Ciao a tutti,

ho un piccolo problema dalla settimana scorsa.Giovedì scorso dopo aver avviato il PC notavo una strana lentezza nell'avvio dei vari programmi.
All'inizio i Browsers nemmeno mi partivano.
Ho provato un ripristino della impostazioni di sistema (Prima di eseguire la guida x disinfezione da infetti) ed grazie a quella che i browsers mi sono ripartiti ma dopo un pò il probelma si è ripresentato.
Per esempio se avviavo mozilla ci stava molto a partire, anche se avviavo chrome mi faceva lo stesso e dopo un pò cercando magari di fare qualche ricerca su google si impallavano.
Ma quando cercavo di chiuderli non me li faceva chiudere, magari la finestra si chiudeva e dal TASKMANAGER o PROCEXP mi diceva che il programma era ancora attivo.
Altri programmi ancora li vedevo su TASKMANAGER o PROCEXP ma non compariva la finestra relativa, nè su TASKMANAGER o PROCEXP mi davano l'opzione per farla comparire.
Preciso che lo stesso problema si è verificato con alcuni software antivirus che ho provato ad usare seguendo la guida per la disinfezione da infetti. (Tipo ESET ecc..) Ho provato la scansione con Malwarebytes mi ha dato alcune indicazioni che però il programma nemmeno mi spuntava da eliiminare perchè a basso rischio , ma le ho eliminate lo stesso e il problema non è scomparso.
Ho provato un ripristino della impostazioni di sistema (Prima di eseguire la guida x disinfezione da infetti) ed grazie a quella che i browsers mi sono ripartiti ma dopo un pò il probelma si è ripresentato.
Spiego perchè dico errore Hardware.
Provando a chiudere i programmi impallati con FileAssassin mi compare la schermata Blu di windows e fin
li potrebbe anche starci il punto è che questa schermata e segnata da mille righe come una televisione malsintonizzata.

Spero che qualcuno possa indicarmi una strada per riportare il pc ad un minimo di accettabilità.
Grazie anticipatamente anche solo x l'attenzione.

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Scusatemi innanzitutto se rispondo così lentamente, ma il mio notebook ha il problema di cui sopra e quando effettuo una scansione non mi permette di aprire nessun browser. Anche quando non effettuo scansioni, scrivere è un problema xchè spesso devo riavviare la macchina xchè solo a notebook appena riavviato i browser funzionano un pò.
Il notebook in questione è un Toshiba Qosmio Q20-128.
Tipo computer PC uniprocessore ACPI (Mobile)
Sistema operativo Microsoft Windows XP Media Center Edition
Service pack Service Pack 3
Internet Explorer 8.0.6001.18702
DirectX 4.09.00.0904 (DirectX 9.0c)
Scheda madre:
Tipo processore Mobile Intel Pentium M 760, 2000 MHz (15 x 133)
Nome scheda madre Toshiba Qosmio G20
Chipset scheda madre Mobile Intel Alviso i915PM
Memoria di sistema 2048 MB (DDR2-667 DDR2 SDRAM)
DIMM1: Kingston 9905295-029.B01LF 1 GB DDR2-667 DDR2 SDRAM (5-5-5-15 @ 333 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz)
DIMM3: Kingston 9905295-029.B01LF 1 GB DDR2-667 DDR2 SDRAM (5-5-5-15 @ 333 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz)

Ecco i link vi metto tutte le scansioni che ho fatto (ne ho fatte diverse con gli stessi programmi poi scegliete voi).
http://wikisend.com/download/951046/mbam-log-2011-04-02 (12-51-03).txt
http://wikisend.com/download/414020/mbam-log-2011-04-04 (13-27-59).txt

http://wikisend.com/download/484350/a2scan_110402-131932.txt
http://wikisend.com/download/960822/a2scan_110405-081845.txt

http://wikisend.com/download/430838/hijackthis mer 06042011 1506.txt

F-Secure Online non sono riuscito nella scansione
Dr.Web la scansione rapida non mi ha rilevato nulla
Eset non mi si è avviato (forse dovrei aggiornarlo appena avviato il pc, e poi fare la scansione in mod provvisoria)
Gmer scansione non andata a buon fine non mi è comparso alcun loo g
Prevx 3.0 non ho copiato la finestra del risultato( se è il caso riavvio e rifaccio la scansione)
Spero di essere riuscito almeno a darvi le informazioni giuste

spero tu abbia impostato i dns come richiesto dalla guida.

le cose individuate da malwarebytes vanno cancellate e TUTTE le cose individuate da emsisoft antimalware vanno messe in quarantena.
rifai queste due scansioni aggiornardo prima il proggramma, grazie

poi riavvia e riprova la scansione con F-secure, se non va usa il tool di kaspersky, poi pubblica il log

con dr.web cureIT devi fare la scansione completa, quando lo esegui lui in automatico procede con la scansione veloce. stoppalo e avvia la scansione completa poi salva il log csv.

poi rifai gmer, scarica la nuova versione di hijackthis, e poi fai una nuova scansione con prevx facendo il print dello schermo e salvando il log.


grazie

Ciao scusa,

Hai subito individuato un primo mio errore i DNS.
(nella versione TXT della guida, stampata x un eventuale uso in modalità provvisoria, non ci avevo fatto caso.)

Ora li ho riconfigurati x come si deve.

Ora ricomincio da ATF (sempre col ripristino disattivato) e pian piano, x come il notebook mi permette, posto i risultati.

Posto l'esito della prima scansione

http://wikisend.com/download/373008/mbam-log-2011-04-06 (19-07-07).txt

Procedo con Emisoft Anti-Malware

ottimo e qui malwarebytes non ha più trovato nulla, vai con la successiva :)

Allego il log della scansione di Emisoft ma devo rifare la scansione xchè mentre stava eliminado i problemi trovati (393) si è impallato il Notebook dopo 1 ora di inutile attesa che si sloccasse l'ho dovuto spegnere forzatamente e riavviare, riscontrando che solo 253 problemi erano stati messi in quarantena.
Ecco il log e ci rivediamo tra 10 ore circa, vi ringrazio anticipatamente della pasienza ulteriore.

http://wikisend.com/download/586872/a2scan_110407-060009.txt

complimenti ne hai scaricata di robaaa, c'è qualcosa che non avevi scaricato? :asd:
te lo chiedo perchè spero che d'ora innanzi non ti darai più a keygen.. il log della nuova scansione salvalo dopo avergli dato l'azione di quarantena così vediamo anche dal log se ha problemi a sanare qualche oggetto :)

Ho la sensazione che quasi vedi quello che mi succede.

Come ti ho anticipato, stavo x fare ripartire la scansione con Emisoft quando mi sono accorto che quasi subito ha rilevato un centinaio di problemi che credo che fossero quelli che aveva tralasciato. Alloraho stoppato la scansione e dato l'ok per mettere i problemi riscontrati in quarantena. ma praticamente il notebook mi si impalla sempre (l'ultima volta ho aspettato 3 ore prima di forzare la chiusura) senza in pratica eliminarle. ora faccio l'ultimo tentativo facendo completare la scansione e vedendo se mi libera tutti i problemi ma credo che dovrò aspettare una decina di ore, quindi domattina potrò farti sapere qualcosa.

se anche questa volta si inchiodasse proveremo a farla via CMD in teoria in questo modo non dovrebbe bloccare il pc..

Ho provato di tutto, l'ultima è stata mettere il notebook in modalità provvisoria e fare la scansione. La scansione è stata terminata alle 0819 e fino alle 0943 era impallato nel tentativo di mettere i 105 problemi rilevati in quarantena. Ti posto il risultato della scansione delle 0819 e i file messi in quarantena così li puoi confrontare.

http://wikisend.com/download/408362/a2scan_110407-235028.txt

http://wikisend.com/download/223678/quarantine.txt

Noterai che sono rimasti circa 100 problemi non messi in quarantena dalla 1° scansione e che non riesco a mettere in quarantena.
Forse col CMD, come dicevi tu, riesco ma aspetto maggiori ragguagli da parte tua.
Grazie

ok procediamo da linea di comando.. puoi proocedere con due strade, manualemente o creando un file bat che puoi schedulare in windows per avere sempre questa scansione attiva a tempi regolari.

prima escludi il file c:\program files\emsisoft antimalware\a2cmd.exe dalle scansioni in temporale dell'antivirus.

il procedimento è sempre il medesimo cambia solo che inn un caso lavori nella schermata CMD e nell'altro invece scrivi un file di testo con i due comandi e poi salvi come .bat o .com

la guida è qui: http://www.hwupgrade.it/forum/showthread.php?p=19072773#post19072773

in sostanza apri CMD, poi ti posizioni nella cartella di emsisoft antimalware, e scrivi:
a2cmd /u

attendi che finisca e poi dai il seguente comando:
a2cmd /f="c:\" /m /t /c /h /r /a /n /q /l="c:\log_a2cmd_c.txt"

Aggiornato!

Procedo al secondo comando tra qualche ora (9-10) spero di darti l'esito positivo.

ottimo, il log che produce è questo: c:\log_a2cmd_c.txt
:)

problema!
anche col CMD si impalla e non completa nemmeno la scansione, ho provato pure in modalità provvisoria, ma si blocca sempre quando leggo che sta scansionando un certo C:\programmi\bit torrent smart ecc, che però controllando tra i "C:\programmi\" non trovo.

già prima non sapevo che fare, ma ora ancor meno!

a questo punto passa alla successiva e vediamo se è il caso di rifarla alla fine :)

ok
procedo con F-Secure online

Problema con F-Secure

http://img714.imageshack.us/i/fsecure.png/

ok mi correggo ora è partita

niente si ferma al 5% di scansione e mi compare la schermata di cui sopra.

Faccio un ultimo tentativo.

Provo a abilitare la visione delle cartelle e file nascoste.
non vorrei che fosse questo l'impedimento anche se mi pare strano.

Sono utente unico e quindi amministratore forse però devo abilitare la password,
ora provo.

ok mi arrendo non so come fare la scansione con F-Secure online,

attorno al 5 % della scansione mi dà la stessa schermata di cui sopra.

Provo Kaspersky

il link sulla GUIDA alla DISINFEZIONE non mi funziona, forse è cambiato il link.

Scarico da internet "SoftonicDownloader_per_kaspersky-virus-removal-tool.exe"

e scansiono

il link per scaricare kasperky tool è ancora valido, ti porta alla pagina greenzone e devi attendere quei secondi necessari che ti si apra in automatico la richiesta di download :)
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

kaspersky ha riscontrato diversi seri (credo) problemi ma non riesce a eliminarli ti allego file

http://wikisend.com/download/495128/Kaspersky ven 08042011 1809.txt

Rifaccio la scansione con l'opzione di eliminazione diretta attivata.

niente non me le elimina

mmhh.. prosegui con la prossima, vedremo poi :)

Finalmente ti allego il txt di d web e procedo con l'altra scansione, speriamo non così eterna.

http://wikisend.com/download/227086/cureit filtrato.txt

allego gmer.txt

http://wikisend.com/download/420590/Gmer do 10042011 1012.txt

Allego hijackthis

http://wikisend.com/download/592664/hijackthis do 10042011 1014.txt

Allego hijackthis

http://wikisend.com/download/592664/hijackthis do 10042011 1014.txt

ottimo, ho visto anche le scansioni di cureit e gmer.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
ora fixa:

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IEPro\iepro.dll
O2 - BHO: MAX IT Atube - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\prxtbMAX0.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Ant.com browser helper (video detector) - {346FDE31-DFF9-418A-90C8-BA31DC9FF2EF} - C:\Programmi\Ant.com\IE add-on\Download.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: DepositFiles.com BHO - {9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F} - C:\PROGRA~1\DEPOSI~1\DFMANA~1\DEPOSI~1.DLL
2 - BHO: (no name) - {BBEDB999-1ECD-474F-BA1E-24FBE469D523}} - (no file)
O2 - BHO: (no name) - {BBEDB999-1ECD-474F-BA1E-24FBE469D523} - C:\Programmi\Dream Desktop Agent\DDIEBHO.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: Interest recogniser for Freecompressor (powered by Spointer) - {d9fc24df-b4ab-493a-8f33-52f6fcc536c1} - C:\Programmi\FreeCompressor\spointer\extensions\freecompressor_air_ie.dl
O3 - Toolbar: MAX IT Atube Toolbar - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\prxtbMAX0.dll
O3 - Toolbar: Deposit IE Toolbar - {6AA40521-14E7-4B1D-B1B4-98528C1388C9} - C:\PROGRA~1\DEPOSI~1\DFMANA~1\DEPOSI~1.DLL
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\IEPro\IEProRecorder.dll
O3 - Toolbar: Ant.com Download Toolbar - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - C:\Programmi\Ant.com\IE add-on\AntToolbar.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [SwitchBoard] C:\Programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ClipboardFusion] "C:\Programmi\ClipboardFusion\ClipboardFusion.exe"
O4 - HKCU\..\Run: [DS Clock] "C:\Programmi\DS Clock\DSClock.exe"
O4 - HKCU\..\Run: [PicPick Start] C:\Programmi\PicPick\picpick.exe
O4 - HKCU\..\Run: [Procexp] "C:\Programmi\procexp\procexp.exe"
O4 - Startup: setup_9.0.0.722_08.04.2011_18-46.lnk = C:\Documents and Settings\Andrea\Desktop\Virus Removal Tool\setup_9.0.0.722_08.04.2011_18-46\startup.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programmi\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IEPro\iepro.dll
O9 - Extra button: Download videos by Ant.com - {70AF6C9F-0818-4cf7-924A-BBDBB24211D3} - C:\Programmi\Ant.com\IE add-on\Download.dll
9 - Extra button: Spin Palace Casino - {1169BE7D-42C4-4834-91DF-3D2ACBBAA937} - C:\Microgaming\Casino\SpinPalace\casinogame.exe (HKCU)
O9 - Extra button: Mummys Gold Casino - {A1E00E86-D232-4D1C-A42A-30014BA40526} - C:\Microgaming\Casino\MummysGoldCasino\casinogame.exe (HKCU)
O9 - Extra button: Ruby Fortune Casino - {E56079D4-9D8D-4676-A0FE-A431B25A5033} - C:\Microgaming\Casino\RubyFortune\casinogame.exe (file missing) (HKCU)

non ti preoccupare, nulla viene cancellato, ti tolgo dei residui dell'infezione e ti faccio disabilitare cose inutili all'avvio del pc e di IE. tutto rimane funzionante.

poi procedi con prevx e poi concludi con una scansione completa di avira così controllo le impostazioni anche dell'antivirus :)

Ho provato 2 volte a fare le correzioni che mi hai indicato ma HiJackThis
ma dopo che sembrava averle effettuate il computer si impallava e l'ho dovuto riavviare forzatamente entrambe le volte perdendo così le modifiche fatte.
Alla fine sono riuscito a fare le mdifiche in modalità provvisioria.
ma il notebook sembra dare ancora problemi di impallamento.

Procedo con Prevx.

Allego i risultati di Prevx.

http://wikisend.com/download/378072/Prevx 11042011 1232.txt

http://img831.imageshack.us/i/prevx110420111232.png/

prevx ha trovato:

[B] c:\windows\system32\mfc45.dll [PX5: 10DADA8ECF71B35823810103791F2F00BC9FE320] Malware Group: Medium Risk Virus
[BP] c:\programmi\quickfix\lfx.exe [PX5: 0FEA8F60009CCE98C8AF080B6A30FE008EA42829] Malware Group: High Risk Cloaked Malware
[B] c:\microgaming\casino\mummysgoldcasino\casinogame.exe [PX5: 414AFA86007BA141A05A0604875B100093AB2D2E] Malware Group: Medium Risk Malware



ora con l'antivirus

Sono al 17 % con la scansione dell'antivirus.

Credo che ci impiegherà anche lui diverse ore.
Appena finito ti aggiorno.
In quest'ultimo riavvio del computer sembra tutto normale; il notebook sembra ben operativo, ma non vorrei parlare troppo presto.

Oltre a questi problemi di Prevx volevo chiederti se i problemi rilevati dal tool di Kaspersky sono falsi positivi, sono stati risolti oppure bisogna far qualcosa. Soprattutto con riferimento ai:

C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\ ecc....

Infine magari x capirci qualcosa anch'io che cosa "abbiamo" ("hai") trovato e da cosa può essersi originato, visto che ormai mi sembra evidente che non trattavasi di problema dell'Hardware.

e se quei programmi tipo Unlocker, Procexp, atnotes che mi hai fatto disabilitare con HiJackThis poi li posso riabilitare o mi sconsigli di farlo.

Grazie di tutta la tua disponibilità e pasienza.

l'avvio automatico di quei programmi non ti serve, se ti servissero così massivamente significa che il pc ha gravi problemi pertanto puoi avviarli solo quando strettamente necessario senza appesantire la ram con avvii di servizi inutili.

poi, dopo che abbiamo certificato la pulzia del pc ti aiuto a migliorare la protezione e gestione del pc, perchè i problemi nascono proprio da questo.

quello che hai evidenziato è questo:

08/04/2011 17.52.37 Rilevato: Trojan-Downloader.JS.Iframe.cau C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\Cache(2)\16B60119d01/iye5p69e
08/04/2011 17.52.37 Non disinfettato: Trojan-Downloader.JS.Iframe.cau C:\Documents and Settings\Andrea\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\iye5p69e.default\Cache(2)\16B60119d01/iye5p69e Scrittura non supportata
mi fa' strano però che mi chiedi la causa vista l'elevata mole di crack e keygenb che erano presenti nel pc, e questa segnalazione di kaspersky riguarda pagine web visitate dove appunto c'è inoculato del codice maligno atto a infettare il navigatore ovviamente il malware è presenti anche nei fantomatici e tanto ambiti keygen ma è di un altra famiglia.


la causa è sempre tra il monitor e la sedia della scrivania :p comunque basterebbe veramente poco a cambiare abitudini essendoci software gratuiti che non fanno minimamente rimpiangere quelli più famosi commerciali, ci vuole solo quel piccolo sforzo di cercare e chiedere. :O

Tutto nasce dall'Ignoranza!
Pensavo che sebbene pericolosi quei Keygen, non usandoli non potevano far danno. Credevo che lasciandoli nei file rar scaricati senza avviarli e senza applicare il crack non portassero problemi.
A volte (spesso) mi faccio prendere dalla smania di provare software! e tendo a conservare tante cose che magari sono inutili ma penso erroneamente che all'occorrenza potrebbero servire.

Ti allego i risultati di avira

http://wikisend.com/download/401052/AVSCAN-20110411-220404-0BDEFB43.txt

http://wikisend.com/download/430468/AVSCAN-20110411-220606-25D7112F.txt

poi mi ha chiesto di riavviare x rimuovere alcuni problemi e x ora sta facendo una ulteriore scansione.

provare software non ti mette nella condizione di crackare il software perchè per provarlo basta la semplice versione gratuita o di prova.
comuqnue windows non è il sistemaoperativo più adatto epr le continue installazioni-disinstallazioni quindi è meglio che installi virtualx e crei un avirtualmachine per queste attività.
in questo modo non alteri il sistema operativo principale ossia quello residente nel pc.

ma se lo scarichi il keygen in funzione del "se un domani.." significa che comunque un domani ti infetterai nuovamente, visto che ti sei già infettato a visitare quei siti.

guarda, non ti sto facendo l'inquisizione, ma non c'è nulla che renda più soft le tue colpe o che ne giustifichi l'azione svolta. prima di prendere software randome, o peggioa ncora consigliato o presente nei cd di riviste, chiedi! i forum servono anche a questo perchè non sono dei "pronto soccorsi" ai quali rivolgersi solo per disastri da sanare, sono in primis un importante fonte di informazione dove ll'esperienza di uno può aiutare 1000 persone.
è un continuo circolo di informazione.

il primo passo da compiere la consapevolezza senza commiserazione :)

ci sono delle impostazioni da correggere, la prima azione che deve compiere avira è sempre "disinfetta" come secondaria "quarantena".

poi:

Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
queste due devono essere attive!

le estenbsioni smart degli archivi disabilitala, deve scansionare tutte le estensioni. non vedo l'abilitazione alla scansione per le applicazioni non volute.
segui la guida -> http://www.hwupgrade.it/forum/showthread.php?t=1514684

alcune cose vedo che le hai modificate prima della seconda scansione...

NOn saprei dove metterci mano. Mentre scansionava mi ha mandato una finestra in cui mi chiedeva se intervenire su dei rilevamenti e io mi sono limitato a dare l'ok.

Ho seguito la guida e penso di aver configurato avira per bene.

Devo fare ripartire il notebook (lo ha chiesto l'antivirus dopo una modifica alle opzioni) e/o far ripartire la scansione con le nuove opzioni?

Con le nuove impostazioni Avira mi ha scansionato in 8 ore appena il 10%, spero non ci stia una settimana, cmq sicuramente sarà una scansione molto approfondita.
Ti volevo chiedere se quelle righe che mi comparivano nella schermata blu erano collegate al problema virale oppure effettivamente sono dovute al video del notebook che ormai sta partendo completamente (visto che giù in basso, c'è gia una riga da un pezzo prima di questo problema virale)?

strano che ci metta così tanto, comunque sì se puoi dopo allegare anche questo nuovo log te ne sono grato :)

per la schermata blu (bsod) dicevi che compariva solo in seguito all'uso di fileassassin per terminare delle applicazioni bloccate quindi sì è relativo all'infezione..

comunque c'è da rivedere anche tutti i driver non mi spiego questa lentezza nelle scansioni di avira

Cerco di essere più preciso.
Penso che la scansione continui, ma l'avanzamento della percentuale si è bloccato. Mi spiego meglio, da quando ho rilevato che la scansione era al 10,8 % Avira aveva allora scansionato 2.500.000 file (ore 08.00 circa) ora (ore 0951) ne ha scansionati 2.997.000 ed indica sempre il 10,8 % della scansione per cui credo si sia solo bloccato l'avanzamento della percentuale indicata. Noto cmq che il numero dei file scansionati è aumentato enormemente a seguito della variazione delle impostazioni di avira (come da guida) e per quanto riguarda il tempo dalle precedenti scarse 8 ore siamo passati a 10 ore ed ancora non sembra vicina la fine.
Sui driver credo anch'io che forse c'è qualcosa da rivedere. Se lo ritieni, posso provare a darti un idea dei miei driver, magari con "Autoruns".

Cerco di darti un idea dello stato della scansione di Avira

http://img819.imageshack.us/i/avirascansioneincorso.png/

ma quanti file hai in questo hdd e che dimensioni ha??

i file non li so.
Ho 2 HDD da 465 GB ciascuno.

http://img708.imageshack.us/i/risorsen.png/

ma che sono tutte quelle unità montate come dvd?

Dipendono da Alchol e mi servono x vocabolari

contento tu..

Credo che si tratti della scansione più approfondita e accurata che questo Notebook abbia mai subito. Penso che però finirà dopodomani.

http://img215.imageshack.us/i/avirascansioneincorso2.png/

Per quanto riguarda il log, di cui "mi saresti grato se ti mandassi", arriverà tra un "pò di ore"!

Riguarda quella schermata blu (bsod) dovuta all'infezione, volevo chiederti in particolare se il fatto che fosse tutta rigata (come un televisore malsintonizzato) con alcune righe che comparivano e sparivano, non come le "normali" schermate blu, fosse dovuto al particolare tipo di infezione oppure al fatto che effettivamente il video del mio notebook sta per salutarmi e devo prepararmi a cambiarlo?

come directory sono poche quindi a naso sono una marea di piccoli files e questi comportano poi una scansione più lenta.. ma così lenta è record!
ok che avrai un hdd lentino essendo un notebook, ma così lentooo..
quanta memroia ram hai? che processore hai? e quanta memoria virtuale è assegnata?

una sola scansione alla volta quindi fin che avira non termina attendiamo :)

le righe striate multicolore (solitamente orrizzontali) sono sicuramente un problema dei driver video, fosse un problema hardware le avresti nell'suo pesante della scheda video (giochi), io ovviamente parto dal presupposto che tu non abbia fatto overclock sulla scheda video.

Record!!! (dovrei essere contento!!!)

Anche questo presupposto sulla scheda video è esatto.

Ho sentito parlare dell'overclock, ma non saprei dove mettere mano.

Il notebook in questione è un Toshiba Qosmio Q20-128.

Scheda madre:
Tipo processore Mobile Intel Pentium M 760, 2000 MHz (15 x 133)
Nome scheda madre Toshiba Qosmio G20
Chipset scheda madre Mobile Intel Alviso i915PM
Memoria di sistema 2048 MB (DDR2-667 DDR2 SDRAM)

DIMM1: Kingston 9905295-029.B01LF 1 GB DDR2-667 DDR2 SDRAM (5-5-5-15 @ 333 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz)
DIMM3: Kingston 9905295-029.B01LF 1 GB DDR2-667 DDR2 SDRAM (5-5-5-15 @ 333 MHz) (4-4-4-12 @ 266 MHz) (3-3-3-9 @ 200 MHz)
Memoria virtuale (se ho capito bene è il file di paging): 4096 (fissa) (posizionata sull' HDD non di sistema)
Scheda Video:
NVIDIA GeForce Go 6600

Scusa posso farti una domanda personale?

La tua competenza ti viene da studi nel campo dell'informatica o da anni di esperienza e smanettamenti?

per le competenze, entrambi i campi :p
professionalmente non svolgo assistenza di riparazione pc, in privato se vuoi approfondiamo il discorso :)

le potenzialità ce le ha per non essere così drammaticamente lento chiaro è che siano dischi eide da 5400rpm..

meglio se non overclocki anche perchè comunque il guadagno che avresti sarebbe comunque basso e se non giochi non ti serve a nulla :p

ora a che punto è la scansione?

Finalmente ha finito la scansione, la allego

http://wikisend.com/download/408364/AVSCAN-20110412-000356-AF111E49.txt

Pensavo di aver seguito la guida su avira decentemente, ma mi sono accorto che ci sono delle imperfezioni.

Dimmi tu come mi devo regolare

non faccio giochi x la quale,
però ti sarei grato se mi indicassi come reimpostare i driver video forniti dalla Toshiba.

In passato ho cercato di aggiornarli direttamente dalla Nvidia, ma forse quelli indicati dalla Toshiba funzionano meglio e forse quel problema della riga nasce da aggiornamenti NVIDIA che invece dovevo lasciare con quelli forniti dalla casa madre.

scusa nel report ho riscontrato queste 2 voci

Controllo di integrità dei file di sistema..: Non attivo
File euristico..............................: medio

ma io ho seguito al guida e per quanto riguarda il file euristico l'ho impostato al massimo mentre x quanto riguarda il controllo di integrità dei file di sistema non saprei come attivarlo.

l'integrità di sistema si attiva solo su vista e seven a 64bit, mentre per l'euristica ti consiglio di impostarla su alto tu che hai la personal :)

i driver video sono uno dei tanti problemi.. prima dal sito toshiba riscarica tutti gli altri, poi puoi valutare se installare dei nuovi driver per la go6600 presi dal sito nVidia o se prendere quelli più vecchi da toshiba.
in ogni caso i driver video devono essere gli ultimi!

quindi ora installa i driver esclusi i driver video, poi riavvii e poi riproviamo una scansione con emsisoft aggiornato e un nuovo log hijackthis e prevx (in questo ordine).

Scusa la mia ignoranza io vado sul sito della toshiba e mi scarico tutti i drive x il mio notebook col mio sistema operativo.
Fatto questo devo disinstllare prima qualcosa o faccio partire direttamente l'installazione dei vari driver?

Ti aggiorno un pò della situazione.

Ho scaricato tutti i driver. Ho provato ad installarli tutti ma 2 o3 non sono risucito, ma non erano importanti (almeno credo) come "chipset utility", tranne uno che era il software della intel x la wireless; quest'ultimo mi ha chiesto prima di disinstallare il predente e poi installare quello nuovo.
Quindi ho riavviato ma il riavvio, dopo il salvataggio delle impostazioni si è bloccato su "chiusura di windows in corso...".
L'ho lasciato tutta notte a vedere se si chiudeva, ma stamane alle 0800 l'ho trovato x come era x cui ho spento forzatamente.
Poi ho riavviato, sembra che le installazioni dei driver siano anate a buon fine, infatti mi si sono avviate una serie di cose non molto utili che avevo disabilitato.
Ora mi è partito l'aggiornamento automatico di windows, credo che essendo molto corposo mi richiederà l'avvio.
Poi procedo con la scansione di emisoft.

Dopo il riavvio (previsto) per gli aggiornamenti di windows il sistema sembrava impallato, nel senso che prima che mi sono avviate tutte cose c'è stato mezz'ora, poi ogni volta che provavo a far partire un programma ci voleva 1 ora, anche semplicemente aprire le finestre da programmi richiedeva quasi un minuto.
Ho riavviato ed ora tutto sembra normale, almeno nei tempi di risposta.
Avvio la scansione con Emisoft (aggiornato).

quello del chipset è importante perchè riguarda il cuore del pc, è proprio l'unità che gestisce tutte le periferiche..
visto che conosci il modello di chipset puoi anche scaricarlo direttamente dal sito intel :)

la disinstallazione dei precedenti non è sempre richiesta, diciamo che formalmente sarebbe meglio disisntalllare e poi installare ma è obbligatorio solo al cambio di scheda.
solo a scopo didattico: nel caso di scheda madre l'eventuale cambio di chipset non sarebbe comunque tollerato da windows (almeno fino a winXP e win2003server) mentre su linux e mac non ci sono grossi problemi.


dai che ne stiamo uscendo, già il fatto che si sia aggiornato senza grossi problemi è una cosa positiva :)

Grazie, il fatto che pensi che siamo ad inizio della discesa mi incoraggia.

L'utilità sul Chipset ho provato diverse volte a intallarla ma si blocca e non va più avanti, anche se il pc continua ad essere perfettamente operativo
Dalla Intel direttamente non saprei come scaricare i drive.
Non so qual'è il mio chipset.(in verità non so cos'è esattamente il chipset in generale!)
Per ora sto rifacendo la scansione con emisoft, ma se dici la stoppo e provo a scaricare i drive, ma dovresti darmi qualche indicazione maggiore.
Riguardo la scansione con emisoft mi ha chiesto la chiusura di Mozilla, ma devo lasciarlo chiuso x tutto la scansione
o dopo che passa i cookies posso riattivarlo? infatti dopo qualche ora di scansione l'ho riattivato per avere delucidazioni da te ma non so se ho fatto bene o male.
Aspetto ragguagli, nell'attesa faccio continuare la scansione

http://img855.imageshack.us/i/emisoftscan130420111429.png/

I 105 rilevamenti sono "numericamente" e credo anche qualitativamente gli stessi della precedente scansione, che allora però non era riuscito ad eliminare

Scusa mi correggo,
quando ti ho dato alcune caratteristiche del mio notebook c'era pure quelle del chipset, in realtà avevo usato una delle tante schifezze che ho scaricato e che indica le caratteristiche del pc, ma almeno quella mi è servita.
Ora ho provato a cercare alla intel e mi stanno facendo la scansione automatica del notebook x vedere che aggiornamenti fare.
ma sembra starci un pò!?

http://img718.imageshack.us/i/inteln.png/

L'ho modificato dall'inglese all'italiano

http://img843.imageshack.us/i/intel2.png/

se è in corso anchge la scansione emsisoft è normale che impieghi un po' ad installare l'activx e a individuare l'hardware.
se è all'inizio stoppa pure emsisoft così lo fai partire dopo che hai aggiornato il chipset e vediamo se ha portato benefici :)

firefox lo devi impostare per rimuovere la cronologia e dati personali automaticamente alla chiusura del browser. è importante.

Emisoft ora si trova all'80%
Che faccio intel ancora scansiona.
Ma come faccio ad avere immediatamente l'aggiornamento di quello che scrivi? a volte le pagine si fermano e mi accorgo che 10 min prima mi avevi scritto qualcosa.

basta che nel profilo utente abiliti la sottoscrizione automatica ai thread in cui partecipi e abiliti la notifica immediata in caso di risposta.. ovviamente è immediata per modo di dire perchè di mezzo c'entra la velocità del server smtp a instradare la notifica e la velocità del server del tuo gestore di posta a smistarla in modo corretto.
non esiste il refresh automatico della pagina perchè con 4000 e passa utenti connessi nello stesso momento crea diversi problemi nella gestione del portale e del forum :)


lacia che finisca emsisoft e poi vediamo se si è incantato il sito di intel :)

Emisoft ora si trova all'85%.

Intel in "INSTALLAZIONE..."

Ok Firefox impostato su "non salvare la cronologia", ma lo devo mantenere con questa opzione x sempre o solo x questa fase di "cura"?

Opzione x notifica e iscrizione attivate.

Java Elettroencefalogramma PIATTO (CPU 0%) quindi credo che l'installazione di intel è Kaput! (anche se dice in corso "INSTALLAZIONE...")

Emisoft Elettroencefalogramma positivo (CPU intorno al 50%), traffico lento ma scorrevole, speriamo che stavolta almeno ripari quello che ha trovato.

ovviamente sempre con quell'impostazione :)

Allora la scansione è finita
allego il log, ma di mettere in quarantena i rilevamenti non se ne parla.

http://wikisend.com/download/457230/a2scan_110413-095903.txt

Per quanto riguarda l'installazione dei driver Intel credo di essermi sbagliato, infatti deve essere continuata e dopo un pò la wireless si è disattivata causa credo i nuovi driver e non ho più potuto connettermi.
Quando però ho riavviato il notebook dopo la scansione funzionava e quindi ti posso scrivere ti allego pure hijackthis

http://wikisend.com/download/411438/hijackthis 13042011 2222.txt

sto facendo la scansione con prevx

sono al 25%

sarà una sensazione mia ma la scansione sembra più veloce.

Allego esiti scansione Prevx

http://wikisend.com/download/564706/Prevx mer 13042011 2310.txt

http://img148.imageshack.us/i/prevxmer130420112310.png/

allora... ho visto i log.. per hijackthis va tutto bene, mentre per prevx sono rimasti:

[B] c:\windows\system32\mfc45.dll [PX5: 10DADA8ECF71B35823810103791F2F00BC9FE320] Malware Group: Medium Risk Virus
[BP] c:\programmi\quickfix\lfx.exe [PX5: 0FEA8F60009CCE98C8AF080B6A30FE008EA42829] Malware Group: High Risk Cloaked Malware
[B] c:\microgaming\casino\mummysgoldcasino\casinogame.exe [PX5: 414AFA86007BA141A05A0604875B100093AB2D2E] Malware Group: Medium Risk Malware


ora installa i driver nuovi per la scheda video nVidia go6600, non importa il modello esatto perchè i driver sono catalogati per famiglia di chip video :)

poi fammi un log con SysInspector che mi cimenterò in questa analisi manuale e poi vediamo come eradicare le ultime parti mancanti :)

Scusa i driver nuovi li prendo allora direttamente dalla Nvidia e non quelli della toshiba?

Devo per forza disinstallare i driver video attuali e reinstallare quelli toshiba xchè gli ultimi driver della Nvidia della famiglia, quando faccio partire l'installazione mi dicono che il sistema non è compatibile e si bloccano.

Reinstallati i driver video nvidia della toshiba, dopo aver disinstallato i precedenti.

procedo alla scansione.:cry:

Ti allego il log di sysInspector

http://wikisend.com/download/592502/SysInspector-TOSHIBAPERFETTO-110414-0159.xml

ma i driver scaricati dal sito invidia li hai scaricati per il tuo sistema operativo?
strano.. hai preso questi?
http://www.nvidia.it/object/geforce_notebook_winxp_179.48_beta_it.html

ovviamente il prerequisito è famiglia "GO" non "Geforce" ;)

no scusami ho sbagliato.
Io ho reinstallato quelli della toshiba perchè
"ovviamente" avevo scaricato i "GEforce" e non i "go":doh:

Riscarico e riprovo.

Scusa:muro:

Ho seguito il link

http://img405.imageshack.us/i/nvidiai.png/

:stordita:

Ho trovato questi due link, ma non sono della nvidia, che ne pensi?

http://drivers.softpedia.com/get/GRAPHICS-BOARD/NVIDIA/NVIDIA-32bit-ForceWare-GeForce-Go-15655.shtml

http://drivers.brothersoft.com/nvidia-geforce-go-6600-geforce-go-6400-geforce-go-6200-forceware-driver-174.51-download-3969.html

a questo punto tieni quelli di toshiba o verifica se in windows-update non ce ne sia un aversione più aggiornata :)

Ricerca windows update effettuata

http://img852.imageshack.us/i/driver.png/

:D

Tengo quelli della Toshiba ;)

Una cosa cmq io l'ho capita e da solo....

cioè che non ho capito nulla di niente, di che è successo, che abbiamo fatto, e dove siamo arrivati.....

La consapevolezza della propria IGNORANZA è il primo passo verso la conoscenza...:)

scaica avenger: http://swandog46.geekstogo.com/avenger.zip
scompattalo in una directory (non sul desktop)


poi incolla questi comandi:

Registry values to delete:
hklm\Software\CLASSES\Okawix Corpus\shell\open\command|okawix
Files to delete:
c:\programmi\okawix\okawix.exe
c:\programmi\qliner hotkeys\hotkeys.exe
c:\programmi\quickfix\lfx.exe
c:\microgaming\casino\mummysgoldcasino\casinogame.exe
mettigli il segno di spunta su "scan rootkits" e "automatically disable any rootkits found"
sarà richiesto il riavvio :)

Procedera con avenger effettuato ti allego il log dell'esito (spero di aver fatto tutto bene)

http://wikisend.com/download/509130/avenger ven 15042011.txt

Ti volevo chiedere se "qliner hotkeys" è un virus?, o si erà infettato e lo posso scaricare dal sito e reinstallare? (mi era molto comodo)

Gli altri programmi una volta che sono stati eliminati gli exe li posso disinstallare?

hai lavorato bene però credo che ad avenger abbia dato fastidio il nome della chiave di registro che contiene uno spazio, quindi fallo tu manualmente in questo modo:
strart->esegui:-> regedit -> premi invio (se ti chiederà il permesso per diritti di amministratore tu digli ok)

ti si apre una finestra, ora identifica questa alberatura:
HKEY_LOCAL_MACHINE\Software\CLASSES\
qui al suo interno c'è il ramo "Okawix Corpus", cancellalo :)

poi controlla anche questi due rami che non sia presente Okawix, qliner e quickfix (lfx.exe):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
(se non trovi il ramo run non ti preoccupare)
e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

e poi riscarica e installa qliner e poi ti rimane solo da seguire trattamento post infezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383) e abbiamo finito :)

Allora il ramo "Okawix Corpus" nell'alberatura "HKEY_LOCAL_MACHINE\Software\CLASSES\" l'ho eliminato.

Nella stessa alberatura ho cercato Okawix, qliner e quickfix ma non li ho trovati.

il ramo "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" non l'ho trovato

Per quanto riguarda il ramo "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"

Individuate alcune voci:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\00Hotkeys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\StartupFaster\00Hotkeys

Anche queste due voci le elimino?

Scusa la mia esitazione, ma delle modifiche al registro di sistema fatte da me ci vado molto cauto.

Okawix era un software x scaricare wikipedia offline posso anche questo riscaricarlo reinstallarlo?

no quelle due non toccarle che sono inerenti i driver della tastiera di toshiba :)


se prorpio ti serve riscaricalo e installalo ma sarebbe meglio consultare wikipedia online, sia per una questione di pagine aggiornate sia per una questione che per averla disponibile offline devi scaricare le pagine di tuo interesse a priori.

Grazie non so che dire,
sei stato davvero il massimo della disponibilità (è quasi 10 giorni che mi stai dietro) e della competenza.

Ora seguo la guida post disinfezione.

Grazie, Grazie, Grazie, Grazie, Grazie, :D :D :D :D :D :D :D :D

sì devo dire che è stata un po' lunga ma sei sempre stato molto collaborativo e questo è stato un grosso aiuto e incentivo :)

Piccola postilla x quanti avessero seguito questa odissea,

Alla fine il notebook perfettamente operativo, però non mi faceva
funzionare il tasto "CAPS LOCK", o meglio non si accendeva il piccolo led e invece di farmi scrivere tutto in maiuscolo, rispondeva come se avessi cliccato su "start" e facendo quindi comparire la relativa finestra.

Risolto cercando in Internet ho trovato questa pagina

http://www.tuttovolume.net/utili/come-disabilitare-i-tasti-caps-lock-e-bloc-num-o-assegnarvi-un-altre-funzione/

e scaricando il file zip contenente diverse possibili chiavi di registro,

ho applicato la chiave "DisableKeyboardRemap.reg"

dopo il riavvio, CAPS LOCK è tornato a funzionare.;)

Ciao a tutti.