Salve a tutti,
vorrei sottoporvi il mio caso per capire se effettivamente sono nella sezione giusta (ovviamente spero di no)
Il mio S.O. è Vista Home Premium OEM su macchina Compaq di un paio di annetti fa se non di più (MB asustek- Narra3, cpu Athlon 4400 dual core con 2 GB DDR2) che ha sempre fatto dignitosamente il suo lavoro.
Pochi giorni fa ho cominciato a notare che:
- tentando di aprire il task manager con la tipica procedura alt+ctrl+canc l'app stessa si apriva nel system tray solament e e non c'era verso di "alzarla";
- non riuscivo a masterizzare in quanto non mi venivano visti i drives o meglio avevo il messaggio che era impossibile accedervi in quanto "probabilmente" non avevo le autorizzazioni necessarie (io usavo un'app della rocket division, starburn che credevo in versione free ma mi era scaduto il periodo trial e quindi pur avendola sostituita con un altro prog. free incappavo nello stesso problema, poi reinstallando il prog della stessa marca finalmente in vers. free riuscivo UNICAMENTE CON ESSO STESSO a masterizzare;
-infine, e questa è storia di ieri, mi sono accorto di avere un impiego esagerato di cpu pur a pc inutilizzato (50%), aprendo Dtask manager ho constatato che si trattava di un svchost a cui facevano riferimento due sottoprocessi task eng (modulo di gestione dell'utilità di pianificazione), se provavo a killare il processo la cpu tornava ad un utilizzo normale ma l'explorer non funzionava più, guardando a quel punto il processo explorer mi sono accorto che faceva capo a Explorer.exe, o Explorer.EXE, a volte li avevo presenti entrambi... E se provavo a killarli mi ritornavano tali e quali, tra l'altro i tentativi di portare a termine una scansione con avira 9 sono stati vani, anche in modalità provvisoria, arrivando al massimo al 16%, abbastanza comunque per individuare i seguenti files:

c:\windows\system32\ovfsthxcecfwqpo.dll
c:\windows\system32\ovfsthxcixnqnkn.dll
c:\windows\system32\ovfsthxgaeykdti.dat
c:\windows\system32\ovfsthxqisretej.dll
c:\windows\system32\ovfsthxsxwrgxqb.dat

classificandoli come files nascosti, senza però essere in grado di eliminarli.
Ho potuto altresì stabilire che scollegarsi dalla rete non rimuoveva il problema...
Dopo varie elucubrazioni e (patetici) tentativi, avendo comunque letto varie cose in questa sezione, anche se non proprio corrispondenti a quanto mi sta/va accadendo, ho deciso di provare combofix e questo piccolo grande programma mi ha rassettato il sistema!!! :winner: Infatti anche combofix ha trovato i succitati files e dopo averli catalogati come attività rootkit li ha fatti fuori insiema a molte altre cose..

Ora però mi rendo conto che quando avvio il sistema mi ritrovo ancora che explorer fa capo a c:\windows\Explorer.exe senza però avere impieghi anomali di cpu, ho anche visto che killando explorer con taskmanager (non dtaskmanager: chi ha detto che quest'ultimo è più potente della tool di windows??) non mi si riattiva automaticamente ma sono io a doverlo fare e, facendo riferimento al path autentico dell'esplora risorse, esso parte in maniera corretta e il problema sembra finire lì...
A questo punto mi chiedo: sono a posto? Oltretutto avendo notato che il processo sedicente explorer che si avvia ad accensione pc varia nella sua denominazione (p. es. Explorer.exe o Explorer.EXE) mi chiedo ancora SONO A POSTO??? :confused: :confused:
Grazie a chi vorrà aiutarmi :)

explorer.exe deve starci come processo ativo...è di vitale importanza...cmq per essere sicuro di aver il pc pulito segui la guida alla disinfezione per infetti...:cool:

Salve a tutti,
vorrei sottoporvi il mio caso per capire se effettivamente sono nella sezione giusta (ovviamente spero di no)
Il mio S.O. è Vista Home Premium OEM su macchina Compaq di un paio di annetti fa se non di più (MB asustek- Narra3, cpu Athlon 4400 dual core con 2 GB DDR2) che ha sempre fatto dignitosamente il suo lavoro.
Pochi giorni fa ho cominciato a notare che:
- tentando di aprire il task manager con la tipica procedura alt+ctrl+canc l'app stessa si apriva nel system tray solament e e non c'era verso di "alzarla";
- non riuscivo a masterizzare in quanto non mi venivano visti i drives o meglio avevo il messaggio che era impossibile accedervi in quanto "probabilmente" non avevo le autorizzazioni necessarie (io usavo un'app della rocket division, starburn che credevo in versione free ma mi era scaduto il periodo trial e quindi pur avendola sostituita con un altro prog. free incappavo nello stesso problema, poi reinstallando il prog della stessa marca finalmente in vers. free riuscivo UNICAMENTE CON ESSO STESSO a masterizzare;
-infine, e questa è storia di ieri, mi sono accorto di avere un impiego esagerato di cpu pur a pc inutilizzato (50%), aprendo Dtask manager ho constatato che si trattava di un svchost a cui facevano riferimento due sottoprocessi task eng (modulo di gestione dell'utilità di pianificazione), se provavo a killare il processo la cpu tornava ad un utilizzo normale ma l'explorer non funzionava più, guardando a quel punto il processo explorer mi sono accorto che faceva capo a Explorer.exe, o Explorer.EXE, a volte li avevo presenti entrambi... E se provavo a killarli mi ritornavano tali e quali, tra l'altro i tentativi di portare a termine una scansione con avira 9 sono stati vani, anche in modalità provvisoria, arrivando al massimo al 16%, abbastanza comunque per individuare i seguenti files:

c:\windows\system32\ovfsthxcecfwqpo.dll
c:\windows\system32\ovfsthxcixnqnkn.dll
c:\windows\system32\ovfsthxgaeykdti.dat
c:\windows\system32\ovfsthxqisretej.dll
c:\windows\system32\ovfsthxsxwrgxqb.dat

classificandoli come files nascosti, senza però essere in grado di eliminarli.
Ho potuto altresì stabilire che scollegarsi dalla rete non rimuoveva il problema...
Dopo varie elucubrazioni e (patetici) tentativi, avendo comunque letto varie cose in questa sezione, anche se non proprio corrispondenti a quanto mi sta/va accadendo, ho deciso di provare combofix e questo piccolo grande programma mi ha rassettato il sistema!!! :winner: Infatti anche combofix ha trovato i succitati files e dopo averli catalogati come attività rootkit li ha fatti fuori insiema a molte altre cose..

Ora però mi rendo conto che quando avvio il sistema mi ritrovo ancora che explorer fa capo a c:\windows\Explorer.exe senza però avere impieghi anomali di cpu, ho anche visto che killando explorer con taskmanager (non dtaskmanager: chi ha detto che quest'ultimo è più potente della tool di windows??) non mi si riattiva automaticamente ma sono io a doverlo fare e, facendo riferimento al path autentico dell'esplora risorse, esso parte in maniera corretta e il problema sembra finire lì...
A questo punto mi chiedo: sono a posto? Oltretutto avendo notato che il processo sedicente explorer che si avvia ad accensione pc varia nella sua denominazione (p. es. Explorer.exe o Explorer.EXE) mi chiedo ancora SONO A POSTO??? :confused: :confused:
Grazie a chi vorrà aiutarmi :)

explorer.exe con estensione minuscola situato in C:\windows=processo legittimo,explorer.EXE con estensione maiuscola situato da un'altra parte=troyan.Fai una scansione con hijackthis e posta il log.ciao

explorer.exe con estensione minuscola situato in C:\windows=processo legittimo,explorer.EXE con estensione maiuscola situato da un'altra parte=troyan.Fai una scansione con hijackthis e posta il log.ciao


http://www.fileqube.com/shared/ZWzhfiGt1458977

http://www.fileqube.com/shared/pjLaJPl1458976

Questi logs a pc appena avviato e dopo la sostituzione dell'explorer.exe come ho descritto.

Ma scusate: è dunque una cosa nota della presenza di trojan o altra immondizia che operano una specie di hijack all'explorer? se sì qualcuno riesce ad indicarmi gli strumenti per la loro rimozione pls?
Grazie per l'interessamento

carica il log di combofix se ce l'hai ancora

carica il log di combofix se ce l'hai ancora


http://www.fileqube.com/shared/tUbkv1458997

http://www.fileqube.com/shared/bdrZh1458998

Eccolo, ho anche allegato il log dei files messi in quarantena..

Grazie.

per sicurezza, come già indicato al post 2 segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

per sicurezza, come già indicato al post 2 segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post (esempio) (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6), e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

Ok grazie, sto procedendo in maniera organizzata secondo le indicazioni però avrei una domandina
. non è che posso evitare di mettere in quarantena della tracce(sto parlando di a-2) che sono relative ad apps indispensabili e che ho ragione di credere innucue? Entro nello specifico: la scansione mi sta trovando un sacco di tracce relative ad ultra VNC che è di vitale importanza per poter gestire in remoto il pc di mia moglie che sta molto lontana e che usa il pc stesso solo per la videoconferenza con me..
Come mi devo comportare?
Grazie di nuovo

i programmi di controllo remoto li segnala sempre dannosi, non eliminarli se li hai scaricati da fonti ufficiali

i programmi di controllo remoto li segnala sempre dannosi, non eliminarli se li hai scaricati da fonti ufficiali

Ottimo allora sono a posto, tra l'altro ho notato che l'app. non li propone nemmeno spuntati, magari perchè di rischi medio.

Grazie

Chiedo scusa,
sto or ora usando il removal tool di Kaspersky ma vi sembra normale che stia macinando da 1 ora, mi abbia controllato 120.00 files e stia ancora all'1%??? :confused:
N.B. gli sto facendo fare la scansione del disco di sistema, con svariate apps, d'accordo, vari giochi ma per un totale di 60 GB ca.

può essere tutto, tu fallo girare e non fare altro

può essere tutto, tu fallo girare e non fare altro

Scusa ma non posso credere che vada tutto bene dopo tutta la notte che gira e non procede di un solo punto percentuale con i files sedicentemente controllati che sono svariate centinaia di migliaia, andrà in looping, non so, so solo che l'unico modo per farlo procedere è clickare skip quando l'opzione si presenta, chiudere la scansione, riaprirla, consentire che riprenda da dove viene interrotta e allora sì vedo progredire la percentuale di scansione ma anche così facendo non sono riuscito ad andare oltre il 25%..

se internet funziona opta per la scansione con fsecure

se internet funziona opta per la scansione con fsecure

Ah bè sìsì quella l'avevo già fatta e non mi ha trovato nulla, volevo solo fare qualcosa in più per cercare di risolvere questo mio problema che, almeno apparentemente, non mi dà grande noia, non riduce le prestazione del pc e comunque è "aggirabile" chiudendo con task manager (win) il processo explorer che fa capo appunto a explorer.Exe o Explrorer.Exe e una volta riavviato riporta come riferimento il giusto explorer.exe...

Ah bè sìsì quella l'avevo già fatta e non mi ha trovato nulla, volevo solo fare qualcosa in più per cercare di risolvere questo mio problema che, almeno apparentemente, non mi dà grande noia, non riduce le prestazione del pc e comunque è "aggirabile" chiudendo con task manager (win) il processo explorer che fa capo appunto a explorer.Exe o Explrorer.Exe e una volta riavviato riporta come riferimento il giusto explorer.exe...

fai una scansione con malwarebytes, a-squared e prevx (in questo ordine) e vediamo un po' che succede

fai una scansione con malwarebytes, a-squared e prevx (in questo ordine) e vediamo un po' che succede

fatta pure quella, però il prevx mi lascia un tantino perplesso: mi ha trovato 3 positivi: ff_setup (eliminato) combofix (:eek: ) e prevx stesso (:eek: :eek: )

Sto facendo una passata con Dr. Web, anch'esso mi dà come positivo combofix e anche DTaskManager, possibile??

dovresti caricarci i log :)
comunque si, è probabile che vengano segnalati

http://www.fileqube.com/shared/kQmNe1461676
http://www.fileqube.com/shared/EDPVmAjD1461680
http://www.fileqube.com/shared/zDgOcunli1461679
http://www.fileqube.com/shared/nthSDlsMn1461682
http://www.fileqube.com/shared/SBasW1461681
http://www.fileqube.com/shared/CWdMf1461678

ecco i miei logs aspetto il vostro parere

Grazie ancora

dovresti caricarci i log :)
comunque si, è probabile che vengano segnalati


UP

Nessuno mi aiuta più? :cry:

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKCU\..\Run: [WindowsWelcomeCenter] control.exe /name Microsoft.WelcomeCenter
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


riscontri altri problemi?

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKCU\..\Run: [WindowsWelcomeCenter] control.exe /name Microsoft.WelcomeCenter
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C237A80A-4C55-4C68-BAA9-CBE4408D12B2} (F-Secure Online Scanner 4.0 Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab


riscontri altri problemi?

Intanto grazie mille per la tua risposta :)
Ho fatto come hai detto tu ma purtroppo il problema rimane, ora però vorrei precisare che dopo che ho fixato con combofix come ho esposto ad inizio 3d effettivamente non riscontro nessun tipo di problema legato a funzionalità ridotta di applicazioni, uso inconsueto di ram o cpu e quant'altro, l'unica cosa è che appunto il processo explorer di windows sembra far capo ad un file sospetto che può essere Explorer.exe, Explorer.Exe, Explorer.EXE, l'inconveniente lo elimino terminando il processo con Task manager e riavviandolo alche il riferimento è normale (exlorer.exe).
Ora chiederei: esistono tools che sono in grado di fare una diagnostica migliore se il disco di sistema viene analizzato senza par partire il Sistema operativo che su esso stesso risiede?
Grazie ancora

carica un nuovo log di prevx
tra il processo con le maiuscole e quello caricato poi manualmente noti differenze?

carica un nuovo log di prevx
tra il processo con le maiuscole e quello caricato poi manualmente noti differenze?

Ciao wjmat :)

ecco come da te richiesto il log di prevx:

http://www.fileqube.com/shared/XTsJS1472305

Per rispondere invece ala tua domanda devo dire che no, non rilevo differenze eclatanti, devo anche dire però che non ho testato il pc in ogni sua funzionalità, ad inquietarmi è bastato il fatto che mi si dicesse che un processo con maiuscole è sintomo di presenza worm/trojan...

Grazie ancora per l'interessamento

per me sei ok

per me sei ok
Grazie davvero