
:OTL
PRC - C:\Programmi\OfferBox\OfferBox.exe (Secure Digital Services Limited)
IE - HKLM\..\URLSearchHook: {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Programmi\uTorrentBar_IT\tbuTo0.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {e3393495-8103-46a0-8181-270273eddd60} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-154489522-1025960202-3684047620-500\..\URLSearchHook: {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Programmi\uTorrentBar_IT\tbuTo0.dll (Conduit Ltd.)
FF - HKLM\software\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Program Files\OfferBox\offerboxffx@offerbox.com [2011/03/31 19:36:21 | 000,000,000 | -H-D | M]
[2011/03/29 17:29:54 | 000,000,000 | ---D | M] (uTorrentBar_IT Community Toolbar) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\x6edw545.default\extensions\{4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1}
[2011/03/29 17:29:53 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Administrator\AppData\Roaming\mozilla\Firefox\Profiles\x6edw545.default\extensions\engine@conduit.com
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found
O2 - BHO: (uTorrentBar_IT Toolbar) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Programmi\uTorrentBar_IT\tbuTo0.dll (Conduit Ltd.)
O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Programmi\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found
O3 - HKLM\..\Toolbar: (uTorrentBar_IT Toolbar) - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Programmi\uTorrentBar_IT\tbuTo0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-154489522-1025960202-3684047620-500\..\Toolbar\WebBrowser: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-154489522-1025960202-3684047620-500\..\Toolbar\WebBrowser: (uTorrentBar_IT Toolbar) - {4AE0C3D6-F713-4EED-BC65-25DC3FFDAAC1} - C:\Programmi\uTorrentBar_IT\tbuTo0.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-154489522-1025960202-3684047620-500..\Run: [] File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - Winlogon\Notify\gmecoss: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
[2011/03/31 20:46:12 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Repair
[2011/03/31 19:36:20 | 000,000,000 | -H-D | C] -- C:\Programmi\OfferBox
[2011/03/31 19:36:20 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\OfferBox
[2 C:\Users\Administrator\Desktop\*.tmp files -> C:\Users\Administrator\Desktop\*.tmp -> ]
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2011/03/31 20:46:40 | 000,000,627 | ---- | M] () -- C:\Users\Administrator\Desktop\Windows Repair.lnk
[2011/03/31 20:46:05 | 000,000,336 | ---- | M] () -- C:\ProgramData\33218312
[2011/03/31 19:36:22 | 000,001,115 | -H-- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox Browser.lnk
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:0CB6E0BD
:Reg
:Files
ipconfig /flushdns /c
:Commands
[PURITY]
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]
[CREATERESTOREPOINT]

Clicca su Run Fix e dai Ok. Potrebbe essere richiesto un riavvio, accetta.
Si aprirà un report salvalo ed allegalo.

Poi disattiva temporaneamente tutti i programmi di sicurezza.
Scarica Combofix e salvalo sul desktop > http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Chiudi i browsers e tutti gli altri programmi aperti.
Disconnettiti da Internet.
Eseguilo. Su 7 va eseguito come amministratore.
Lascia lavorare il programma senza toccare letteralmente nulla.
Alla fine si aprirà un log > C:\Combofix.txt
Allegalo.

 

[Sir Jack]

subito. ci sei tra due minuti?

 

[pegifr]

Si

 

[Sir Jack]

ComboFix

otl33

dimenticato di disconnettermi quando combofix era attivo, spero non sia grave.

 

[scialpi]

pegifr visto che siamo in discussione e nessuno mi risponde se ti mando il log di combofix puoi vedere che ha cancellato?
Il pc diventa lento e mi dice memoria virtuale insufficiente. Grazielog.txt

 

[pegifr]

pegifr visto che siamo in discussione e nessuno mi risponde se ti mando il log di combofix puoi vedere che ha cancellato?
Il pc diventa lento e mi dice memoria virtuale insufficiente. Grazielog.txt

Molto probabilmente hai un problema al file di paging che è relazionato alla memoria RAM che hai installata forse un pò scarsa rispetto ai programmi che utilizzi.

Combofix non ti ha cancellato nulla.
Comunque scarica Malwarebytes’ Anti-Malware > http://www.malwarebytes.org/mbam.php
Clicca su download free version. Collega eventuali dispositivi di massa USB.
Installalo, avvialo ed aggiornalo (è importante).
Esegui la scansione completa del sistema selezionando tutte le unità ed elimina tutti gli elementi identificati.
Completa la rimozione col riavvio se richiesto.
Salva il log della scansione ed allegalo (si trova nel Tab "log").

Continua nella discussione che avevi già aperto.

 

[pegifr]

@ Sir Jack

In conclusione fai una scansione on line con ESET Online Scanner
NB. Non c’è necessità di disabilitare il tuo AntiVirus ma devi utilizzare necessariamente Internet Explorer.

Clicca su Eset Online Scanner
Spunta Yes, I accept the terms of use e clicca su Start.
Installa l’ActiveX On line Scanner.cab
Togli la spunta da Remove found threats e mettila a Scan archives.
In Advanced setting, spunta Scan for potentialy unsafe applications ed assicurati che ci sia la spunta anche a Scan for potentialy unwanted applications e ad Enable Anti-Stealth technology. Avvia la scansione cliccando su Start.
Salva il risultato in un file di testo oppure recupera il rapporto attraverso questo percorso:
C:\Program files\Eset\Eset Online Scanner\log.txt
Allega il log per un controllo.

Che problemi riscontri?