[Win XP] antivir fuori uso, explorer.exe, e altre stranezze

[plafka]

Salve, il mio PC ha molti piccoli sintomi, che non saprei neanche descrivere.
I più evidenti sono:
- Antivir che non si avvia, neanche manualmente
- programmi che cominciano a non funzionare più (word a volte si blocca all'apertura, acrobat non stampa (ieri stampava))
- un fastidioso "refresh" del desktop: spesso (specie quando apro una nuova finestra) per un istante spariscono tutte le icone del desktop e tutti i contenuti delle finestre aperte, come se ricaricasse tutto)
- i log di hajackthis mostrano sempre un explorer.exe con la X rossa, nonostante proceda con il fix, a volte mostrano voci che prima non c'erano
- all'avvio di windows (a volte) mi si aprono due finestre di documents&settings in modo automatico...
bhe... per me è stato sufficiente per incamminarmi sul vostro percorso punitivo di disinfezione, che sto seguendo come una bibbia.

1. ho disattivato la protezione di sistema e pulito con AFT-Cleaner
2. Ho scansionato con ADS e rimosso tutti i files (non pubblico il log)
3. ho fatto scansione deep con A-squared, il cui log è qui -->Clicca qui per scaricare
4. ho scansionato on-line con F-Secure e questo è il log --> Clicca qui per scaricare
5. ho scansionato con DrWeb CureIT e questo è il lista report --> Clicca qui per scaricare
6. ESET SysInspector mi ha emesso questo log --> Clicca qui per scaricare
7. a questo punto HiJackThis ha mostrato questo log --> Clicca qui per scaricare

Prima di iniziare questo iter, avevo provato hijackthis (in verità la versione 1.9) ed avevo fixato le voci con EXPLORER.EXE e anche quel wsctf.exe... ed eccole ancora lì.
ora non so se devo fixare prima di continuare al passo 8.
sono un pò stanco per oggi...

che ne dite?

[wjmat]

Fai Start → Esegui → digita regedit (invio)

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Nel pannello di destra doppio click su Userinit ed elimini EXPLORER.EXE (invio)

Deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,

[plafka]

Quote:

Originariamente inviato da wjmat

Fai Start → Esegui → digita regedit (invio)

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Nel pannello di destra doppio click su Userinit ed elimini EXPLORER.EXE (invio)

Deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,

fatto, ma è rimasto così "userinit.exe," il percorso non c'era.

per il resto?
devo fixare con hijackthis e procedere coi punti 8 9 etc?

[wjmat]

[plafka]

ok, devo riscrivere il valore allora...
ma per curiosità, che differenza c'è tra
"userinit.exe," e
"C:\WINDOWS\system32\userinit.exe,"?

[wjmat]

praticamente cambia l'indirizzo del file
aspetta anche il parere di qualcun' altro prima di modificarla

[xcdegasp]

Quote:

Originariamente inviato da plafka

ok, devo riscrivere il valore allora...
ma per curiosità, che differenza c'è tra
"userinit.exe," e
"C:\WINDOWS\system32\userinit.exe,"?

in teoria dovresti averlo solo in quella directory

[plafka]

Quote:

Originariamente inviato da xcdegasp

in teoria dovresti averlo solo in quella directory

l'avevo immaginato, per questo ho fatto un "cerca file" userinit.exe per vedere se ce ne fossero altri, ma mi ha trovato solo C:\WINDOWS\system32\userinit.exe
adesso non so se esistono copie o meno... ma a questo punto vado a cambiare il valore per sicurezza.

Nel frattempo ho scansionato con gmer, che mi ha trovato un bel pò di processi nascosti, associati credo ad un "VideoAcceleratorEngine.exe" che ho prontamente disinstallato, insieme a tutto il DAP.
Appena posso aggiornerò con il log.
il prevxcsi non segnala infezioni... però le cose non migliorano!

help!

[wjmat]

comincia a cambiare la stringa
poi se magari lasci perdere emule mentre ti stai ripulendo, eviti di reinfettarti....
poi oltre a dap fai fuori le toolbar che sono inutili
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc → Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

[plafka]

Quote:

Originariamente inviato da wjmat

comincia a cambiare la stringa
poi se magari lasci perdere emule mentre ti stai ripulendo, eviti di reinfettarti....
poi oltre a dap fai fuori le toolbar che sono inutili
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc → Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

li mio pc da un pò si spegne e si riavvia all'istante, non riesco a capire se per colpa del gruppo di continuità (o discontinuità) o per questi problemi di infezione.
sto usando l'autoavvio di emule come avviso dello spegnimento: se lo trovo sul desktop vuol dire che il pc si è spento e riacceso...
lo so, lo so... non dire niente!

appena riesco carico i nuovi log.

una cosa che non ho capito della guida: il log di hijacktihs devo caricarlo nella sezione di hijackthis, e poi inserire eventuali risposte qui?
lo chiedo giusto per stare alle regole del forum.

[wjmat]

carica tutti qui

[plafka]

il log di hijackthis dopo la pulizia è questo --> http://www.mediafire.com/?x0k1xzsfjlx
il log di gmer dopo la disinstallazione di DAP e VideoAccelerator è pulito, ed è questo --> http://www.mediafire.com/?vhnq2h3eyjr


Tutto sembra pulito, però alcuni programmi non funzionano bene (word si blocca all'avvio, acrobat si blocca alla stampa), avira non si carica ancora e all'avvio di windows, per un istante, compare questa finestra del prompt di dos -->


non mi sembra normale...
che ne dite?
vi servono altri log?

[wjmat]

nuovo log di eset

il log di f-secure è salvato male...
Clicca su Start → Esegui → digita %temp% (invio) → cerca nella cartella OnlineScanner se ritrovi il log originale

antivir potrebbe essere stato corrotto, prova a disinstallarlo riavviare e reinstallarlo

[plafka]

Quote:

Originariamente inviato da wjmat

nuovo log di eset

cos'è eset?
visto... sysInspector! ok lo farò... dopo la partita!!!

Quote:

Originariamente inviato da wjmat

il log di f-secure è salvato male...
Clicca su Start → Esegui → digita %temp% (invio) → cerca nella cartella OnlineScanner se ritrovi il log originale

è ols.xml o ols_report.html?

abbi pazienza...

Quote:

Originariamente inviato da wjmat

antivir potrebbe essere stato corrotto, prova a disinstallarlo riavviare e reinstallarlo

è vero... l'avevo letto e l'avevo scordato!

[wjmat]

subito!! non vorrai mica farmi guardare la partita col pensiero rivolto al tuo pc ahahahahahahahahah

[plafka]

Quote:

Originariamente inviato da wjmat

subito!! non vorrai mica farmi guardare la partita col pensiero rivolto al tuo pc ahahahahahahahahah

ok la partita l'hai vista e siamo tutti contenti per come è andata...
ora concentrati....................................................................

ok.
log di eset caldo caldo di scansione --> http://www.mediafire.com/?ixd1smnmmzn
log di F-Secure OnLineScanner recuparato dai Temp --> http://www.mediafire.com/?vx3mcxswgzr

avira l'ho disinstallato e reinstallato.
sembra che quella finestra del prompt non esca più (almeno l'occhio umano non la vede), ma word e acrobat danno ancora problemi (anche excel...)
aiuto!

[wjmat]

Google Desktop Search, e google toolbar rimuovili
acrobat non riesci ad aggiornarlo? hai una versione vecchia

[plafka]

Quote:

Originariamente inviato da wjmat

Google Desktop Search, e google toolbar rimuovili
acrobat non riesci ad aggiornarlo? hai una versione vecchia

ma dici che i miei problemi sono dovuti a google toolbar e ad una versione vecchia di acrobat?

[wjmat]

google è solo per eliminare roba inutile
acrobat va aggiornato perchè le versioni vecchie sono vulnerabili
attualmente ho office2007 è c'è una funzione che ripara le installazioni, ho trovato un pc con office 2003 come il tuo ma mi pare di non aver trovato quella funzione... vedi se trovi qualcosa di simile o al max reinstalla

[plafka]

Quote:

Originariamente inviato da wjmat

google è solo per eliminare roba inutile
acrobat va aggiornato perchè le versioni vecchie sono vulnerabili
attualmento ho office2007 è c'è una unzione che ripara le installazioni, ho trovato un pc con office 2003 come il tuo ma mi pare di non aver trovato quella funzione... vedi se trovi qualcosa di simile o al max reinstalla

ho aggiornato l'acrobat
ancora male...
che devo fare?