Server occupato + interpretazione log hijack

[andreaperez]

Ciao a tutti! Ho un problema che mi affligge da un pò di tempo e spero che qualcuno possa aiutarmi. All'accensione del pc e in altri momenti assolutamente casuali mi appare un messaggio con scritto "server occupato, impossibile completare l'operazione perchè l'altro programma è occupato" e poi 2 scelte: passa a o riprova, se faccio passa a si apre il menu start se faccio riprova assolutamente nulla, in entrambi i casi comunque mi appare l'icona di windows live messanger sulla barra dove sta l'orologio nonostante io nn abbia l'esecuzione automatica all'avvio di messanger. Da poco ho fatto una scansione con Malwarebytes' Antimalware che mi ha trovato una grossa quantità di infezioni tra cui molti file tipo smss.exe e csrss.exe che si trovavano in cartelle di non loro competenza e quindi suppongo create da un virus. Eliminati i file infetti purtroppo il problema non si è risolto. Ad ogni modo ho notato dal task manager che quando mi appare il messaggio server occupato ci sono due processi csrss.exe mentre prima che appaia invece ce n'è uno solo. Purtroppo non ho idea di come interpretare il log di Hijack this quindi ve lo posto che magari qualcuno ci capisce qualcosa. Grazie a tutti in anticipo

Codice:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.33.42, on 18/05/10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:

[Chill-Out]

Ciao e benvenuto, dal log di HJT si evince che sei fermo al SP2 ed utilizzi IE7, considera che il 13 Giugno la stessa Microsoft termina il supporto per XP SP2 e per ragioni di stabilità e sicurezza è necessario aggiornare.

Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

PS: ricorco per il futuro che per quanto concerne il controllo del solo log di HJT esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=937676

[andreaperez]

Si sono fermo all'sp2 e uso ie7. Farò tutto il prima possibile (purtroppo non credo prima di domani) grazie per il suggerimento sulla discussione dedicata perchè non sono molto bravo a muovermi nei forum

[Chill-Out]

Quote:

Originariamente inviato da andreaperez

Si sono fermo all'sp2 e uso ie7. Farò tutto il prima possibile (purtroppo non credo prima di domani) grazie per il suggerimento sulla discussione dedicata perchè non sono molto bravo a muovermi nei forum

Il 3D dedicato al controllo del log di HJT è solo un suggerimento per il futuro, io seguirei la Guida alla disinfezione

[andreaperez]

Ciao, sono faticosamente riuscito ad eseguire tutte le scansioni tranne quella con gmer poichè dopo averlo eseguito caricava un pò e poi mi diceva che il programma sarebbe stato chiuso perchè mancava qualcosa...boh. Cmq vi allego i risultati di tutte le scansioni. Tnx

http://wikisend.com/download/573232/...519-001435.txt
http://wikisend.com/download/471990/...20filtrato.txt
http://wikisend.com/download/468912/fsecure.txt
http://wikisend.com/download/641694/hijackthis.txt
http://wikisend.com/download/969584/Malwarebytes'.txt
http://wikisend.com/download/887454/prevxlog.txt
http://wikisend.com/download/560880/...00519-2155.xml

[andreaperez]

Ciao a tutti, qualcuno è riuscito a capire qualcosa dai log allegati?? La cosa rassicurante è che per il momento non si è più ripresentata la finestra con scritto server occupato. Il problema è che durante una delle pulizie mi è stato cancellato il file mstsc e quindi all'avvio mi dava un errore relativo a quest'ultimo. Per il momento per evitare di farmi apparire la finestra ad ogni avvio, ho usato l'utilità di configurazione di sistema con l'avvio selettivo e all'avvio ho disabilitato il file in questione così non mi da più l'errore. Proprio dando un occhio ai processi all'avvio ne ho visto uno che fino ad oggi non c'era mai stato: dumprep 0 -k con percorso HKLM\software\microsoft\windows\currentversion\run, sapete di che si tratta??

[Chill-Out]

Ciao, dal log di A2 e dal log di MBAM non si capisce se hai eliminato gli elementi infetti, inoltre manca il log di CureIt.

Controlla su http://www.virustotal.com/it/ il seguente file cdilla10.exe che trovi in c:\windows\ per i risultati basta riportare nel prossimo post l'URL rilasciata a fine scansione.

[andreaperez]

il file di cure.it è quello dove c'è scritto filtrato, ho usato come da procedura il programma per snellire il log cmq ve lo ri posto
http://wikisend.com/download/448798/cureit filtrato.txt Ho cancellato tutti i file in tutte le scansioni tranne file riguardanti l'eseguibile di mirc che è di sicuro pulito è uno riguardante winrar che è pulito garantito. Per quanto riguarda il file clilla riguarda un programma associato ad autocad che serviva per la conferma della licenza; dato che autocad 2002 sul pc nn ce l'ho più ho provvisto a cancellare anche il programma associato a quel file e di conseguenza anche il file in questione. Ma per il resto tutto che dici tutto ok o devo fare qualcos'altro. Grazie per la disponibilità.

[andreaperez]

Ciao, come già detto seguire la procedura per la disinfezione mi ha aiutato a risolvere il problema della finestra con scritto server occupato, ma in una delle pulizie è stato cancellato il file mstsc.exe che ho scoperto essere relativo al desktop remoto, me ne frego e sopravvivo senza??
Inoltre io non so per niente interpretare log come quello di hijack, quindi perfavore qualcuno mi dice se c'è qualche voce da fixare??Grazie. ciaooo

[Chill-Out]

Quote:

Originariamente inviato da andreaperez

il file di cure.it è quello dove c'è scritto filtrato, ho usato come da procedura il programma per snellire il log cmq ve lo ri posto
http://wikisend.com/download/448798/cureit filtrato.txt Ho cancellato tutti i file in tutte le scansioni tranne file riguardanti l'eseguibile di mirc che è di sicuro pulito è uno riguardante winrar che è pulito garantito. Per quanto riguarda il file clilla riguarda un programma associato ad autocad che serviva per la conferma della licenza; dato che autocad 2002 sul pc nn ce l'ho più ho provvisto a cancellare anche il programma associato a quel file e di conseguenza anche il file in questione. Ma per il resto tutto che dici tutto ok o devo fare qualcos'altro. Grazie per la disponibilità.

Quote:

Originariamente inviato da andreaperez

Ciao, come già detto seguire la procedura per la disinfezione mi ha aiutato a risolvere il problema della finestra con scritto server occupato, ma in una delle pulizie è stato cancellato il file mstsc.exe che ho scoperto essere relativo al desktop remoto, me ne frego e sopravvivo senza??
Inoltre io non so per niente interpretare log come quello di hijack, quindi perfavore qualcuno mi dice se c'è qualche voce da fixare??Grazie. ciaooo

Su WinRar ho seri dubbi della legittimità del file e questo lo si evince chiaramente dai log, esistono ottime alternative Free è inutile ricorre a stratagemmi vari per utilizzare un software a pagamento.

Per quanto concerne mstsc.exe trattasi di un Virus il file legittimo è in questo percorso C:\Windows\System32 il tuo era in c:\windows\ per il resto siamo ok ma devi necessariamente aggiornare al SP3 - IE alla versione 8 ed installare AV e FW, puoi aiutarti seguendo questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1726383

[andreaperez]

Ciao, grazie per la risposta. Seguirò il tuo consiglio e passerò all'sp3 appena mi arrivano gli aggiornamenti da winzoz (sottolineo che io nn installo a prescindere tutto quello che c'è come aggiornamenti ma controllo e poi scarico). Per quanto riguarda il file di winrar quando dicevo sicuro, non intendevo leggittimo....è ovviamente non leggittimo ma di sicuro non è un virus e non mi ha mai dato problemi..
Cmq come antivirus uso avg 8 e come firewall comodo firwall, dici che devo cambiare??
Ah un ultima cosa, credo proprio che passerò a mozilla firefox che ie mi ha stufato. Grazie per il vostro lavoro

[Chill-Out]

Quote:

Originariamente inviato da andreaperez

Ciao, grazie per la risposta. Seguirò il tuo consiglio e passerò all'sp3 appena mi arrivano gli aggiornamenti da winzoz (sottolineo che io nn installo a prescindere tutto quello che c'è come aggiornamenti ma controllo e poi scarico). Per quanto riguarda il file di winrar quando dicevo sicuro, non intendevo leggittimo....è ovviamente non leggittimo ma di sicuro non è un virus e non mi ha mai dato problemi..
Cmq come antivirus uso avg 8 e come firewall comodo firwall, dici che devo cambiare??
Ah un ultima cosa, credo proprio che passerò a mozilla firefox che ie mi ha stufato. Grazie per il vostro lavoro

Come detto in precedenza qui http://www.hwupgrade.it/forum/showthread.php?t=1726383 trovi tutte le info che ti necessitano.

Ti suggerisco inoltre di leggere attentamente il Regolamento del Forum http://www.hwupgrade.it/forum/regolamento.php

[andreaperez]

ooooooooook. Grazie ancora. Vedrò come organizzarmi. Cmq contro mio padre che usa il pc non c'è antivirus o antispyware che tenga, quindi mi sa che gli creo un profilo utente così evita di farmi implodere il pc ogni 2 mesi...
Ciaooooooooooo