salve a tutti
ho un problema. Appena si avvia windows xp e dopo aver caricato il desktop mi compare questa finestra con scritto:
"impossibile trovare il file c:\ documents, verificare che il percorso e il nome del file siano corretti e ritentate. per cercare un file fare clic sul pulsante start quindi scegliere trova.
Seleziono Ok e subito mi compare questo messaggio " impossibile caricare o eseguire il ile C: Documentes, specificato nel registro di sistema".

chiuso questo appare lo stesso messaggio scritto per primo ma stavvolta il file che manca è "AND" e poi ancora un altro "Settings\utente\locals..."

Chiudo anche questo e allora appare per 9 volte di seguito questo messaggio di avira.
vi allego l'immagine così è tutto più chiaro?
potete darmi una mano?

grazie

Ciao

segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già ripulito al 90%, le prima 4 scansioni dureranno minimo un'oretta ciascuna, le altre scansioni sono veloci e servono a noi per avere le informazioni necessarie per i restanti interventi.


Se il sistema dovesse essere molto compromesso, e non dovessi riuscire a seguire la guida, prova ad effettuare le prime 4 scansioni da modalità provvisoria (http://www.hwupgrade.it/forum/showpost.php?p=25116981&postcount=41), se non bastasse effettua prima una scansione con il rescue cd di Kaspersky (http://www.hwupgrade.it/forum/showthread.php?t=1878747) o di Avira (http://www.hwupgrade.it/forum/showthread.php?t=1689812) per fare una pulizia preliminare.
In caso di continui riavvi, schermate blu, ecc.. stacca eventuali hardware nuovi, magari incompatibili e per escludere problemi con quelli già in uso fai un controllo del disco (http://www.hwupgrade.it/forum/showpost.php?p=24113158&postcount=22) e della RAM (http://www.hwupgrade.it/forum/showpost.php?p=25062288&postcount=38)

Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, nel bigino in firma guarda alla voce Portabilità di ogni programma, in modo da scaricare tutto il necessario da un pc pulito e portare tutto l'occorrente aggiornato sul pc infetto

Se pensi che l'infezione possa essere partita da chiavette usb, o di avere hard disk esterni infetti, collegali prima del punto1 in modo che vengano ripuliti durante la disinfezione

Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...
link caricamento log generici ► fileqube.com ■ (http://fileqube.com/) wikisend.com (http://wikisend.com/) ■ freefilehosting.net (http://freefilehosting.net/)
link caricamento immagini ► fileqube.com ■ picoodle.com (http://fileqube.com/) ■ imageshack.us (http://imageshack.us/) ■ freefilehosting.net (http://freefilehosting.net/)

un file che si chiama logman.exe non lo lascierei indisturbato nel pc, a maggior ragione se lo conferma pure avira ;)
il nome è al pari di keylogger.exe :)

grazie mi metto subito al lavoro e vediamo che ne esce fuori
inizio:
Malwarebytes Anti-Malware: http://wikisend.com/download/463940/mbam-log-2009-05-10%20(11-42-51)%20Risultato%20prima%20scansione.txt

A-Squared Free v4.x: http://wikisend.com/download/267150/a2scan_090510-114526%20Risultato%20seconda%20scansione.txt

F-Secure OnLine: C:\Documents and Settings\Utente\Impostazioni locali\Temp\report_fsols_4_0.html

Dr.Web CureIT : http://wikisend.com/download/510352/CureIt.log

ESET SysInspector : http://wikisend.com/download/571570/SysInspector-USER-1-090510-1705%20Risultato%205%20scansione.zip

HiJackThis: http://wikisend.com/download/758954/Risultato%206%20scansione%20hijackthis.txt
anche questo: http://wikisend.com/download/908686/HijackThis%20Logfileauswertung.htm

Gmer: Ho avuto qualche problema; tutte e due le volte che ho lanciato il programma dopo qualche minuto di scansione appare una schermata blu e il pc si riavvia. Ho lasciato perdere spero non fosse essenziale.

Prevx 3.0 : http://wikisend.com/download/468138/ultima%20scansione.log

Immagine: http://wikisend.com/download/588958/Immagine%20ultima%20scansione.bmp

http://wikisend.com/download/555706/Immagine2%20ultima%20scansione.bmp

spero non manchi nulla o di aver fatto tutto giusto
aspetto notizie:D

con malwarebytes non hai dato l'azione di delete o almeno nel log non compare:
(Trojan.Agent) -> No action taken
rifalla perchè gli oggetti non li avevi rimossi come ben dimostra hijackthis :)

non hai fatto la pulizia con atf-cleaner e infatti a-squared ha rimosso molti cookies..

il log di f-secure non lo hai pubblicato :)

il log di Dr.WEB CureIT non lo hai filtrato prima di pubblicarlo quindi se potresti filtrarlo e ripubblicarlo te ne sarei grato :)

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

F3 - REG:win.ini: load=C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\spoolsv.exe
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKLM\..\Policies\Explorer\Run: [ClipSrv] C:\WINDOWS\System\clipsrv.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\DOCUME~1\Utente\IMPOST~1\Temp\logman.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\Utente\IMPOST~1\Temp\cisvc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System\comrepl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\esentutl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Utente\IMPOST~1\Temp\mstsc.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\cmstp.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\Utente\DATIAP~1\sessmgr.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\System\mstinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\ieudinit.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Utente\IMPOST~1\Temp\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [IEudinit] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\ieudinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\mstsc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\mqtgsvc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\Utente\DATIAP~1\MICROS~1\cisvc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [DllHst] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\Documents and Settings\Utente\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\dllhst3g.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [DllHst] C:\WINDOWS\dllhst3g.exe /waitservice (User 'Default user')
titte le O16


come si voleva dimostrare:

[B] c:\documents and settings\utente\dati applicazioni\esentutl.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\comrepl.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\dati applicazioni\mstsc.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\system32\drivers\comrepl.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\dati applicazioni\dllhst3g.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\cisvc.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\dllhst3g.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\dati applicazioni\microsoft\ieudinit.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\system\comrepl.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\dati applicazioni\sessmgr.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\windows\system\mstinit.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\dati applicazioni\microsoft\cisvc.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\impostazioni locali\temp\cisvc.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\impostazioni locali\temp\mstsc.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program
[B] c:\documents and settings\utente\impostazioni locali\temp\dllhst3g.exe [PX5: 1540D3F00025F037F06A002B801B7700D20491DA] Malware Group: High Risk Fraudulent Security Program

mannaggia non ho capito molto...
nel frattempo cerco di rifare quello che mi hai chiesto
ti posso dire già da ora che con malwarebytes non ho dato l'azione di delete perchè non sapevo di doverlo fare, non so nemmeno se all'avviso di avira invece di negare l'accesso dovrei selezionare il mettere in quarantena...
ora rifaccio ciò che mi hai chiesto
grazie dell'aiuto

nella guida sono indicate chiaramente le azioni da intraprendere in caso di rilevamento di infezioni, basta leggere ;)

Malwarebytes Anti-Malware: http://wikisend.com/download/581604/mbam-log-2009-05-11%20(20-23-55).txt

Dr.Web CureIT: http://rapidshare.com/files/231862831/cureit_filtrato.txt.html

com HiJackThis devo dire che non c'è nemmeno una voce che mi hai elencato te da fixare, forse perchè dopo aver fatto la scansione con malwarebytes ho eliminato (come avrei dovuto fare dall'inizio visto che c'era scritto :D ) qualcosa è cambiato?

io ti allego quello che viene fuori da una nuova scansione
HiJackThis: http://wikisend.com/download/947528/hijackthis.log


Ho appena scoperto di essere accecata ho appena trovato le voci sorry

Malwarebytes Anti-Malware: http://wikisend.com/download/581604/mbam-log-2009-05-11%20(20-23-55).txt

Dr.Web CureIT: http://rapidshare.com/files/231862831/cureit_filtrato.txt.html

com HiJackThis devo dire che non c'è nemmeno una voce che mi hai elencato te da fixare, forse perchè dopo aver fatto la scansione con malwarebytes ho eliminato (come avrei dovuto fare dall'inizio visto che c'era scritto :D ) qualcosa è cambiato?

io ti allego quello che viene fuori da una nuova scansione
HiJackThis: http://wikisend.com/download/947528/hijackthis.log


Ho appena scoperto di essere accecata ho appena trovato le voci sorry

cureit è caricato su un server non previsto dalle regole, non capisco perchè non andasse bene wikisend anche per lui :)


con hjt sembra che tu non abbia fixato nulla, segui quindi quello che ti ha indicato deg relativo alle voci da fixare e carica un nuovo log

cureit è caricato su un server non previsto dalle regole, non capisco perchè non andasse bene wikisend anche per lui :)

non mi caricava il file per diverse volte, ci ho rinunciato :D


con hjt sembra che tu non abbia fixato nulla, segui quindi quello che ti ha indicato deg relativo alle voci da fixare e carica un nuovo log


si si all'inizio non trovavo le voci, sai dopo essere stata tutto il giorno davanti al pc non capivo più nulla :p

Eccolo
http://wikisend.com/download/945608/hijackthis.log

devo dire che questa mattina ho avuto una piacevole sorpresa, niente più avvisi di file mancanti ne di avira...
credo che mi abbiate aiutato alla grande a risolvere il problema...
un'ultima occhiata per vedere se è tutto ok nell'attesa vi ringrazio di cuore:ave:

mancano ancora queste

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Utente\IMPOST~1\Temp\mstsc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [IEudinit] C:\WINDOWS\ieudinit.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [IEudinit] C:\WINDOWS\ieudinit.exe /waitservice (User 'Default user')
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-j c.cab?e=1229637646641&h=07ca5ae822b16ae209fc8c1be933f6dc/&filename=jinstall-6u11 -windows-i586-jc.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

Salve ragazzi io ho lo stesso problema..

questo e' il mio file log fatto con hjthis

http://wikisend.com/download/969164/hijackthis.log

quali voci devo selezionare da fixare?

Salve ragazzi io ho lo stesso problema..

questo e' il mio file log fatto con hjthis

http://wikisend.com/download/969164/hijackthis.log

quali voci devo selezionare da fixare?

ciao

segui quando già richiesto al post n°2