Generic Host Process for Win 32 Services

[tremebondo]

ciao a tutti,
posto qui la discussione perchè credo che il problema che mi riguarda sia dovuto ad un virus.
Ho come s.o. un Windows XP costantemente aggiornato e dopo un pò di tempo che il pc resta acceso compare il messaggio "Generic Host Process for Win 32 Services" in coppia con un secondo riquadro che dice "svchost.exe errore di applicazione" dopodichè si blocca completamente il pc (non entra nemmeno nel task manager) e devo riavviare.
Ho eseguito la guida per pulire il pc (allego tutti i log) ed alla fine ho avviato anche combofix (come consigliato in altri topic inerenti il problema).
Lo stesso combofix appena parte mi dice "ha rilevato la presenza di rootkit ed è necessario riavviare il pc"; dopo il riavvio combofix parte e subito mi rileva "errore in PEV.cfxxe, chiudo la finestra e finisce la scansione; quando inizia l'elaborazione del log compare un nuovo messaggio di errore in REGT.cfxxe; una volta chiusa la finestra, combofix mi dice "memoria insufficiente per completare l'ordinamento", poi prosegue da solo e mi da il report.
Io allego tutti i log, spero che qualcuno mi possa aiutare a risolvere i problemi.
Grazie mille.

ps.: come mai riesco ad allegare solo un log per volta e non c'è modo di allegare il log di Hijackthis?

[tremebondo]

allego log malwarebytes

[tremebondo]

log f-secure online

[tremebondo]

http://www.2shared.com/document/f8az...29-114503.html

Questi sono il log di cure-it e a2scan

Il log di Hijackthis non riesco ad allegarlo e lo copio di seguito:

[xcdegasp]

prima di procedere con le scansioni c'era esplicitamente scritto di fare una passata con atf-cleaner, perchè non lo hai fatto?
fallo ora.

malwarebytes: non era aggironato, aggiornalo e rifai la scansione.

poi prosegui con i passi successivi della guida.

[tremebondo]

Effettuata scansione con atf-cleaner il quale non mi ha dato alcun errore.
Poi ho effettuato lo scan con malwarebytes e eset on line di cui allego di seguito il link dei logs.
http://www.2shared.com/document/WieS...18-03-45_.html
http://www.2shared.com/document/hlNr...t_on_line.html

Non si riesce nè ad allegare nè ad "uploadare" i log di HijacThis. Come devo fare?

[xcdegasp]

atf-cleaner è un tool di pulizia dei file temporanei, non deve darti errore e trovo strano che ci siano ancora exe in "dati applicazioni"..
o le cose le fai come ti vengono chieste o non farle perchè altrimenti continuamo a lavorare per nulla, puoi per cortesia ripartire da atf-cleaner usandolo nel modo corretto? grazie mille, poi rifai con malwarebytes e poi Emsisoft Anti-Malware e via di conseguenza.
nelle regole di sezione c'è scritto che server sono consigliati, il log di hijackthis è un semplice file di testo

[tremebondo]

Scusa ma cosa dovrei fare per utilizzare Atf-cleaner correttamente?
Se mi dici dove sbaglio forse potrei correggermi. Riguardo agli errori, lo so bene che si tratta di un tool di pulizia, ma se c'è scritto nella guida stessa di indicare eventuali errori segnalati da Atf-cleaner, cosa dovrei fare?

[xcdegasp]

doppio click e poi "select all" e poi "empty select". impostati anche i dns come richiesto?

[tremebondo]

Dunque, abbi pazienza ma Atf lo usavo proprio così, d'altronde non è che ci fossero altri usi ignoti!
Riguardo agli exe in "dati applicazioni", che ci posso fare?
Riguardo al log di Hijackthis, non c'è proprio verso di allegarlo, ho provato allegando il file txt al topic e mi da errore, ho provato a caricarlo su alcuni server ma mi da errore tutte le volte e non me lo carica come se il file fosse corrotto, non so più cosa inventarmi!!
Io ti riporto di seguito le prime 4 righe del log, solo per darti un'idea:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
Mi devi scusare ma non so proprio dove sbattere la testa!!!

[frash]

prova con altri server (megaupload, mediafire, rapidshare, filedropper, ge.tt.......)

[xcdegasp]

vorrei precisare che il server 2shared.com lo hai usato tu di tua spontanea iniziativa no consigliamo server che non danno problemi
e prima di hijjackthis dovresti fare 2 scansioni quindi abbi pazienza..

[tremebondo]

Dunque:
-ho impostato i dns;
-ho disattivato la configurazione di ripristino;
-ho fatto pulizia con atf-cleaner
e poi ho proceduto aggiornando i software usati di volta in volta.
Il log di Hijackthis continua ad essere impossibile da allegare o da caricare nei server indicati, quindi l'ho incluso nel file .rar che allego e che contiene anche gli altri log, spero possa andare bene.
Questo è il log di sys-inspector: http://www.filedropper.com/sysinspec...io-110104-1745
Gmer non mi ha dato nessun errore.
Spero che riusciate a trovare i problemi del mio pc.....
Grazie mille per l'aiuto.

[xcdegasp]

niente zip così come ben ribadito nelle regole di sezione!

[tremebondo]

http://www.filedropper.com/mbam-log-2011-01-0221-06-44
http://www.filedropper.com/cureitfiltrato
http://www.filedropper.com/f-secureonline
http://www.filedropper.com/a2scan110103-101755
http://www.filedropper.com/hijackthis

Spero di esserci riuscito.............

[xcdegasp]

però ci sono ancora file temporanei come del resto ci sono i cookies quindi sei sicuro di aver dato il consenso ad eseguire atf-cleaner con utenza amministratore?

nel log di emsisoftware antimalware non èè visibile se hai messo gli oggetti in quarantena.

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programmi\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll (file missing)
O2 - BHO: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} - C:\Programmi\Zynga\tbZyn0.dll
O3 - Toolbar: Zynga Toolbar - {7b13ec3e-999a-4b70-b9cb-2617b8323822} - C:\Programmi\Zynga\tbZyn0.dll
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programmi\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [facemoods] "C:\Programmi\facemoods.com\facemoods\1.4.17.3\facemoodssrv.exe" /md I
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Rinera Streaming Control) - http://portal3.rinera.com/download/RineraProxy-1.4.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1223653224250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166464809140
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

poi vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[tremebondo]

Allora:
i file temporanei che risultano anche dopo atf-cleaner ci sono perchè dopo la pulizia sono tornato sul sito per vedere le istruzioni e qualcosa rimane e sempre;
i file rilevati da emsisoftware in verità sono stati proprio eliminati perchè non li trovo nè in quarantena nè nelle cartelle originarie.
Ho fatto tutto come mi hai detto e, dopo lo scan con Secunia, forse (e dico forse) si è trovato il vero problema, infatti mi mancano una marea di aggiornamenti di Windows!!
Premetto che il servizio di aggiornamenti automatici è attivato ma, in ogni caso, se provo ad avviare gli aggiornamenti mi compare una pagina di errore del browser del tipo "impossibile visualizzare pagina web - diagnostica problemi di connessione". Lo stesso errore mi viene se provo a collegarmi manualmente al sito di Windows Update, come se non fosse più esistente.
Che devo fare?

[xcdegasp]

quindi questi oggetti verrebbero trasmessi da hwupgrade.it ?

Codice:

TrackingCookie.Adbrite
TrackingCookie.Yieldmanager

comunque sia manca il log di prevx eseguito con connessione a internet attiva.

[tremebondo]

Prevx non segnala errori, questa è la schermata che ottengo:

http://www.filedropper.com/pvrxschermo

Come vedi, sullo sfondo è visualizzata la pagine di errore che mi restituisce il browser se provo a connettermi con windows update.

[xcdegasp]

ok ma serve proprio il log

per quanto riguarda windows uppdate puoi provare questo link: https://www.windows.update.com

in xp credo ci siano 2 icone di windows update solo una delle due dovrebbe portare alla pagina funzionante in ogni caso per bypassare il problema in semplicità basta usare la voce presente nel menu "sicurezza" di InternetExplorer