Ragazzi aiutatemi all'avvio di windows mi si apre la cartella documenti in automatico (in modalità provvisoria la cartella non compare) (ho un windows xp pro) ma la cosa più triste e che anche se provo a lanciare hijackthis il computer va in stand by e riparte, e fa cosi con qualsiasi programma anti trojan. Il tutto avviene anche in modalità provvisoria. aiutatemi non so proprio cosa fare, in più se provo ad aprire alcuni siti per trovare soluzioni, come questo hardware upgrade, mi viene chiusa in automatico la finestra. Software antivirus kaspersky.

sembrerebbe un rootkit.
In rete esistono diversi software anti-rootkit, scaricane il maggior numero possibile, e usali in modalità provvisioria.
Spera che eliminino il problema.
questo è un bell'elenco...
(prova almeno il sophos)

http://www.antirootkit.com/software/index.htm

sophos mi ha trovato un hidden registry key non rimovibile in modalità provvisoria, dici che sia questo?...come potrei eliminarlo?

non limitarti solo al sophos...
cerca di usarne 3 o 4 ...
se non ti permette l'eliminazione in modalità provvisioria prova ad usarlo in modalità normale.

niente nulla da fare, non lo elimina, sto provando a usare gmer ma non me lo fa nemmeno installare, lo blocca prima

un bel brutto bestio...

Sohpos ti dice (dalla modalità provvisoria) qual'è la chiave del registro?
Quella potresti tentare di eliminarla a mano.
Gmer prova ad installarlo dalla modalità provvisoria.
Prova anche:
RootKit Buster
RootKit Detective
HookExplorer
RootKit Unhooker

allora ho provato tutto quello che tu mi hai detto, con gli stessi risultati che ti dicevo prima, l'unico che mi ha individuato qualcosa è sophos, l'unica cosa che non ho fatto è stata quella di eliminarlo manualmente, ma la chiave di registro è questa: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40
e notavo che sul pc fisso di casa (quello senza problemi, per intenderci) questa chiave esiste ma senza la parte finale jdgg40;
Forse non mi resta che fomattare:doh:

Questa sembrerebbe una voce di un programma tipo Alcohol o Daemon Tool.
Sono riconosciuti come rootkit perchè usano quella tecnica per fregare il sistema.
Se non ti danno altro, allora non è un rootkit conosciuto o è un'altra forma di malware.
Brutta storia...
Visto che ci siamo, proviamo anche con questa (fosse l'ennesima variante di gromozon):

http://www.prevx.com/gromozon.asp

provare non fa male.

Dovresti cercare di vedere quali sono le applicazioni che vengono lanciate all'avvio usando qualche sw tipo questi:

http://www.sysinternals.com/Utilities/Autoruns.html

http://www.mlin.net/StartupCPL.shtml

e vedere di eliminare tutto quanto appare strano.
Poi ti consiglio, non l'ho fatto prima e mi dispiace, di trovare un moderatore che sposti questa discussione in "Antivirus e Sicurezza" in modo da dargli maggiore visibilità e sentire le voci di altri esperti (magari anche più di me), o al più di duplicare il topic in quel thread.

niente ragazzi non riesco a risolvere....aiutoooooooo:cry:

potrebbe essere una variante di gromozon. dai una lettura a questo tread e vedi se risolvi:

http://www.hwupgrade.it/forum/showthread.php?t=1271721

dando per scontato che hai già letto quanto scritto qui (http://www.hwupgrade.it/forum/showthread.php?t=1142673),hai provato a vedere se in autoavvio ci sono delle voci sospette?

Ho capito...
ci vogliono i metodi della nonna.
Comincia col postare una bella schermata di log di HijackThis, lo trovi a questo indirizzo:

http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php

HijackThis non me lo fa nemmeno partire, anzi mi manda in crash windows. mentre riguardo alle voci sospette ho visto ma non mi sembra ci sia nulla di particolare, solo che posso anche sbagliarmi:boh:

si ma hijackthis lo hai provato dalla modalità protetta?
che in modalità normale non partiva lo avevi detto già sul primo post...
se non funge in modalità protetta, allora sono ciufoli!!!

scusa l'ignoranza, ma cosa significa in modalità protetta?

scusa l'ignoranza, ma cosa significa in modalità protetta?

forse intendeva dire modalità provvisoria...comunque si fa sempre più probabile l'ipotesi rootkit

mai premuto F8 durante il boot di windows?

Quando lo fai puoi selezionare una modalità di partenza, MS-DOS vari, PROTETTA e NORMALE.
Quando parti in modalità protetta vengono fatti avviare solo i software essenziali al lancio del SO, quindi molti dei sw che generalmente partono in versione normale non vengono lanciati, e molto spesso si riesce a recuperare un'infezione brutta proprio lavorando sul sistema operativo dalla modalità protetta.
Tu prova ad usare HijackThis e gli altri antirootkit dalla modalità protetta, così anche gli antivirus e tutto quello che hai di ANTI (anti spyware, anti malware, anti trojan).

UN SOLO AVVERTIMENTO.
Non metterti a cercare qualsiasi software Anti qualcosa, perchè in rete girano falsi anti Trojan e simili che invece di pulire, infettano.
Usa un buon antivirus (McAfee, Karspesky, TrendMicro), per gli spyware usa Spaybot e AdAware, per i rootkit quelli che ti ho già consigliato.
E soprattutto leggi cosa dice HijackThis, se riesce a partire almeno dalla modalità protetta.

EDIT
modalità protetta è appunto la modalità PROVVISORIA...
il nome usato da win è provvisoria, ma il nome corretto è Protetta appunto per il motivo che ti ho detto sopra.

forse intendeva dire modalità provvisoria...comunque si fa sempre più probabile l'ipotesi rootkit

non parte nememno in modalità provvisoria, sto provando tutti i programmi del mondo ma nulla

Vi vorrei passare un file jpg con quello che mi è uscito dalla scansione con rootkit revealer, ma è grande un 140 k e non riesco a postarvela,come faccio?

se anche la modalità provvisoria è andata....
allora il medico dice... le speranze sono poche!
A questo punto potrebbe essere compromessa l'integrità dello stesso sistema operativo, personalmente mi sento di consigliarti di salvare tutti i dati, di passare l'HD sotto FDISK e quindi riformattare e reinstallare tutto daccapo.

hai il bagle,usa il motore di ricerca e troverai il metodo di rimozione ;)

:muro: :muro: :muro: :nera: :nera: :bsod: :cry: :cry:

hai il bagle,usa il motore di ricerca e troverai il metodo di rimozione ;)

strano, perchè se era il bagle sophos almeno doveva riconoscerlo e denunciare la sua presenza...
Se è Bagle usa questo sistema

http://www.sophos.com/support/disinfection/baglea.html

provare non fa male!

semma intende beagle gx

Avevo anch'io il problema dell'apertura della Cartella Documenti all'avvio e non riuscivo a risolverlo con nessun tool... :muro:

ORA L'HO RISOLTO: era un trojan!!
Tutti i software che avevo non lo beccavano e cercare su Internet era impossibile (si chiudevano automaticamente proprio i siti più interessanti!).

Ho seguito una procedura di rimozione manuale, terminando da Task Manager il processo explorer.exe ed agendo poi nello stesso Task Manager con il programma Avenger come descritto qui: http://forum.zeusnews.com/viewtopic.php?t=21605&start=0&postdays=0&postorder=asc&highlight=

Dopo la rimozione non ho nemmeno più avuto il problema della chiusura automatica dei siti (descritto qui: http://www.wininizio.it/forum/index.php?showtopic=83213&st=0&gopid=432024 )

tutto è bene quel che finisce bene! :winner: