mio cugino ha il seguente problema: all'avvio del computer si apre una schermata che segnala un errore di windows causato da service.exe. appena clicca sul tasto non inviare o inviare segnalazione, gli compare una finestrella con sopra riportato il seguente messaggio:
il sistema sta per essere riavviato, salvare tutto il lavoro in corso e chiudere sessione. l'arresto è stato iniziato da NT AUTHORITY SYSTEM. Il processo di sistema C/WINDOWS/SYSTEM32/SERVICE.exe è terminato in modo non previsto con codice di stato 1073741819. A questo punto comincia un conto alla rovescia di un minuto al termine del quale il pc si riavvia.
cosa si può fare? chiaramente mio cugino può solo utilizzare il pc in modalità provvisoria.

nessuno può aiutarmi?

è sicuramente un worm molto probabilmente il W32/Sasser.worm il problema è che mi è del tutto nuovo quel SERVICE.exe ma sarà semplicemente una variante del nome. in ogni caso il miglior programma per debellarlo è McAfee.... ecco guarda ho appena trovato un sito che ti spiega come fare...
http://news.swzone.it/swznews-10987.php
prova così...

grazie mille, vi farò sapere

Succede anche a me, ho provato di tutto ma nulla. Ho notato una cosa strana però, mi succede(almeno da quel che ho potuto notare in questi 2 giorni) dopo che attivo teamspeak2? come mai?
questo e' il fiile log:

Logfile of HijackThis v1.99.1
Scan saved at 20.38.35, on 21/12/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
d:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PDFCreatorMessages.exe
d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
d:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Programmi\3M\PSNotes\psn.exe
D:\Utility\SpeedFan\speedfan.exe
d:\PROGRA~1\3M\PSNotes\PSNGive.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
d:\PROGRA~1\FREEDO~1\fdm.exe
C:\WINDOWS\Explorer.EXE
F:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {5C1ED28F-8190-4772-DF92-77DB16F5E3D6} - C:\WINDOWS\xdfcl1.dll (file missing)
O2 - BHO: Class - {6828D766-572C-411F-99EC-9FA887E1D563} - C:\WINDOWS\xdfcl1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Eraser] D:\Programmi\Eraser\eraser.exe -hide
O4 - Startup: SpeedFan.lnk = D:\Utility\SpeedFan\speedfan.exe
O4 - Global Startup: Post-it® Software Notes.lnk = D:\Programmi\3M\PSNotes\psn.exe
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti in PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti link selezionati in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti link selezionati in PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione a PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://D:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://d:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://d:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica sito web con Free Download Manager - file://d:\Programmi\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://d:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programmi\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/cabs/A18X.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - http://www.pixaco.it/static/download/pixacodndupload.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/en/wowbeta/Si.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/sites/gamdr-it/itd/games35.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/IA/sysia32svc_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED978BD-0A4F-497D-8D95-2870F448064A}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED978BD-0A4F-497D-8D95-2870F448064A}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{0ED978BD-0A4F-497D-8D95-2870F448064A}: NameServer = 151.99.125.1,151.99.0.100
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {AD1C9BAF-184B-4E2E-937E-B891A4E682D6} - C:\Documents and Settings\Fabio\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.39.dat
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDFCreatorMessages - Global Graphics Software Ltd - C:\WINDOWS\system32\PDFCreatorMessages.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

per annullare il conto alla rovescia e quindi perdere ogni volta il tempo per far ripartire il pc da start ---> esegui "shutdown -a" in questo modo interrompi il conto alla rovescia e puoi far partire una scansione antivirus

ora provo anche questo:
http://www.symantec.com/security_response/writeup.jsp?docid=2003-081119-5051-99

se serve provatelo
ciauz

capita anche a me ma solo se sono connesso e fare shutdown -a non risolve poi molto perchè dopo pochi minuti mi si bloccano tutte le applicazioni e devo resettare... cosa ancor più strana è che sto provando tutti gli antivirus, rimozioni x sasser e blaster, aggiornamenti microsoft, ma non mi trova un bel niente e il problema persiste

capita anche a me ma solo se sono connesso e fare shutdown -a non risolve poi molto perchè dopo pochi minuti mi si bloccano tutte le applicazioni e devo resettare... cosa ancor più strana è che sto provando tutti gli antivirus, rimozioni x sasser e blaster, aggiornamenti microsoft, ma non mi trova un bel niente e il problema persiste

Potrebbe anche essere un problema di windows, comunque se non l'hai già provato, prova anche questo tool
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

già provato anche quello... :( avevo formattato 2 settimane fa x lo stesso motivo e adesso mi sa che dovrò rifarlo... :(

Mi dispiace, purtroppo è difficile risalira alla causa di questo genere di problemi, potrebbe esserci qualche conflitto tra software o altro ancora.
Se il riavvio avviene con l'apparizione di una schermata blu potrebbe essere anche un problema hardware (di solito la ram).
Sicuramente potrebbe anche dipendere da un infezione, ma non credo, visto che hai detto di aver già fatto tanti controlli in questo senso.
In ogni caso se vuoi puoi postare un log di hijackthis, così gli diamo un occhiata.

sono nella vostra stessa situazione... e non riesco a risolvere. ho gia provato 4 antivirus diversi.. e innumerevoli antimalware ecc...

Ormai non faccio altro col pc da giorni... senza risultati... ora sto provando kapersky....

Il fatto e' che sono sicuro al 100% che sia un virus.. perche avast controllava delle email in invio :mbe: da me chiaramente non inviate.. ma cmq inviate dal virus...

http://img223.imageshack.us/img223/750/virusuk0.jpg

Notare le innumerevoli email che invia il mio pc...

l'unico modo per non fare riavviare il pc e non fare dare l'errore service.exe e' non connettersi ad internet.

Inoltre ho notato che il suddetto virus riesce a killare avg antispayware.

Attendo vostre notizie se risolvete.. ciao

Notare le innumerevoli e continue email controllate e inviate senza problemi dal virus... che giace tranquillo senza essere riconosciuto neanche da kapersky.

Provero' una scansione completa dell'hd con kapesky, cosa che non ho ancora fatto...



immagine eliminata per il sfasamento della grafica del forum

le email sono arrivate a 2460.... stranamente... anche perche' di solito durante il processo di invio email... il pc da l'errore detto sopra del service.exe

Visto che nessun antivirus rilevava il virus.. ho pensato ad un rootkit.

Ne ho scovato 1 con AVG_AntiRootkit_1.0.0.13.exe per ora sembra tutto ok... ma non mi fido... visto che la modalita' provvisoria e' ancora sputtanata ( cioe' non mi parte piu' ) ...

Per ora il pc non si comporta in modo strano e email non sono ancora partite.

bingo;

il problema ha dei precedenti e tutti quelli infetti hanno questi processi nel log
O2 - BHO: Class - {5C1ED28F-8190-4772-DF92-77DB16F5E3D6} - C:\WINDOWS\xdfcl1.dll (file missing)
O2 - BHO: Class - {6828D766-572C-411F-99EC-9FA887E1D563} - C:\WINDOWS\xdfcl1.dll (file missing)
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://netvenda.com/sites/gamdr-it/itd/games35.cab
O18 - Filter: text/html - {AD1C9BAF-184B-4E2E-937E-B891A4E682D6} - C:\Documents and Settings\Fabio\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.39.dat
O20 - AppInit_DLLs:

fixa tutto

ho gli stessi problemi di mirkobob... tranne per le e-mail visto che non ho configurato nessun software di posta elettronica.... il log è questo, ma mi sembra iperpulito...

Logfile of HijackThis v1.99.0
Scan saved at 11.27.33, on 02/01/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Creative\ShareDLL\Mediadet.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Diego\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D361359-A618-4101-8332-A8D9FC85AFF5}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: LightScribeService Direct Disc Labeling Service - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

scusa che antivirus usi?

ho gli stessi problemi di mirkobob... tranne per le e-mail visto che non ho configurato nessun software di posta elettronica.... il log è questo, ma mi sembra iperpulito...



Questo log è pulito, però tu hai un grosso problema qui

Platform: Windows XP (WinNT 5.01.2600)

Va be che hai il firewall che ti protegge, però il tuo sistema è obsoleto e manca di aggiornamenti importanti per la sicurezza.
Come prima cosa dovresti mettere l'sP2.

A tutti consiglio comunque una scansione antirootkit con i programmini appositi.

gmer (http://www.majorgeeks.com/GMER_d5198.html)
Sophos (http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html)
F-secure Blacklight (http://www.f-secure.com/blacklight/)

E magari postate i log autostart di gmer.

Ciao

effettivamente l'sp2 male nin gli fa

è vero che non ho sp2, ma ho scaricato tutti gli aggiornamenti sulla sicurezza... antivirus li ho rimossi visto che non hanno risolto nulla, ma forse ho risolto il problema che era una stupidata pazzesca (incrociamo le dita).
In pratica con gmer avevo fatto una scansione e mi aveva trovato un potenziale rootkit, però non era un file, non si capiva cos'era. Ho provato con altri anti rootkit (sophos) e trovava lo stesso rootkit dicendo che la sua rimozione poteva dare gravi problemi al pc. così vedendo che non avevo nessun eseguibile e nessuna dll sospetta l'ho lasciato lì... ieri ho provato come consigliato qua l'antirootkit di avg e ha ritrovato sempre e solo lo stesso elemento. così mi son deciso a rimuoverlo e da ieri il computer sembra andare benone... speriamo!

ciao a tutti, recupero questo vecchio post perché l'argomento è identico.

Sono arrivato allo scan con gmer, il log:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-12 10:24:29
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!RtlCopySid + FF 805673BA 7 Bytes JMP F9CB22C6 izomvhjd.dat
? izomvhjd.dat Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\drivers\Cim30.sys Accesso negato.

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs Cim30.sys
Device \FileSystem\Fastfat \FatCdrom Cim30.sys
Device \FileSystem\Mup \Dfs Cim30.sys
Device \FileSystem\RAW \Device\RawTape Cim30.sys
Device \FileSystem\Mup \Device\Mup Cim30.sys
Device \FileSystem\RAW \Device\RawDisk Cim30.sys
Device \FileSystem\RAW \Device\RawCdRom Cim30.sys
Device \FileSystem\Mup \Device\WinDfs\Root Cim30.sys
Device \FileSystem\Fastfat \Fat Cim30.sys
Device \FileSystem\Cdfs \Cdfs Cim30.sys

---- Services - GMER 1.0.14 ----

Service system32\drivers\izomvhjd.dat (*** hidden *** ) [BOOT] sgqstobc <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

questo fatto i modalità provvisoria. Ho tentato di rimuovere quel file, ma anche in modalità provvisoria me lo impedisce...

Non è ne blaster ne sasser naturalmente, e il fix per il rustok non trova nulla.

Grazie in anticipo per l'aiuto

ciao a tutti, recupero questo vecchio post perché l'argomento è identico.

Sono arrivato allo scan con gmer, il log:

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-02-12 10:24:29
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.14 ----

PAGE ntoskrnl.exe!RtlCopySid + FF 805673BA 7 Bytes JMP F9CB22C6 izomvhjd.dat
? izomvhjd.dat Impossibile trovare il file specificato. !
? C:\WINDOWS\system32\drivers\Cim30.sys Accesso negato.

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs Cim30.sys
Device \FileSystem\Fastfat \FatCdrom Cim30.sys
Device \FileSystem\Mup \Dfs Cim30.sys
Device \FileSystem\RAW \Device\RawTape Cim30.sys
Device \FileSystem\Mup \Device\Mup Cim30.sys
Device \FileSystem\RAW \Device\RawDisk Cim30.sys
Device \FileSystem\RAW \Device\RawCdRom Cim30.sys
Device \FileSystem\Mup \Device\WinDfs\Root Cim30.sys
Device \FileSystem\Fastfat \Fat Cim30.sys
Device \FileSystem\Cdfs \Cdfs Cim30.sys

---- Services - GMER 1.0.14 ----

Service system32\drivers\izomvhjd.dat (*** hidden *** ) sgqstobc <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

questo fatto i modalità provvisoria. Ho tentato di rimuovere quel file, ma anche in modalità provvisoria me lo impedisce...

Non è ne blaster ne sasser naturalmente, e il fix per il rustok non trova nulla.

Grazie in anticipo per l'aiuto

per favore segui le regole di sezione sia per pubblicare i log che quello che viene richiesto
http://www.hwupgrade.it/forum/showthread.php?t=1589984
http://www.hwupgrade.it/forum/showthread.php?t=1599737
in più aggiungici anche un giro con Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
decomprimi il file Zip, sul desktop
eseguilo(da amministratore del pc) stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.
facci sapere cosa trova....
allega i log delle scansioni
[b]MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/QUOTE]

mi scuso per non aver rispettato alla lettera la netiquette del forum, la prossima volta sarò più preciso.
In ogni caso dopo il giro con i vari programmi ho risolto, anche se non ho ben chiaro come considerato che non hanno trovato niente di che....

Di diverso da prima ho semplicemente fermato lo spegnimento del pc con shutdown -a, e da lì a poco è apparso un warning di Antivir

Virus or unwanted program 'TR/Dropper.Gen [TR/Dropper.Gen]'
detected in file 'C:\WINDOWS\Temp\BN2.tmp.
Action performed: Deny access

che è sparito dopo qualche riavvio e uno scan in modalità provvisoria che non ha trovato nulla.

Misteri della fede, davvero...

Grazie comunque per l'aiuto, ciao!

salve, sono arrivato a questo 3d investigando su un'infezione del pc di mio cognato: ed in particolare ricercando info sul file "BN2.tmp" trovato infetto da Antivir all'avvio di ogni connessione internet in coppia con la partenza di svariate quanto invisibili mail notabili solo dall'analisi dei processi di avast....

Seguento la discussione vedo che la situazione è molto simile a quella di mirkobob solo che hijack non mi ha dato segnali interesanti mentre Gmer individua 3 rootkit e tre processi dannosi HIDEN che posso killare ma che continuamente si riproducono, a questo punto io sono al palo e non so davvero come procedere ... avg anti rootkit non trova nulla, virus viene individuato solo quello suddetto da avira, ma nonostante la sua eliminazione "riappare" ad ogni nuova connessione.

Allego i log di Gmer e Hijack nella speranza di qualche subberimento
Grazie Mike

Comincia col disinstallare Avast

Comincia col disinstallare Avast

non lo uso e non mi piace ... sul pc in questione però lo ho trovato installato e stà di fatto che pur non rilevando infezioni avast è l'unico sistema che ha acceso un campanello d'allarme su questo indesiderato invio di mail (vedi immagine in allegato).

Lo citavo solo per questo.

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.
Segui la Guida alla Disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) allegando i log secondo le modalità sottoindicate, preferibilmente tutti i log in un unico post

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1 se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2 se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download[/quote]

oltre ai tool indicati in Guida fai girare anche questo:

Scarica SDFix e salvalo sul Desktop
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
Riavvia il sistema in modalità provvisoria F8
Apri la cartella SDFix in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
seleziona Y per avviare la pulizia
Quando richiesto premi un tasto per riavviare
(il sistema impiegherà più tempo in fase di avvio perchè lo script eseguirà l'eliminazione dei file trovati)
Finito il caricamento dovresti visualizzare il messaggio "Finished"
Premi un tasto per terminare lo script e ricaricare le icone del desktop
Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Grazie per le indicazioni, stasera provo a eliminare tutte le protezioni e rifaccio il ciclo di controllo.

In verità tutto è stato già fatto seguento passo passo la guida ed i problemi che riportavo son ancora attivi, ma effettivamente con Avast e Avira attivi ...

Un suggerimento li tolgo entrambi o quale dei due? Sui miei pc ho Avira, ma come dicevo sopra avast lo tenevo attivo solo perchè è l'unico che mi da una visione chiara del fenomeno (lo usavo come monitor).

Scusate per il "posting scorretto" dei log ho letto 20Kb e pensato (erroneamente) che vi fosse più comodo prenderli da qui essendo pocho kb in più.

Grazie per ora, vi tengo aggiornati

disinstalla avast, utilizza ccleaner x la pulizia del registro, riavvia il pc ;)

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.

E' noto che 2 AV sulla stessa macchina fanno macello, ti consiglio pertanto di disinstallare Avast.

si scusami avevo letto male (sono in ufficio) e mi era scappato il suggerimento diretto :doh:

stasera procedo

ok rieccomi ... fatte tutte le varie scansioni e trovata un po di robina che però non so bene come interpretare ne tantomeno come rimuovere ....

posto in fila i log come richiesto linkati dall'esterno

Prevx CSI (http://www.fileup.itadib.com/download.php?id=mzLzajqk00trkZmdKWIm)

Hijackthis (http://www.fileup.itadib.com/download.php?id=CkJhsvK58vGnqGShBFOp)

gmer (http://www.fileup.itadib.com/download.php?id=d0ZgIIBTMGy8PMNvezIB)

SDfix (http://www.fileup.itadib.com/download.php?id=5xYljrtp6Sf8NBqQIiEG)

il problema sembrerebbe (ammesso che sia uno solo) il Trojan Pandex sul quale però non ho trovato 3D sul forum, posso continuare la discussione qui o devo aprire un 3D nuovo?

Scusatemi la "niubbaggine" e grazie fin da ora per la pazienza ed il tempo

manca il log di asquared

hai fatto le scansioni in questo ordine?

x intenderci: sdfix l'hai fatto girare x ultimo?

fai cosi:
1- Provvedi a svuotare del suo contenuto la cartella Prefetch[/B] procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2- Scarica CCLEANER: DOWNLOAD (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

3- nuova scansione con prevx csi e nuovo log di hijackthis

fatto

Prevx (http://www.fileup.itadib.com/download.php?id=MIcsgi6iVxImsXFf5fmt)

Hijackthis (http://www.fileup.itadib.com/download.php?id=BwIuPRVU4Ntx5PvFk4Ga)

Qualcosa migliora ma ancora una segnalazione su Prev...
Riguardo al mio precedente post: hai ragione l'ordine scritto è sbagliato, ho effettuato la scansione con SDFix prima di hijack e gmer non come ultima del ciclo.

firefox è una versione vecchia quindi devi aggiornarlo :)


C:\WinGuido\winguido.exe InMem: 0 Det [U] PX5: 143A2C440062CD526CDE65B03328EF0032FDFA3A

C:\WINDOWS\QTFont.for InMem: 0 Det [U] MD5: E100B14F521C642D39E4BACAD4ECC2AC PX5: E100B14F81521C64052D0039E4BACA00D4ECC2AC

C:\WINDOWS\WLXPGSS.SCR InMem: 0 Det [U] MD5: B76D8211A447E9BD2F37540E9FE42C9C PX5: 36118B1D0074AEB6F4D7082BEE2E4200FA97E460


C:\WINDOWS\System32\Drivers\Vbe61.sys - [64] >> Hidden Data


mentre nel log hiJackThis:

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\WinGuido\Skype4COM.dll (file missing)

Manca il log di A-Squared ed il log della scansione online o alternative, come ultima cosa fai girare di nuovo SDFix

@xcdegasp
C:\WINDOWS\WLXPGSS.SCR InMem: 0 Det [u] MD5: B76D8211A447E9BD2F37540E9FE42C9C PX5: 36118B1D0074AEB6F4D7082BEE2E4200FA97E460

effettivamente l'MD5 non corrisponde a quello di Microsoft

Riguardo al mio precedente post: hai ragione l'ordine scritto è sbagliato, ho effettuato la scansione con SDFix prima di hijack e gmer non come ultima del ciclo.

se l'avevo messo per ultimo un motivo evidentemente c'era :mbe:

ok stasera ripeto il ciclo di scansioni in ordine completo, una domanda riposto tutti i log?

A-squared non l'ho postato perchè non mi ha individuato nulla mentre ESET (anche esso non presente) genera un log chilometrico e non riesce a correggere nessuno dei problemi individuati, come scritto sopra provvedo a ripetere tutto.

ESET > A-squared > Prevx > House call Trend micro > Hijackthis > gmer > SDfix ---- ancora un mio dubbio:

Fra una scansione e l'altra ovviamente non riavvio il sistema vero? e CC clean lo passo solo alla fine di questo lungo ciclo di controlli? e dopo averlo passato devo rifare altro o no!? non mi è chiaro dal vademecum che mi son letto e riletto più volte :help: :help:

riguardo alle segnalazioni di xcdegasp come posso intervenire? Firefox lo aggiorno ok ma i file incriminati? provo ad eliminarli o per ora non faccio nulla?

scusatemi l'assillo ma la cosa alla fine mi intrippa pure :D :D

ok stasera ripeto il ciclo di scansioni in ordine completo, una domanda riposto tutti i log?
Io trovo incredibile che riusciate a perdervi in queste cose.
Si tratta solo di leggere, attentamente la Guida e fare, esattamente, quello che viene suggerito.

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

e poi, una volta per tutte, segui quella stramaledetta Guida ed allega, in un unico post, tutti i log richiesti.

ok appena finito tutti i cicli in ordine, procedo a riportare i log

ESET ADS Revealer (http://www.fileup.itadib.com/download.php?id=vFv2K3OomefwsynGhBNJ)

A-Squared Free (http://www.fileup.itadib.com/download.php?id=9p1BefHdg8zuDsCNZgPl)

Pervx (http://www.fileup.itadib.com/download.php?id=jqoM62jHkvjDlDJHCNvF)

Hijackthis (http://www.fileup.itadib.com/download.php?id=zI5THjgqMC5eSh6eAD5w)

gmer (http://www.fileup.itadib.com/download.php?id=HHk8UfhLXnNIhFqzhbr1)

SDfix (http://www.fileup.itadib.com/download.php?id=wCDXIDchUpaeQK7EHG8T)

la scansione on line fatta dopo Prev e prima di Hijack la ho eseguita ancora con Housecall di trend micro, non riesco però a farmi fare un log ne a trovarne uno autosalvato, unico che mi pare averne le fattezze è
questo (http://www.fileup.itadib.com/download.php?id=JcdYZJusMUv5pSJAJOi5)
che se ne stà nella cartella C:\Documents and Settings\Gigi\.housecall6.6\log

@Riverside: il Ripristino di configurazione di sistema era stato disattivato secondo le vostre ottime indicazioni .... peccato che l'ho ritrovato attivo !!!

Dopo la tua segnalazione, io non mi ero accorto della cosa, l'ho disattivato nuovamente e provato alcuni riavvi consecutivi, tutto ok.
Ho ricontrollato ora alla fine dei cicli di scansione e ... lo ritrovo attivato ... mi sa che non è bello vero?:muro: :muro: :muro:

Direi che siamo a buon punto, dovresti controllare i seguenti file su www.virustotal.com così ci togliamo ogni dubbio (ed io personalmente qualcuno ne ho), indica il link dove visualizzare i risultati

C:\WinGuido\winguido.exe

C:\WINDOWS\QTFont.for

C:\WINDOWS\WLXPGSS.SCR

C:\WinGuido\winguido.exe (http://www.virustotal.com/it/analisis/00b413410e2c452c8b1e3d82dc3d6832)

C:\WINDOWS\QTFont.for (http://www.virustotal.com/it/analisis/9f84a0dd6e7d191bd82fa7c486652a77)

C:\WINDOWS\WLXPGSS.SCR (http://www.virustotal.com/it/analisis/9ed052a303c41e4d9ca11f9cfed53db2)

Pare proprio che il problema sia il sig. Winguido :eek: come lo cuciniamo ora?

per paradosso potrebbe anche essere falso positivo....

Winguido è un programma di assistenza per non vedenti noto per litigare con alcuni antivirus
http://www.winguido.it/wincoesistenza.htm

Pare proprio che il problema sia il sig. Winguido :eek: come lo cuciniamo ora?
Dopo l’accorta segnalazione di Manganese, mi appare evidente che non lo cuciniamo (se èstato installato, presumo sia per una più che valida ragione - inoltre, vedi anche nota al termine del reply).

Hai già reinstallato l’antivirus (Avira, naturalmente) su quella macchina?
Se non lo hai ancora fatto, direi, per il momento, di procedere, ancora ancora cosi:

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Rilancia Hijackthis, e rifai la pulizia degli eventuali ADS, quindi:
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

Installa KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
Compatibilita: Windows XP e Windows Vista
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva ed allega il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

Questa è la procedura che devi seguire per la disinstallazione di KASPERSKY VIRUS REMOVAL TOOL
● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta risolta la questione

Installa SUPERANTISPYWARE: clicca qui per il download (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)
Compatibilita: Windows XP e Windows Vista

una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

Terminate le scansioni, si suggerisce di riavviare il sistema

Nota: sempre, grazie alla segnalazione di Manganese, verifica, anche, le impostazioni del firewall (presumo sia in uso quello integrato in Windows XP):

Qualunque sia il firewall in uso, dovrà essere configurato in modo da consentire i collegamenti ai seguenti file eseguibili:
C:\WINGUIDO\WINGUIDO.EXE
C:\WINGUIDO\WGSERVER.EXE
C:\WINGUIDO\WGMAIL.EXE
C:\WINGUIDO\WGCHAT.EXE

Ad esempio, se si usa Windows Firewall, cioè il firewall standard fornito con il sistema operativo Windows XP, si deve andare nella finestra di configurazione del firewall, aprire la scheda "Eccezioni", e qui usando il pulsante "Aggiungi programma", aggiungere i file sopra elencati

ok in ordine:

nessun ADS al controllo su Hijackthis

Kasper (http://www.fileup.itadib.com/download.php?id=Vcu2Ic5NNcU1wbEbQ0ZC)

Superantispyware (http://www.fileup.itadib.com/download.php?id=earCMXqT19DjctAlMawz)

Molte grazie per la segnalazione riguardo le impostazioni da dare al firewall che attualmente aveva come eccezione solo winguido.exe ho provveduto ad aggiungere le altre indicate.

Per il resto mi pare che ci siamo quindi no?!

Il log di Superantispyware in formato .txt, grazie.

Per il resto mi pare che ci siamo quindi no?!
I log sono a posto: allega un nuovo log di HThis e dicci se riscontri ancora problemi (nel caso, quali), per favore.

Diciamo che era già a posto da qui: http://www.hwupgrade.it/forum/showpost.php?p=21306511&postcount=42

ciao a tutti..mi sono appena iscritto..ho letto il regolamento e ho provato a c ercare sul sito il mio problema,solo che cerano troope discussioni vaghe a riguardo..allora tramite google("hwupgrade TR/Dropper.Gen)ho trovato il probabile post a riguardo..spero di essere partito bene..:D ..veniamo al dunque:mi sono accorto,purtroppo,che da 1 mese sta parte non ho avuto l'antivirus aggiornato..sono riuscito a stampare le finestrelle dei virus che avira mi segnalava e che allegherò...pure altre 2,una di drweb e una starnamente uscita da virit,appena acceso il computer..spero di aver seguito attentamente le relative regole di sezione e la guida alla disinfezione..in attesa di aiuto e risposte,allego le varie immmagini e i log dei programmmi..

N.B.
Bit defender non mi ha trovato nulla..e nemmeno virit..ho provato a far girare l'antivirus in modalità provvisoria e neppure quello niente..

ciao a tutti..mi sono appena iscritto..ho letto il regolamento e ho provato a c ercare sul sito il mio problema,solo che cerano troope discussioni vaghe a riguardo..allora tramite google("hwupgrade TR/Dropper.Gen)ho trovato il probabile post a riguardo..spero di essere partito bene..:D ..veniamo al dunque:mi sono accorto,purtroppo,che da 1 mese sta parte non ho avuto l'antivirus aggiornato..sono riuscito a stampare le finestrelle dei virus che avira mi segnalava e che allegherò...pure altre 2,una di drweb e una starnamente uscita da virit,appena acceso il computer..spero di aver seguito attentamente le relative regole di sezione e la guida alla disinfezione..in attesa di aiuto e risposte,allego le varie immmagini e i log dei programmmi..

ecco gli altri allegati...

finora ho trovato solo installer-65171-15-Messenger-Plus-Live-Italian.exe;C:\Documents and Settings\Giosué\Documenti\doc Dario e Graziella;Trojan.Click.17861;;
su drweb

finisci con prevx e gmer che poi vediamo

finora ho trovato solo installer-65171-15-Messenger-Plus-Live-Italian.exe;C:\Documents and Settings\Giosué\Documenti\doc Dario e Graziella;Trojan.Click.17861;;
su drweb

finisci con prevx e gmer che poi vediamo

prevx non mi ha trovato nulla..ti posto qui pure le immagini degli avvisi di avira,drweb e virit..tanto per valutarle..
1.http://wikisend.com/download/730524/avira.bmp
2.http://wikisend.com/download/730516/avira2.bmp
3.http://wikisend.com/download/730502/avira3.bmp
4.http://wikisend.com/download/730476/drweb.bmp
5.http://wikisend.com/download/730464/virit.bmp

non guardare le immagini..non so perchè,ma risultano sfuocate..prova queste:
1.http://www.fileqube.com/shared/jwQbdT19474
2.http://www.fileqube.com/shared/LapSRfa19475
3.http://www.fileqube.com/shared/JfYqQxAz19476
4.http://www.fileqube.com/shared/bBVXqUG19478
5.http://www.fileqube.com/shared/iVIPuIIw19479

No si vedono ma la prossima volta salvale in JPG, impieghi meno tu a caricarle e noi a scaricarle ;)
Tutto quello che trovava antivir è in quarantena?
Antivir è ottimo ma deve essere configurato bene....segui questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684) se non l'hai già tatto
Dalle ultime scansioni non si vede quasi nulla...
Che problemi hai ad oggi?

ma non riesci a vederle le ultime ke ho postato?quelle di fdile qube?cmq l'antivir l'ho già configurato come da guida..mi farebbe piacere che controllassi le immagini,soprattutto quella di virit,che non capisco..problemi non ne ho avuti..soltanto queste ripetute comparse di virus(immagini),spostati ovviamente in quarantena..riguardo a quello che mi ha trovato drweb,fammi sapere se devo eliminarlo attraverso drweb oppure manualmente..e fammi sapere delle immagini...

Fai controllare il file che ti segnala virit su www.virustotal.com
A fine scansione copia l'indirizzo della pagina e copialo nella discussione

ecco qua l'indirizzo:
http://www.virustotal.com/it/analisis/4f847c524b9a1725caee9bb4bad22743
mi son pure informato su sto oscan82.ocx e questo è quello che ho trovato:
http://www.spywarepoint.com/forums/t22482-bdoscan8-amp-avcore.html
non dovrebbe essere un virus,ma lascio a voi l'ultima parola..

wjmat..hai dato un'occhiata?

ciao scusami ma sono stato via qualche giorno... posta un log di Hijackthis, poi virit io lo disinstallerei

ciao scusami ma sono stato via qualche giorno... posta un log di Hijackthis, poi virit io lo disinstallerei

non va bene quello che ho già allegato?

magari si, ma è di 6 giorni fa....

ecco qua l ultimo log di hijackthis...mi farebbe piacere sapere se posso eliminare i virus messi in quarantena e quell installer che dr web mi ha trovato..e riguardo quest'ultimo,come devo eliminarlo..sei riuscito a vedere le immagini?...

dal log non si rilevano infezioni, ma il pc come sta?

..non noto comportamenti strani..però mi son rivolto a voi e poi ho approfondito con te appunto per sapere se posso riiniziare a navigare tranquillamente oppure no..e soprattutto anche se posso eliminare sti benedetti virus e l'installer di drweb..tutto qua..se riesci,fammi sapere come devo agire..per ora,ti ringrazio della collaborazzione..

ricapitolando:
a-squared pulito
kaspersky pulito
gmer pulito
drweb trovava questo C:\Documents and Settings\Giosué\Documenti\doc Dario e Graziella\installer-65171-15-Messenger-Plus-Live-Italian.exe
fagli un controllino su www.virustotal

poi ultimo giro con prevx, per il log allegami la foto dello schermo

..scusami il ritardo..ecco la pagina di prevx..fammi sapere se riesci a scaricarla e a vederla..riguardo virus total,mi ha trovato un pò di cose..se provi pure te a caricarlo,vedrai..
ecco il log:
http://www.fileqube.com/shared/wyhpRH25069

che percentuale hai avuto su virustotal per quel file?
allega il link di fine scansione che lo vediamo tutti

ecco il link:
http://www.virustotal.com/it/analisis/cb5f38d14ca08d23343c45d922a18c8e
spero che,dopo questo,si risolva in breve tempo la questione..non per essere sfacciato con te..anzi,ti ringrazio nuovamente per la tua disponibilità..però sai..son quasi 2 settimane che navigo "limitato"...:)

cancellalo e se proprio ti interessa msn plus te lo scarichi da qui (http://www.msgpluslive.it/download/)

Poi dai un'occhiata al Trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.