Buongiorno a tutta la community, di cui sono da tempo frequentatore da lettore, senza essere iscritto.
Oggi sono qui per esporvi il mio problema.
Innanzitutto, cerco di fare una panoramica della situazione:
PC Desktop con installato Windows 7 SP1
Norton Internet Security 2015
Nei giorni scorsi ho fatto un download da BitTorrent di un software, e, poichè l'antivirus non me lo faceva scaricare (segnalava presenza di minacce), "intelligentemente" ho disattivato l'antivirus, confidando nel fatto che l'eventuale virus contenuto non fosse così potente... :cav: e che sarebbe stato poi in seguito rimosso dal mio antivirus una volta installato. Pensavo di essere più furbo degli hackers:sisilui::sisilui::sisilui:
Ad ogni modo, adesso, mi ritrovo il computer inutilizzabile.
Ho già provveduto a installare windows in una nuova partizione dell'hard disk, ieri ho addirittura acquistato un SSD da 250 Gb in negozio, quindi vergine, con l'intenzione di reinstallare Windows 7 daccapo e contestualmente un antivirus, ma, purtroppo, il risultato è sempre lo stesso.
(Per ulteriore precisione, quando ho reinstallato Win/ sull'hard disk nuovo, c'era solo quello collegato alla Scheda madre, l'hard disk vecchio era scollegato e rimosso dal case)
Ho provato a fare una scansione con malwarebytes e combofix, il risultato è il seguente:
Visualizza allegato 171493 Visualizza allegato 171494
- - - Updated - - -
... continua da post precedente
Fortunatamente leggendo dei post precedenti su questo sito, sono riuscito a scaricare ed eseguire HijackThis, di cui allego il log a seguito di scansione:
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 08:45:04, on 15/08/2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\qwerty\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = "link rimosso"
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page ="link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = "link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = "link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = "link rimosso"
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @Keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 4450 bytes
Ora chiedo a voi, sicuramente più esperti e navigati in materia di me: cosa faccio? elimino tutto quello che è contrassegnato da F2 ed O4, poi ripasso l'antivirus?
Però quello che mi fa sospettare qualcosa di più grave è il fatto che il virus si sia esteso anche all'hard disk nuovo di pacco... Potrei aver beccato un virus che si è installato nel BIOS?
Oggi sono qui per esporvi il mio problema.
Innanzitutto, cerco di fare una panoramica della situazione:
PC Desktop con installato Windows 7 SP1
Norton Internet Security 2015
Nei giorni scorsi ho fatto un download da BitTorrent di un software, e, poichè l'antivirus non me lo faceva scaricare (segnalava presenza di minacce), "intelligentemente" ho disattivato l'antivirus, confidando nel fatto che l'eventuale virus contenuto non fosse così potente... :cav: e che sarebbe stato poi in seguito rimosso dal mio antivirus una volta installato. Pensavo di essere più furbo degli hackers:sisilui::sisilui::sisilui:
Ad ogni modo, adesso, mi ritrovo il computer inutilizzabile.
Ho già provveduto a installare windows in una nuova partizione dell'hard disk, ieri ho addirittura acquistato un SSD da 250 Gb in negozio, quindi vergine, con l'intenzione di reinstallare Windows 7 daccapo e contestualmente un antivirus, ma, purtroppo, il risultato è sempre lo stesso.
(Per ulteriore precisione, quando ho reinstallato Win/ sull'hard disk nuovo, c'era solo quello collegato alla Scheda madre, l'hard disk vecchio era scollegato e rimosso dal case)
Ho provato a fare una scansione con malwarebytes e combofix, il risultato è il seguente:
Visualizza allegato 171493 Visualizza allegato 171494
- - - Updated - - -
... continua da post precedente
Fortunatamente leggendo dei post precedenti su questo sito, sono riuscito a scaricare ed eseguire HijackThis, di cui allego il log a seguito di scansione:
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 08:45:04, on 15/08/2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\qwerty\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = "link rimosso"
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page ="link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = "link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = "link rimosso"
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = "link rimosso"
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = "link rimosso"
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @Keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 4450 bytes
Ora chiedo a voi, sicuramente più esperti e navigati in materia di me: cosa faccio? elimino tutto quello che è contrassegnato da F2 ed O4, poi ripasso l'antivirus?
Però quello che mi fa sospettare qualcosa di più grave è il fatto che il virus si sia esteso anche all'hard disk nuovo di pacco... Potrei aver beccato un virus che si è installato nel BIOS?
