Windows si riavvia!

[mtguido]

Un mio amico mi ha chiesto assistenza per il computer che usa a lavoro. Oggi sono passato a dare un'occhiata e vi spiego qual è il problema!
In questo posto ci sono due computer, uno con windows 98 e uno con windows XP. Quello che da problemi è quello con windows xp. Inizialmente mi era stato detto che il problema era office in quanto il problema capitava aprendo documenti, non da errori e si riavvia. Ho così provato a reinstallare una nuova copia di office ma il problema persisteva. Solamente dopo ho notato che questo problema si verifica solamente quando vengono aperti documenti word accendendo via rete (i due computer sono connessi in rete con condivisione documenti) all'altro computer. Ho pensato allora che il problema potesse essere dovuto a questo. Cosa può essere?

P.s. Mi era stato consigliato di utilizzare combofix da modalità provvisoria, l'ho fatto ma mi dice 1) che è una versione vecchia (avrò sbagliato io). 2) mi dice che è presente un antivirus che potrebbe creare problemi, ma da modalità provvisoria non riesco a disattivarlo perchè vicino all'orologio non c'è nulla. La cartella Qoobox si è creata e nel file Quarantine c'era una sola riga con data e ora. Nonostante questo dopo il riavvio in modalità normale il problema persisteva!


GRAZIE

[tallines]

Quote:

Originariamente inviato da mtguido

P.s. Mi era stato consigliato di utilizzare combofix da modalità provvisoria, l'ho fatto ma mi dice 1) che è una versione vecchia (avrò sbagliato io). 2) mi dice che è presente un antivirus che potrebbe creare problemi, ma da modalità provvisoria non riesco a disattivarlo perchè vicino all'orologio non c'è nulla. La cartella Qoobox si è creata e nel file Quarantine c'era una sola riga con data e ora. Nonostante questo dopo il riavvio in modalità normale il problema persisteva!

Combofix dura 7 giorni da quando fai il download.
Dall'ottavo giorno in poi non funziona più.
Questo non lo dice mai nessuno, neanche se vai nel sito di Combofix stesso.
Se ti dice che è una versione vecchia o se ti dice in inglese "Combofix has expired" vuol dire che devi downloadare una nuova versione.
Praticamente Combofix funziona cosi: non bisogna fare aggiornamenti, ma devi downloadare la nuova versione praticamente ogni 7gg.

Prima di downloadare la nuova versione, devi disinstallare la vecchia.

Per disinstallare Combofix old vai in start/esegui e digiti Combofix /u

o anche "%userprofile%\desktop\combofix.exe" /u se ce l'hai sul desktop.

Se non funziona lo puoi disinstallare andando in modalità provvisoria digitando sempre gli stessi comandi.

Per quanto riguarda la cartella QooBox, è una cartella che viene creata da Combofix stesso oltre al file di log.
La puoi tranquillamente prendere e buttare nel cestino cosi come il file di log di Combofix (a meno che non ti interessi tenerlo).

Non fare il download (è un consiglio, poi fate vobis, dicevano gli antichi latini ) in documenti o in altri posti strani e lo lanci da li.
Potresti compromettere il funzionamento stesso di Combofix.

Adesso che hai disinstallato Combofix, puoi downloadare la nuova versione, da modalità normale.
Poi vai in provvisoria e lo lanci da li.
E normale che lui ti dica che sente che c'è la presenza di un antivirus: te lo dice due volte.
Una perchè ti individua l'icona dell'antivirus che hai sul desktop (il collegamento), la seconda perchè sente che è attivo anche se tu sei in modalità provvisoria.

[mtguido]

Ok allora domani provo a ripetere l'operazione di combofix. Ma per quanto riguarda il problema?
Perchè mai si riavvia se apro un documento dell'altro computer?

[tallines]

Quote:

Originariamente inviato da mtguido

Perchè mai si riavvia se apro un documento dell'altro computer?

Hai lo stesso Office installato su tutti e due i sistemi?

[mtguido]

Questo non lo so ma suppongo che il computer con windows 98 non possa avere office superiori al 2000 perchè i successivi non sono supportati. Su quello che si riavvia invece era installato un office 2000 e io ho provato a installarci un office 2003, domani proverò a metterci il 2007 ma tanto non credo sia quello il problema... Che faccio?

[mtguido]

heeeeeeeeeeeeeeeeelp

[tallines]

No, sono d'accordo anch'io, non occorre che installi office 2007, se non funzia con il 2003. Visto che office non lo puoi installare per i supporti, non hai pensato di metter anche sull'altro pc Xp ?
Però mi sa che ci sono un pò di virus. Fai anche una pulizia con CCleaner e ATF Cleaner e una deframmentazione.

[mtguido]

Non posso, con questi computer ci lavorano ogni giorno e hanno tantissimi dati. La formattazione non è contemplata tra le soluzioni altrimenti avrei già provveduto. Cosa posso fare oltre a provare con combofix e ccleaner?

A nessuno vengono in mente possibili problemi legati all'apertura di dati via lan su un altro computer?

[tallines]

Allora fammi capire meglio, il problema è aprire un documento di word con il pc che ha Xp giusto? Invece se apri il documento in rete con windows 98 non ti da problemi. Giusto?
Scusa la domanda che può sembrare non pertinente, ma ovviamente hai in rete sia il disco che i documenti nella condivisione ?
Però è strano che il nuovo (Xp) non ti legga il documento che vai a vedere in windows 98. In teoria dovrebbe essere il contrario.

[mtguido]

Mi sa che non hai capito, i documenti non sono in rete ma sono fisicamente sul computer con windows 98. Il problema del riavvio si crea quando dal computer con xp, tramite condivisione documenti via cavo di rete, si prova ad aprirne uno. Oggi sono tornato nell'ufficio e ho provato da modalità provvisoria ad avviare Combofix. Ha fatto tutto il suo processo stavolta e alla fine mi ha restituito il file txt che vi incollo.

Codice:

ComboFix 10-02-23.02 - Administrator 24/02/2010  20.54.31.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition  5.1.2600.3.1252.39.1040.18.991.803 [GMT 1:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\recover.reg

.
(((((((((((((((((((((((((   Files Creati Da 2010-01-24 al 2010-02-24  )))))))))))))))))))))))))))))))))))
.

2010-02-24 19:43 . 2010-02-24 19:43	--------	d-----w-	c:\programmi\Microsoft ActiveSync
2010-02-24 19:41 . 2010-02-24 19:43	--------	d-----w-	c:\windows\SHELLNEW
2010-02-24 19:41 . 2010-02-24 19:41	--------	d-----w-	c:\programmi\Microsoft.NET
2010-02-24 19:04 . 2010-02-24 19:04	--------	d-----r-	C:\MSOCache
2010-02-23 18:50 . 2010-02-23 18:50	--------	d-sh--w-	c:\documents and settings\Administrator\IETldCache
2010-02-23 18:42 . 2003-06-18 16:31	18944	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-23 18:42 . 2003-06-18 16:31	17920	----a-w-	c:\windows\system32\mdimon.dll
2010-02-23 18:30 . 2010-02-23 18:30	--------	d-----w-	c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-02-23 18:30 . 2010-02-24 19:38	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-01-27 17:03 . 2010-01-27 17:03	--------	d-----w-	c:\programmi\Maxtor
2010-01-27 17:02 . 2010-01-27 17:02	--------	d-----w-	C:\Maxtor temp

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 19:04 . 2009-10-07 14:41	--------	d-----w-	c:\documents and settings\Utente\Dati applicazioni\U3
2010-02-22 12:11 . 2009-11-11 08:22	79488	----a-w-	c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-12 14:54 . 2007-11-23 10:58	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Maxtor
2010-02-09 17:12 . 2007-11-23 10:42	90112	----a-w-	c:\windows\DUMP82fb.tmp
2010-01-27 17:03 . 2007-11-23 10:40	--------	d--h--w-	c:\programmi\InstallShield Installation Information
2009-12-11 08:26 . 2009-07-06 10:03	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]
2009-11-17 18:22	2166296	----a-w-	c:\programmi\Cerca_Italia\tbCer1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{45dd02aa-87d3-441a-9e77-068f8fa93fc8}"= "c:\programmi\Cerca_Italia\tbCer1.dll" [2009-11-17 2166296]

[HKEY_CLASSES_ROOT\clsid\{45dd02aa-87d3-441a-9e77-068f8fa93fc8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-10-08 57344]
"AGRSMMSG"="AGRSMMSG.exe" [2002-12-20 87751]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"Maple_S2P"="c:\programmi\Samsung\Samsung CLX-216x Series\SPanel\PSU\Scan2pc.exe" [2007-01-16 253952]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2007-04-19 520192]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HTpatch"="c:\windows\htpatch.exe" [2002-12-19 28672]
"mxomssmenu"="c:\programmi\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-07-13 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\ADMIN\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.0.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Utilit… controllo supporti di Cyber-shot Viewer.lnk - c:\programmi\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2008-9-4 155648]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
PC Alert 4.lnk - c:\programmi\MSI\PC Alert 4\StartPCAlert4.exe [2009-7-31 188416]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9156:TCP"= 9156:TCP:*:Disabled:ztzlbp

S2 fwmvjjude;Config Update;c:\windows\system32\svchost.exe -k netsvcs [31/08/2001 15.00.00 14336]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
fwmvjjude
.
Contenuto della cartella 'Scheduled Tasks'

2010-02-24 c:\windows\Tasks\User_Feed_Synchronization-{448FB8B0-CB12-4B9A-81C3-3B34E343B1AE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Scansione supplementare -------
.
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Toolbar-Locked - (no file)
MSConfigStartUp-LClock - c:\programmi\LClock\LClock.exe
MSConfigStartUp-VisualTooltip - c:\programmi\VisualTooltip\VisualToolTip.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 21:02
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ... 

scansione entrate autostart nascoste ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???]??[???????[???[???????????????? ??[???[?O?????[$??????[????????????{??[???????????[$??~????(????~:~???~?????~:~???~???[@???????d??????[%??[x??[d??????[,>?[???[v?:~Z|?[{3?[?2?[????st.I????G??[????d????<?[?I?[ 

Scansione files nascosti ... 

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fwmvjjude]
"ServiceDll"="c:\windows\system32\afpctbko.dll"
.
Ora fine scansione: 2010-02-24  21:05:33
ComboFix-quarantined-files.txt  2010-02-24 20:05

Pre-Run: 54.002.184.192 byte disponibili
Post-Run: 57.335.848.960 byte disponibili

- - End Of File - - E9794AC1A192EB88DF5CCB9A46728F58

[tallines]

Quote:

Originariamente inviato da mtguido

Mi sa che non hai capito, i documenti non sono in rete ma sono fisicamente sul computer con windows 98. Il problema del riavvio si crea quando dal computer con xp, tramite condivisione documenti via cavo di rete, si prova ad aprirne uno.

Forse mi sono espresso male ma quando tu hai detto "tramite condivisione documenti via cavo di rete" , io ho detto rete ma intendevo ovviamente condivisione di rete.

Quote:

Originariamente inviato da tallines

Invece se apri il documento in rete con windows 98 non ti da problemi. Giusto?
........ma ovviamente hai in rete sia il disco che i documenti nella condivisione ?

Forse il problema è come apri il file di word che è condiviso (ossia sotto c'è la figura a T della rete LAN).
Invece di dargli doppio click, dovresti aprirlo andando con tasto dx sul documento di word e dirgli nel menu a tendina che ti appare di aprirlo nel modo in cui viene visto e riconosciuto dal pc . Che poi bisogna vedere questo documento come l'hai creato con office 2000? magari in Xp office 2000 non gira bene e non te lo apre.

Per il file di Combofix ti ha preso qualcosa, dimmi nel file di log di ComboFix-quarantined-files che si trova dentro la cartella Qoobox, quante righe sono scritte.

[tallines]

Prova anche a dargli il comando sfc /scannow da start/esegui, che prevede l'inserimento del cd originale (lo spazio c'è solo dopo sfc)

[mtguido]

Allora innanzitutto ho dimenticato di dirvi che ho provato a disattivare il riavvio automatico in seguito a errore di sistema premendo F8 prima dell'avvio e ora invece di riavviarsi si impalla tutto e si freeza.

Questo è il txt ComboFix-quarantined-files:

Codice:

2010-02-24 20:03:51 . 2010-02-24 20:03:51              616 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-VisualTooltip.reg.dat
2010-02-24 20:03:51 . 2010-02-24 20:03:51              560 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-LClock.reg.dat
2010-02-24 20:03:40 . 2010-02-24 20:03:40              173 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2010-02-24 20:03:40 . 2010-02-24 20:03:40              213 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829}.reg.dat
2010-02-24 20:00:07 . 2010-02-24 20:00:07            7,563 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-24 19:52:50 . 2010-02-24 19:52:50               51 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2008-01-10 16:17:12 . 2008-03-18 16:06:19              212 -c--a-w-  C:\Qoobox\Quarantine\C\WINDOWS\recover.reg.vir

Non ho capito bene cosa mi hai detto di provare con il tasto destro ma cmq ti spiego meglio come si riavvia. In pratica il documento si apre e si visualizza perfettamente e per circa 20 secondi è visualizzabile normalmente, credo anche modificabile, poi si rallenta e parte il riavvio oppure si freeza dopo aver disattivato il riavvio automatico.

tallines a che serve quel comando? Non so se il windows è installato sia originale, suppongo di si trovandosi in un ufficio però ho paura che il disco originale non ce l'abbiano più.

A nessuno è capitata la stessa cosa?

[marcosco]

Il log di combofix mostra segni di infezione che non sono stati eliminati.
Salva sul desktop lo script che ti allego e trascinalo sull'icona di combofix Aspetta la fine della sua esecuzione.Poi posta di nuovo il suo log.Se non si risolve cosi' poi ti dovrai spostare nella sezione antivirus.

[tallines]

Forse Combofix non basta.
Allora a parte che secondo me non occorre disattivare il riavvio automatico, visto le conseguenze.
Hai Windows 98 con Office 2000 e Xp con prima Office 2000 e adesso office 2003.
Sia con office 2000 che con office 2003 aprire in Xp un file di word (condiviso in rete) ti crea problemi.

Domanda: prima che succedesse il problema aprivi i file di word (creati a questo punto con office 2000 visto che avevi su tutti e due i pc office 2000) condivisi con windows Xp senza problemi? E adesso ti da problemi?

O sono virus, worms..... o c'è qualcosa che va in conflitto o li apri in maniera sbagliata.
Come ti ho detto prova ad andare su un file condiviso, invece di fare doppio click per aprirlo, vai con il puntatore del mouse sul file di word che vuoi aprire. Fai tasto dx: ti si aprirà un menu a tendina, in fondo a questo menu troverai dei parametri diversi per aprire in vari modi il file di word .

In più se hai avuto dei riavvii sicuramente troverai delle informazioni più specifiche e dettagliate sul perchè ti è successo quello che ti è successo andando nel Visualizzatore Eventi .
Per andarci scrivi il comando eventvwr in Start/esegui.
Guarda in Applicazioni e in Sistema cosi ti dice (negli eventi Errore ovviamente).

Non occorre che posti tutti gli errori o quelli specifici se ne hai tanti, usa al limite www.wikisend.com .

[mtguido]

Ok proverò a vedere il registro eventi e vi farò sapere cosa c'è. Provo anche con quello script. Cmq il problema credo ci sia da tanto tempo. Ripeto il computer si trova in un ufficio dove lavora un mio amico che mi ha chiamato per aiutarlo a risolvere, credo che il problema ci sia da parecchio non credo che ricordino quando e in base a quali modifiche sia iniziato anche perchè sono davvero poco pratici con il computer!

P.s. Tallines proverò anche ad aprire il file così ma non so se dipende da questo anche perchè word si apre per una 20ina di secondi funziona bene...cmq proverò!

[tallines]

Bene. Segui anche il consiglio di marcosco .

[mtguido]

Ok sono appena tornato...Per prima cosa ho pulito i registri dell'eventvwr dopodichè ho aperto uno dei file word che fanno riavviare, al riavvio ho rieffettuato l'eventvwr e salvato il registro, poi ho fatto quello che consigliava marcosco e ripetuto il salvataggio del registro da eventvwr. Infine ho riprovato a riaprire uno dei file word incriminati ma il computer si è riavviato ancora così al riavvio ho ripetuto il salvataggio del registro eventvwr.

Ho un dubbio, il processo di combofix trascinandoci sopra quel txt di marcosco mi è sembrato identico a quello normale, possibile? Unica differenza notata da me è che al termine mi ha riavviato il computer.

Cmq vi allego tutti i registri vari e i log di combofix. Spero che stavolta saprete trovarmi la soluzione.

Questo è il log di combofix dopo averlo avviato con il txt:

Codice:

ComboFix 10-02-24.03 - Utente 25/02/2010  19.40.59.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.39.1040.18.991.641 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Utente\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Driver/Servizi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FWMVJJUDE
-------\Service_fwmvjjude


(((((((((((((((((((((((((   Files Creati Da 2010-01-25 al 2010-02-25  )))))))))))))))))))))))))))))))))))
.

2010-02-24 19:43 . 2010-02-24 19:43	--------	d-----w-	c:\programmi\Microsoft ActiveSync
2010-02-24 19:41 . 2010-02-24 19:43	--------	d-----w-	c:\windows\SHELLNEW
2010-02-24 19:41 . 2010-02-24 19:41	--------	d-----w-	c:\programmi\Microsoft.NET
2010-02-24 19:04 . 2010-02-24 19:04	--------	d-----r-	C:\MSOCache
2010-02-23 18:50 . 2010-02-23 18:50	--------	d-sh--w-	c:\documents and settings\Administrator\IETldCache
2010-02-23 18:42 . 2003-06-18 16:31	18944	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-23 18:42 . 2003-06-18 16:31	17920	----a-w-	c:\windows\system32\mdimon.dll
2010-02-23 18:30 . 2010-02-23 18:30	--------	d-----w-	c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-02-23 18:30 . 2010-02-24 19:38	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-01-27 17:03 . 2010-01-27 17:03	--------	d-----w-	c:\programmi\Maxtor
2010-01-27 17:02 . 2010-01-27 17:02	--------	d-----w-	C:\Maxtor temp

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 19:04 . 2009-10-07 14:41	--------	d-----w-	c:\documents and settings\Utente\Dati applicazioni\U3
2010-02-22 12:11 . 2009-11-11 08:22	79488	----a-w-	c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-12 14:54 . 2007-11-23 10:58	--------	d-----w-	c:\documents and settings\All Users\Dati applicazioni\Maxtor
2010-02-09 17:12 . 2007-11-23 10:42	90112	----a-w-	c:\windows\DUMP82fb.tmp
2010-01-27 17:03 . 2007-11-23 10:40	--------	d--h--w-	c:\programmi\InstallShield Installation Information
2009-12-11 08:26 . 2009-07-06 10:03	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

questo è il log del quartine-files:

Codice:

2010-02-25 18:53:19 . 2010-02-25 18:53:19              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829}.reg.dat
2010-02-25 18:49:13 . 2010-02-25 18:49:13              296 ----a-w-  C:\Qoobox\Quarantine\H\av1.zip
2010-02-25 18:49:12 . 2007-05-10 07:48:26               32 ----a-w-  C:\Qoobox\Quarantine\H\autorun.inf.vir
2010-02-25 18:44:06 . 2010-02-25 18:44:06            2,620 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Service_fwmvjjude.reg.dat
2010-02-25 18:44:06 . 2010-02-25 18:44:06            1,058 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Legacy_FWMVJJUDE.reg.dat
2010-02-25 18:43:58 . 2010-02-25 18:43:58            7,601 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-02-25 18:40:55 . 2010-02-25 18:40:55                0 ----a-w-  C:\Qoobox\Quarantine\catchme.txt
2010-02-25 18:35:35 . 2010-02-25 18:38:14              153 ----a-w-  C:\Qoobox\Quarantine\catchme.log

Vi allego i registri dell'eventvwr, il primo è dopo avergli causato il riavvio. Il secondo è subito dopo aver utilizzato lo script di marcosco e il terzo è dopo aver utilizzato lo script e aver causato il riavvio.

[mtguido]

Dopo utilizzo script

[mtguido]

dopo script e riavvio causato dall'apertura doc word