Stamattina il mio pc ha smesso di funzionare. Lo accendo, fino alla schermata di xp tutto ok, poi quando compare la schermata predesktop (sfondo blu con windows xp in mezzo) ci si sofferma piu del solito, poi appare il desktop, solo sfondo senza icone e barre (tipo per 5 minuti), poi finalmente arrivano le icone e la barra (e si sente la musichetta di avvio di xp), e appena sembra abbia caricato tutto, vado a clickare qualsiasi cosa (start, o avira dalla barra applicazioni) ma c'è un totale freeze. Non posso fare nulla.

Quindi ho riavviato in modalità provvisoria, ho tentato di avviare avira antivir ma nulla da fare; idem per superantispyware, mentre malwarebytes mi da il classico errore windows ("non inviare", così lo chiamo) appena lo apro.
Allora ho provato a fare un "ripristino configurazione di sistema", ma quando clicko avanti all'ultimo step, non succede nulla.

Mi dite da dove posso cominciare? perchè sono alquanto disperato all'idea di un format...

grazie

Edit:
nel frattempo sono riuscito a fare una scansione con hijackthis in modalità provvisoria.
Logfile of HijackThis v1.99.1
Scan saved at 13.09.32, on 17/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rivalnetwork.cn/ac.php?aid=285&sid=new
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IAAnotif] "C:\Programmi\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programmi\Tall Emu\Online Armor\oaui.exe"
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Programmi\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
O4 - HKCU\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\Prevx\prevx.exe" /service (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Programmi\Tall Emu\Online Armor\OAcat.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Programmi\Tall Emu\Online Armor\oasrv.exe

Bentrovato,

Il log si caricano solo nelle modalità indicate dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598); solo così potrai ricevere assistenza.
Quindi, per favore, modifica il tuo precedente post allegando il modo corretto il tuo log di HJT.
Inoltre, stai usando una versione di HJT vecchia...

Per iniziare usa Avira Rescue Disk: guida e download (http://www.hwupgrade.it/forum/showthread.php?t=1689812)

Aspettiamo i risultati!

ok ho modificato il primo post e aggiorno dicendo che ho scaricato da un altro pc hijack aggiornato (2.0.2), l'ho portato sul pc infetto con pen drive, ma nn me lo fa partire (sono installers i nuovi hijack :( )

procedo con avira rescue direttamente?

ecco la foto del log di avira rescue

http://img709.imageshack.us/img709/695/img0524eo.th.jpg (http://img709.imageshack.us/i/img0524eo.jpg/)

attendo notizie grazie

Essendo Avira Antvir il tuo AV residente è opportuno utilizzare il Rescue Disk del Kaspersky http://www.hwupgrade.it/forum/showthread.php?t=1878747

NB: salva ed allega il log

Sto scaricando da softpedia l'ultima versione di Kaspersky rescue disk, ma dal thread che mi hai postato, leggo che non supporta il RAID, e il mio disco operativo è in raid 0 .

Provo ugualmente?

ho fatto la scansione con kaspersky rescue come da topic, ma non é stato scansionato il disco operativo, come immaginavo.

Infatti non é stato rilevato nulla, e quando sono andato a salvare il log, mi sono accorto che vede solo i dischi storage...
:help:

EDIT: ora non si apre più il lettore cd, e non riesco a togliere il cd di kaspersky rescue.......

ho fatto la scansione con kaspersky rescue come da topic, ma non é stato scansionato il disco operativo, come immaginavo.

Infatti non é stato rilevato nulla, e quando sono andato a salvare il log, mi sono accorto che vede solo i dischi storage...
:help:

EDIT: ora non si apre più il lettore cd, e non riesco a togliere il cd di kaspersky rescue.......

Se il problema descritto nel primo Post si è verificato da un momento all'altro, ed in funzione di quanto affermi adesso, possiamo iniziare ad ipotizzare un problema hardware.

Che errore ti restituiscono (precisamente) i vari MBAM, SAS, etc........?

Semplicemente al doppio click nn succede nulla... sia per antivir che per Sas, mentre mbam appena doppio clicko va subito nel classico errore dove clicko su "non inviare". Preciso che, nonostante i programmi nn partano, sul task manager le applicazioni risultano lanciate (avevo doppio clickato tipo 10 volte su avira, e nel TM avevo altrettanti processi avcenter.exe

Semplicemente al doppio click nn succede nulla... sia per antivir che per Sas, mentre mbam appena doppio clicko va subito nel classico errore dove clicko su "non inviare". Preciso che, nonostante i programmi nn partano, sul task manager le applicazioni risultano lanciate (avevo doppio clickato tipo 10 volte su avira, e nel TM avevo altrettanti processi avcenter.exe

Se stai postando dal PC malato, segui queste istruzioni:

● rkill Download (http://download.bleepingcomputer.com/grinler/rkill.com)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su rkill dovrebbe aprirsi una finestra nera, attendete pazientemente che il tool faccia il suo lavoro (potrebbe impiegare anche diversi minuti)

NB: potrebbero aprirsi una o più finestre indicanti che rkill è un virus, ignoratele, ignorarle significa non chiudere le finestre indicanti che rkill è un malware, al termine la finestra nera si dovrebbe chiudere, ripetete l'operazione con rkill 2 volte, al termine non riavviate il PC.

fatto questo prova a far girare MBAM

Sto postando da iphone :doh:

Ora non ho modo di portare quel programma da te segnalato sul pc malato, quindi lo farò domani.

Nel frattempo aggiorno dicendo che: il lettore cd nn si apre, il pc in normal mode non arriva neanche piu al desktop ma si freeza totalmente sulla schermata precedente (sfondo celeste con la scritta windows xp al centro); inoltre ieri quando il pc funzionava, antivir guard mi segnalava dei file temporanei infetti da trojan, anche se nn ricordo di aver fatto nulla di dubbioso... quindi ho fatto elimina elimina elimina ma ogni 2 secondi ne trovava uno nuovo, alchè ho fatto "nega accesso" e si è placato. E stamattina è iniziato l'incubo

Se stai postando dal PC malato, segui queste istruzioni:

● rkill Download (http://download.bleepingcomputer.com/grinler/rkill.com)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Doppio click su rkill dovrebbe aprirsi una finestra nera, attendete pazientemente che il tool faccia il suo lavoro (potrebbe impiegare anche diversi minuti)

NB: potrebbero aprirsi una o più finestre indicanti che rkill è un virus, ignoratele, ignorarle significa non chiudere le finestre indicanti che rkill è un malware, al termine la finestra nera si dovrebbe chiudere, ripetete l'operazione con rkill 2 volte, al termine non riavviate il PC.

fatto questo prova a far girare MBAM

Nulla da fare. Ho fatto girare rkill 2 volte, anche 4, ma avira, mbam e sas continuano a non funzionare.

:help:

P.S. il lettore CD ha ripreso a funzionare

Nulla da fare. Ho fatto girare rkill 2 volte, anche 4, ma avira, mbam e sas continuano a non funzionare.

:help:

P.S. il lettore CD ha ripreso a funzionare

Riporta per esteso l'errore che ti restituiscono

Riporta per esteso l'errore che ti restituiscono

Come già detto, sia avira che mbam non mi restituiscono nessun errore... semplicemente faccio doppio click e non succede nulla... neanche la clessidra... (però sul task manager l'applicazione risulta lanciata), mentre SAS appena lanciato mi va subito in errore : http://img709.imageshack.us/img709/5193/img0266g.th.jpg (http://img709.imageshack.us/i/img0266g.jpg/)

mi ero scordato di avere prevx, e funziona, però serve la connessione per fare una scansione, quindi sto riavviando in mod. provvisoria con rete... vediamo se riesco a fare almeno questa scansione.

EDIT: la scansione è terminata, con nessuna minaccia individuata. Inoltre ho notato che il monitoraggio real time è disabilitato (io l'ho sempre avuto abilitato, non so se magari in modalità provvisoria è normale che non funzioni), ma non è sicuramente normale che clickando sul tasto "enable monitoring" crasha, senza nessun errore.

Allego il log di prevx http://www.mediafire.com/file/20wmymww1me/prevx.log

Facciamo questo tentativo, se non dovesse andare a buon fine la mia ipotesi prende corpo

● ComboFix Download (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) al termine del download premuratevi di rinominarlo in explorer.exe
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

NB: ComboFix deve essere eseguito a macchina dedicata, (chiudere tutte le finestre - i programmi aperti - non toccare il mouse) disconnesso dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Doppio click su explorer.exe e seguite le istruzioni a video, rifiutando l'installazione della Console di Ripristino di emergenza

Attendete pazientemente in quanto la scansione può durare alcuni minuti al termine troverete il file di log da allegare per il controlo in C:\ComboFix.txt

ho fatto partire explorer.exe (combofix) come da te detto, senza nessun finestra aperta e senza rete, ma risulta attivo antivir desktop e non so come chiuderlo prima di far partire combofix.
Questo è ciò che mi dice :
http://img85.imageshack.us/img85/5500/img0267q.th.jpg (http://img85.imageshack.us/i/img0267q.jpg/)

ho lasciato il pc fermo su questa finestra, dimmi come procedere... se spingere ok oppure la x per cercare un modo per killare il programma (sul task manager nn c'è).

P.S. secondo me non è un problema hardware. Hai idea di cos'altro possa essere? Trojan sinowal?

ho fatto partire explorer.exe (combofix) come da te detto, senza nessun finestra aperta e senza rete, ma risulta attivo antivir desktop e non so come chiuderlo prima di far partire combofix.
Questo è ciò che mi dice :
http://img85.imageshack.us/img85/5500/img0267q.th.jpg (http://img85.imageshack.us/i/img0267q.jpg/)

ho lasciato il pc fermo su questa finestra, dimmi come procedere... se spingere ok oppure la x per cercare un modo per killare il programma (sul task manager nn c'è).

P.S. secondo me non è un problema hardware. Hai idea di cos'altro possa essere? Trojan sinowal?

Come indicato devi disabilitare il real time di tutti i software di sicurezza :)

Come indicato devi disabilitare il real time di tutti i software di sicurezza :)

... Si infatti ho chiesto come fare :rolleyes: perchè vicino all'orologio nn cè nessuna icona, e neanche sul task manager c'è...

... Si infatti ho chiesto come fare :rolleyes: perchè vicino all'orologio nn cè nessuna icona, e neanche sul task manager c'è...

Combo deve essere sul Desktop, dopodichè Start - Esegui nel box bianco copia "%userprofile%\desktop\combofix.exe" /killall vigolette comprese - OK

ho fatto come mi hai detto, è partita una schermata blu, poi si è bloccato ed è riuscita fuori un'altra volta quell'avviso sopra postato :muro: .... vado avanti comunque? Lui avvisa che è rischioso...

Edit: ho lasciato il pc fermo all'avviso, intanto la schermata blu si è chiusa, e noto che l'exe sul desktop si è rinominato da solo in ComboFix

P.S. sulla stringa che mi hai fatto copiare alla fine mi hai scritto combofix.exe, pensando ti fossi sbagliato io ho scritto explorer.exe

ho fatto come mi hai detto, è partita una schermata blu, poi si è bloccato ed è riuscita fuori un'altra volta quell'avviso sopra postato :muro: .... vado avanti comunque? Lui avvisa che è rischioso...

Forse non hai fatto come indicato

leggi l'edit sopra

leggi l'edit sopra

Facciamo così, cestina ed elimana Combo rinominato, riscaricalo (non rinominarlo) ed esegui il comando indicato.

Facciamo così, cestina ed elimana Combo rinominato, riscaricalo (non rinominarlo) ed esegui il comando indicato.

ma le "x" funzionano?!?! ho spinto la x per chiudere quell'avviso ma era partito comunque il programma con la sua schermata blu ma prontamente ho riavviato il pc da case, ora rifaccio la procedura non rinominando combofix

ho rifatto il procedimento (terza prova), ma prima di procedere ho cancellato il combofix.exe sul desktop (seconda prova), e l'explorer.exe in C:\ (prima prova) dove ho notato c'era un nuovo file nominato combofix.exe con l'icona di risorse del computer. Insomma, ho cestinato i 3 files, copiato il nuovo combofix.exe sul desktop, messo la stringa su esegui, ma mi ha dato un errore che non trovava un file tipo in C:\ , poi neanche il tempo di leggere l'errore che è partito il programma, ma ancora una volta mi da lo stesso avviso di antivir........... :muro:

Che faccio? riavvio direttamente il pc da case?

Facciamo così, cestina ed elimana Combo rinominato, riscaricalo (non rinominarlo) ed esegui il comando indicato.

non so come spiegarlo diversamente.

Attenzione, ho riavviato il pc, ma stavolta sono entrato in modalità provvisoria con il mio account vasqua invece che con administrator, e vedo tutte le icone che avevo sul desktop in normal mode!

Provo a far partire mbam avira e sas da Vasqua ora...

EDIT: i programmi partono... prima di scansionare con mbam e sas che non sono aggiornati, dunque devo riavviare in mod. provvisoria con rete, sto facendo una scansione con antivir che è aggiornato al 15/01

Comunque sorge spontanea la domanda: perchè se entro da amministratore non parte nulla, mentre con Vasqua(mio account) PER ORA SEMBRA partire tutto?
..il tutto ovviamente in modalità provvisoria... perchè il normal mode si stucka come sempre

... disperazione.
Finisco di fare la scansione con avira (che non ha trovato nulla), riavvio il pc per entrare in mod. provvisoria CON RETE (per aggiornare mbam e sas), e non funzionano neanche più sul mio account....

Come procedo?

P.S. noto ora su C:\ due cartelle nuove, forse create da combofix in quel nanosecondo che era partito? Una nominata "qoobox" e pesa 12KB, e l'altra si chiama "32788r22fwjfw" e pesa circa 8 MB (dentro ci sono diversi files, alcuni si chiamano proprio combofix, poi ricordo uno che si chiama erunt, e diversi altri)

Difficile trovare il bandolo della matassa quando le info sono così frammetate/frammentarie, siamo partiti dalla descrizione del problema fatta nel primo Post, per poi apprendere che

inoltre ieri quando il pc funzionava, antivir guard mi segnalava dei file temporanei infetti da trojan, anche se nn ricordo di aver fatto nulla di dubbioso... quindi ho fatto elimina elimina elimina ma ogni 2 secondi ne trovava uno nuovo, alchè ho fatto "nega accesso" e si è placato. E stamattina è iniziato l'incubo


EDIT: i programmi partono... prima di scansionare con mbam e sas che non sono aggiornati, dunque devo riavviare in mod. provvisoria con rete, sto facendo una scansione con antivir che è aggiornato al 15/01

vedi se riesci a recuperare il log di Avira, mi domando inoltre come mai Antivir fosse aggiornato al 15.01.10

interessante veramente... :confused:

vedi se riesci a recuperare il log di Avira, mi domando inoltre come mai Antivir fosse aggiornato al 15.01.10

perchè la mattina del 16 ha smesso di funzionare, dunque il 15 è stato l'ultimo giorno funzionante, e sono partiti gli aggiornamenti automatici.

Dove posso cercare i log? (ricordo che quei files .tmp infetti sono stati rilevati dalla scansione real time (antivir guard) e non da una scansione dedicata).

perchè la mattina del 16 ha smesso di funzionare, dunque il 15 è stato l'ultimo giorno funzionante, e sono partiti gli aggiornamenti automatici.

Dove posso cercare i log? (ricordo che quei files .tmp infetti sono stati rilevati dalla scansione real time (antivir guard) e non da una scansione dedicata).

dal pannello di avira vai in "overview" e lì c'è la voce "reports" che sono appunto i log delle scansioni eseguite e dei vari aggiornamenti :)

Oggi torno a casa, mi dico: "proviamo a non spingere f8 ed entrare in modalità normale" e con mio enorme stupore non si è stuckato sulla schermata celeste ed è entrato normalmente, se non fosse che mi ha dato subito due errori:
http://img35.imageshack.us/img35/5862/img0270ot.th.jpg (http://img35.imageshack.us/i/img0270ot.jpg/)http://img689.imageshack.us/img689/77/img0269ld.th.jpg (http://img689.imageshack.us/i/img0269ld.jpg/)
e purtroppo anche in normal mode non funzionano i programmi antivirus (ugualmente a come descritto in modalità provvisoria), dunque
dal pannello di avira vai in "overview" e lì c'è la voce "reports" che sono appunto i log delle scansioni eseguite e dei vari aggiornamenti :) non posso farlo perchè non riesco ad aprire avira

edit: secondo me deve essere successo un casino, perchè pure firefox l'ho avviato (internet funziona) e mi ha chiesto se volevo impostarlo come browser predefinito Oo

Mentre aspetto indicazioni, ho uppato uno screen del task manager, magari può servire http://img191.imageshack.us/img191/1382/immaginemi.th.jpg (http://img191.imageshack.us/i/immaginemi.jpg/)
Inoltre ricordo che attualmente sto scrivendo dal pc malato, ma ho timore a navigare troppo su internet perchè come già detto antivirus e firewall sono disattivati.

edit2: sto facendo una scansione online con F-Secure

edit2:[/B] sto facendo una scansione online con F-Secure
niente da fare... finisco di scaricare gli aggiornamenti e immediatamente dopo dice che incontra un errore perchè il mio user non ha abbastanza diritti per eseguire lo scan ...

:help:

edit1: ho scaricato kaspersky virus removal tool, sono riuscito ad installarlo, e ora vediamo se riusciamo ad avere un log.

edit1: ho scaricato kaspersky virus removal tool, sono riuscito ad installarlo, e ora vediamo se riusciamo ad avere un log.

La scansione è terminata e ha trovato schifezze.... un modo per salvare il log non esiste (ho cercato da ogni parte) quindi ho fatto screens del report finale (sono 2 foto dello stesso report):
(risultati ordinati per azioni prese)
http://img508.imageshack.us/img508/8547/immagine1qt.th.jpg (http://img508.imageshack.us/i/immagine1qt.jpg/)
(risultati non ordinati, con nome infezioni)
http://img251.imageshack.us/img251/362/immagine2s.th.jpg (http://img251.imageshack.us/i/immagine2s.jpg/)

Come procedo?

allora.. la causa del problema agli antivirus potrebbe averla anche fatta combofix venendo eseguito con questi programmi operativi.. ma anche no.
nel senso che potrebbero essersi disattivati ancor prima a causa di un virus.. :boh:

ad ogni modo un file da analizzare sarebbe "cmsnxeye.exe" che compare nel taskmanager quindi prova magari ad analizzarlo su virustotal.com e virscan.org avendo cura di copiare l'url che conpare nel browser quando viene mostrata la tabella con i risultati per singolo antivirus.

nel frattempo da un pc pulito scarica Avira Rescue System con il quale, dopo averlo masterizzato su cd/dvd eseguirai il boot da cd/dvd e farai una bella scansione del pc.
i dettagli per come fare: http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13


c'è parecchia roba da eliminare...

allora.. la causa del problema agli antivirus potrebbe averla anche fatta combofix venendo eseguito con questi programmi operativi.. ma anche no.
nel senso che potrebbero essersi disattivati ancor prima a causa di un virus.. :boh:
il problema è presente dall'inizio, anche prima di lanciare combofix, basta vedere i primi post

ad ogni modo un file da analizzare sarebbe "cmsnxeye.exe" che compare nel taskmanager quindi prova magari ad analizzarlo su virustotal.com e virscan.org avendo cura di copiare l'url che conpare nel browser quando viene mostrata la tabella con i risultati per singolo antivirus.
cmsnxeye.exe è il processo delle mie cuffie 5.1. E' sicuro 100%.

nel frattempo da un pc pulito scarica Avira Rescue System con il quale, dopo averlo masterizzato su cd/dvd eseguirai il boot da cd/dvd e farai una bella scansione del pc.
i dettagli per come fare: http://www.hwupgrade.it/forum/showpost.php?p=22757132&postcount=13
--> primi post
ecco la foto del log di avira rescue

http://img709.imageshack.us/img709/695/img0524eo.th.jpg (http://img709.imageshack.us/i/img0524eo.jpg/)

attendo notizie grazie
ho fatto anche con kaspersky rescue disk, ma avendo un raid 0, non hanno scansionato C:\ cioè il mio disco operativo.

Che gran pasticcio, incrocia le dita e procedi così:

scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt

Che gran pasticcio, incrocia le dita e procedi così:

scarica questo file http://support.kaspersky.com/downloads/utils/tdsskiller.zip scompatta l'archivio ed esegui TDSSKiller.exe al termine allega il log, dovresti trovare in C:\TDSSKiller..................log.txt
scompatto nel desktop? eseguo in modalità normale? (dalla quale scrivo)

scompatto nel desktop? eseguo in modalità normale? (dalla quale scrivo)

Si
:sperem:

oddio nn leggo cose confortevoli http://www.bleepingcomputer.com/forums/topic284553.html su questo programma.... :eek:

procedo?

scusatemi i timori

oddio nn leggo cose confortevoli http://www.bleepingcomputer.com/forums/topic284553.html su questo programma.... :eek:

procedo?

scusatemi i timori

Secondo me non ha nulla a che vedere con TDSSKiller, a me personalmente non ha dato problemi ed in ogni caso non vedo alternative.

Grandioso! Sembra abbia tolto quello schifo, ed ora al riavvio sono ripartiti in avvio automatico OA e Avira !

Log: http://www.mediafire.com/file/imiwmxtdmmj/TDSSKiller.2.2.2_19.01.2010_18.03.16_log.txt

Waiting news ;)

Grandioso! Sembra abbia tolto quello schifo, ed ora al riavvio sono ripartiti in avvio automatico OA e Avira !

Log: http://www.mediafire.com/file/imiwmxtdmmj/TDSSKiller.2.2.2_19.01.2010_18.03.16_log.txt

Waiting news ;)

Produci i log dei tool indicati in questa Guida

http://www.hwupgrade.it/forum/showthread.php?t=1789446

Produci i log dei tool indicati in questa Guida

http://www.hwupgrade.it/forum/showthread.php?t=1789446

Nel mentre sto facendo una scansione con MBAM, avira guard mi ha segnalato tali files, che ho eliminato
19/01/2010,18.23.25 [AVVISO] Contiene il modello di rilevamento del virus Trivial-28 (A)!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.cvd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.24.37 [AVVISO] Contiene il modello di rilevamento del virus script HTML HTML/Silly.Gen!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\Anti-Virus\Aquarius\cran.ivd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.24.58 [AVVISO] Contiene il modello di rilevamento del virus script HTML HTML/Infected.WebPage.Gen!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\Anti-Virus\Aquarius\jpeg.xmd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.25.55 [AVVISO] Contiene il modello di rilevamento del virus Trivial-28 (A)!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\updates\aquawin32\cran.cvd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.26.03 [AVVISO] Contiene il modello di rilevamento del virus script HTML HTML/Silly.Gen!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\updates\aquawin32\cran.ivd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.26.28 [AVVISO] Contiene il modello di rilevamento del virus script HTML HTML/Infected.WebPage.Gen!
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\OnlineScanner\updates\aquawin32\jpeg.xmd
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!

nuove rivelazioni

19/01/2010,18.48.24 [AVVISO] Si tratta del cavallo di Troia TR/PCK.Tdss.AA.3757!
C:\WINDOWS\system32\H8SRTcbdjuoduej.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Non si possiedono i permessi per accedere al file.
19/01/2010,18.48.30 [AVVISO] Si tratta del cavallo di Troia TR/PCK.Tdss.AA.3757!
C:\WINDOWS\system32\H8SRTcbdjuoduej.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Non si possiedono i permessi per accedere al file.
19/01/2010,18.48.37 [AVVISO] Si tratta del cavallo di Troia TR/PCK.Tdss.AA.3757!
C:\WINDOWS\system32\H8SRTcbdjuoduej.dll
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.49.23 [AVVISO] Si tratta del cavallo di Troia TR/Spy.16896.45!
C:\WINDOWS\system32\H8SRTgutfmcrkdd.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Non si possiedono i permessi per accedere al file.
19/01/2010,18.49.30 [AVVISO] Si tratta del cavallo di Troia TR/Spy.16896.45!
C:\WINDOWS\system32\H8SRTgutfmcrkdd.dll
[UTENTE] VASQUA\VA$QUA
[INFO] Il file verrà eliminato!
19/01/2010,18.49.36 [AVVISO] Si tratta del cavallo di Troia TR/PCK.Tdss.AA.3667!
C:\WINDOWS\system32\H8SRTkmxoyxevpp.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Il file verrà eliminato!
19/01/2010,18.49.40 [AVVISO] Si tratta del cavallo di Troia TR/Spy.40960.257!
C:\WINDOWS\system32\H8SRTxciklahaxw.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Non si possiedono i permessi per accedere al file.
19/01/2010,18.49.16 [AVVISO] Si tratta del cavallo di Troia TR/Spy.16896.45!
C:\WINDOWS\system32\H8SRTgutfmcrkdd.dll
[UTENTE] NT AUTHORITY\SYSTEM
[INFO] Il file verrà eliminato!

Mbam intanto continua la scansione

Disconnetti e lascia lavorare in sequenza MBAM - a-squared - CureIt al temine allega i log :)

Ragazzi, ho gli stessi medesimi problemi del ragazzo che ha aperto questo thread. Me lo sono letto tutto, combaciano molti "sintomi" e tra un pò proverò con l'ultimo software che gli avete consigliato di usare, visto che pare abbia avuto successo. Posso postare i miei log in questo thread o è il caso che io ne apra uno tutto mio?
Vi spiego brevemente, anticipandovi che comunque non sono un esperto di informatica, quindi andrò a prole mie:
Anche io ho Avira antivir. Sabato 16 gennaio, esco e lascio il pc acceso, e connesso, come centinaia di altre volte. Torno e trovo finestre aperte del firewall di windows che mi dice di non avere un antivirus installato. Senza appuntarmi nulla, ne i nomi dei files infetti o danneggiati (???), dopo aver chiuso tutti i messaggi di danger e dangerous problem... noto che:
1) avira non c'è più nel tray, provo a disinstallarlo e reinstallarlo in altre partizioni... ma niente.
2)scopro con il task manager che è in memoria, nonostante io provi a lanciarlo e non parte... senza che succedesse nulla dopo i click.
3)Quando entro in modalità normale, tempo 3-4 minuti ed esce la clessidra accanto al puntatore e non mi fa clikkare più nulla. Unica soluzione il reset da case.
4)Provo il ripristino della configurazione di sitema, ma ovviamente arrivato al terzo step clikko avanti e ignoro totale.
5) in modalità provvisoria con rete faccio tutto, ma lo stesso non parte avira e se lo lancio idem.

Ora sto seguendo le vostre istruzioni, sto eseguendo tutte le scansioni (quelle possibili) per poi potervi postare qualche log. Ora sto eseguendo Dr. Web. Intanto malwarebytes non s'installa. Se provo a clikkare non fa nulla. F-secure online lo stesso non me lo fa fare. per il momento ho il log di a-squared.

Che devo fare?

Intanto buona fortuna per Vaui e ti consiglio di aprire un nuovo thread in modo tale da non sovrapporre logs e responsi. ;)

ritornando in topic, avviso che la fortuna mi sta aiutando in tutto queso, e che è andata via la luce quando cureit stava all'90% (circa 3 ore)... :S
quindi domani rifarò quest'ultima scansione e allego tutto

nel frattempo però posso dire che il più sembra pulito.. Mbam ha levato 9 files infetti (quelli che vedeva avira), asquared ha eliminato un po di cookies e zozzerie, però non mi ha fatto mettere neanche in quarantena due chiavi di registro perche diceva erano protette da sola scrittura:confused: .

A domani

V[aui;30522136']Ragazzi, ho gli stessi medesimi problemi del ragazzo che ha aperto questo thread. Me lo sono letto tutto, combaciano molti "sintomi" e tra un pò proverò con l'ultimo software che gli avete consigliato di usare, visto che pare abbia avuto successo. Posso postare i miei log in questo thread o è il caso che io ne apra uno tutto mio?
Vi spiego brevemente, anticipandovi che comunque non sono un esperto di informatica, quindi andrò a prole mie:
Anche io ho Avira antivir. Sabato 16 gennaio, esco e lascio il pc acceso, e connesso, come centinaia di altre volte. Torno e trovo finestre aperte del firewall di windows che mi dice di non avere un antivirus installato. Senza appuntarmi nulla, ne i nomi dei files infetti o danneggiati (???), dopo aver chiuso tutti i messaggi di danger e dangerous problem... noto che:
1) avira non c'è più nel tray, provo a disinstallarlo e reinstallarlo in altre partizioni... ma niente.
2)scopro con il task manager che è in memoria, nonostante io provi a lanciarlo e non parte... senza che succedesse nulla dopo i click.
3)Quando entro in modalità normale, tempo 3-4 minuti ed esce la clessidra accanto al puntatore e non mi fa clikkare più nulla. Unica soluzione il reset da case.
4)Provo il ripristino della configurazione di sitema, ma ovviamente arrivato al terzo step clikko avanti e ignoro totale.
5) in modalità provvisoria con rete faccio tutto, ma lo stesso non parte avira e se lo lancio idem.

Ora sto seguendo le vostre istruzioni, sto eseguendo tutte le scansioni (quelle possibili) per poi potervi postare qualche log. Ora sto eseguendo Dr. Web. Intanto malwarebytes non s'installa. Se provo a clikkare non fa nulla. F-secure online lo stesso non me lo fa fare. per il momento ho il log di a-squared.

Che devo fare?

Individuato il problema, il 3D corretto è il seguente http://www.hwupgrade.it/forum/showthread.php?t=1789446

mbam: mbam-log-2010-01-19 (19-05-42).txt (http://wikisend.com/download/468360/mbam-log-2010-01-19 (19-05-42).txt)
asquared: a2scan_100119-194023.txt (http://wikisend.com/download/523848/a2scan_100119-194023.txt)
cureit filtrato: cureit filtrato.txt (http://wikisend.com/download/585390/cureit filtrato.txt)

P.S. dalla scansione di a-squared, non sono riuscito a mettere in quarantena i seguenti file, con l'errore "si prega di rimuovere la protezione di sola scrittura"
Value: HKEY_USERS\S-1-5-21-789336058-2147202159-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Key: HKEY_LOCAL_MACHINE\software\AntiMalware rilevati: Trace.Registry.AntiMalware!A2

grazie

mbam: mbam-log-2010-01-19 (19-05-42).txt (http://wikisend.com/download/468360/mbam-log-2010-01-19 (19-05-42).txt)
asquared: a2scan_100119-194023.txt (http://wikisend.com/download/523848/a2scan_100119-194023.txt)
cureit filtrato: cureit filtrato.txt (http://wikisend.com/download/585390/cureit filtrato.txt)

P.S. dalla scansione di a-squared, non sono riuscito a mettere in quarantena i seguenti file, con l'errore "si prega di rimuovere la protezione di sola scrittura"
Value: HKEY_USERS\S-1-5-21-789336058-2147202159-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Key: HKEY_LOCAL_MACHINE\software\AntiMalware rilevati: Trace.Registry.AntiMalware!A2

grazie

Non avevi disabilitato il rip.conf.sistema, imoltre dal log di MBAM si evince che non hai intrapreso nessuna azione -> No action taken

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

File infetti:
C:\32788R22FWJFW\Combo-Fix.sys (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTxciklahaxw.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTsgtqrvraic.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT578c.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT5980.tmp (Rootkit.TDSS) -> No action taken.
C:\Documents and Settings\Va$quA\Impostazioni locali\Temp\H8SR6702.tmp (Rootkit.TDSS) -> No action taken.


sicuri di aver eliminato il tutto?

ops, hai ragione, ho sbagliato log

mbam: mbam-log-2010-01-19 (19-06-15).txt (http://wikisend.com/download/525232/mbam-log-2010-01-19 (19-06-15).txt)


Che devo fare adesso? Sono sicuro?

ops, hai ragione, ho sbagliato log

mbam: mbam-log-2010-01-19 (19-06-15).txt (http://wikisend.com/download/525232/mbam-log-2010-01-19 (19-06-15).txt)


Che devo fare adesso? Sono sicuro?

Allega un nuovo log di HJT

Allega un nuovo log di HJT

hijackthis.log (http://wikisend.com/download/527586/hijackthis.log)

hijackthis.log (http://wikisend.com/download/527586/hijackthis.log)

Aggiorna IE alla versione 8, successivamente passa al trattamento post infezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383).

Aggiorna IE alla versione 8, successivamente passa al trattamento post infezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383).

lo devo aggiornare comunque? anche se uso sempre firefox?

passo al post infezione, quindi deduco sono pulito ? :)

lo devo aggiornare comunque? anche se uso sempre firefox?

passo al post infezione, quindi deduco sono pulito ? :)

La risposta è si ad entrambe le domande :)

Vi ringrazio per gli aiuti che mi avete fornito indirettamente, grazie a questo thread e a quello consigliatomi dal buon chill credo di aver risolto i miei problemi. Ora sto facendo il trattamento post disinfezione, credo non sia più il caso di aprire threads appositi e di postare logs. Grazie ancora ;)