[Win7] Desktop vuoto, non posso fare NULLA

gargamella75 · 15-07-2010, 11:05

Credo proprio di essermi beccato un virus...a meno che non si sia danneggiato Win 7, ma non credo, propendo di più per il virus.
Sintomi: tutto sembra funzionare normalmente, ma all'improvviso, dopo un tempo variabile di uso, tutti i programmi si chiudono e Win ritorna al desktop, ma senza icone e senza la possibilità di fare nulla (tasto dx, task manager, CTRL+ALT+CANC, nulla di nulla!), posso solo resettare oppure aspettare che entri la sospensione e allora accedendo di nuovo riprendo il controllo (ovviamente tutto quello che stavo facendo prima è perso).

Che posso fare? Ho provato con le scansioni (ho Kaspersky installato, ma ho provato anche quelle online), ma non riesco mai a finirne una!!!

gargamella75 · 15-07-2010, 16:08

Per chiarire meglio, ho fatto delle prove.
In modalità provvisoria il problema non si presenta, e sono anche riuscito a fare delle scansioni (non so più quanti AV ho installato...), ho trovato un bel po' di roba, ho rimosso tutto, ma il problema rimane.

Non so più che fare, ho fatto decine di scan con hijackthis, e non mi sembra (nel mio piccolo) di vedere nulla di anomalo. Tanto che si sta facendo strada in me l'idea che possa essersi danneggiato Win7.

Opinioni in proposito?

gargamella75 · 16-07-2010, 16:47

Mi uppo da solo!

In realtà oggi ci ha sbattuto anche il mio Admin, ma ancora nulla.

Però è venuto fuori qualche ulteriore indizio: verificando il log degli eventi di Kaspersky ho notato che l'arresto improvviso è causato dal processo lsm.exe che parte e mi chiude tutte le applicazioni (tranne kaspersky stesso che rimane attivo), provando a disconnettere l'utente.

Come posso fare a capire chi lo fa partire??? Esiste un tool che monitora i processi in esecuzione e che mi avvisi appena un nuovo processo si innesca?

PRS · 16-07-2010, 18:59

1-Hai tentato uno scandisk?
2-Non devi fare scansioni con AV,ma con antispyware(a- squared,malwarebytes ecc)
3-Per monitorare i processi dovresti aver installato un firewall.Potrebbe anche essere un'idea.In tal caso ti consiglio Online Armor

gargamella75 · 17-07-2010, 09:51

Grazie per i consigli.

Lo scandisk mi manca, proverò.

Ora ho scaricato tutti i software di cui parla la guida, vedrò di seguire tutta la procedura nei dettagli, anche se lo dovrò fare in modalità provvisoria (scusate se ho postato nell'altro thread).

Per la cronaca, mi son preso lo sfizio di guardarmi il visualizzatore di eventi di windows, ora non ce l'ho sottomano ma grosso modo succede questo al momento del fattaccio: nel sottomenu Applicazioni risulta un crash di winlogon.exe causato da un errore in ntdll.dll; poi winlogon.exe riparte. Nel tab Sicurezza invece si verifica un Accesso Speciale da parte di un utente sconosciuto con privilegi particolari (c'è una sfilza di una decina di parole difficili da ricordare

relative a questi privilegi). E successivamente c'è la disconnessione del mio account utente. Purtroppo ora non ce l'ho sottomano, ma cercherò di postarvi il dettaglio di tutti questi eventi.

PRS · 17-07-2010, 12:33

Non so se augurarti che ntdll sia un componente Microsoft o no.Vedi QUI .Anche winlogon può essere un processo malevolo...

gargamella75 · 17-07-2010, 17:29

Grazie del link e dell'aiuto, appena riesco a capire il modo migliore per farlo, cerco di postare la squenza esatta degli eventi di windows.

gargamella75 · 23-07-2010, 11:31

Aggiorno (per cultura) su come si è evoluta la situazione:
di comune col mio aministratore, abbiamo deciso di formattare la macchina (sigh), principalmente perchè abbiamo notato i continui tentativi di connessione ad un server russo che nei mesi scorsi ci ha dato diverse rogne, addirittura si è giunti alla richiesta della polizia postale dell'HD incriminato, quindi per prevenire rogne serie non ci abbiamo pensato due volte ed abbiamo piallato tutto il piallabile.

Questa volta hanno vinto loro...

lancetta · 23-07-2010, 19:47

Mi ricordava una vecchia infezione rootkit che su xp si attaccava al winlogon e sostituiva il processo "explorer exe" nella shell con uno simile ma che partiva dal "image file execution"..in questo modo con la grafica del pc partiva anche la bestiolina..
Dovrebbe esserci ancora la discussione qui sul forum...
Sarà per la prossima volta, però ti consiglierei di "corazzare" un pò il pc..ci sono tante interessanti discussioni qui sul forum al riguardo.

Saluti

15-07-2010, 11:05	#1
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	[Win7] Desktop vuoto, non posso fare NULLA Credo proprio di essermi beccato un virus...a meno che non si sia danneggiato Win 7, ma non credo, propendo di più per il virus. Sintomi: tutto sembra funzionare normalmente, ma all'improvviso, dopo un tempo variabile di uso, tutti i programmi si chiudono e Win ritorna al desktop, ma senza icone e senza la possibilità di fare nulla (tasto dx, task manager, CTRL+ALT+CANC, nulla di nulla!), posso solo resettare oppure aspettare che entri la sospensione e allora accedendo di nuovo riprendo il controllo (ovviamente tutto quello che stavo facendo prima è perso). Che posso fare? Ho provato con le scansioni (ho Kaspersky installato, ma ho provato anche quelle online), ma non riesco mai a finirne una!!!

16-07-2010, 18:59	#4
PRS Senior Member Iscritto dal: Oct 2009 Città: Padova Messaggi: 841	1-Hai tentato uno scandisk? 2-Non devi fare scansioni con AV,ma con antispyware(a- squared,malwarebytes ecc) 3-Per monitorare i processi dovresti aver installato un firewall.Potrebbe anche essere un'idea.In tal caso ti consiglio Online Armor Ultima modifica di PRS : 16-07-2010 alle 19:11.

17-07-2010, 12:33	#6
PRS Senior Member Iscritto dal: Oct 2009 Città: Padova Messaggi: 841	Non so se augurarti che ntdll sia un componente Microsoft o no.Vedi QUI .Anche winlogon può essere un processo malevolo... Ultima modifica di PRS : 17-07-2010 alle 12:39.

23-07-2010, 19:47	#9
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	Mi ricordava una vecchia infezione rootkit che su xp si attaccava al winlogon e sostituiva il processo "explorer exe" nella shell con uno simile ma che partiva dal "image file execution"..in questo modo con la grafica del pc partiva anche la bestiolina.. Dovrebbe esserci ancora la discussione qui sul forum... Sarà per la prossima volta, però ti consiglierei di "corazzare" un pò il pc..ci sono tante interessanti discussioni qui sul forum al riguardo. Saluti __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

15-07-2010, 16:08	#2
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	Per chiarire meglio, ho fatto delle prove. In modalità provvisoria il problema non si presenta, e sono anche riuscito a fare delle scansioni (non so più quanti AV ho installato...), ho trovato un bel po' di roba, ho rimosso tutto, ma il problema rimane. Non so più che fare, ho fatto decine di scan con hijackthis, e non mi sembra (nel mio piccolo) di vedere nulla di anomalo. Tanto che si sta facendo strada in me l'idea che possa essersi danneggiato Win7. Opinioni in proposito?

16-07-2010, 16:47	#3
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	Mi uppo da solo! In realtà oggi ci ha sbattuto anche il mio Admin, ma ancora nulla. Però è venuto fuori qualche ulteriore indizio: verificando il log degli eventi di Kaspersky ho notato che l'arresto improvviso è causato dal processo lsm.exe che parte e mi chiude tutte le applicazioni (tranne kaspersky stesso che rimane attivo), provando a disconnettere l'utente. Come posso fare a capire chi lo fa partire??? Esiste un tool che monitora i processi in esecuzione e che mi avvisi appena un nuovo processo si innesca?

17-07-2010, 09:51	#5
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	Grazie per i consigli. Lo scandisk mi manca, proverò. Ora ho scaricato tutti i software di cui parla la guida, vedrò di seguire tutta la procedura nei dettagli, anche se lo dovrò fare in modalità provvisoria (scusate se ho postato nell'altro thread). Per la cronaca, mi son preso lo sfizio di guardarmi il visualizzatore di eventi di windows, ora non ce l'ho sottomano ma grosso modo succede questo al momento del fattaccio: nel sottomenu Applicazioni risulta un crash di winlogon.exe causato da un errore in ntdll.dll; poi winlogon.exe riparte. Nel tab Sicurezza invece si verifica un Accesso Speciale da parte di un utente sconosciuto con privilegi particolari (c'è una sfilza di una decina di parole difficili da ricordare relative a questi privilegi). E successivamente c'è la disconnessione del mio account utente. Purtroppo ora non ce l'ho sottomano, ma cercherò di postarvi il dettaglio di tutti questi eventi.

17-07-2010, 17:29	#7
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	Grazie del link e dell'aiuto, appena riesco a capire il modo migliore per farlo, cerco di postare la squenza esatta degli eventi di windows.

23-07-2010, 11:31	#8
gargamella75 Senior Member Iscritto dal: Nov 2000 Città: Lecce (Prov.) Messaggi: 227	Aggiorno (per cultura) su come si è evoluta la situazione: di comune col mio aministratore, abbiamo deciso di formattare la macchina (sigh), principalmente perchè abbiamo notato i continui tentativi di connessione ad un server russo che nei mesi scorsi ci ha dato diverse rogne, addirittura si è giunti alla richiesta della polizia postale dell'HD incriminato, quindi per prevenire rogne serie non ci abbiamo pensato due volte ed abbiamo piallato tutto il piallabile. Questa volta hanno vinto loro...

Strumenti
Mostra una versione stampabile Invia questa pagina per email