bene il gentile wjmat mi ha detto che il mio problema non è bagle....allora cos'è????
ri-allego i log delle scansioni

http://freefilehosting.net/download/46d11
http://freefilehosting.net/download/46d12
http://freefilehosting.net/download/46d14
http://freefilehosting.net/download/46d15

http://www.hwupgrade.it/forum/showpost.php?p=26907805&postcount=251
ti avevo scritto di farti riaprire un 3d non di aprirne un terzo...

visto che ci sono tracce di varie infezioni, collega prima tutte le chiavette usb che hai tenendo premuto il tasto shif e poi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)


Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria (http://www.hwupgrade.it/forum/showpost.php?p=25116981&postcount=41), se non bastasse effettua prima una scansione con il rescue cd di Kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) o di Avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812) per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22) e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=25062288&postcount=38)

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
link caricamento log generici ► fileqube.com ■ (http://fileqube.com/) wikisend.com (http://wikisend.com/) ■ mediafire.com (http://www.mediafire.com/index.php)
link caricamento immagini ► fileqube.com ■ picoodle.com (http://fileqube.com/) ■ imageshack.us (http://imageshack.us/)

magari riuscissi a portare a termine una scansione di mbam!!!!
rallenta moltissimo quando arriva ad una cartella con nomi come questo "óm¤┴Ð.£-", e sembra controllare sempre gli stessi file....
poichè sono delle cartelle che non mi interessano, ho provato ad eliminarle (anche con unlocker)....ma nulla!!
tra l'altro avast è bloccato, con un cerchietto rosso sopra, se ci clicco sopra, mi dice "il sottosistema AAVM ha trovato un errore RPC". ho cercato di riparare il programma, ho fatto gli aggiornamenti windows, tutto!ora l'ho disinstallato e provo a reinstallarlo!!!
per il resto cosa mi consigliate di fare??
nel frattempo riprovo con mbam!

avast lascialo perdere, installerai antivir a fine guida, se mbam ha problemi passa alla scansione con asquared come indicato in guida

invio tutti i logs....grazie mille...ora vado a dormire!!notte a domani

Malwarebytes Anti-Malware: link al log: non sono riuscita a fare la scansione

A-Squared Free v3.x: link al log: http://wikisend.com/download/530592/a2scan_090331-150410.txt

F-Secure OnLine: link al log:http://wikisend.com/download/596328/F-Secure Online Scanner 3_3_1 - Scanning Report - Tuesday, March 31, 2009 192606.txt

Dr.Web CureIT: link al log: http://wikisend.com/download/441430/cureit filtrato.txt

ESET SysInspector: link al log (in formato .xml): http://wikisend.com/download/441398/SysInspector-POS1-090331-2305.xml

HiJackThis: link al log: http://wikisend.com/download/442406/hijackthis.log

Gmer: link al log: http://wikisend.com/download/524458/gmerlog.log

PrevxCSI:link al log: [/U][/B][/U][/B] http://wikisend.com/download/959874/csi.log

screen di PrevxCSI:

non possiamo capire che hai fatto con le infezioni trovate da asquared, se le hai eliminate ok, altrimenti nuova scansione completa e quarantena tutto + nuovo log


Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)


O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab




Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall se interferiscono
Apri il Blocco Note e incolla tutto il codice qui sotto


Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07ac1e88-2669-11dd-af5b-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b7b73d0-6604-11dc-aec3-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1cc6516c-de25-11dc-aeff-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62801fe8-93a8-11dc-aeed-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7365220a-858c-11dd-afc4-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{739f4278-201f-11dd-af47-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ed55320-914a-11dd-afdd-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b296532-cc12-11dc-aef1-0014c132ea96}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f308786-8bad-11dd-afcf-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9813de-2bd0-11dd-af66-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa919d50-9116-11dc-aeeb-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5e5d72a-2f8b-11dc-aeb4-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d60b8930-315e-11dd-af70-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6fdfc0c-d564-11dc-aefa-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d6fdfc0f-d564-11dc-aefa-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e67af871-ffe3-11dc-af13-000ea60bbaa3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebcb523b-2cb5-11dd-af68-000ea60bbaa3}]

driver::
iwsaemks
snne

file::
c:\windows\system32\drivers\iwsaemks.sys



Salva il file sul Desktop come CFScript.txt
Trascina il file di testo appena creato (CFScript.txt) sull'icona di ComboFix che riconoscerà il comando di cancellazione
al termine il PC si dovrebbe riavviare (eventualmente fallo tu manualmente) → al riavvio allega il log che trovi in C:\ComboFix.txt

allego il log di hijackthis, combofix sembra non partire.....quando trascino il file di testo sembra caricare, ma non succede nulla! ho riavviato il pc, ma al riavvio non ho traovato il file .txt nella sua cartella, ho fatto anche una ricerca, ma niente...mi sa che non ha fatto la scansione!
volevo porre anche un altro problema: da quando ho fatto tutte le scansioni all'avvio esce un messaggio di errore:" impossibile trovare il file winlogon.exe....." cosa posso fare per questo?
grazie mille

reinstalla combofix ed esci senza farlo scansionare poi ripeti la procedura che ti ho scritto sopra

in C:\WINDOWS\system32 dovrebbe esserci winlogon.exe altrimenti win non penso riesca a partire, prova a controllare

ho aggiunto alcune cose allo script, usa quello nuovo

invio il log di combofix!
tra l'altro a fine scansione windows ha mostrato dei messaggi di alcuni file danneggiati e quindi non leggibilli!
http://wikisend.com/download/932660/ComboFix.txt

trovato winlogon.exe?

installa e configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684)

poi facci il punto della situazione

si trovato winlogon.exe!
mi sa che c'era un virus e quindi l'ho eliminato senza volerlo!ora installo antivir!
grazie mille! ti faccio sapere tra un pò!

ok allora: antivir non riesce a finire la scansione!!!!
si blocca sui file temporanei di internet!
ma io li avevo eliminati con ATF-Cleaner!!!sono andata a controllare in internet explorer->strumenti>opzioni>cronologia>visualizza file!e ci sono ancora!!!!
tra l'altro ho una cartella con un nome impossibile con dei file dai nomi impossibili tipo (ho copiato e incollato) &íçúDOß.╚p! era su questi file che mbam si bloccava a sua volta!!! che faccio???

fai pulizia anche con CCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033029&postcount=3) con tutti i browser chiusi

no ho risolto!
avevo bisogno di fare un controllo del disco al riavvio (come da tua guida...thanks).
avira è riuscito a fare la scansione....ti allego il log

http://wikisend.com/download/507980/AVSCAN-20090401-145125-1805B939.LOG

il ripristino configurazione di sistema disattivalo e facci il punto della situazione

allora:

ho installato antivir e fatto la scansione.
i problemi che avevo con quelle cartelle e quei files dai nomi impossibili li ho risolti con un controllo del disco.
winlogon l'ho rimesso al suo posto( era in :sistem32 e non in :Windows)
sembra tutto ok....ho fatto anche il trattamento post disinfezione!
il ripristino configurazione di sistema l'ho disattivato.
è guarito il mio pc-cino??

scusa: per winlogon : il messaggio di errore diceva di non trovarlo in windows, mentre era presente in system32...ho copiato e incollato....è un errore?

allora:
scusa: per winlogon : il messaggio di errore diceva di non trovarlo in windows, mentre era presente in system32...ho copiato e incollato....è un errore?

ringrazia che l'hai copiato altrimenti il pc non partiva più...
la cartella giusta è proprio windows\system32

prova a cancellare la copia che hai fatto in windows e riavviare per verificare la presenza dell'errore

ho fatto come mi hai detto, al riavvio mi è apparsa di nuovo questo messaggio:

http://wikisend.com/download/574768/Immagine.bmp

carica il log degli startup di HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)

la scansione con asquared l'hai rifatta poi, visto che sembrava non avevssi eliminato nulla?

scusa non ho capito che devo fare....:muro:
potresti spiegarmelo....come se fossi un bimbo??
grazie mille!;)

allego la lista dei file in quarantena di asquared
http://wikisend.com/download/870980/quarantine.txt

Per il log degli startup

* Lancialo
* clicca su Open the Misc Tool section
* clicca Generate Startup List log spuntando entrambi i campi a destra
* clicca su Ok sulla successiva finestra

La cosa bizzarra è che winlogon.exe è sempre stato dove doveva essere, attendiamo il log forse e di forse ce la caviamo con un Fix

scusate...ho avuto degli imprevisti!!!
vi invio gli startup di hijackthis!
nel frattempo sto facendo di nuovo la scansione con a-squared, alla fine elimino o metto in quarantena?

questo con il link è il log giusto....(non l'allegato)
http://wikisend.com/download/435466/startuplist.txt
allego pure il log di a-squared.
ho riavviato e l'avviso di windows è riapparso!
http://wikisend.com/download/584562/a2scan_090402-092633.txt

dal log non vedo nulla di particolare...

allora non so.....
intanto il messaggio di windows compare ad ogni riavvio....
chissà!!!
comunque non sembra dare particolari problemi....alemno per ora!!!
volevo comunque ringraziarti!!!
mi hai salvato la vita.....e anche la tesi:) !!!
grazie mille

comincia a leggere il trattamento in firma
fai anche una pulizia di file inutili e registro con cclenaer e poi fai anche pulizia del registro con il tool della comodo, poi facci sapere

Allega un altro (l'ultimo) log di HijakcThis

il trattamento l'ho già visto e ho già cominciato ad utilizzare i vostri suggerimenti!
ho fatto una pulizia con Ccleaner e con Comodo.
allego il log di HiJackthis

http://wikisend.com/download/605846/hijackthis.log

il trattamento l'ho già visto e ho già cominciato ad utilizzare i vostri suggerimenti!
ho fatto una pulizia con Ccleaner e con Comodo.
allego il log di HiJackthis

http://wikisend.com/download/605846/hijackthis.log

Speravo che ce la saremmo cavata con un Fix invece no, potresti allegare uno Screenshot dell'errore su http://imageshack.us/

ecco lo screen!
http://img441.imageshack.us/img441/8302/nuovaimmagine.png

Nuovo log di SysInspector, thx.

log di SysInspector:
http://wikisend.com/download/504184/SysInspector-POS1-090404-1008.xml

log di SysInspector:
http://wikisend.com/download/504184/SysInspector-POS1-090404-1008.xml

Ho individuato il problema, aggiorma MBAM e fai scansione completa dovrebbe risolvere il problema :)

il log di Mbam
http://wikisend.com/download/611106/mbam-log-2009-04-04 (12-41-18).txt

il log di Mbam
http://wikisend.com/download/611106/mbam-log-2009-04-04 (12-41-18).txt

Ciao la cosa strana è la seguente la "Shell" maledetta non è presente nel log di HJT e nell'eventualità MBAM risolve il problema quindi per ulteriore scrupolo da:

Start - Esegui - digita Regedit

naviga fino alla seguente Chiave di registro:

HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon

clicca sulla cartellina gialla winlogon, controlla nel pannelo di dx se il valore "Shell" è il seguente:

"Shell"="Explorer.exe c:\windows\winlogon.exe"

scusa Chill ma dovrebbe essere in hkey_local_machine non in hkey_current_user

scusa Chill ma dovrebbe essere in hkey_local_machine non in hkey_current_user

Si dovrebbe

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe c:\windows\winlogon.exe"


;)

chillout puoi aiutarmi anche me che non so che pesci pigliare?

io ve li posterei i log, se mi permettesse di eseguire le utility.

ecco cosa esce digitando regedit.....etc

http://img18.imageshack.us/img18/8396/85601236.png

ecco cosa esce digitando regedit.....etc

http://img18.imageshack.us/img18/8396/85601236.png

Devi guardare qui

HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon

e non in

HKEY_LOCAL_MACHINE

eppure stamattina al riavvio, e uscito di nuovo....
e se provassi a COPIARE e incollare da system32 in windows?...è un'eresia?

eppure stamattina al riavvio, e uscito di nuovo....
e se provassi a COPIARE e incollare da system32 in windows?...è un'eresia?

Ti sei sbagliato ho editato il Post precedente #40 :)

Ti sei sbagliato ho editato il Post precedente #40 :)

ok allora invio la giusta immagine:
http://img18.imageshack.us/img18/7210/33449468.png

ok allora invio la giusta immagine:
http://img18.imageshack.us/img18/7210/33449468.png

OK, doppio click su Shell si aprirà una finestra denominata Modifica stringa nel box bianco Dati valore deve rimanere solo Explorer.exe terminata la modifica clicca su Ok, riavvia il PC e fammi sapere :)

OK, doppio click su Shell si aprirà una finestra denominata Modifica stringa nel box bianco Dati valore deve rimanere solo Explorer.exe terminata la modifica clicca su Ok, riavvia il PC e fammi sapere :)

ho fatto come mi hai detto...ho riavviato...e....MAGIA!!!!il messaggio non è riapparso!!!
il problema sembra risolto!!!
grazieeeeeeeeeeeeeeeeee

ho fatto come mi hai detto...ho riavviato...e....MAGIA!!!!il messaggio non è riapparso!!!
il problema sembra risolto!!!
grazieeeeeeeeeeeeeeeeee

Perfetto :)

Per il resto leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1726383

chill sei un grande.

chill sei un grande.

;)