PDA

View Full Version : [Win XP] continui blocchi explorer.exe e rallentamento generale pc

kidd
30-03-2010, 20:02
ciao a tutti! il pc di un mio collega da qualche settimana soffre di un rallentamento generale del sistema e ogni due per tre si blocca e si riavvia explorer.exe.
come antivirus usa avast e non ha nessun firewall attivo a parte quello di windows

ecco i log

asquared: a2scan_100325-230001.txt (http://wikisend.com/download/476050/a2scan_100325-230001.txt)
cureit: CureIt.log (http://wikisend.com/download/122620/CureIt.log)
gmer: gmerlog.log (http://wikisend.com/download/666260/gmerlog.log)
malwarebytes: mbam-log-2010-03-25 (22-46-10).txt (http://wikisend.com/download/547222/mbam-log-2010-03-25 (22-46-10).txt)
prevx: prevx log.log (http://wikisend.com/download/566438/prevx log.log)
hijackthis: hijackthis.log (http://wikisend.com/download/937234/hijackthis.log)

secondo voi cos'ha?
wjmat
31-03-2010, 08:32
ciao

manca la scansione di fsecure

fai controllare su www.virustotal.com e su http://virscan.org/
c:\windows\system32\tbxqjrlp.ver


Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)




Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)


R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programmi\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\SearchSettings.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programmi\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O3 - Toolbar: MAX IT Atube Toolbar - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\tbMAX1.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [mumservice] C:\Program Files\Motorola\Software Update\mumservice.exe
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) - http://portal3.rinera.com/download/ConvivaStreamingPlugin-1.7.0.cab


e aggiornaci sullo stato del pc poi devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui (http://www.hwupgrade.it/forum/showthread.php?t=1726383)
kidd
12-04-2010, 20:29
ciao! innanzitutto grazie per l' aiuto, poi mi devi scusare se non ho scritto più nulla ma il mio collega ha avuto dei problemi e non ha potuto fare quanto dicevi.
per quanto riguarda la scansione con f-secure eccola:
rapporto fsecure.rtf (http://wikisend.com/download/220852/rapporto fsecure.rtf)

con virustotal.com e con virscan.org non siamo riusciti a fare la scansione del file tbxqjrlp.ver perchè una volta uplodato dava come errore "impossibile trovare il file caricato" e "0 bytes size received/se ha recibido un archivo vacio"

questo invece è il report di hijackthis con le voci fixate
hijackthis ultimo.log (http://wikisend.com/download/226664/hijackthis ultimo.log)
wjmat
13-04-2010, 00:18
segui gli ultimi consigli per aggiornare il pc e facci sapere se la situazione è migliorata
kidd
13-04-2010, 00:42
ma dopo avergli fatto aggiornare xp e ie, rifaccio le scansioni con tutti i programmi o posto solo il log di hijackthis?
wjmat
13-04-2010, 00:48
solo aggiornare per il momento
kidd
17-04-2010, 19:50
eccomi di nuovo :) ..gli ho fatto disinstallare la vecchia versione di internet explorer, poi gli ho fatto installare la versione 8 ed è andato tutto bene. successivamente gli ho fatto installare il sp3 però si è generato questo errore

http://img217.imageshack.us/img217/2639/immagineoj.jpg (http://img217.imageshack.us/i/immagineoj.jpg/)

però poi l' installazione si è completata
wjmat
19-04-2010, 00:41
i soliti errori ci sono sempre?
kidd
19-04-2010, 01:45
apparentemente no. mi ha detto che il pc non è più lento come prima e l' explorer non si blocca, però hijackthis segnala sempre quella voce strana
wjmat
19-04-2010, 08:31
apparentemente no. mi ha detto che il pc non è più lento come prima e l' explorer non si blocca, però hijackthis segnala sempre quella voce strana

quale voce strana?
kidd
21-04-2010, 19:26
scusa mi sono espresso male :), comunque questa

http://img687.imageshack.us/img687/5130/prevx.th.jpg (http://img687.imageshack.us/i/prevx.jpg/)
wjmat
22-04-2010, 08:18
Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Files to delete:
c:\windows\system32\tbxqjrlp.ver


In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un nome casuale prima di lanciarlo.
Chill-Out
22-04-2010, 09:18
Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/
kidd
22-04-2010, 19:54
Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

scusatemi. edito subito l' immagine :)
kidd
22-04-2010, 19:55
Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Files to delete:
c:\windows\system32\tbxqjrlp.ver


In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un nome casuale prima di lanciarlo.

ok, domani dico al mio collega di seguire le tue istruzioni
kidd
26-04-2010, 19:16
ecco a voi il log di avenger :)
avenger.txt (http://wikisend.com/download/473800/avenger.txt)
wjmat
27-04-2010, 13:11
prevx non dovrebbe segnalare più nulla ora, se lo fai rifai lo scan
poi come sta il pc?
kidd
27-04-2010, 20:11
prevx non dovrebbe segnalare più nulla ora, se lo fai rifai lo scan
poi come sta il pc?

il mio collega mi conferma che il pc adesso non soffre più di rallentamenti e soprattutto non si riavvia ogni due per tre exploer.exe.
quindi ti devo ringraziare per l' aiuto e per il tempo che hai perso :) !!
l' unica note dolente è che ci sarebbe anche il pc del figlio da sistemare, ed è messo in condizioni peggiori..
wjmat
27-04-2010, 20:52
di nulla
se anche l'altro pc è infetto la procedura la sai :)