Un mio amico mi ha chiesto assistenza per il computer che usa a lavoro. Oggi sono passato a dare un'occhiata e vi spiego qual è il problema!
In questo posto ci sono due computer, uno con windows 98 e uno con windows XP. Quello che da problemi è quello con windows xp. Inizialmente mi era stato detto che il problema era office in quanto il problema capitava aprendo documenti, non da errori e si riavvia. Ho così provato a reinstallare una nuova copia di office ma il problema persisteva. Solamente dopo ho notato che questo problema si verifica solamente quando vengono aperti documenti word accendendo via rete (i due computer sono connessi in rete con condivisione documenti) all'altro computer. Ho pensato allora che il problema potesse essere dovuto a questo. Cosa può essere?

P.s. Mi era stato consigliato di utilizzare combofix da modalità provvisoria, l'ho fatto ma mi dice 1) che è una versione vecchia (avrò sbagliato io). 2) mi dice che è presente un antivirus che potrebbe creare problemi, ma da modalità provvisoria non riesco a disattivarlo perchè vicino all'orologio non c'è nulla. La cartella Qoobox si è creata e nel file Quarantine c'era una sola riga con data e ora. Nonostante questo dopo il riavvio in modalità normale il problema persisteva!


GRAZIE

P.s. Mi era stato consigliato di utilizzare combofix da modalità provvisoria, l'ho fatto ma mi dice 1) che è una versione vecchia (avrò sbagliato io). 2) mi dice che è presente un antivirus che potrebbe creare problemi, ma da modalità provvisoria non riesco a disattivarlo perchè vicino all'orologio non c'è nulla. La cartella Qoobox si è creata e nel file Quarantine c'era una sola riga con data e ora. Nonostante questo dopo il riavvio in modalità normale il problema persisteva!


Combofix dura 7 giorni da quando fai il download.
Dall'ottavo giorno in poi non funziona più. :)
Questo non lo dice mai nessuno, neanche se vai nel sito di Combofix stesso.
Se ti dice che è una versione vecchia o se ti dice in inglese "Combofix has expired" vuol dire che devi downloadare una nuova versione.
Praticamente Combofix funziona cosi: non bisogna fare aggiornamenti, ma devi downloadare la nuova versione praticamente ogni 7gg.

Prima di downloadare la nuova versione, devi disinstallare la vecchia.

Per disinstallare Combofix old vai in start/esegui e digiti Combofix /u

o anche "%userprofile%\desktop\combofix.exe" /u se ce l'hai sul desktop.

Se non funziona lo puoi disinstallare andando in modalità provvisoria digitando sempre gli stessi comandi.

Per quanto riguarda la cartella QooBox, è una cartella che viene creata da Combofix stesso oltre al file di log.
La puoi tranquillamente prendere e buttare nel cestino cosi come il file di log di Combofix (a meno che non ti interessi tenerlo).

Non fare il download (è un consiglio, poi fate vobis, dicevano gli antichi latini ;) ) in documenti o in altri posti strani e lo lanci da li.
Potresti compromettere il funzionamento stesso di Combofix.

Adesso che hai disinstallato Combofix, puoi downloadare la nuova versione, da modalità normale.
Poi vai in provvisoria e lo lanci da li.
E normale che lui ti dica che sente che c'è la presenza di un antivirus: te lo dice due volte.
Una perchè ti individua l'icona dell'antivirus che hai sul desktop (il collegamento), la seconda perchè sente che è attivo anche se tu sei in modalità provvisoria.

Ok allora domani provo a ripetere l'operazione di combofix. Ma per quanto riguarda il problema?
Perchè mai si riavvia se apro un documento dell'altro computer?

Perchè mai si riavvia se apro un documento dell'altro computer?

Hai lo stesso Office installato su tutti e due i sistemi?

Questo non lo so ma suppongo che il computer con windows 98 non possa avere office superiori al 2000 perchè i successivi non sono supportati. Su quello che si riavvia invece era installato un office 2000 e io ho provato a installarci un office 2003, domani proverò a metterci il 2007 ma tanto non credo sia quello il problema... Che faccio?

heeeeeeeeeeeeeeeeelp

No, sono d'accordo anch'io, non occorre che installi office 2007, se non funzia con il 2003. Visto che office non lo puoi installare per i supporti, non hai pensato di metter anche sull'altro pc Xp ?
Però mi sa che ci sono un pò di virus. Fai anche una pulizia con CCleaner e ATF Cleaner e una deframmentazione.

Non posso, con questi computer ci lavorano ogni giorno e hanno tantissimi dati. La formattazione non è contemplata tra le soluzioni altrimenti avrei già provveduto. Cosa posso fare oltre a provare con combofix e ccleaner?

A nessuno vengono in mente possibili problemi legati all'apertura di dati via lan su un altro computer?

Allora fammi capire meglio, il problema è aprire un documento di word con il pc che ha Xp giusto? Invece se apri il documento in rete con windows 98 non ti da problemi. Giusto?
Scusa la domanda che può sembrare non pertinente, ma ovviamente hai in rete sia il disco che i documenti nella condivisione ?
Però è strano che il nuovo (Xp) non ti legga il documento che vai a vedere in windows 98. In teoria dovrebbe essere il contrario.

Mi sa che non hai capito, i documenti non sono in rete ma sono fisicamente sul computer con windows 98. Il problema del riavvio si crea quando dal computer con xp, tramite condivisione documenti via cavo di rete, si prova ad aprirne uno. Oggi sono tornato nell'ufficio e ho provato da modalità provvisoria ad avviare Combofix. Ha fatto tutto il suo processo stavolta e alla fine mi ha restituito il file txt che vi incollo.

ComboFix 10-02-23.02 - Administrator 24/02/2010 20.54.31.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.991.803 [GMT 1:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\recover.reg

.
((((((((((((((((((((((((( Files Creati Da 2010-01-24 al 2010-02-24 )))))))))))))))))))))))))))))))))))
.

2010-02-24 19:43 . 2010-02-24 19:43 -------- d-----w- c:\programmi\Microsoft ActiveSync
2010-02-24 19:41 . 2010-02-24 19:43 -------- d-----w- c:\windows\SHELLNEW
2010-02-24 19:41 . 2010-02-24 19:41 -------- d-----w- c:\programmi\Microsoft.NET
2010-02-24 19:04 . 2010-02-24 19:04 -------- d-----r- C:\MSOCache
2010-02-23 18:50 . 2010-02-23 18:50 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-02-23 18:42 . 2003-06-18 16:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-23 18:42 . 2003-06-18 16:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-02-23 18:30 . 2010-02-23 18:30 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-02-23 18:30 . 2010-02-24 19:38 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-01-27 17:03 . 2010-01-27 17:03 -------- d-----w- c:\programmi\Maxtor
2010-01-27 17:02 . 2010-01-27 17:02 -------- d-----w- C:\Maxtor temp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 19:04 . 2009-10-07 14:41 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\U3
2010-02-22 12:11 . 2009-11-11 08:22 79488 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-12 14:54 . 2007-11-23 10:58 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Maxtor
2010-02-09 17:12 . 2007-11-23 10:42 90112 ----a-w- c:\windows\DUMP82fb.tmp
2010-01-27 17:03 . 2007-11-23 10:40 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-12-11 08:26 . 2009-07-06 10:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]
2009-11-17 18:22 2166296 ----a-w- c:\programmi\Cerca_Italia\tbCer1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{45dd02aa-87d3-441a-9e77-068f8fa93fc8}"= "c:\programmi\Cerca_Italia\tbCer1.dll" [2009-11-17 2166296]

[HKEY_CLASSES_ROOT\clsid\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 57344]
"AGRSMMSG"="AGRSMMSG.exe" [2002-12-20 87751]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"Maple_S2P"="c:\programmi\Samsung\Samsung CLX-216x Series\SPanel\PSU\Scan2pc.exe" [2007-01-16 253952]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-04-19 520192]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HTpatch"="c:\windows\htpatch.exe" [2002-12-19 28672]
"mxomssmenu"="c:\programmi\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-07-13 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ADMIN\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Utilit… controllo supporti di Cyber-shot Viewer.lnk - c:\programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-9-4 155648]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
PC Alert 4.lnk - c:\programmi\MSI\PC Alert 4\StartPCAlert4.exe [2009-7-31 188416]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9156:TCP"= 9156:TCP:*:Disabled:ztzlbp

S2 fwmvjjude;Config Update;c:\windows\system32\svchost.exe -k netsvcs [31/08/2001 15.00.00 14336]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
fwmvjjude
.
Contenuto della cartella 'Scheduled Tasks'

2010-02-24 c:\windows\Tasks\User_Feed_Synchronization-{448FB8B0-CB12-4B9A-81C3-3B34E343B1AE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Scansione supplementare -------
.
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Toolbar-Locked - (no file)
MSConfigStartUp-LClock - c:\programmi\LClock\LClock.exe
MSConfigStartUp-VisualTooltip - c:\programmi\VisualTooltip\VisualToolTip.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 21:02
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???]??[???????[???[???????????????? ??[???[?O?????[$??????[????????????{??[???????????[$??~????(????~:~???~?????~:~???~???[@???????d??????[%??[x??[d??????[,>?[???[v?:~Z|?[{3?[?2?[????st.I????G??[????d????<?[?I?[

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwmvjjude]
"ServiceDll"="c:\windows\system32\afpctbko.dll"
.
Ora fine scansione: 2010-02-24 21:05:33
ComboFix-quarantined-files.txt 2010-02-24 20:05

Pre-Run: 54.002.184.192 byte disponibili
Post-Run: 57.335.848.960 byte disponibili

- - End Of File - - E9794AC1A192EB88DF5CCB9A46728F58

Mi sa che non hai capito, i documenti non sono in rete ma sono fisicamente sul computer con windows 98. Il problema del riavvio si crea quando dal computer con xp, tramite condivisione documenti via cavo di rete, si prova ad aprirne uno.


Forse mi sono espresso male ma quando tu hai detto "tramite condivisione documenti via cavo di rete" , io ho detto rete ma intendevo ovviamente condivisione di rete.

Invece se apri il documento in rete con windows 98 non ti da problemi. Giusto?
........ma ovviamente hai in rete sia il disco che i documenti nella condivisione ?


Forse il problema è come apri il file di word che è condiviso (ossia sotto c'è la figura a T della rete LAN).
Invece di dargli doppio click, dovresti aprirlo andando con tasto dx sul documento di word e dirgli nel menu a tendina che ti appare di aprirlo nel modo in cui viene visto e riconosciuto dal pc . Che poi bisogna vedere questo documento come l'hai creato con office 2000? magari in Xp office 2000 non gira bene e non te lo apre.

Per il file di Combofix ti ha preso qualcosa, dimmi nel file di log di ComboFix-quarantined-files che si trova dentro la cartella Qoobox, quante righe sono scritte.

Prova anche a dargli il comando sfc /scannow da start/esegui, che prevede l'inserimento del cd originale (lo spazio c'è solo dopo sfc)

Allora innanzitutto ho dimenticato di dirvi che ho provato a disattivare il riavvio automatico in seguito a errore di sistema premendo F8 prima dell'avvio e ora invece di riavviarsi si impalla tutto e si freeza.

Questo è il txt ComboFix-quarantined-files:

2010-02-24 20:03:51 . 2010-02-24 20:03:51 616 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-VisualTooltip.reg.dat
2010-02-24 20:03:51 . 2010-02-24 20:03:51 560 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-LClock.reg.dat
2010-02-24 20:03:40 . 2010-02-24 20:03:40 173 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2010-02-24 20:03:40 . 2010-02-24 20:03:40 213 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829}.reg.dat
2010-02-24 20:00:07 . 2010-02-24 20:00:07 7,563 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-24 19:52:50 . 2010-02-24 19:52:50 51 ----a-w- C:\Qoobox\Quarantine\catchme.log
2008-01-10 16:17:12 . 2008-03-18 16:06:19 212 -c--a-w- C:\Qoobox\Quarantine\C\WINDOWS\recover.reg.vir


Non ho capito bene cosa mi hai detto di provare con il tasto destro ma cmq ti spiego meglio come si riavvia. In pratica il documento si apre e si visualizza perfettamente e per circa 20 secondi è visualizzabile normalmente, credo anche modificabile, poi si rallenta e parte il riavvio oppure si freeza dopo aver disattivato il riavvio automatico.

tallines a che serve quel comando? Non so se il windows è installato sia originale, suppongo di si trovandosi in un ufficio però ho paura che il disco originale non ce l'abbiano più.

A nessuno è capitata la stessa cosa?

Il log di combofix mostra segni di infezione che non sono stati eliminati.
Salva sul desktop lo script che ti allego e trascinalo sull'icona di combofix Aspetta la fine della sua esecuzione.Poi posta di nuovo il suo log.Se non si risolve cosi' poi ti dovrai spostare nella sezione antivirus.

Forse Combofix non basta.
Allora a parte che secondo me non occorre disattivare il riavvio automatico, visto le conseguenze.
Hai Windows 98 con Office 2000 e Xp con prima Office 2000 e adesso office 2003.
Sia con office 2000 che con office 2003 aprire in Xp un file di word (condiviso in rete) ti crea problemi.

Domanda: prima che succedesse il problema aprivi i file di word (creati a questo punto con office 2000 visto che avevi su tutti e due i pc office 2000) condivisi con windows Xp senza problemi? E adesso ti da problemi?

O sono virus, worms..... o c'è qualcosa che va in conflitto o li apri in maniera sbagliata.
Come ti ho detto prova ad andare su un file condiviso, invece di fare doppio click per aprirlo, vai con il puntatore del mouse sul file di word che vuoi aprire. Fai tasto dx: ti si aprirà un menu a tendina, in fondo a questo menu troverai dei parametri diversi per aprire in vari modi il file di word .

In più se hai avuto dei riavvii sicuramente troverai delle informazioni più specifiche e dettagliate sul perchè ti è successo quello che ti è successo andando nel Visualizzatore Eventi .
Per andarci scrivi il comando eventvwr in Start/esegui.
Guarda in Applicazioni e in Sistema cosi ti dice (negli eventi Errore ovviamente).

Non occorre che posti tutti gli errori o quelli specifici se ne hai tanti, usa al limite www.wikisend.com .

Ok proverò a vedere il registro eventi e vi farò sapere cosa c'è. Provo anche con quello script. Cmq il problema credo ci sia da tanto tempo. Ripeto il computer si trova in un ufficio dove lavora un mio amico che mi ha chiamato per aiutarlo a risolvere, credo che il problema ci sia da parecchio non credo che ricordino quando e in base a quali modifiche sia iniziato anche perchè sono davvero poco pratici con il computer!

P.s. Tallines proverò anche ad aprire il file così ma non so se dipende da questo anche perchè word si apre per una 20ina di secondi funziona bene...cmq proverò!

Bene. Segui anche il consiglio di marcosco .

Ok sono appena tornato...Per prima cosa ho pulito i registri dell'eventvwr dopodichè ho aperto uno dei file word che fanno riavviare, al riavvio ho rieffettuato l'eventvwr e salvato il registro, poi ho fatto quello che consigliava marcosco e ripetuto il salvataggio del registro da eventvwr. Infine ho riprovato a riaprire uno dei file word incriminati ma il computer si è riavviato ancora così al riavvio ho ripetuto il salvataggio del registro eventvwr.

Ho un dubbio, il processo di combofix trascinandoci sopra quel txt di marcosco mi è sembrato identico a quello normale, possibile? Unica differenza notata da me è che al termine mi ha riavviato il computer.

Cmq vi allego tutti i registri vari e i log di combofix. Spero che stavolta saprete trovarmi la soluzione.

Questo è il log di combofix dopo averlo avviato con il txt:

ComboFix 10-02-24.03 - Utente 25/02/2010 19.40.59.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.991.641 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Utente\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FWMVJJUDE
-------\Service_fwmvjjude


((((((((((((((((((((((((( Files Creati Da 2010-01-25 al 2010-02-25 )))))))))))))))))))))))))))))))))))
.

2010-02-24 19:43 . 2010-02-24 19:43 -------- d-----w- c:\programmi\Microsoft ActiveSync
2010-02-24 19:41 . 2010-02-24 19:43 -------- d-----w- c:\windows\SHELLNEW
2010-02-24 19:41 . 2010-02-24 19:41 -------- d-----w- c:\programmi\Microsoft.NET
2010-02-24 19:04 . 2010-02-24 19:04 -------- d-----r- C:\MSOCache
2010-02-23 18:50 . 2010-02-23 18:50 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-02-23 18:42 . 2003-06-18 16:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-23 18:42 . 2003-06-18 16:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-02-23 18:30 . 2010-02-23 18:30 -------- d-----w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-02-23 18:30 . 2010-02-24 19:38 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-01-27 17:03 . 2010-01-27 17:03 -------- d-----w- c:\programmi\Maxtor
2010-01-27 17:02 . 2010-01-27 17:02 -------- d-----w- C:\Maxtor temp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 19:04 . 2009-10-07 14:41 -------- d-----w- c:\documents and settings\Utente\Dati applicazioni\U3
2010-02-22 12:11 . 2009-11-11 08:22 79488 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-12 14:54 . 2007-11-23 10:58 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Maxtor
2010-02-09 17:12 . 2007-11-23 10:42 90112 ----a-w- c:\windows\DUMP82fb.tmp
2010-01-27 17:03 . 2007-11-23 10:40 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-12-11 08:26 . 2009-07-06 10:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
.


questo è il log del quartine-files:
2010-02-25 18:53:19 . 2010-02-25 18:53:19 171 ----a-w- C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829}.reg.dat
2010-02-25 18:49:13 . 2010-02-25 18:49:13 296 ----a-w- C:\Qoobox\Quarantine\H\av1.zip
2010-02-25 18:49:12 . 2007-05-10 07:48:26 32 ----a-w- C:\Qoobox\Quarantine\H\autorun.inf.vir
2010-02-25 18:44:06 . 2010-02-25 18:44:06 2,620 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Service_fwmvjjude.reg.dat
2010-02-25 18:44:06 . 2010-02-25 18:44:06 1,058 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_FWMVJJUDE.reg.dat
2010-02-25 18:43:58 . 2010-02-25 18:43:58 7,601 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-25 18:40:55 . 2010-02-25 18:40:55 0 ----a-w- C:\Qoobox\Quarantine\catchme.txt
2010-02-25 18:35:35 . 2010-02-25 18:38:14 153 ----a-w- C:\Qoobox\Quarantine\catchme.log


Vi allego i registri dell'eventvwr, il primo è dopo avergli causato il riavvio. Il secondo è subito dopo aver utilizzato lo script di marcosco e il terzo è dopo aver utilizzato lo script e aver causato il riavvio.

Dopo utilizzo script

dopo script e riavvio causato dall'apertura doc word

Vi allego anche l'intera cartella Qoobox e il log postato sopra dopo l'utilizzo di quello script di marcosco.

Vi prego risolvetemi sto problema!

Allora ti ha beccato solo un virus, pochino.
Gli script una volta aperti sono tipo fantasmino, dovevi upparli su wikisend in file di testo.
Non occorre che mandi tanti file di script, ne basta uno, una volta che ti succede l'evento: però uppali su www.wikisend.com e riporta il link per fare il download.

Per quanto riguarda FWMVJJUDE vai nel registro di sistema da Start/Esegui e scrivi regedit e prova cercarlo con la funzione modifica/trova.
Sperando che tu lo trovi, prima di fare la cancellazione o meglio prima di fare qualsiasi operazione di scan (con Combofix, con l'antivirus, con l'antispyware.....) disattiva ripristino config di sistema sempre, mettendo il segno di spunta. Una volta finiti tutti gli scan o le operazioni lo levi ;)
Per quanto riguarda gli eventi con eventvwr ne basta uno ;) .
Pulisci Appllicazioni e sistema del Viusalizzare eventi, poi quando ricapita l'errore lo posti. Se è corto lo puoi postare, se è lungo.....meglio andare su wikisend ;)

Ho capito circa l'80% di quello che mi hai spiegato. In pratica dovrei rifare tutto da capo? Io non posso andare quando voglio in quell'ufficio purtroppo, dovevate dirmelo prima che non potevo riportarveli così (non ve ne sto facendo una colpa, per carità, è per giustificarmi)...Ricapitolando:

Gli script una volta aperti sono tipo fantasmino, dovevi upparli su wikisend in file di testo.
Non occorre che mandi tanti file di script, ne basta uno, una volta che ti succede l'evento: però uppali su www.wikisend.com e riporta il link per fare il download.


Ti riferisci allo script di marcosco, dove ho sbagliato?

Per quanto riguarda FWMVJJUDE vai nel registro di sistema da Start/Esegui e scrivi regedit e prova cercarlo con la funzione modifica/trova.

Questo sarebbe il virus che ha trovato? Potrebbe essere la causa del problema? Dovrei eliminarlo dal regedit?

Sperando che tu lo trovi, prima di fare la cancellazione o meglio prima di fare qualsiasi operazione di scan (con Combofix, con l'antivirus, con l'antispyware.....) disattiva ripristino config di sistema sempre, mettendo il segno di spunta. Una volta finiti tutti gli scan o le operazioni lo levi
Per quanto riguarda gli eventi con eventvwr ne basta uno .

Questo è un avviso per i futuri scan?

Pulisci Appllicazioni e sistema del Viusalizzare eventi, poi quando ricapita l'errore lo posti. Se è corto lo puoi postare, se è lungo.....meglio andare su wikisend

I file che vi ho allegato sono i registri subito dopo l'errore avvenuto (puliti prima di causare l'errore). Perchè non vanno bene?

I file di script io non riesco a leggerli una volta szippati.
Se tu li caricavi su wikisend era meglio e più pratico.

FWMVJJUDE è il virus che può essere che ci sia come che non ci sia. Per vedere o provare a vedere devi andare nel registro di sistema tramite il comando regedit e cercarlo

Il virus che ti ha trovato Combofix e che ti ha cancellato è un'altro.

Disattivare ripristino config di sistema, durante gli scan, serve a far si che il virus o i virus, mentre viene cancellato praticamente non si replichi .

Prova invece a fare in più uno scandisk da C/tasto dx del mouse/Proprietà/Strumenti /Esegui scandisk . Metti il segno di spunta su tutte e due le opzioni che trovi. Ti dirà che te lo farà al riavvio del pc. Tu digli di si.

I file di script io non riesco a leggerli una volta szippati.
Se tu li caricavi su wikisend era meglio e più pratico.

FWMVJJUDE è il virus che può essere che ci sia come che non ci sia. Per vedere o provare a vedere devi andare nel registro di sistema tramite il comando regedit e cercarlo

Il virus che ti ha trovato Combofix e che ti ha cancellato è un'altro.

Disattivare ripristino config di sistema, durante gli scan, serve a far si che il virus o i virus, mentre viene cancellato praticamente non si replichi .

Prova invece a fare in più uno scandisk da C/tasto dx del mouse/Proprietà/Strumenti /Esegui scandisk . Metti il segno di spunta su tutte e due le opzioni che trovi. Ti dirà che te lo farà al riavvio del pc. Tu digli di si.

Non ho capito cosa ti dovevo caricare su wikisend, perchè ne parli sia per gli script fantasmino (che non ho capito cosa siano) sia per i registri dell'eventwvr. Non vanno bene quei registri allegati dell'eventwvr? Li ho salvati subito dopo il riavvio dovuto all'errore,prima e dopo aver utilizzato combofix con lo script.

Quindi per FWMVJJUDE devo aprire il registro di sistema fare modifica-trova e mettere FWMVJJUDE. Cosa dovrei trovare? Una voce che ha questo nome e poi cancellarla?

Proverò lo scandisk ma secondo me il problema è altrove.

Come si evince dal log il driver FWMVJJUDE responsabile del virus è stato eliminato.Non devi cercarlo da nessuna parte.Per completezza mi era sfuggito un altro problema per la fretta.Rifai la stessa operazione che hai fatto in precedenza con un altro script che ti posto.Se anche cosi' non risolvi ti consiglio di andare come già detto in sicurezza(qui non è consentito eliminare virus).

Si ma prima che ci torno spiegatemi bene cosa devo fare con l'eventvwr così non mi sbaglio, non ho capito perchè i registri così cm li ho allegati non vanno bene.

Quindi questo script lo trascino sull'icona di combofix e lascio fare no? Sempre da modalità provvisoria e avendo disattivato il ripristino automatico (da modalità provvisoria lo posso disattivare si? ) ?

Farò anche lo scandisk

Quindi questo script lo trascino sull'icona di combofix e lascio fare no
si

E il registro degli eventi perchè devo rifarlo? Non ho capito perchè non va bene quello allegato e in caso non vada bene non ho capito come diavolo postarvelo...

Devi andare in visualizzatore eventi,alla sx entrare in applicazione e trovare la x rossa relativa all'errore causato e riportare cosa dice la descrizione.Cosi' anche in sistema.Lo puoi direttamente incollare qui.

Ok penso di ritornarci lunedì. Quindi farò le seguenti cose ditemi se vanno bene o se posso fare altro:

1) Disattivo ripristino automatico
2) Faccio fare un giro di combofix in modalità ripristino con quello script nuovo trascinandocelo sopra
3) Causo l'errore e salvo la descrizione dell'errore dall'eventvwr.
4) Scandisk
5) Aggiorno driver LAN
6) Reinstallo Office 2000 (magari si trova meglio con office 2000 dell'altro pc)
7) Installo service pack office 2000
8) Provo a ricausare l'errore per vedere se miracolosamente si è sistemato
9) Riattivo ripristino automatico

Manca qualcosa? C'è qualcosa di sbagliato?

Non ho capito cosa ti dovevo caricare su wikisend, perchè ne parli sia per gli script fantasmino (che non ho capito cosa siano) sia per i registri dell'eventwvr. Non vanno bene quei registri allegati dell'eventwvr? Li ho salvati subito dopo il riavvio dovuto all'errore,prima e dopo aver utilizzato combofix con lo script.

Fantasmino significa che il file ti appare con una cornice bianca con il lato in alto a destra con un risvolto verso l'interno, all'interno di questo quadrato bianco c'è un 'altro quadrato con 6 icone.
Se si prova ad aprirlo con il doppio click la risposta è :
impossibile aprire il file (nome del file). Per aprire il file indicare il programma con cui è stato creato.
Tutto qui. ;)

Se andando nel visualizatore eventi posti solo un'errore, allora lo puoi postare incollandolo direttamente qui.
Se metti trovi 25 errori e li posti tutti nella discussione : scriviamo la Treccani.......appesantisci la discussione stessa.
Se devi postare una cosa lunga la uppi su wikisend andando in www.wikisend.com che è un motore di file sharing ossia dove postare file di report per i forum.
Poi viene generato un link o meglio l'indirizzo dove si trova quello che tu hai uppato (messo on line) .
Quelli che seguono la discussione vanno sul link generato da wikisend e downloadano quello che tu hai postato.
Questo si fa per praticità, per non appesantire le discussioni (soprattutto se devi postare un'immagine ma non è il tuo caso) e per non scrivere...la Treccani ;)


Quindi per FWMVJJUDE devo aprire il registro di sistema fare modifica-trova e mettere FWMVJJUDE. Cosa dovrei trovare? Una voce che ha questo nome e poi cancellarla?


Si, fare una ricerca in più non fa mai male.
Alcuni virus cambiano estensione mantenendo il nome originario.
Altri cambiano sia il nome che l'estensione: in questo caso la ricerca di FWMVJJUDE sarebbe inutile.

Non ho capito il punto 8: perchè dovresti ricausare l'errore???

Disattivi ripristino configurazione di sistema (si può fare anche da modalità provvisoria).
Vai in Visualizzatore eventi e pulisci tutto soprattutto le voci Applicazioni e Sistema.
Trascini lo script sull'icona di Combofix (ricordati che Combofix dura 7 giorni da quando hai fatto il download).
Vedi se aprendo un file di word dopo 20 secondi come hai detto torna a presentarsi lo stesso problema.
In Visualizzatore eventi vai in Applicazioni e in Sistema: guarda gli errori che ti compaiono.
Puoi riportare la descrizione dell'errore, meglio ancora se fai tasto dx del mouse/Proprietà trovi dei parametri sull'errore più specifici.
Puoi riportare anche quelli magari solo scrivendoli.
Fai lo scandisk.

Volendo, dico volendo potresti disinstallare Office e mettere Openoffice (che è gratis, quindi non ci sono problemi di licenze, limitazioni o quant'altro).
Per vedere se il pc si comporta alla stessa maniera o meno.

Il ripristino configurazione di sistema lo fai una volta finito di usare Combofix.
I punti di ripristino si creano in modalità normale, non in modalità provvisoria.

Dunque sono appena tornato..purtroppo in quell'ufficio posso andarci alle 19 e fino alle 20.30 non sono riuscito a fare tutto. Cmq sono riuscito a fare questi punti:

1) Disattivo ripristino automatico
2) Faccio fare un giro di combofix in modalità ripristino con quello script nuovo trascinandocelo sopra
3) Causo l'errore e salvo la descrizione dell'errore dall'eventvwr.
4) Scandisk

Vi allego i report di combofix e i log di eventvwr, ho salvato le descrizioni solamente degli errori con le X rosse e li ho messi di seguito in un txt

Dopo tutti questi punti ho riprovato e il computer si riavviaaaaaaaaaa

http://wikisend.com/download/475266/Combofix.rar
http://wikisend.com/download/908430/reporteventvwr.txt

P.s. Non ho riattivato il ripristino automatico...è grave se il computer lavori fino a domani sera prima che lo riattivi?

P.s. Non ho riattivato il ripristino automatico...è grave se il computer lavori fino a domani sera prima che lo riattivi?

Non succede niente a meno che non lo si lasci troppo a lungo senza nessun punto di ripristino.
A lungo significa da una settimana in su.
Per un giorno non succede nulla.

Dai report che ho allegato si deduce qualcosa?

7 voci buone (buone nel senso che ti ha trovato qualcosa che non andava e te lo ha cancellato) su 10 scritte per Combofix :
di cui un virus in system 32 e in più sparite le voci
-------\Legacy_FWMVJJUDE
-------\Service_fwmvjjude
Puoi cancellare la cartella Qoobox. Se vuoi tieni i ireport di Combofix e di ComboFix-quarantined-files.
Per disinstallare Combofix scrivi Combofix /u in start/esegui.

Per l'Event Viewer (eventvwr) ti ha trovato 5 errori.
Microsoft Office 11, crypt32, Server, Service Control Manager e System Error.

Allora le soluzioni secondo me sono 3.
O provi a vedere se ci sono degli aggiornamenti per l'office che hai installato e magari ti risolve il problema
o alla peggio formatti salvando i dati
o puoi provare a reinstallare i file originali di windows cosi:

http://wikisend.com/download/508078/RIPRISTINARE I FILE DI WINDOWS DA CD ORIGINALE SENZA FORMATTARE.doc

Però se il problema principale è office o sembra essere office.....
Un pò di virus li abbiamo beccati, se con il ripristino dei file del sistema non si risolve, il problema sta in office, in teoria con gli aggiornamenti dovresti risolvere.

Fai in primis una cosa (prima di andare su wikisend - al limite tirati giù la procedura che ti ho postato perchè scade tra 7 gg):

prova con windows update a vedere se ci sono degli aggiornamenti disponibili per office.

Allora ho provato installando office xp (2002) che è la stessa versione installata sull'altro pc con windows 98. Si riavvia cmq. Ho provato a installargli il service pack 3 dell'office xp: si riavvia lo stesso. Alla fine ho provato a installare openoffice e aprendo i documenti con quello NON SI RIAVVIA. Questo credo che faccia capire che il problema è sicuramente legato a office ma come è possibile dato che ho installato almeno 5 versioni diverse e tutte davano lo stesso errore???

Visto che è office? Almeno......Anche perchè nel event report era molto lunga la serie di errori che riportava Microsoft office 11 rispetto agli altri.
In teoria quando tu installi office, non so perchè ma c'è qualcosa che va in conflitto penso, altrimenti a qual pro ti deve dare problemi.
Addirittura 5 versioni ??????
Dicevi che non solo avevi problemi ad aprire file di word ma anche altri tipi di file.
Avendo openoffice questi altri file li apri senza aver problemi?

Hai provato a fare la procedura di ripristino del SO da cd ?

No solo con doc word di una determinata cartella da errori. Non ho potuto provare il ripristino dell'os per mancanza di tempo.

Si ma ripeto, aprendo altri tipi di file , che prima con office (invece di openoffice) ti davano problemi all'apertura o una volta aperti, adesso quando hai provato openoffice, ti danno gli stessi problemi?

No no il problema che dava prima era il riavvio istantaneo. Cioè il documento si apriva, poi se per esempio scendevo giù con lo scroll alla seconda pagina dopo 20 secondi schermo nero e si riavviava.

Con openoffice non da alcun tipo di problema...

Ok. Bene dai, da un certo punto di vista.
Se non risolvi con il ripristino dei file del SO da cd originale, mi sa che devi tenerti openoffice, in più è gratis ;)

Prova come ultima spiaggia a tenere aperto il task manager mentre apri i documenti con word e vedere se c'è qualche processo che ti occupa molta cpu.

L'unica cosa che non ho provato è aggiornare i driver lan ma non credo dipenda da questo giusto? Possibile che non ci sia una spiegazione a tutto questo?

L'unica cosa che non ho provato è aggiornare i driver lan ma non credo dipenda da questo giusto? Possibile che non ci sia una spiegazione a tutto questo?

Come siamo? Sempre uguale la situazione?

Prova questi:

1)Un ottimo tool di controllo e di diagnosi che fa la scansione del computer per farne un check completo, è fornito dalla Eset (quella che sviluppa l'antivirus NOD32) e si chiama Sysinspector.

http://www.eset.com/download/sysinspector.php


2) Cosa sta facendo il pc ???

WhatsMyComputerDoing

da http://www.navigaweb.net/2010/01/controlla-cosa-fa-il-computer-se-carica.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+navigaweb+%28Pom-HeYWEB!%29

Altro interessante tool è GetSystemInfo che rientra tra gli analizzatori di sistema, come dice qui:

http://www.megalab.it/3356/con-getsysteminfo-e-sysinspector-analizzi-tutti-i-file-del-tuo-computer