[Win XP] continui blocchi explorer.exe e rallentamento generale pc

[kidd]

ciao a tutti! il pc di un mio collega da qualche settimana soffre di un rallentamento generale del sistema e ogni due per tre si blocca e si riavvia explorer.exe.
come antivirus usa avast e non ha nessun firewall attivo a parte quello di windows

ecco i log

asquared: a2scan_100325-230001.txt
cureit: CureIt.log
gmer: gmerlog.log
malwarebytes: mbam-log-2010-03-25 (22-46-10).txt
prevx: prevx log.log
hijackthis: hijackthis.log

secondo voi cos'ha?

[wjmat]

ciao

manca la scansione di fsecure

fai controllare su www.virustotal.com e su http://virscan.org/

Codice:

c:\windows\system32\tbxqjrlp.ver

Una volta sui siti clicca su sfoglia -> cerca i file -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollali nella discussione
Se ti verrà segnalato che il file è già stato controllato, fallo analizzare comunque perchè le firme virali dei vari motori di scansione potrebbero essere stati aggiornati.

Se non dovessi trovare il file abilita la visualizzazione dei files nascosti / di sistema




Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)

Codice:

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programmi\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\SearchSettings.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Programmi\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O3 - Toolbar: MAX IT Atube Toolbar - {0e9c9453-038b-4c2d-999d-21e0d2aa7ce5} - C:\Programmi\MAX_IT_Atube\tbMAX1.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [mumservice] C:\Program Files\Motorola\Software Update\mumservice.exe
O4 - HKLM\..\Run: [NokiaMServer] C:\Programmi\File comuni\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O16 - DPF: {4819DFDF-ABC4-488C-A323-919848C51175} (Conviva LivePass) - http://portal3.rinera.com/download/ConvivaStreamingPlugin-1.7.0.cab

e aggiornaci sullo stato del pc poi devi aggiornare
Windows all'ultimo service pack
Internet Explorer alla versione 8
non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[kidd]

ciao! innanzitutto grazie per l' aiuto, poi mi devi scusare se non ho scritto più nulla ma il mio collega ha avuto dei problemi e non ha potuto fare quanto dicevi.
per quanto riguarda la scansione con f-secure eccola:
rapporto fsecure.rtf

con virustotal.com e con virscan.org non siamo riusciti a fare la scansione del file tbxqjrlp.ver perchè una volta uplodato dava come errore "impossibile trovare il file caricato" e "0 bytes size received/se ha recibido un archivo vacio"

questo invece è il report di hijackthis con le voci fixate
hijackthis ultimo.log

[wjmat]

segui gli ultimi consigli per aggiornare il pc e facci sapere se la situazione è migliorata

[kidd]

ma dopo avergli fatto aggiornare xp e ie, rifaccio le scansioni con tutti i programmi o posto solo il log di hijackthis?

[wjmat]

solo aggiornare per il momento

[kidd]

eccomi di nuovo ..gli ho fatto disinstallare la vecchia versione di internet explorer, poi gli ho fatto installare la versione 8 ed è andato tutto bene. successivamente gli ho fatto installare il sp3 però si è generato questo errore



però poi l' installazione si è completata

[wjmat]

i soliti errori ci sono sempre?

[kidd]

apparentemente no. mi ha detto che il pc non è più lento come prima e l' explorer non si blocca, però hijackthis segnala sempre quella voce strana

[wjmat]

Quote:

Originariamente inviato da kidd

apparentemente no. mi ha detto che il pc non è più lento come prima e l' explorer non si blocca, però hijackthis segnala sempre quella voce strana

quale voce strana?

[kidd]

scusa mi sono espresso male , comunque questa

[wjmat]

Scarica Avenger da qui
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Codice:

Files to delete: 
c:\windows\system32\tbxqjrlp.ver

In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un nome casuale prima di lanciarlo.

[Chill-Out]

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

[kidd]

Quote:

Originariamente inviato da Chill-Out

Ciao, ti invito a non postare immagini a grandezza reale, ma anteprime rimpicciolite delle stesse. Puoi crearle in automatico utilizzando http://www.imageshack.us/

scusatemi. edito subito l' immagine

[kidd]

Quote:

Originariamente inviato da wjmat

Scarica Avenger da qui
Estrailo e lancialo -> Clicca Ok -> Copia e Incolla TUTTO il codice segnalato qui sotto, nel riquadro bianco del programma
Togli la spunta a Scan for Rootkits -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato il log in c:\avenger.txt. caricalo per verificare che l'operazione abbia funzionato.

Codice:

Files to delete: 
c:\windows\system32\tbxqjrlp.ver

In caso non funzionasse assicurati di aver copiato tutto il testo del riquadro codice.
In caso avenger non partisse per colpa dell'infezione, rinominalo in un nome casuale prima di lanciarlo.

ok, domani dico al mio collega di seguire le tue istruzioni

[kidd]

ecco a voi il log di avenger
avenger.txt

[wjmat]

prevx non dovrebbe segnalare più nulla ora, se lo fai rifai lo scan
poi come sta il pc?

[kidd]

Quote:

Originariamente inviato da wjmat

prevx non dovrebbe segnalare più nulla ora, se lo fai rifai lo scan
poi come sta il pc?

il mio collega mi conferma che il pc adesso non soffre più di rallentamenti e soprattutto non si riavvia ogni due per tre exploer.exe.
quindi ti devo ringraziare per l' aiuto e per il tempo che hai perso !!
l' unica note dolente è che ci sarebbe anche il pc del figlio da sistemare, ed è messo in condizioni peggiori..

[wjmat]

di nulla
se anche l'altro pc è infetto la procedura la sai