Alcuni potrebber trovare ad ogni accensione del pc,una simpatica finestrella che li avverte dello spegnimento del pc in un minuto perchè un servizio di sistema è terminato improvvisamente.

Cosa fare?
1) Bloccare il countdown.

Andate su start-> Esegui ->cmd ->scrivete:

shutdown -a

e premete invio.

Il countdown si interromperà.

2) Disattivazione ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

3) Eliminare il malware che causa il problema.
Le tre cause più famose per cui appare questo messaggio sono:
-Worm sasser (assai improbabile)
-Worm blaster (improbabile)
-Rootkit Rustock (probabilissimo)

Per rimuovere i worm sasser e blaster basta aggiornare il sistema operativo e fare una scansione completa con kaspersky Antivirus(DOWNLOAD (http://www.kasperskystore.it/eval.html) - nella pagina di kaspersky clicca su prova adesso)

Per rimuovere il rustock, scaricare ed eseguire questo programma (DOWNLOAD (http://www.uploads.ejvindh.net/rustbfix.exe))

Bugs Bunny sei un mito... complimenti... davvero!

MOD va messo in rilievo eh?:D

Ottimo ;)

grazie :)

ottimo
infatti avevo controllato blaster e ssasser ma niente:D
senti una cosa
nn devo riavviare x forza dopo aver disattivato il ripristino..?
xke in quel caso avrei dei problemi che sarebbe lungo spiegare:D
grazie mille

Alcuni potrebber trovare ad ogni accensione del pc,una simpatica finestrella che li avverte dello spegnimento del pc in un minuto perchè un servizio di sistema è terminato improvvisamente.
Socio ;) che dire? bel lavoro; mini guida davvero utile.

Mod, ma non si mette in rilievo?

Bugs ha fatto una splendida guida che serve a molti utenti....:confused:

ottimo
infatti avevo controllato blaster e ssasser ma niente:D
senti una cosa
nn devo riavviare x forza dopo aver disattivato il ripristino..?
xke in quel caso avrei dei problemi che sarebbe lungo spiegare:D
grazie mille

no,non serve riavviare ;)

ho scaricato quel programma e mi esce un log:
************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
08/11/2007 16.04.34,81

No Rustock.b-rootkits found

******************************* End of Logfile ********************************


il countdown da qando ho rimosso delle fix da hjatick(nn me ricordo come se scrive:D ) nn è piu apparso:confused:

quali chiavi hai tolto? potrebbe essere un altro malware che ignoro

il countdown da qando ho rimosso delle fix da hjatick(nn me ricordo come se scrive:D ) nn è piu apparso:confused:
Allega un log di Hthis, per favore: vorrei vedere se e cosa è rimasto.

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

Allega un log di Hthis, per favore: vorrei vedere se e cosa è rimasto.

Per quanto riguarda la pubblicazione dei log e/o report che ti verrano richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.grazie dei consigli a tutti
ma ho formattato...:D
una domanda:
adesso che ho formattato, nn c'è piu il rootkit?
ho formattato sia il C: (ho salvato solo documents e setting) e il disco dove stavano i programmi:)
il sistema operativo l'ho messo in un altro disco ;)

stesso problema, ho fatto tutto ma nessun programma ha trovato niente...
help!

sto provando kaspersky. speriamo bene. fino ad ora ho provato decine di soluzioni seguendo tantissime guide ma niente da fare. ancora ogni tanto mi esce la schemata di riavvio. SANTO "SHUTDOWN -A"

madonna santa, il tempo che finisce la scanzione completa che ho lanciato scade il periodo di prova di 30 giorni...:D :D

tempo stimato di completamento 21:20

accipicchia......

cmq anche se ci metterebbe 2 giorni lo lascierei senz'altro se avevo la conferma che mi liberasse da questo schifo di virus...

stesso problema, ho fatto tutto ma nessun programma ha trovato niente...
help!

hai seguito TUTTA la guida ?

si, adesso sta facendo la scanzione con kaspersky.

mi stava sfuggendo ;)

speriamo che risolvo qualcosa stasera.

fatto tutto. eliminata un po di roba. speriamo bene. vi aggiorno.

si, adesso sta facendo la scanzione con kaspersky.

io l'ho preso con kaspersky installato ed aggiornato....:cry: :cry:
ke dite dopo la formattazione puo rimanere qualcosa??

come ??????????????? :eek: :eek: :eek: :eek:

io l'ho preso con kaspersky installato ed aggiornato....:cry: :cry:
ke dite dopo la formattazione puo rimanere qualcosa??

io l'ho preso con kaspersky installato ed aggiornato....:cry: :cry:
ke dite dopo la formattazione puo rimanere qualcosa??

dipende...
se fai la formattazione lenta sicuramente no... ma se si è radicato nel mbr potrebbe rimanere, ma non credo proprio che KAV non controlli l'MBR.
sicuro di aver impostato KAV nel modo corretto e aver avuto una key valida?

si ho fatto la lenta:)
si la key era valida ed si aggiornava ogni giorno...
sta di fatto che me sò preso quela robaccia:rolleyes:

a questo punto è possibile che tu non avessi un buon antispyware e non avessi un firewall..
magari anche un setting non proprio al massimo dell'efficenza (mi riferisco non solo a lav ma anche ai servizi di windows aperti). :)

a questo punto è possibile che tu non avessi un buon antispyware e non avessi un firewall..
magari anche un setting non proprio al massimo dell'efficenza (mi riferisco non solo a lav ma anche ai servizi di windows aperti). :)
vero
nn avevo anti spyware
cm firewall avevo kaspersky

adesso ho lasciato quello di windows con gli aggiornamenti
quindi mi consigli anche un anti spyware, alcuni antivirus(tipo nod) nn ce l'hanno incorporato?

Vi costa troppo indicare che S.O. utilizzate e, soprattutto:
1) la versione del Service Pack
2) se il S.O. è regolarmente licenziato?

sp2 mi apre che lo avevo scritto nell'altro topic, versione nn licenzizzata:stordita:
pero gli aggiornamenti li fa sempre:mc: :mc:

sp2 mi apre che lo avevo scritto nell'altro topic, versione nn licenzizzata:stordita:
pero gli aggiornamenti li fa sempre:mc: :mc:

si si come no

sp2 mi apre che lo avevo scritto nell'altro topic, versione nn licenzizzata .... pero gli aggiornamenti li fa sempre
Beato mondo del web, pieno di creduloni ;)

Fai girare questi:

PREVX CSI: clicca qui per il download (http://info.prevx.com/download.asp?grab=prevxcsi)
● una volta installato, esegui una scansione
● al termine della scansione, clicca su:
● Options
● Save Log
● allega, il log salvato

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente, rimuove tutti gli eventuali rootkit che rileva)

SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● allega, il log che verrà rilasciato

scusate nn capisco...
ma invece degli aggiornamenti me scarica virus?:confused: :confused: :confused:
potete spiegarvi meglio?:)

scusate il doppio post ma dovevo allegare il file
http://www.megaupload.com/it/?d=F8E6VGAI
nessun malware

scusate il doppio post ma dovevo allegare il file
http://www.megaupload.com/it/?d=F8E6VGAI
nessun malware

hostalo in formato .txt su http://www.zshare.net/ indicando il link nel post precedente #32

quel link nn porta a nulla(o almeno nn capisco cosa devo fare :) )
ho provato ad hostare su nopaste, ma il caricamento si blocca(300kb di log)


edit:
.net :D
log1.log - 0.29MB (http://www.zshare.net/download/4812504022b208/)
http://www.zshare.net/download/4812504022b208/
questo sito è simile a megaupload, cosa ti costava prenderlo da li...
vabbe

cosa ti costava prenderlo da li...

nulla, invece a te cosa costava hostarlo qui http://www.zshare.net/


Il log di Prevx CSI è pulito, procedi con i passaggi successivi indicati da Riverside

nulla, invece a te cosa costava hostarlo qui http://www.zshare.net/


Il log di Prevx CSI è pulito, procedi con i passaggi successivi indicati da Riverside

mi costava che nn lo conoscevo:rolleyes: :D :)
cmq adesso vado di panda antirootkit e domani che ho piu tempo faccio il terzo
cmq nn mi avete risposto alla domanda...:O
xke è strano ke continui a installare aggiornamenti sul sp2?:fagiano:
grazie cmq;)

mi costava che nn lo conoscevo:rolleyes: :D :)
cmq adesso vado di panda antirootkit e domani che ho piu tempo faccio il terzo
cmq nn mi avete risposto alla domanda...:O
xke è strano ke continui a installare aggiornamenti sul sp2?:fagiano:
grazie cmq;)

Da Pannello di Controllo -> Installazione Applicazioni -> metti il segno di spunta (verde) nel campo Mostra aggiornamenti rolla fino in fondo e indicami qual'è l'ultimo aggiornamento installato

http://img141.imageshack.us/img141/3992/95439995rl1.th.jpg (http://img141.imageshack.us/my.php?image=95439995rl1.jpg)
ecco lo screen
la + recente è quella in basso, in alto(non si vedono) ce n'erano un altra decina risalenti a ieri(xp l'ho installato ieri)

L'aggiornamento KB914389 risale a Giugno 2006 ;)

oh cazzo:D :doh:
ma quindi devo andare di nuovo sul sito della microsoft(ieri me ne ha scaricati 2)?
:cry: :cry: :cry: :cry:



ps.
adesso dando un occhiata su google notavo che molti sn inutili(tipo x MWS 2003:sofico: )
ma di solito gli aggiornamenti servono x ottimizzare il firewall(quindi io ce l'ho scoperto ora)?:fagiano:

ma quindi devo andare di nuovo sul sito della microsoft(ieri me ne ha scaricati

prova

ps.
adesso dando un occhiata su google notavo che molti sn inutili(tipo x MWS 2003:sofico: )

infatti tu dovresti e sottolineo dovresti scaricare gli aggiornamenti critici

ma di solito gli aggiornamenti servono x ottimizzare il firewall(quindi io ce l'ho scoperto ora)?

ma chi te l'ha detta questa cosa, inoltre mi sembrava di aver capito che hai il firewall del Kaspersky

non è che stai facendo un pò di confusione

provo a chiarire:)
mi installa degli aggiornamenti, ma nn sono quelli critici
uso il windows firewall da ieri, prima della formattazione avevo kaspersky
tu quindi mi consigli di nn fidarmi del WF e mettere un programma apposito(cm x es kaspersky)?

mi installa degli aggiornamenti, ma nn sono quelli critici
uso il windows firewall da ieri

secondo te il perchè qual'è? Fatti un giro qui: http://www.microsoft.com/genuine/default.aspx?displaylang=it

prima della formattazione avevo kaspersky
tu quindi mi consigli di nn fidarmi del WF e mettere un programma apposito(cm x es kaspersky)

il Firewall nativo di XP è initule

ma di solito gli aggiornamenti servono x ottimizzare il firewall(quindi io ce l'ho scoperto ora)?:fagiano:

no. quelli critici servono a riparare vulnerabilità del sistema operativo,quelli facoltativi in genere sono migliorie o nuove versioni di funzioni del s.o.,ecc

ok
adesso x ritornare in tema:
cm antivirus ho nod aggiornato

firewall ho levato cm dicevi tu quello di xp e ho messo outpost 2008

spyware "avrei installato" Spybot S&D, ma se fosse possibile evitare di tenere acceso il TeaTimer(la ram finisce...:D ) visto che anche outpost offre un antispyware

niente da fare. ieri sera s'è riavviato per l'ennesima volta. nn so più cosa fare.


p.s. si riavvia solo quando c'ho il mulo aperto.

niente da fare. ieri sera s'è riavviato per l'ennesima volta. nn so più cosa fare.
p.s. si riavvia solo quando c'ho il mulo aperto.
Allega un log di Hthis, ovviamente evitando di avere Emule in funzione.
● il log lo hosti su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), poi pubblichi, nella discussione, il link che verrà rilasciato per il download.

dove trovo Hthis?

dove trovo Hthis?

HijackThis
Scarica HijackThis è un tool che non necessita di installazione, mettilo all'interno di una cartella dedicata che chiamerai per praticità HJT, eseguilo, clicca su Do a system scan and save a log file ed allega il log utilizzando la funzione Gestisci Allegati o hostalo su http://www.zshare.net/ indicando il link nel post
Download: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

ecco qui

hijackthis.log - 0.01MB (http://www.zshare.net/download/4827851205ebbd/)

ecco qui

hijackthis.log - 0.01MB (http://www.zshare.net/download/4827851205ebbd/)

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download: http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

Fixare:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: wmpvis32 - C:\WINDOWS\SYSTEM32\wmpvis32.dll

Gmer
Scarica Gmer decomprimilo per praticità sul desktop, esegui gmer.exe. Lancia una scansione alla ricerca di eventuali Rootkit, elimina e riporta nel prossimo post le eventuali righe in rosso.
Download: http://www.gmer.net/gmer.zip

Al termine di questa procedura allega nuovo log di HJT

Ciao

nn mi fa allegare il file.log fatto con gmer

Non te lo fa allegare perchè è troppo grosso di dimenzioni per la funzione gestisci allegati :D

quindi usa un sito come www.zshare.net e uppalo li. oppure usa il tuo spazio web se lo hai :D

con zshare nn va... prima me l'ha fatto allegare. ora nn so perchè, non va.

finalmente...

test.log - 0.60MB (http://www.zshare.net/download/48292946e865cc/)

adesso faccio di nuovo il test con hjt e posto il log

ecco il log di hjt: hijackthis.log - 0.01MB (http://www.zshare.net/download/4829335dcd47d6/)

O20 - Winlogon Notify: wmpvis32 - C:\WINDOWS\SYSTEM32\wmpvis32.dll

che è?

che è?

una cosa che non deve esserci in un pc pulito :p

quindi??? che faccio?

quindi??? che faccio?

la devi Fixare come avevi fatto nelle precedenti volte.. :)

fixare? FixLinkopt

visto che in precedenti post si può leggere che è stato consigliato chiaramente cosa dovessi fixare presumo tu ora ne conosca il significato.

Ad ogni modo su HiJackThis finita la scansione c'è un tastino in basso a sinistra con scritto "Fix", prima di premerlo devi selezionare le voci che vorrai siano fixate (= corrette al premere del tasto "Fix").

Spero ora ti sia tornata la memoria. :rolleyes:

l'avevo già fatto.

hijackthis.log - 0.01MB (http://www.zshare.net/download/4835260ac86d23/)

ti divertivi? no perchè la prossima volta posso divertirmi io :D

Mi sono persa... qual'è il tuo problema danidj?

adesso come va il .log?
va bene. ora non dovrei avere più problemi?

stasera testo di nuovo col mulo.

Francamente inizio a stancarmi di queste cose: ci sono almeno 200 post dai quali desumere come risolvere questo problema.
La colpa è nostra che abbiamo abituato, tutti, ad avere la pappa pronta.
O chi è infetto si mette in testa che non stiamo qui a cazzeggiare e ci da una mano, oppure, per quanto mi riguarda, può restare infetto.
Adesso mi sono rotto, davvero, le scatole.

mi è appena uscito l'errore... santo shutdown -a

che faccio?:cry: :cry: :cry:

questa è la conferma che le ho provate tutte, l'ultima procedura è questa nella quale ho avuto il vostro supporto anche se con esito negativo. nn so più che fare!

Francamente inizio a stancarmi di queste cose: ci sono almeno 200 post dai quali desumere come risolvere questo problema.
La colpa è nostra che abbiamo abituato, tutti, ad avere la pappa pronta.
O chi è infetto si mette in testa che non stiamo qui a cazzeggiare e ci da una mano, oppure, per quanto mi riguarda, può restare infetto.
Adesso mi sono rotto, davvero, le scatole.

Credo di essere stato chiaro.

questa è la conferma che le ho provate tutte, l'ultima procedura è questa nella quale ho avuto il vostro supporto anche se con esito negativo. nn so più che fare!

Sei sicuro di aver fixato le voci che ti ho indicato, ti domando questo perchè le voci erano 2, 1 è magicamente scomparsa l'altra no. :mbe:

io solo questo ho tolto...

O20 - Winlogon Notify: wmpvis32 - C:\WINDOWS\SYSTEM32\wmpvis32.dll

qual'era l'altra voce da fixare?

qual'era l'altra voce da fixare?

Esegui HijackThis -> clicca su Open the Misc Tool section -> clicca su Backups e dimmi cosa c'è li dentro

http://img69.imageshack.us/img69/1981/gdgth0.th.jpg (http://img69.imageshack.us/my.php?image=gdgth0.jpg)

Ciao ragazzi, ho urgente bisogno di un vostro consiglio.

Il pc di mio padre presenta tutti i sintomi del worm Sasser/Blaster.. in pratica si riavvia in continuazione, e alla schermata iniziale compare quel famoso messaggio "Nt autority sta riavviando... ecc ecc" e mi dice che "lsass.exe" è stato terminato...

Il problema è che se vado in modalità provvisoria e provo a fare una scansione completa con kaspersky si blocca il pc, ho provato due tool della symantec (sia FxSasser sia FxBlaster) ma mi dice di non aver trovato alcunchè. Ho provato anche a seguire qualche consiglio trovato sul sito Microsoft, ma nulla.
Ovviamente il pc di mio padre ha windows xp sp2 e da tutte le parti ho letto che questi worm si prendono quando non si hanno i sp installati (quindi in teoria doveva stare tranquillo).

Ora non so più che fare... per favore, aiutatemi :stordita:

Si... il problema è che quel messaggio (Nt authority..) non mi compare ad ogni riavvio (quindi il comando shutdown -a è a volte superfluo perché non si riavvia) ma mentre faccio la scansione si blocca all'improvviso il computer...

Quindi non riesco MAI a completare la scansione con kaspersky (di cui ho la versione 6 aggiornata) nè in modalità normale nè in modalità provvisoria perché dopo un tot di tempo si blocca...
Per questo l'ideale sarebbero questi veloci e specifici tool di rimozione ma non ho ancora trovato quello adatto alla variante del worm (non è neanche rustoc)...

Ora provo con avira antivir rescue team...

Niente... neanche avira rescue team ha risolto il problema:cry:

Proviamo un controllo veloce con prevx...
Scaricalo da qui (http://www.prevx.com/freescan.asp), è necessaria la connessione ad internet durante la scansione.
A fine scansione, se ha trovato qualcosa,alla schermata con l'esito, allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com
Se non trova nulla, comunicacelo e basta.
Per rimuovere prevx, punto 14 della guida che ho nella firma.

ragazzi come potete vedere in questo mio post con tanto di immagine allegata: http://www.hwupgrade.it/forum/showthread.php?t=1860569

anche io ho questo problema ma purtroppo non l'anti rootkit non mi ha trovato proprio nulla ed uso anche kaspersky come antivirus che è costantemente aggiornato perciò dopo aver visionato l'immagine per favore ditemi cosa ne pensate. :(

ragazzi come potete vedere in questo mio post con tanto di immagine allegata: http://www.hwupgrade.it/forum/showthread.php?t=1860569

anche io ho questo problema ma purtroppo non l'anti rootkit non mi ha trovato proprio nulla ed uso anche kaspersky come antivirus che è costantemente aggiornato perciò dopo aver visionato l'immagine per favore ditemi cosa ne pensate. :(

ciao

dopo aver disattivato il ripristino
fai una scansione completa con Cureit (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5) oppure F-Secure online (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6)
e carica il log secondo le modalità in firma

provvedo! posterò il log quanto prima :rolleyes:

cavolo come uno scemo ho cancellato l'unico virus ke dr.web ha trovato e per giunta nel file filtrato non mi ha scritto nemmeno il nome... se mi si ripresenta il problema rifaccio la scansione! :(

cavolo come uno scemo ho cancellato l'unico virus ke dr.web ha trovato e per giunta nel file filtrato non mi ha scritto nemmeno il nome... se mi si ripresenta il problema rifaccio la scansione! :(

il log originale ce l'hai ancora?

salve a tutti.

mi sono appena incollato un pc che presenta il fantomatico conto alla rovescia all'avvio.

c'è però una cosa strana: se provo ad entrare in modalità provvisoria mi da schermata blu, con questo errore

*** stop: 0x0000007b (0xf7905528,0xc0000034,0x00000000,0x00000000)

ho provato a fare il ripristino dell'ultima configurazione funzionante ma nada...


vorrei sapere se è effettivamente questo worm/rootkit, dato che nulla è stato detto riguardo un blocco della modalità provvisoria

salve a tutti.

mi sono appena incollato un pc che presenta il fantomatico conto alla rovescia all'avvio.

c'è però una cosa strana: se provo ad entrare in modalità provvisoria mi da schermata blu, con questo errore

*** stop: 0x0000007b (0xf7905528,0xc0000034,0x00000000,0x00000000)

ho provato a fare il ripristino dell'ultima configurazione funzionante ma nada...


vorrei sapere se è effettivamente questo worm/rootkit, dato che nulla è stato detto riguardo un blocco della modalità provvisoria

Una situazione del genere l'ho vista ancora anche se può non sembrare strettamente riconducibile al virus

Una situazione del genere l'ho vista ancora anche se può non sembrare strettamente riconducibile al virus

.... quindi? scusami, sarà l'orario ma non sono riuscito a capire dalla tua risposta se intendi dire "sì è il virus", "no non è il virus" (o rootkit o worm o quello che è).

non vorrei inoltre aver sbagliato a provare a ripristinare una vecchia configurazione...

.... quindi? scusami, sarà l'orario ma non sono riuscito a capire dalla tua risposta se intendi dire "sì è il virus", "no non è il virus" (o rootkit o worm o quello che è).

non vorrei inoltre aver sbagliato a provare a ripristinare una vecchia configurazione...

Non ne sono sicuro che sia riconducibile al Virus, ma ho visto un utente con la medesima problematica.

hai per caso un riferimento?

il fatto che in modalità provvisoria mi dia quella schermata blu è una cosa stranissima...

per la mod. provvisoria
http://www.hwupgrade.it/forum/showpost.php?p=24476299&postcount=5515

il problema dello spegnimento l'hai risolto?

purtroppo ora non sono a casa, oggi pomeriggio provo come prima cosa a dare il comando shutdown -a per far terminare il conto alla rovescia...

aggiornamento.

ho messo mano al pc, l'ho disconnesso dalla rete e presenta comunque il problema.

una volta avviato con il comando lo shutdown si interrompe... se resetto naturalmente è sempre lì bello pimpante.
Ora ho aggiornato manualmente l'antivirus (avg free, nella speranza che non faccia altri scherzetti del cavolo) e sto facendo un deep scan del sistema... il ripristino di configurazione di sistema è già disattivato.

ma devo ancora riprovare ad accedere in modalità provvisoria, non ho ancora verificato se ci sia ancora quell'errore.

appena finito lo scan passo anche il tool segnalato nella prima pagina.


EDIT: ha trovato due trojan (tra un pò posto il log, devo passare la chiavetta su un mac per evitare che pure il mio pc vada puxxane), cancellati, passato il tool che però dice che il suddetto rootkit non c'è, riavviato e... niente countdown :)

ora sto ripassando avg, poi provo a verificare la modalità provvisoria... nel caso quest'ultima non funzionasse credo che sia perchè qualche file è andato al macello. come si può ripristinare la cosa?

EDIT 2 rifatta la seconda scansione è spuntato un altro trojan. l'ho eliminato, e con la terza scansione non ho avuto problemi.
ora rimane "solo" il problema della modalità provvisoria: come identifico i file danneggiati? e come posso ripristinarli?

Alcuni potrebber trovare ad ogni accensione del pc,una simpatica finestrella che li avverte dello spegnimento del pc in un minuto perchè un servizio di sistema è terminato improvvisamente.

Cosa fare?
1) Bloccare il countdown.

Andate su start-> Esegui ->cmd ->scrivete:



e premete invio.

Il countdown si interromperà.

2) Disattivazione ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

3) Eliminare il malware che causa il problema.
Le tre cause più famose per cui appare questo messaggio sono:
-Worm sasser (assai improbabile)
-Worm blaster (improbabile)
-Rootkit Rustock (probabilissimo)

Per rimuovere i worm sasser e blaster basta aggiornare il sistema operativo e fare una scansione completa con kaspersky Antivirus(DOWNLOAD (http://www.kasperskystore.it/eval.html) - nella pagina di kaspersky clicca su prova adesso)

Per rimuovere il rustock, scaricare ed eseguire questo programma (DOWNLOAD (http://www.uploads.ejvindh.net/rustbfix.exe))

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635

ho letto questa utilissima guida, ma purtroppo la mia situazione è un pò differente.

In modalità normale di xp non posso accedere alla barra start (non c'è !!)
e non posso andare di alt+ctrl+canc dato che escono una serie di errori su
svchost.exe explorer.exe ecc...

in modalità provvisoria idem, in pratica sono impossibilitato a fermare il countdown e ad accedere alla macchina con xp.

C'è qualche soluzione da adottare usando tipo bartpe o qualche software di boot ??

grazie mille

ho letto questa utilissima guida, ma purtroppo la mia situazione è un pò differente.

In modalità normale di xp non posso accedere alla barra start (non c'è !!)
e non posso andare di alt+ctrl+canc dato che escono una serie di errori su
svchost.exe explorer.exe ecc...

in modalità provvisoria idem, in pratica sono impossibilitato a fermare il countdown e ad accedere alla macchina con xp.

C'è qualche soluzione da adottare usando tipo bartpe o qualche software di boot ??

grazie mille

Ciao, segui questa Guida per creare e disinfettare il PC con Avira Rescue

http://www.hwupgrade.it/forum/showthread.php?t=1689812

risolto con il cd boot di kaspersky, con quello di avira ho avuto problemi in quanto non faceva partire la scansione...
cmq c'erano un casino di virus :S

ciao e grazie !

risolto con il cd boot di kaspersky, con quello di avira ho avuto problemi in quanto non faceva partire la scansione...
cmq c'erano un casino di virus :S

ciao e grazie !

Ottimo :)

sono incappato in un problema come questo su un pc con xp sp3, ho usato i rescue di avira e di kaspersky ed entrambi non hanno trovato niente tranne una cartella in "temp" che si chiama "rarsfx2" e entrambi i software l'hanno segnalata perché contiene alcuni file zip criptati, ma per il resto non hanno trovato minacce. Non ho trovato grandi informazione su questo rarsfx2 cercando in rete, ne sapete qualcosa di più?

Ah, tra l'altro anche in modalità provvisoria SENZA rete una volta mi è uscito il messaggio con il countdown che ho dovuto bloccare con shutdown -a, non è strano?

visto che ne avira ne kaspersky rilevano virus, la causa potrebbe essere di altro tipo per questo problema?

up... continuo ad avere questo problema. In più il pc in questione ha una lunghissima procedura di login, firefox non parte, IE nemmeno, la rete non funziona nemmeno la lan, ogni operazione in windows è lentissima.

Fare la procedura solita della guida è un po' un problema perché alcuni processi sono lunghini e io dovrei stare davanti al pc perché il messaggio di riavvio esce ogni 10-20 minuti e devo essere pronto a interromperlo con shutdown -a...


ho seguito il passo 3 di questo thread ma non è servito:

3) Eliminare il malware che causa il problema.
Le tre cause più famose per cui appare questo messaggio sono:
-Worm sasser (assai improbabile)
-Worm blaster (improbabile)
-Rootkit Rustock (probabilissimo)

Per rimuovere i worm sasser e blaster basta aggiornare il sistema operativo e fare una scansione completa con kaspersky Antivirus(DOWNLOAD - nella pagina di kaspersky clicca su prova adesso)

Per rimuovere il rustock, scaricare ed eseguire questo programma (DOWNLOAD)

Fai una scansione con HitmanPro 3.6

http://www.surfright.nl/en

non prevede installazione e la prima rimozione di eventuali infezioni è gratuita.


NB: allega il log

Intanto grazie dell'interessamento :)

ho provato hitman, purtroppo sia in modalità classica che provvisoria il programma si comporta come firefox e ie, ovvero appena avviato crasha immediatamente senza alcun tipo di messaggio. Deduco che sia un crash e non una chiusura del programma perché se provo ad avviare firefox mi dice che l'ultima sessione è crashata.

Non lo fa con tutti i programmi pare, perché ad esempio il rustbfix era girato tranquillamente.

Ho provato ad avviare hitman usando una distro live di ubuntu con wine, ma appena iniziato lo scan da un errore e chiude hitman...

Intanto grazie dell'interessamento :)

ho provato hitman, purtroppo sia in modalità classica che provvisoria il programma si comporta come firefox e ie, ovvero appena avviato crasha immediatamente senza alcun tipo di messaggio. Deduco che sia un crash e non una chiusura del programma perché se provo ad avviare firefox mi dice che l'ultima sessione è crashata.

Non lo fa con tutti i programmi pare, perché ad esempio il rustbfix era girato tranquillamente.

Ho provato ad avviare hitman usando una distro live di ubuntu con wine, ma appena iniziato lo scan da un errore e chiude hitman...

Vedi

http://www.hwupgrade.it/forum/showthread.php?t=1878747

Vedi

http://www.hwupgrade.it/forum/showthread.php?t=1878747

quando qualche post fa ho scritto che nè avira nè kaspersky individuavano virus, intendevo i rispettivi rescue disk

quando qualche post fa ho scritto che nè avira nè kaspersky individuavano virus, intendevo i rispettivi rescue disk

Pertanto il problema non sembra di natura virale, vedi http://support.microsoft.com/kb/837115/en-us

Ho un problema di riavviamento automatico del computer.
Avevo Windows VISTA. Ho lanciato combofix e malwarebytes. Ho eliminato tutti i file infetti ma il problema si ripresentava.
Ho deciso di tagliare la testa al toro e ho installato Windows 7 ma il problema si ripresenta ancora. Il computer si riavvia dopo 1 secondo, 1 minuto ma anche dopo 1 ora....

Help me, please!!!!!
:muro: :muro: :muro: :muro: :muro: :muro: :muro: :muro:

è corretto chiudere il mio 3d: http://www.hwupgrade.it/forum/showthread.php?t=2605877 perchè duplicato del presente, ma segnalo che questo non l'avevo trovato causa errore grammaticale nell'oggetto; 'AUTHORITY' si scrive con "H"

ritengo utile correzione dell'oggetto del presente 3d per facilitare ricerca di eventuali nuovi futuri interessati

S.O. = Windows XP SP3 (WinNT 5.01.2600)
Non è aggiornato con ultimissime patch

Problema presentatosi dopo due aggiornamenti:
1) Flash Player; seguito istruzioni a video della finestra che compare di tanto in tanto (quando ci sono nuove versioni) all’avvio del pc
2) aggiornamento Avast antivirus free, da 2012 a 2013; credo che questo sia la causa del problema, peraltro ho lanciato aggiornamento da una finestra (in italiano), comparsa sul desktop che suggeriva upgrade antivirus al 2013 (quindi non sono andato a prelevarmi file .exe direttamente dal website di Avast)

In breve il problema è che subito all’accensione compare una finestra con un conto alla rovescia di 60 sec che dice che il pc sta per essere avviato, il msg specifico è il seguente:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM. Tempo rimasto prima dell'arresto: Messaggio 00:00:XX: È necessario riavviare Windows perché il servizio Remote Procedure Call (RPC) è terminato in modo imprevisto.

Preciso che barra strumenti di Windows è scomparsa, si vede esclusivamente una linea grigia.
Il pc non si collega più ad internet (sono scomparse anche impostazioni di rete).
Per eseguire azioni devo fare tutto da linea comando, impiegato comando ‘cmd’ da Esegui, al quale accedo esclusivamente per mezzo della combinazione tasti Win+R.
Riesco a tenere accesso il pc esclusivamente perché ogni volta che compare finestra/msg di cui sopra (a raffica, in particolar modo se lancio browser IE), nell’editor comandi scrivo ‘shutdown –a’ che arresta processo di riavvio pc.
Non è possibile disinstallare programmi.
Funzione copia/incolla non è abilitata, e non è possibile nemmeno trascinare file per copiarli. Bypasso il problema usando sempre editor comandi ed usando ‘copy’, impiegando a supporto un pendrive che sposto da questo a pc all’altro funzionante che si connette ad internet, ed è aggiornato con ultime patch di Win XP.
Per questo purtroppo se copio eseguibile di programmi antimalware non potrò però aggiornarli prima di lanciare scansione sul pc infetto.
Anche con doppio click da Programmi su eseguibile browser IE, non parte.
Il ripristino configurazione di sistema era già disattivato prima che sorgesse il problema, ed è tutto disattivato.

Ho trovato questo link, che riconduce il problema al virus Blaster Worm:
http://h10025.www1.hp.com/ewfrf/wc/document?cc=it&lc=it&dlc=it&docname=c00035831

Provato a scaricare manualmente ed installre patch WIdnows MS03-039, ma mi dice che non è possibile installare perché è antecedente a Service Pack già presente ed installato su pc.

Ho provato a rimuovere virus/malware con utility di Symantec (W32.Blaster.Worm Removal Tool):
http://www.symantec.com/security_response/writeup.jsp?docid=2003-081119-5051-99
… ma tale utility non ha trovato nulla.

Ho ripulito file temp con MRUBlaster (che era già installato sul pc), e quindi eseguito uno scan con HiJackThis (anch’esso già presente sul pc infetto), di cui allego log.

Segnalo che nello stato attuale posso solo scaricare dei sw che mi verranno eventualmente segnalati, e con un pendrive copiarli sul pc infetto ed installarli (spero almeno questo sia possibile farlo). Non potò però aggiornarli prima dell’eventuale scansione perché non riesco a collegarmi ad internet da tale pc.

in altro 3d, ora chiuso, l'utente [Claudio] (che ringrazio!) mi aveva passato seguenti suggerimenti:

Soluzione n° 1: HITMANPRO (http://www.hwupgrade.it/forum/showthread.php?t=2539794) eseguito in modalità KICKSTART;

Soluzione n° 2: scarica KASPERSKY RESCUE DISK 10 (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso).
1) masterizza la ISO scaricata;
2) accedi al BIOS e modifica la SEQUENZA DI BOOT in maniera che, all’avvio, il computer parta da lettore CD;
3) inserisci nel lettore il CD appena creato e riavvia di computer;
4) segui le istruzioni che verranno rilasciate per l’esecuzione di KASPERSKY RESCUE DISK 10.

Prima ancora di seguire i suggerimenti di [Claudio], ho provato a seguire le indicazioni riportate nel primo post di questo 3d, in particolare quelle per rimuovere il Rootkit Rustock.
Ho quindi scaricato il programma (http://www.uploads.ejvindh.net/rustbfix.exe) da un pc funzionante, l’ho poi copiato in quella infettato e l’ho lanciato; dopo circa 1 secondo è apparso un logo in cui di diceva che non era stato trovato il Rustock.

Sono quindi passato alla Soluzione n.1: HITMANPRO eseguito in modalità KICKSTART.
In fase di boot del pc ho selezionato come suggerito dalla guida prima l’opzione 1, ed altre volte l’opzione 3, ma senza successo.
Ovvero all’avvio di Windows non partiva alcuna scansione. Ho provato allora a lanciare “manualmente” gli eseguibili di HP presenti sul supporto USB esterno (sono 3, ma uno l’ho scartato perché destinato a versione 64bit). Entrambe di avviavano ma con entrambe la scansione NON partiva (ovvero il conteggio rimaneva sempre su 0sec. e la barra di avanzamento era assente. Nel contempo però dopo pochi istanti riappariva la solita odiosa finestra NT AUTHORITY che riavviava il pc.

Sono passato allora alla Soluzione n.2, ovvero KASPERSKY RESCUE DISK 10, creando un CD dall’immagine iso.
La definizione dei virus risultava al 31/10/2013, pertanto non c’è stato bisogno di aggiornarli (ps. non avrei comunque potuto perché come scritto precedentemente non ho più alcun collegato attivo alla rete esterna).
Purtroppo dopo ore di scansione di tutti i drive, Kaspersky non ha rilevato alcun virus.

Sono quindi giunto purtroppo ad un PUNTO MORTO, senza idee e molto inc******!
Mi viene male a pensare di dover formattare HD e reinstallare tutto
Altri suggerimenti?