Ciao,
stavo guardando 2 film in streaming e (purtroppo non ero presente al momento del crash), e windows si è lamentato dicendo problema sull'hard disk /problema IDE. Dopo di che in automatico si e' avviato un programma il cui nome dovrebbe essere "windows Restore" (che ignoravo perfino di avere) che non e' riuscito a ripristinare parecchie cose; con il mio account di amministratore riesco ad accedere ma appaiono numerosi avvisi di questo problema hardware (tra cui "eseguire il defrag, cosa impossibile dato che in "strumenti di ammnistrazione" non c'e' piu' nulla). Riesco ad accedere con un altro amministratore ma moltissime applicazioni non sono visibili ne' nella barra delle applicazioni, ne' nelle lore cartelle (nella cartella C: ci sono le directory di tutti i programmi che pero' risultano essere vuote). Ho installato dunque di nuovo CCcleaner con l'laltro amministratore e l'ho eseguito (pero' non mi pare abbia pulito la cache dell'amministratore che e' stato infettato); installato Kaspersky che ha trovato Trojan, Virus e li ha puliti ma continua a trovarne di nuovi ogni volta che lo lancio; da un disco di boot ho avviato Partitionmagic per controllare eventuali errori sull'harddisk ma non ne risultano.

Cosa potrei fare? Grazie.

EDIT: aggiungo questo messaggio di errore che si manifesta dopo che Kasperky chiede il riavvio per disinfettare:
"SAS Window winlogon.exe BAD image - the application or DLL c\.win\system32\ntlanman.dll is not a valid window image; check against your installation diskette"
Stesso messaggio per "davclnt.dll", rasAPI32.dll"

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

ps: indispensabile il cambio dns come richiesto dalla guida

Ciao, (WindowsXP Professional con tutti aggiornamenti)
allego tutti i log che sono riuscito ad ottere. Probabilmente ne mancano alcuni in quanto (mi pare) che l'unico modo per ottenerli fosse andarli a prendere in %c:\documentSetting%utente%.; il fatto è che io (pur accedendo come amministratore, non vedo la mia cartella utente (vedo solo quella administrator che sarebbe l'amministratore di default)
Sono stati trovati parecchi virus, trojan ed altro; il problema pare persistere: tutti i files sul desktop sono spariti, come anche quasi tutte le applicazioni che avevo installato: c:\programFiles\ esiste e mostra le cartelle VUOTE di tutte le applicazioni; da notare che lo spazio totale libero su C effettivamente NON e' stato liberato (quindi deduco che sia io a non poter vedere piu' le applicazioni). PannellodiControllo->administrationTool è vuoto!Nel pannello di controllo ho due icone VP6 VP7 decoder settings (non ho idea di quando siano state installate).
OPERAZIONI NON RIUSCITE: f-secure online non e' stato in grado di fare lo scan a causa di un errore: 'java.io.file.notfound.exception c:\doc and setting\michele\application\data\sun\java\deployment\security\trusted.certs (access denied). Provato a cambiare e riavviare il browser invano. QUindi ho usato "Eset Online Scanner" senza problemi.

Spero di riuscire a sistemare il tutto grazie!

http://wikisend.com/download/548870/a2scan_110408-212140.txt
http://wikisend.com/download/377708/Copy of a2scan_110408-212140.txt (copia dopo quarantena)
http://wikisend.com/download/468528/mbam-log-2011-04-08(21-05-35).txt
http://wikisend.com/download/880546/DrWeb.csv
http://wikisend.com/download/468138/SysInspector-GAROFANO-110410-0406.xml (SysInspector.xml)
http://wikisend.com/download/486704/hijackthis.log
http://wikisend.com/download/444642/gmer.log
http://wikisend.com/download/523904/prevx.log

niente zip!!! le regole vanno lette interamente :O

nei log di malwarebytes e emsisoft non si vede se hai messo in quarantena gli oggetti, questo perchè hai salvato il log prima che registrasse l'azione.
hai messo gli oggetti in quarantena? ti hanno dato errori?

manca eset scanner online.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized



hai già riavviato il pc?

nei log di malwarebytes e emsisoft non si vede se hai messo in quarantena gli oggetti, questo perchè hai salvato il log prima che registrasse l'azione.
hai messo gli oggetti in quarantena? ti hanno dato errori?

manca eset scanner online.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

hai già riavviato il pc?
Ciao,
non ricordo se abbia dato errori la quarantena; in ogni caso ecco alcuni files mancanti e che mi hai chiesto:
http://wikisend.com/download/377708/Copy of a2scan_110408-212140.txt
http://wikisend.com/download/502906/mbam-log-2011-04-11 (15-21-00)_last.txt
http://wikisend.com/download/464162/quarantine.txt
http://wikisend.com/download/451274/hijackthis_last.txt (hijackthis_last)
http://wikisend.com/download/559828/prevXLast.log

Ho rieseguito Eset scanner online (anche se non ha trovato nessuno virus o altro): non mi appare nessuna finestra che mi dia la possibilita' di salvare un log. Comunque sopra ho messo un file XML che presumo essere proprio quello ; non vorrei averne lanciati due differenti in 2 tempi diversi (Il link ad Eset di questo forum non funziona). FIxati i 3 files con Hijack_this (non si avvia piu' skype all'avvio)
PrevX ha trovato 2 files infetti proprio ora (sta monitorizzando il PC). Ho riavviato e non è cambiato praticamente nulla. Per Eset che faccio?
grazie.

EDIT: Aggiungo anche questo di Emisoft ammesso che serva:
http://wikisend.com/download/465250/ids_110411-163104_azioni_protezione_emisoft.txt

eset scanner web non è ovviamente o stesso prodotto di eset SysInspector, mi sembra ppiù che evidente :D
ma io riproverei con f-secure online a vedere se ora funziona, ovviamente dopo un nuovo reboot.

se puoi ripubblicare il log di prevx visto che quello che hai pubblicato risulta non esserlo te ne sarei grato.

l'ultima scansione di malwarebytes che hai fatto l'hai fatta senza aggiornarlo.

fai poi una scansione completa anche con l'antivirus che verifichiamo anche le sue impostazioni

eset scanner web non è ovviamente o stesso prodotto di eset SysInspector, mi sembra ppiù che evidente :D
ma io riproverei con f-secure online a vedere se ora funziona, ovviamente dopo un nuovo reboot.
se puoi ripubblicare il log di prevx visto che quello che hai pubblicato risulta non esserlo te ne sarei grato.
l'ultima scansione di malwarebytes che hai fatto l'hai fatta senza aggiornarlo.
fai poi una scansione completa anche con l'antivirus che verifichiamo anche le sue impostazioni

Ok allego i log; Eset scanner non mi da possibilita' di salvare il log (mistero per me); F-secure non funziona (solito errore, vedi sopra). ho lanciato Kaspersky (salvando i risultati, spero in modo appropriato; se servono fatemi sapere):
http://wikisend.com/download/445302/mbam-log-2011-04-11 (21-40-21)_updated.txt
http://wikisend.com/download/471538/prevXLast2.log

Ho riavviato tutto; prevx ha trovato 2 file sospetti (pare). grazie.

ma non hai ancora ppubblicato il log di kaspersky tool

ma non hai ancora ppubblicato il log di kaspersky tool
OK. Scusa. Spero siano quelli giusti:
http://wikisend.com/download/510732/kasper.txt
http://wikisend.com/download/493866/protectionKasper.txt
http://wikisend.com/download/497998/upkasper.txt

prima fai sparire tutta quella serrie di crack/keygen e programmi obsoleti..

prima fai sparire tutta quella serrie di crack/keygen e programmi obsoleti..
OK, ho fatto sparire parte dei programmi obsoleti e crack a aggiornato Kasper che mi ha detto che molti dei programmi trovati infettati e messi in quarentena erano falsi positivi (ho gia' cancellato da Hard disk il programma per cui Kasper si lamentava: D:\MARZO2007\CVeM4_5.zip) . Ci sono comunque ancora dei virus trovati da PrevX (che non puo' levare essendo versione free).
Devo comunque dire quello gia' detto: un virus che mi e' stato trovato in c:\document and setting\all user\....... dovrebbe essere ancora li'; io non riesco a vederla la cartella \All user e neppure \Michele (quest'ultima e' la folder dell'utente amministratore con il quale sto accedendo). Non essendoci piu' \Michele non posso neppure accedere a \My document, ne' a \dowload (di firefox e chorme); infatti per installare i prg scaricati ho dovuto usare l'opzione di chrome "apri nella cartella" e a quel punto si apre la cartella \download (dunque Esiste ancora! Ma non è piu' raggiungibile da c:\
Ma cosa e' successo?? Dovro' ripristinare con il CD di XP? Lo chiedo perche' non sono mai riuscito a fare tale operazione, dato che con il SP3 Windows mi avverto che il CD di installazione e' di versione precedente (per lo stesso motivo non sono neanche mai riuscito ad intallare la console di ripristino); spero vi sia un modo per rivedere correttamente tutte le cartelle di tutti i programmi. Devo provare dell'altro? GRazie in anticipo!

http://wikisend.com/download/388032/gmer.last.txt
http://wikisend.com/download/417456/lastKasper.txt
http://wikisend.com/download/500204/KASPERQUARANTINE.txt
http://wikisend.com/download/704980/prevX.log

F-secure continua a dare errore "trusted.certs (access denied) (vedi sopra)
Non ho idea da cosa possa dipendere e non ho trovato molto on line.

prevx vede questi oggetti:

[B] c:\program files\matlab\r2008a\toolbox\rtw\targets\xpc\target\build\xpcblocks\divsbc6.mexw32 [PX5: 067BBF5B007681D2BE9A000085EE0500E14D9600] Malware Group: High Risk Cloaked Malware
[B] c:\program files\matlab\r2008a\toolbox\rtw\targets\xpc\target\build\xpcblocks\serwritefc422.mexw32 [PX5: 086C4D1800720DD8BEDB00323332F8001EA43A6D] Malware Group: High Risk Cloaked Malware

fai analizzare questi due oggetti su www.virustotal.com e pubblica il link che compare nel browser a fine scansione di ciasc'un oggetto.


ma non vedo quella segnalazione di ncui accennavi, l'unica cosa che si avvicina a quanto dicevi è la segnalazione di Gmer:

C:\DOCUME~1\michele\LOCALS~1\Temp\DBaS6Dl0.sys The system cannot find the file specified. !
ma non va mica presa come un virus o un errore o chissà cosa di grave.


Il fatto che tu non veda il percorso c:\documents and settings\Michele\... può essere dovuto al fatto che sono cartelle di sistema e ne è stata impostata la non visualizzazione, prova a fare così:
apri esplora risorse -> vai in c:\documents and settings
ora premi strumenti-> opzioni cartella -> visualizzazione

ora controlla queste voci:

attiva la voce: visualizza cartelle e file nascosti


disattiva la voce: nascondi i file protetti di sistema


disattiva la voce: nascondi le estensioni per i tipi di file conosciuti


attiva la voce: non memorizzare le anteprime nella memoria cache


ora clicka "applica" e poi clicka "applica a tutte le cartelle", infine clicka ok e chiudi la finestra "opzioni cartella".

http://www.virustotal.com/file-scan/report.html?id=a639dc20bd228bad91db4f17e9b7cfd458625be8b070f0e7377724dccdd80f5d-1303208818
http://www.virustotal.com/file-scan/report.html?id=8e992632e8657045c4bf4b18725b04df3fa9942255e661d43275bb9dd0311b6a-1303208680
Dunque, per quanto riguarda i file "spariti": lo stesso problema c'era anche in tutte le icone del desktop e in tutti i files in c:\programsFile\ (cioe' come gia' detto, le cartelle erano visibili ma non i files contenuti in esse). Settando quelle impostazioni sulle cartelle sono riapparsi tutti (destop compreso, dove c'e' anche "windowsRestore.exe"(?) ) ma sono "semitrasparenti" (come i files nascosti). Ovviamente prima non lo erano; aggiungo che anche i "programmi" dalla barra degli strumenti (start->programs) sono spariti tutti (tranne gli antivirus e app installate in seguito al problema). Sparito anche il "quick launch". Ovviamente ho riavviato.
Il file di cui mi lamentavo e' nell'ultimo file postato QUARENTINE di Kasper; cosa e'?

sicuro di possedere WindowsRestore.exe ?
-> http://www.prevx.com/filenames/X832490397103970292-X1/PORN.EXE.html

per ripristinare le visualizzazione guarda qui: http://www.hwupgrade.it/forum/showthread.php?t=1555416

sicuro di possedere WindowsRestore.exe ?
-> http://www.prevx.com/filenames/X832490397103970292-X1/PORN.EXE.html

per ripristinare le visualizzazione guarda qui: http://www.hwupgrade.it/forum/showthread.php?t=1555416

Non ho idea se sia lo stesso: sul desktop ho questo "collegamento" chiamato windowsrestore.exe a "C:\Documents and Settings\All Users\Application Data\16310068.exe"; in realta' sono andato in quella directory e non c'e' un file .exe ma ci sono 3 files "16310068" senza estensione.
Ma quindi il virus messo in quarentena da Kasper (contenuto nel file QUARANTINE) allegato nel post precedente, cosa e'?
Sto lanciando VirIT che sta macinando da oltre 1 ora ed ha individuato 2 virus (uno l'ha rimosso, l'altro no ma riguarda emisoft); ho notato che il file di registro contiene anche delle cartelle relative ad applicazioni che io avevo disinstallato. Tra poco comunico se VirIT ha fatto quello che si sperava. Nel frattempo resto in attesa di altri suggerimenti.
Grazie!


EDIT-----------------------
Ho seguito il link suggerito: non trovo exploerer.exe nel registro nella posizione indicata da quel thread. Comunque digitando 'explorer.exe" dal task manager si apre una finestra con tutte le cartelle. Eseguito VirIt che ha tolto un virus (come detto sopra). Ho eseguito (con successo) 'sfc /scannow' sperando in che ripristinasse i file (da nascosti a "normali", barra degli strumenti e quick launch): invece non e' cambiato nulla. Cosa mi resta da fare? Pensavo di reinstallare da CD windowsXP "sopra" alla mia installazione per non perdere tutto. grazie.

se non mi dai dei dettagli di quei file io non posso immaginarmi cosa tu veda in esplora risorse.
se puoi allega anche il log di virit

se non mi dai dei dettagli di quei file io non posso immaginarmi cosa tu veda in esplora risorse.
se puoi allega anche il log di virit
Non mi e' chiarissimo di quali files parli; vediamo se sono questi:
http://wikisend.com/download/428468/VIRITEXP.LOG
http://wikisend.com/download/581640/applicationDataFolder.JPG
http://wikisend.com/download/965664/explorer.JPG
COme si puo' notare i files e cartelle sono "nascosti"; ho scoperto che hanno tutte la proprieta' "hidden" spuntata. Volendo deselezionarlo per tutte le cartelle ma vorrei capire il problema, dato che anche se deseleziono "hidden" e poi applico a tutti le sottocartelle, resta sempre qualcosa (tipo i collegamenti) nascosto....grazie.

con virit ripristina questo file:
C:\Program Files\Emsisoft Anti-Malware\a2framework.dll Possibile variante da Trojan.Win32.Cryptor.A
è un falso allarme