grossi problemi con explore.exe e virus backdoor.bot explorer

[ForeverZero]

si è ripresentato puntualmente con stessi sintomi e stesse problematiche
un problema che avevo 2 mesi fa, che mi portò il pc in condizione di Bsod perenne

sono un fanatico dei post perfetti e qui è importante la chiarezza
elenco perciò le caratteristiche del mio problema in fasi
tutto ciò che ho scoperto indagando sul mio pc e che possono essere utili

1. improvviso e tenace rallentamento del pc all'avvio
2. l'impossibilità di avviare qualsiasi programma anche il più banale
(per esempio aprile il pannello connessione o_O)
3. pc che va blocco improvvisamente al punto tale da doverlo riavviare manualmentem come unica soluzione

Quote:

* il problema 1. me lo tenevo non potevo farci nulla

Quote:

* per il problema 2. dovevo per forza seguire un iter piuttosto fastidioso
il quale prevedeva:

aprire Task manager > chiudere il processo explorer.exe > esegui > aprire explorer.exe > aprire ora il programma desiderato tempestivamente
(infatti se non si agiva tempestivamente, lo schermo del pc subiva tipo un reflesh
e per aprire il programma dovevo di nuovo tornare sul taskmanager ed iniziare da capo l'operazione)
oppure
A volte non era sufficente nemmeno questa manovra e cosi dovevo tornare sul Task manager > chiudere il processo Dwwin.exe oppure DW20.exe> richiudere il processo explorer.exe > esegui > riaprire explorer.exe > aprire ora il programma desiderato tempestivamente bla bla bla

Quote:

* il problema 3. non l'ho mai risolto davvero
sicuramente anche in questo caso explore.exe è la causa
quando il pc va in blocco lo fa queste caratteristiche

• freeze totale dello schermo
• musica ridondante dalle casse, sempre le stesse note ripetute del momento del freeze
• spesso fischio acuto e interminabile dal case

il fischio dal case mi preoccupava
sono andato a cercare il significato dei bip della mia scheda madre
ma non si parlava di codici corrispondenti per fischi lunghi acuti e interminabili

ho controllato con la funzione SFC/scannow
per vedere se ci fosse qualche problema file di windows, chache,
non mi ha seganlato nessun problema

ho controllato l'hardware, tolta la polvere, testati banchi dei ram diversi,
tutte le ventole girano normalmente, l'alimentatore è nuovo, nessun riscaldamento anomalo o rovente fuorimedia da nessuna parte,
i cavi sembrano tutti ok, nessuno scricchiolio o altro rumore anomalo dall'HD
e il problema persiste

ho indagato su exlorer.exe a questo punto ero quasi certo che tutto sia causa di virus oppure applicazioni che vanno in conflitto con explorer.exe
explorer.exe mi prende normalmente 23,428K ~ nel task manager
se apro dei browser schizza a 50,000K e si verificano delle stranezze:
il processo del Browser schizza a 500,000K circa nel taskmanager
la memoria allocata in basso passa da 400M a 1600M e più
IE in questa fase mi da un mucchio di problemi a volte dopo poco il pc si blocca
Firefox e chrome non danno molti problemi come con IE, ma con loro 2 il pc si blocca dopo pochissimi minuti di navigazione nel 100% dei casi

aggiungo se navigo su siti con filmati flash tipo youtube
i valori sballati del taskmanager triplicano
di solito si blocca sempre il pc a metà filmato
almeno ora so che il pc non si blocca totalmente a caso

comunque è accaduto che il pc ha retto 10 ore senza bloccarsi
mentre tenevo aperto un videogame di ultima generazione e grafica al massimo
ed è crashato mentre era semplicemente aperto sul desktop fermo
10 minuti doo essere stato acceso

scansionato in modalità normale e provvisoria con
"Avira" "spybot search e destroy" e "malwarebytes"
il primo non ha trovato nulla
il secondo ha trovato 1 trojan ed chiavi di registro infette
ma non riesce a cancellarli del tutto
malwarebytes fa un ottimo lavoro e trova parecchi schifi infetti
(ammetto che mi ha sorpreso, non immaginavo tanto schifo nel mio pc)
tuttavia quando provo a rimuoverli malwarebytes pare impallarsi
^ ^ ^
probabilmente sono loro la causa di tutto esiste un modo per toglierli manualmente?

in modalita provvisoria non ho alcun tipo di problema con explorer.exe
e il pc non si blocca mai


allego log di hijackthis e malwarebytes
spero vivamente che il post sia abbastanza chiaro
ringrazio tutti anticipatamente per l'aiuto

info sistema
Microsoft Windows XP
professional
versione 2002
Service pack 3

info computer
AMD Athlon(tm) 64x2 Dual core processor 4200+
2.20 Ghz. 2.00GB di RAM
estensione indirizzo fisico

scheda video x1650series secondary
motherboard Asus M2v chipset VIA k8t890

Malwarebytes log> mbam-log-.txt
A-Squared Free v4.x log> a-squared scan_.txt
F-Secure OnLine log> F-secure log.txt
Dr.Web CureIT log> cureit filtrato.txt
ESET SysInspector log> SysInspector-A3D9AA134CE64E0-100423-1258.xml
hijackthis log> hijackthis.txt
Gmer log> "Gmer not found any system modification" log bianco
Prevx 3.0 log> prevx 3 log.txt
inoltre
una scan fatta con prima di usare tutti gli altri programmi Avira>Avira log

[ForeverZero]

provvedo ma ci vorra un po'

[Chill-Out]

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

[ForeverZero]

ho completato tutte le scansioni
procedo ora alla ricerca thread per thread
con le nuove informazioni ricavate

ho svolto tutte le scanzioni in modalità provvisoria
tranne prevx3
e in ordine di come appaiono sul post 1
ho lasciato i malware in quarantena con A-squared
e guarito 1 dei due malvare trovati da Dr.web
l'altro, un malware sul master bootrecord, chiedeva di riavviare per il cancellamento
ho deciso di rimandare, come istruzioni della guida suggerivano

domanda Gmer è quello che ha impiegato più di tutti per la scansione alla fine ho premuto su save, ma ha dato un report totalmente bianco
è usuale ?

[Chill-Out]

Quote:

Originariamente inviato da ForeverZero

ho completato tutte le scansioni
procedo ora alla ricerca thread per thread
con le nuove informazioni ricavate

ho svolto tutte le scanzioni in modalità provvisoria
tranne prevx3
e in ordine di come appaiono sul post 1
ho lasciato i malware in quarantena con A-squared
e guarito 1 dei due malvare trovati da Dr.web
l'altro, un malware sul master bootrecord, chiedeva di riavviare per il cancellamento
ho deciso di rimandare, come istruzioni della guida suggerivano

domanda Gmer è quello che ha impiegato più di tutti per la scanzione alla fine ho premuto su save, ma ha dato un report totalmente bianco
è usuale ?

No, non c'è bisogno di spostarsi un altro 3D utilizziamo questo, la prima cosa da fare è ripetere scansione completa con CureIt e sistemare:

Quote:

Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35

la procedura richiede ovviamente il riavvio.

[ForeverZero]

eseguite altre 2 scansioni con cureIT
in modalita provvisoria scanzione veloce e completa

Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35

non è stato ritrovato
puo' essere che io lo abbia inavvertitamente cancellato?

invece ha identificato
Prevx 3.0 che avevo istallato per scanzionare
come un Backdoor.bot
ed altri file collegati a Prevx 3.0 come possibile Backdoor.bot
puo' essere che i programmi vadano in conflitto tra loro?

[Chill-Out]

Quote:

Originariamente inviato da ForeverZero

eseguite altre 2 scansioni con cureIT
in modalita provvisoria scanzione veloce e completa

Master Boot Record HDD1 infettato da BackDoor.MaosBoot.35

non è stato ritrovato
puo' essere che io lo abbia inavvertitamente cancellato?

Può essere, ma senza vedere il log non ne ho la certezza, procedi così:

1 Aggiorna MBAM e ripeti scasnsione completa, dal log si evince che non hai eliminato gli elementi infetti -> No action taken

Quote:

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

File infetti:
C:\Documents and Settings\All Users\Application Data\{FBDA53F5-763E-4114-A576-612E9769C133}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd (Rogue.sysCleaner) -> No action taken.
C:\qoobox\Quarantine\C\WINDOWS\system32\memman.vxd.vir (Rogue.sysCleaner) -> No action taken.

2 Stesso discorso per quanto concerne a-squared (A2), aggiornalo, ripeti scansione completa e metti in quarante tutti gli elemnti infetti

Riepilogo log da allegare:
MBAM
A2
Nuovo log Gmer
Nuovo log Prevx
Nuovo log HijackThis

[ForeverZero]

allora vi posso evitare tranquillamente la scocciatura di rivedere tutti i log

rieseguita scansione ed eliminati tutti

Quote:

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

File infetti:
C:\Documents and Settings\All Users\Application Data\{FBDA53F5-763E-4114-A576-612E9769C133}\offline\IFGMGCEMRAFAKNXEIMMAXFNSDRFFFF0\memman.vxd (Rogue.sysCleaner) -> No action taken.
C:\qoobox\Quarantine\C\WINDOWS\system32\memman.vxd.vir (Rogue.sysCleaner) -> No action taken.

ho provato il pc i problemi si presentavano ancora
quindi scansione di nuovo con A2 ha trovato di nuovo i soliti noti

Quote:

rilevati: Riskware.RiskTool.Win32.Reboot.f!A2
C:\Documents and Settings\HelpAssistant\Desktop\SmitfraudFix\restart.exe rilevati: Trojan.Win32.Shutdown.NAA!A2
C:\Documents and Settings\user\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\Sharing Folders\[email protected]\Babylon Pro 7.0.2.2(NEW)- language translation software\Babylon Pro 7.0.2.2.rar/Patch.exe rilevati: Virus.Win32.OnLineGames.EFZ!IK
C:\Programmi\brave_s\BRAVE_S.0XE rilevati: Backdoor.Win32.Hupigon!IK
C:\Programmi\GameHi_USA\GlobalDK\bin\xigncode\vashj.xem rilevati: Trojan-Spy.Banker!IK

messi in quarantena eliminato i tracciacookie
poi ho cancellato uno alla volta i big segnati come rischio alto
il problemi son tutti spariti dopo aver eliminato questo tizio qui:

Quote:

C:\Documents and Settings\HelpAssistant\Desktop\SmitfraudFix\restart.exe rilevati: Trojan.Win32.Shutdown.NAA!A2

rieseguite poi scansioni con tutta la serie
MBAM
A2
Gmer
Prevx

nessuna minaccia rilevata

Log Hijackthis>hijackthis.txt