Problema con PC

odracciR · 07-12-2006, 16:11

Ho già postato nel thread ufficiale di HiJackThis, per non andare lì of topic mi sono aperto un thread. Riporto il mio post in quel thread:

Quote:

Io ho un problema con il PC e non so a cosa sia dovuto. Il problema consiste nel fatto che il pc di colpo quando gli gira (circa 10 minuti dopo che è stato acceso) si riavvia senza dire niente. Ogni tanto capita che mi compare un messaggio prima del riavvio con un conto alla rovescia di 1 minuto che dice che "L'arresto è stato autorizzato da NTAUTHORITY/SYSTEM" e il problema sta in c:\WINDOWS\system32\serices.exe con codice di stato 204. Visto il poco tempo a mia disposizione non riesco a fare uno scan con l'antivirus (ho McAfee). Non sapendo da dove partire ho usato HijackThis e spero si possa risolvere il problema. In caso non si reisca formatto e riinstallo tutto... Grazie

Quote:

Logfile of HijackThis v1.99.1
Scan saved at 14.22.39, on 07/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programmi\McAfee.com\VSO\mcvsshld.exe
C:\Programmi\McAfee.com\VSO\oasclnt.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Documents and Settings\Admin\Documenti\Ricky\fixgromozon\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Admin\Desktop\103013522.dll (file missing)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.70\AMVConverter\grab.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.70\MediaManager\grab.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1B8B6629-14F9-4C7A-8DB8-7A51F6467589} - http://yqrugkkjqgh.com/db53f9e2/53100/1/xp/BestGold.cab
O16 - DPF: {208EF843-A769-45B4-B14F-18AD4D0AD5FB} - http://idkqzshcjxr.com/700fd819/1050...eeHardcore.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/sh...0/mcinsctl.cab
O16 - DPF: {6F88B98B-6225-46C5-BCCB-99ED4D720513} - http://idkqzshcjxr.com/6a4a3e42/10626/1/xp/Uq.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEEC07A7-D8DB-4551-BEBB-F86911CB4F92}: NameServer = 85.37.17.14 151.99.125.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mi è stato suggerito che potesse trattarsi di un certo "Worm Blaster". Ho scaricato un tool della Symantec e uno della Microsoft. Faccio aprtire il tool Symantec e arrivato nella cartella di windows dopo 30 minuti circa di scan il pc si riavvia senza che il tool completi lo scan. Allora ho provato con quello della microsoft e succede la stessa cosa. Alla fine sono riuscito a scoprire che non posso più toccare la cartella C:\windows\system32. Basta che la seleziono e il pc si riavvia. Anche tentando di fare uno scan selettivo scegliendo la cartella da controllare con il tool, nel momneot in cui la seleziono si riavvia il pc. Che posso fare?

FOXYLADY · 07-12-2006, 16:36

Ciao,

ti ho risposta nel thread di hijack, oltre a fixare quelle voci prova anche questa procedura:
scarica Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

Files to delete:

C:\WINDOWS\System32\wservice.exe

clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

odracciR · 07-12-2006, 16:44

Ho letto, grazie per la risposta. Ho fixato quello che mi hai detto e adesso provo con avenger.

odracciR · 07-12-2006, 16:49

Mi sa che non ha funzionato, ti incollo il log di avenger:

Quote:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jnjejutf

*******************

Script file located at: \??\C:\Documents and Settings\mjbpmegh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\wservice.exe not found!
Deletion of file C:\WINDOWS\System32\wservice.exe failed!

Could not process line:
C:\WINDOWS\System32\wservice.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

FOXYLADY · 07-12-2006, 17:04

Ma dopo il fix di hijackthis riesci ad accedere alla cartella service32 oppure ancora no?

odracciR · 07-12-2006, 17:15

No. Basta addirittura che passo con il puntatore del mouse sopra la cartella, senza selezionarla che mi si riavvia il pc.

FOXYLADY · 07-12-2006, 17:22

Prova a fare un tentativo con killbox, lo trovi qui
http://www.bleepingcomputer.com/files/killbox.php
scompatta l'archivio e lancia l'eseguibile.

Nel box scrivi
C:\WINDOWS\System32\wservice.exe
e premi il pulsante con la x rossa.

Poi, non so se hai già provato a fare le scansioni in modalità provvisoria, nel caso fai anche questo tentativo.

odracciR · 07-12-2006, 18:01

Quote:

Originariamente inviato da FOXYLADY

Prova a fare un tentativo con killbox, lo trovi qui
http://www.bleepingcomputer.com/files/killbox.php
scompatta l'archivio e lancia l'eseguibile.

Nel box scrivi
C:\WINDOWS\System32\wservice.exe
e premi il pulsante con la x rossa.

Poi, non so se hai già provato a fare le scansioni in modalità provvisoria, nel caso fai anche questo tentativo.

Killbox dice che quel file non esiste. Dalla modalità provvisoria non cambia niente. Sempre off limits la cartella system32 e sempre inutili i tentativi di scan....

FOXYLADY · 07-12-2006, 18:11

Eppure nel tuo log di hijackthis quel file è presente

, ed è un exe associato ad un trojan, anche se mi sembra strano che crei tutti questi danni.
Dai tuoi sintomi potrebbe anche trattarsi del worm blaster, ma ormai è un infezione vecchia e McAfee avrebbe dovuto intercettarla facilmente.
Sinceramente, in attesa di altri pareri più esperti, io non so aiutarti di più.
In questo thread
http://www.hwupgrade.it/forum/showthread.php?t=1142673
è indicato un tool denominato Drweb Cureit, potresti provare con quello, ma probabilmente ti si riavvierà ancora il PC, comunque tentar non nuoce.

odracciR · 07-12-2006, 18:51

Sembrerebbe che cureit abbia risolto. Ha fatto lo scan, non si è riavviato il pc mentre analizzava la cartella system32 e ha trovato un file che ha poi eliminato. Adesso posso di nuovo entrare nella cartella system32 di windows. Dovrebbe essere fatta

Nell'immagine qui sotto si può vedere il nome del file infetto...

http://img158.imageshack.us/img158/6416/trojanqp2.jpg

Mille grazie

FOXYLADY · 07-12-2006, 19:06

Ottimo

07-12-2006, 16:36	#2
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Ciao, ti ho risposta nel thread di hijack, oltre a fixare quelle voci prova anche questa procedura: scarica Avenger http://swandog46.geekstogo.com/avenger.zip dopo averlo decompresso, avvia il file avenger.exe Seleziona l'opzione Input Script Manually e clicca sulla lente d'ingrandimento Ti si apre una finestra "View/edit script" All'interno del box bianco, copi e incolli Files to delete: C:\WINDOWS\System32\wservice.exe clicca sul pulsante Done Clicca sull'icona del semaforo verde Rispondi Yes Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

07-12-2006, 17:04	#5
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Ma dopo il fix di hijackthis riesci ad accedere alla cartella service32 oppure ancora no? __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

07-12-2006, 17:22	#7
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Prova a fare un tentativo con killbox, lo trovi qui http://www.bleepingcomputer.com/files/killbox.php scompatta l'archivio e lancia l'eseguibile. Nel box scrivi C:\WINDOWS\System32\wservice.exe e premi il pulsante con la x rossa. Poi, non so se hai già provato a fare le scansioni in modalità provvisoria, nel caso fai anche questo tentativo. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

07-12-2006, 18:11	#9
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Eppure nel tuo log di hijackthis quel file è presente , ed è un exe associato ad un trojan, anche se mi sembra strano che crei tutti questi danni. Dai tuoi sintomi potrebbe anche trattarsi del worm blaster, ma ormai è un infezione vecchia e McAfee avrebbe dovuto intercettarla facilmente. Sinceramente, in attesa di altri pareri più esperti, io non so aiutarti di più. In questo thread http://www.hwupgrade.it/forum/showthread.php?t=1142673 è indicato un tool denominato Drweb Cureit, potresti provare con quello, ma probabilmente ti si riavvierà ancora il PC, comunque tentar non nuoce. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

07-12-2006, 19:06	#11
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Ottimo __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

07-12-2006, 16:44	#3
odracciR Bannato Iscritto dal: Jul 2005 Città: odracciR BANNED. odracciReloaded nuovo nick. Messaggi: 293	Ho letto, grazie per la risposta. Ho fixato quello che mi hai detto e adesso provo con avenger.

07-12-2006, 17:15	#6
odracciR Bannato Iscritto dal: Jul 2005 Città: odracciR BANNED. odracciReloaded nuovo nick. Messaggi: 293	No. Basta addirittura che passo con il puntatore del mouse sopra la cartella, senza selezionarla che mi si riavvia il pc.

07-12-2006, 18:51	#10
odracciR Bannato Iscritto dal: Jul 2005 Città: odracciR BANNED. odracciReloaded nuovo nick. Messaggi: 293	Sembrerebbe che cureit abbia risolto. Ha fatto lo scan, non si è riavviato il pc mentre analizzava la cartella system32 e ha trovato un file che ha poi eliminato. Adesso posso di nuovo entrare nella cartella system32 di windows. Dovrebbe essere fatta Nell'immagine qui sotto si può vedere il nome del file infetto... http://img158.imageshack.us/img158/6416/trojanqp2.jpg Mille grazie

Strumenti
Mostra una versione stampabile Invia questa pagina per email