Worm Bagle, sono infetta da una settimana.

[xellisss]

Ciao, mi sto dannando da quasi una settimana a sradicare dei virus che ho preso cercando di entrare in una pagina con una innocua guida su Joomla, su cui Avira mi ha avvisato c'erano worms. Ho cliccato su NEGA ACCESSO e non sono entrata, ma il giorno dopo ero rallentatissima, il pc si piantava ogni 5 minuti, ho riavviato a mano il pc mille volte nel tentativo di fare qualche scansione AV anche online o con i vari tools di cleaner, finchè non mi hanno indirizzato a capire che il mio problema specifico era il MBR, il master boot record rootkit. Seguendo le indicazioni ho rimosso tutto e il pc si è ripreso dal punto di vista delle prestazioni, funziona tutto.
Ma non era solo quello il problema...pare ci sia anche il worm bagle, ho tutti i sintomi: gli AV non funzionano più (il bello è che prima funzionavano), se provo a fare la scansione online con vari AV mi dà improbabili messaggi di errore, mi ha fatto sparire addirittura cartelle con scritte tipo AV-antivirus, molte icone sul desk non hanno più la loro icona originale come se non sapesse quali programmi usare (che sono installati ma è come se non ci fossero, tipo word, block notes!! e pdf readers), all'avvio mi appaiono messaggi di errore RUN, ma soprattutto non riesco a diattivare il ripristino di sistema! Me lo impedisce con la scusa di un errore...e anche il firewall è disabilitato (uso XP home). Ora scrivo da un altro pc, da quello ovviamente non sto navigando (brrr).
Ho provato da strumenti di amministrazione-servizi a arrestare il ripristino sull'HD in cui sono (ne ho altri 2 di cui uno dati), si arresta, ma al riavvio riprende a funzionare.
Molti programmi tipo Findykill e Malwarebytes mi si chiudono e riavviano.
Idem Combofix.
Elibagla e Avenger dicono che hanno bisogno di riavviare....e poi niente...
non so come far funzionare qualcosa per avere un inizio, visto che ho capito credo il problema...la cosa che mi frega di più è il famoso ripristino!!
Vi mando qualche file per farvi inquadrare spero meglio il problema, nella speranza che possiate aiutarmi..ho visto che avete aiutato altri utenti a risolvere in qualcosa come UN GIORNO!!!
Lo spero di cuore e vi ringrazio per la pazienza di avermi letto!
DrWeb scans.completa in modalità normale(non sono riuscita a snellirlo):
http://www.filedropper.com/cureit
DOPO PRIMA SCANSIONE CUREIT SCREENSHOT: http://wikisend.com/download/457750/...ne_cure_IT.JPG
DOPO SECONDA SCANSIONE CUREIT SCREENSHOT:
http://wikisend.com/download/455262/...con_CureIt.jpg
Con CureIt "vedo" il contenuto dei tre Ripristini dei 3 HD (System Volume Informations) e sono strazeppi di cose che ora dice non infette...ma come faccio a svuotarle se non posso disattivare il riporistino??Ogni volta il virus si riforma da lì, pare...

 

[xellisss]

Allego Find kill in modalità provvisoria (normale non riesco. Quando però clicco CLEAN si riavvia anche in mod. provv.)!

 

[R16]

Buongiorno.

Quando però clicco CLEAN si riavvia anche in mod. provv.)!

Non devi cliccare su CLEAN.
Chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
Avvia Findykill, e clicca sull'opzione 2 Suppression des fichiers infectieux (Eliminazione dei file infetti) .
Lascia lavorare il programma, e alla fine posta il log.
L'eliminazione avverrà in automatico, e il pc dovrebbe riavviarsi da solo.

Se non funziona prova così:
1)Scarica TDSSKiller.zip sul desktop:
Viruses and solutions
estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
Lascia finire la scansione.

2) Scarica ed avvia rkill.com per terminare i processi in esecuzione del malware
http://download.bleepingcomputer.com/grinler/rkill.com

Poi riprova a far partire (in modalità normale) Findykill, Malwarebytes, e Combofix.
Se ci riesci, posta i log.

 

[xellisss]

Ciao e grazie per la risposta.
Quando dicevo che cliccavo CLEAN intendevo sempre la voce 2 del menù, la stessa che dicevi tu,ma in Inglese: ma purtroppo si chiude (il sistema verrà riavviato dal comando XX34422).
Ho eseguito rkill e tdskiller, e, visto che molti programmi sul desk sono senza icona come se non avessero il programma installato, ho provato a reinstallare Avira e mi è partito, ora mi appare sul desk attivato!
Ho controllato il Ripristino di Sistema è ho potuto disattivarlo!Ho controllato attraverso la scansione di questa cartella con CureIt e si è svuotata!
Per curiosità ho provato a riattivare il ripristino di sistema e mi è partito invece l'errore col riavvio.
Altre stranezzae: centro di sicurezza pc ha in rosso la protezione da virus( AV non trovato, anche se Avira è elencato sotto): tutti i programmi che ho installato a riguardo gli hanno confuso le idee o è sintomo del virus?:look:
Direi che cmq va meglio..
All'inizio mi appaiono due finestre di errore: ERRORE durante il caricamento di C:\Windows\System32\NVMctray.dll e NVGpl.dll -impossibile trovare il modulo specificato: si riferiscono a programmi che c'erano e ora non risultano più installati..?
O sono sintomi gravi di errori di registro?
Cosa potrei fare ora?
Non riesco a fare la scansione online di Kaspersky, Bitdefender, F-Secure per errori Java..se provo ad aggiornarla, dà errore, non riesco.
I programmi che citi ancora non riesco ad avviarli senza che il pc si riavvii da solo.
Grazie mille dell'aiuto!

 

[R16]

Buonasera.
Vediamo se si può risolvere qualcosa:
Fai:
Start\Esegui\ digita: services.msc, Si apre la pagina dei "Servizi"
Controlla se TUTTI questi "Servizi" siano avviati, e siano in Automatico:
Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
Se ne trovi qualcuno in "Manuale, o Disabilitato, lo riporti in Automatico, ricorda di RIAVVIARE il pc.
Per avviare un servizio, clicca con il tasto destro sul servizio, Proprietà >Automatico > Ok > Avvia > Ok.

Vai in Installazione Applicazioni, e disistalla tutte le versioni Java che trovi.
Installa questa versione:
Download gratuito del software Java - Sun Microsystems
Attenzione, in fase di scaricamento, a NON scaricare la toolbar di Yahoo!

Per il riparare il Ripristino configurazione sistema, usa questo tooll System Restore Repair :
Zonapc.it - Ripara PC: Ripristino configurazione di sistema

Qualsiasi programma che NON ti funziona, lo devi disistallare, fare una pulizia, ( con CCleaner o simile) e reistallare.

Per le pulizie generali, segui questa guida (Operazioni di Manutenzione
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html

 

[xellisss]

Grazie Kyron, sono appena tornata dal lavoro e ho letto la tua risposta, mi metto al lavoro ad eseguire i tuoi controlli.
In attesa di verificare se tutto funziona, ti ringrazio di cuore!

 

[JeanGrey]

Ciao, questa utility permette di ripristinare tutti i servizi disabilitati dal worm
Suspectfile Forum • Leggi argomento - Utility [Win 2000 / Win XP / Vista]

 

[xellisss]

Buongiorno Kyron,
ho eseguito tutti i tuoi consigli.
I servizi che elenchi risultano tutti attivi e automatici.
Purtroppo non riesco a disistallare in alcun modo le vecchie versioni di java che avevo via via installato, quando ci provo il pc si riavvia subito.
Come potrei ovviare? In modalità provvisoria non funziona, vero?
Quindi tu pensi che il kaos che ho -relativo rispetto alle infezioni di prima- siamo solo malfunzionamenti da fixare o programmi da reinstallare e non il sintomo di ulteriori virus?
Certo Combofix e Malwarebytes che si autochiudono se li avvio e mi spengono il pc non mi lasciano pensare bene, ma per il resto non ho più problemi.
Una curiosità: per questa pagina di scansione online tu vedi la pagina come vedo io nel pc "infetto"...o è una pagina "fake"?
Wikisend: free file sharing service
La visualizzo così anche dal portatile da dove sto navigando...manca Java??
Però se lo installo-qui-la schermata mi resta uguale..
Aggiungo:ora riesco a attivare/disattivare il ripristino di sistema senza problemi. Per ora lo tengo disattivato finchè non sono sicura.
Il Firewall risulta attivo, vedo che ha mantenuto anche le mie eccezioni (porte, programmi) ma se clicco sopra in PANNELLO DI CONTROLLO-Firewall mi dice: IMPOSSIBILE VISUALIZZARE LE IMPOSTAZIONI DI WINDOWS FIREWALL. Si è verificato un problema non identificato.
Prima di disinstallare/reinstallare i programmi volevo capire se c'è altro che non va..troppi programmi-tool di av o malwarespy mi riavviano il pc invece di funzionare...
Proseguo per ora a fare, grazie ancora per la tua disponibilità!

 

[R16]

Buongiorno.

java che avevo via via installato, quando ci provo il pc si riavvia subito.
Come potrei ovviare? In modalità provvisoria non funziona, vero?

Non costa niente, provare ad eliminare le versioni Java dalla Modalità provvisoria.

Certo Combofix e Malwarebytes che si autochiudono se li avvio e mi spengono il pc non mi lasciano pensare bene,

E' questo il vero problema.
Perchè non permette di vedere uno straccio di log.(oltre alle scansioni, che servirebbero molto)
Hai provato a disistallarli, fare una pulizia con CCleaner, e reistallarli?

Una curiosità: per questa pagina di scansione online tu vedi la pagina come vedo io nel pc "infetto"...o è una pagina "fake"?
Wikisend: free file sharing service

Quelle scansioni on-line, richiedono l'installazione di Java.
Chiaro, che se il programma è danneggiato, non funzionano.

Hai detto che Avira ti funziona.
Puoi fare una scansione completa,e postare il log?

 

[xellisss]

Ciao
allora qualcosa si muove, sono riuscita a fare qualche scansione in mod.provvisoria che mi ha trovato qualcosa.
Persistono però i problemi del Centrto Sicurezza Pc, dei programmi che non fanno la scansione del pc ma riavviano, dello Java che non mi fa disinstallare le vecchie versioni neanche in mod.provv.

Ho fatto queste cose:
1-Malwarebytes rileva qui Wikisend: free file sharing service (16-13-26)_MALWAREBYTES_28
una infezione giusto attinente al mio problema del Firewall:
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Ma perchè dice così?Io gli ho detto di mettere in quarantena (o cancellarlo?Non ricordo...da qui problemi immagino...)
2-Combofix è finalmente partito in mod. provv. funzionando fino in fondo e mi ha trovato varie cose..
Dopo un successivo tentativo di scansione fallito in mod. normale (pc si riavvia) rifaccio in mod. provv. con rete e mi ripristina la console di ripristino che era danneggiata...può essere utile?AL boot mi dà l'opzione per accedervi, non so se funziona.
Qui la prima scansione Wikisend: free file sharing service e qui la seconda Wikisend: free file sharing service
3-Sto facendo Avira in mod.normale, come chiedi tu per postare il log, anche se in questi gg l'ho fatta spesso e non trova più nulla, aggiornata e settata. La posto appena pronta.

4-Log di Provx Wikisend: free file sharing service

Ho trovato poi un programma JavaRa.zip che promette di disinstallare tutte le versioni vecchie e dal registro di Java...oso?
Non ho disinstallato ancora e poi reinstallato i programmi che non mi fanno scan in mod.normale per paura che poi non me li fa installare più: lo faccio lo stesso?

Procedo lentamente ma non voglio mollare: ti ringrazio moltissimo per la pazienza e l'aiuto che mi stai dando.

 

[xellisss]

Scan di Avira in modalità normale:
Wikisend: free file sharing service

 

[R16]

Buongiorno.
Elimina quello che ha trovato Malwarebytes. (in realtà, corregge quella chiave)
Hai un sacco di software di difesa installati.
Alcuni in "tempo reale".
Significa, che possono andare in conflitto fra loro, con il risultato, che invece di proteggere il pc, lo possono danneggiare.
Spyware Doctor
PC Tools
DoctorWeb
a-squared Free
a-squared Anti-Malware
Panda Security
Prevx
Malwarebytes' Anti-Malware
Fai una pulizia con CCleaner.
Pulisci anche il registro.
Disistalla Combofix con OTC by OldTimer:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
Eseguilo.
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.
Reistalla Malwarebytes, e vedi se funziona in modalità normale.
Reistalla Combofix, e vedi se funziona in modalità normale.
Dovesse funzionare posta i log.

 

[xellisss]

Ma la pulizia del registro con ccleaner la posso fare a occhi chiusi?
Cioè vedo che lui analaizza i problemi del registro e poi chiede uno a uno se può eliminare quelle voci. Io non ne so nulla: dico di SI a prescindere, vado sicura?
Non ho mai usato questa opzione di Ccleaner proprio per mia paura e ignoranza.

 

[xellisss]

Scusa se ti disturbo ancora, ho seguito tutti i tuoi passi, il pc va bene, solo che molti programmi non li riesco a disinstallare, ci sono ma non appaiono nelle applicazioni da disinstallare sia con CCcleaner che con Revo Unistaller, dice che sono su altri supporti o proprio non li vede.
Quando provo a installare il nuovo programma mi dà errore.
Non sembra errore da virus, semmai da casotto con il registro dopo tutto quello che ho fatto.
Posso tentare qualche ripristino con Windows?Ora mi funziona la console di ripristino.
E' un peccato dopo tanta fatica dover rinunciare.
Il problema è con Office 2003, Nero 7, kmp player video, e altre utility tipo eraser.
Sono alquanto frustrata....