[winxp]win fuori uso, logfile chi mi aiuta?

[kataz]

Purtroppo non ho le competenze per comprenderlo, e ho paura di far casini..
Il problema è che non si avvia winxp, non ho punti di ripristino funzionanti, e provando a sovrainstallare win ottengo il mess:
i386\winntupg\netupgrd.dll non trovato




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.44.59, on 02/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Alexis\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunOnce: [CanoScan Toolbox 4.1] C:\PROGRA~1\Canon\CANOSC~1.1\CSTBox.exe RegPushButton
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.digitalpix.com/Controls/I...eUploader5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 6966 bytes

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.

Dal log non si vede molto....

Leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ti rielenco brevemente le modalità di pubblicazione dei log
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comodo comando Gestisci allegati nelle Opzioni aggiuntive.
Clicca su Gestisci allegati → si aprirà una finestra → Click su Sfoglia → seleziona il file da caricare → Click su Carica → sotto allegati correnti vedrai il tuo log caricato → Chiudi la finestra
Altrimenti caricali su [wikisend.com] o su [mediafire.com].
Una volta sul sito → clicca su sfoglia → seleziona il file da caricare → poi invia o upload → aspetta che venga caricato → copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.
Le immagini più grosse salvale in JPG, essendo più leggere, e caricale su fileqube.com che permette di visualizzarle direttamente online.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di A-squared scansione deep aggiornato ad oggi
2. log di Kaspersky Virus Removal Tool scaricato oggi
3. log di Dr.Web CureIT scaricato ed aggiornato ad oggi

Dopo aver tolto il grosso vediamo se migliorano le cose e proseguiamo con gli altri tool

[kataz]

ho capito grazie..
io però posso accedere solo in modalità provvisoria e senza rete
come faccio ad aggiornare i programmi?

[xcdegasp]

Quote:

Originariamente inviato da kataz

ho capito grazie..
io però posso accedere solo in modalità provvisoria e senza rete
come faccio ad aggiornare i programmi?

se li scarichi da un altro pc ilgiorno stesso che intendi fare le scansioni li avrai già aggiornati

[kataz]

Qui ci sono i 3 link in ordine dei 3 log, il file del drweb non sono riuscito a snellirlo come indicato in procedura, pesa 50 mb e ho evitato di caricarlo
quest'ultimo ha rilevato il file MCCwrapper.dll come potenzialmente dannoso.

a2scan_080702-235320.txt


karsper.txt

DrWeb.rar


Ok ho aggiunto il file di drweb

[wjmat]

dr.web a me va bene se lo carichi zippato, poi procedi con la guida

[kataz]

SysInspector-FISSO-080704-1128.zip

hijackthis.log

gmer.log

[wjmat]

disinstalla spyware doctor e le inutili toolbar
il pc in mod. normale non ne vuole ancora sapere?

[kataz]

Macchè..sempre solo provvisoria modalità..
Con HijackThis ho solo fatto il log ma non ho modificato ancora nulla tra le voci che mi proponeva.

[kataz]

Ho disinstallato il doctor, il resto non mi è stato possibile a causa della modalità provvisoria...

[wjmat]

il problema deriva da un virus o potrebbe essere un "normale" problema di win?
con l'avvio normale dove si blocca? da qualche codice d'errore?

[kataz]

io così ad intutito direi che è un problema di windows, non da nessun tipo di errore, l'avvio si blocca dopo le 2 schermate nere iniziali e subito prima dell'avvio effettivo di win.

[wjmat]

e come mai hai scritto nel reparto infetti?

inserisci il CD di XP e riavvia il PC eseguendo il Boot da Cd

Ti verrà chiesto di premere un tasto qualsiasi per avviare da CDROM
Quando viene visualizzata la schermata "Installazione", premi R per avviare la Console di ripristino di emergenza
Nel caso di un sistema ad avvio multiplo, seleziona l'installazione a cui accedere dalla Console di ripristino di emergenza
Quando richiesto, digita la password di amministratore.
Se la password non c'è, lascialo vuoto, premi solo INVIO
Digita il seguente comando:
CHKDSK /P /R
il tutto può richiedere alcuni minuti al termine digita Exit al prompt dei comandi, quindi premere Invio dopo aver rimosso dal lettore CDROM il Cd di Installazione di Windows
Riavvia il sistema e vediamo se cambia qualcosa

se poi non risolviamo chiedi nella sezione Windows che è più indicata per questi problemi
http://www.hwupgrade.it/forum/forumdisplay.php?f=33

[kataz]

Gia ora che è appurato (lo è?) che non sono infetto credo si possa spostare la discussione..
Ho provato il boot da cd, a fine operazione ha trovato alcune sezioni danneggiate poi facendo exit e togliendo il cd si è riavviato sempre in modalità provvisoria. Santi numi...

[xcdegasp]

comunque aggiorna poi xp a sp3 , visto che non possiedi un pc di hp non sei a rischio

spostato

[kataz]

a questo punto sto valutando di formattare tutto,
c'è il modo di fare il backup dei dati di un utente che non compare nel menù di avvio in modalità provvisoria?
e se invece sovrainstallo windows i dati rimangono intonsi?

[kataz]

Nel visualizzatore eventi applicazioni risulta il seguente errore

Il sistema di gestione degli eventi COM+ ha rilevato un codice restituito non valido durante l'elaborazione interna. Valore HRESULT 8007043C nella riga 44 di d:\qxp_slp\com\com1x\src\events\tier1\eventsystemobj.cpp. Comunicare il problema al Servizio Supporto Tecnico Clienti Microsoft.