Pc Molto Molto Lento

[Hhomer]

Ciao a tutti,

purtroppo mi trovo costretto a scrivere in questa sezione.Partiamo dal principio: prima di postare ho letto ed eseguito i passaggi raccomandati nel topic 'prima di postare un log di hijackthis' e devo dire che sono parecchio efficaci i tool proposti!!

Dopodichè quando credevo di aver ripulito tutto...trovo il PC estremamente lento...eseguo il task manager e osservo un processo...ma che uno almeno 5 o 6...di nome guardgui.exe.Chi sarà mai???

Allego il log di hijackthis...in modalità normale(non provvisoria)

hijackthis.log

Rimango in attesa di istruzioni e dritte per migliorare la gestione delle risorse.

Grazie in anticipo

Matteo

[Luna75]

http://forum.wininizio.it/index.php?showtopic=98188

ciao Matteo esegui fedelmente le istruzioni del link ed allega il report al prossimo post, il tuo pc è infetto. Quel processo appartiene ad Avira.

[Hhomer]

Problema...

combofix non viene avviato...dopo aver accettato le condizioni della prima finestra appare una seconda finestra in cui viene descritta la situazione del mio sistema non sicura.In più in una nota viene definito il tipo di virus,come un virus patch.

dando l'ok viene terminato il processo di combofix senza che faccia nulla.

Attendo riscontro

Matteo

[Luna75]

Ciao Matteo, dopo aver scaricato combofix, devi spegnere antivirus e firewall (tasto dx su Avira, disattiva antivir Guard). Combofix riconosce l'eseguibile dell'Av come infetto, ma in questo caso è un falso positivo.

Riprova.

[galindez]

ciao Homerata il pc e' molto infetto, segui queste istruzioni:

avvia nuovamente hijackthis e seleziona do a systemscan only, aggiungi il seno di spunta a fianco alle seguenti voci:

O4 - HKLM\..\Run: [26372] C:\WINDOWS\system32\13B.tmp.exe

O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\matteo\restorer32_a.exe

O4 - HKUS\S-1-5-18\..\Run: [restorer32_a] .\139.tmp (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [restorer32_a] .\139.tmp (User 'Default user')

O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - C:\WINDOWS\system32\FastNetSrv.exe

O23 - Service: Gestione sessione di assistenza mediante desktop remoto RDSessMgrbhhmjdj (RDSessMgrbhhmjdj) - Unknown owner - C:\WINDOWS\system32\6.tmp.exe (file missing)

fatto cio' premi fix checked

dopo rendi visibili file e cartelle nascoste, avvia il sistema in modalita provvisoria ed elimina i files che sono evidenziati di seguitto:

C:\WINDOWS\system32\FastNetSrv.exe

C:\WINDOWS\system32\restorer32_a.exe

C:\Documents and Settings\matteo\restorer32_a.exe

C:\WINDOWS\system32\2B.tmp

C:\WINDOWS\system32\24.tmp

C:\WINDOWS\system32\20.tmp

C:\WINDOWS\system32\3E.tmp

C:\WINDOWS\system32\40.tmp

C:\WINDOWS\services.exe

C:\WINDOWS\system32\CE.tmp

C:\WINDOWS\system32\E7.tmp

C:\WINDOWS\system32\E8.tmp

C:\WINDOWS\system32\139.tmp

C:\WINDOWS\system32\13B.tmp

dopo riavvia in modalita' normale ed esegui combofix da riga di comando, non cliccare sull'icona, combofix deve essere posizionato sul desktop e disattiva antivir, da start--> esegui incolla questo comando

"%userprofile%\desktop\combofix.exe" /killall

e premi OK.

allega il log di combofix al prossimo post

[Hhomer]

Ciao di nuovo,

credo che la situazione sia peggiorata...sono riuscito ad avviare hijackthis e a fixare le voci che mi hai segnalato,ma dopo aver selezionato la modalità provvisoria,durante il riavvio...va in crash il sistema e riavvia automaticamente!!Il fatto di nn avervi detto di avre due HD,1 con ubuntu e 1 windows XP,può aver influito...non credo,perchè mai dovrebbe??

A questo punto,corregetemi se sbaglio ma credo che la formattazione del HD Windows XP sia la soluzione più ragionevole!?

Proprio per questo mi potreste indirizzarmi sulla sezione giusta per trovare un tutorial o qualcosa di simile per quando riguarda la formattazione in ambiente linux.

Grazie per i preziosi consigli

Attendo riscontro

Matteo

[Luna75]

La formattazione, provala per ultima. Riprova con combofix dopo aver disattivato il riavvio automatico ( Start/ Pannello di controllo/ Sistema/ Avanzate/ Avvio e ripristino/Impostazioni. Togliere la spunta a "Riavvia automaticamente".

[Hhomer]

Scusa ma non vorrei sembrare scortese...soprattutto con una donna...

ma dopo aver provato la procedura indicatami da te e galindez non riesco più ad accedere a Xp nel vero senso della parola,sono riuscito a spuntare la modalità provvisoria,ma dopo il riavvio, nella schermata di ripristino,qualsiasi voce scelga...avvia normalmente,da prompt dei comandi o modalità provvisoria il sistema va in crash e si riavvia...quindi quello che mi ha consigliato di fare non riesco materialmente a farlo per questo chiedevo della formattazione.

Se potete aiutatemi

Grazie ancora

Matteo

[galindez]

....dopo aver provato la procedura indicatami da te e galindez non riesco più ad accedere a Xp nel vero senso della parola,sono riuscito a spuntare la modalità provvisoria,ma dopo il riavvio......

Grazie ancora

Matteo

cioa Matteo, evidentemente per forzare la modalita' provvisoria hai aggiunto la spunta in ms config ed in caso di pc infetti e' l'ultima cosa da fare: se la modalita' provvisoria non parte normalmente( premendo ripetutamente f8) significa che il malware ne ha inibito il funzionamento, forzarla da msconfig significa quindi ridurre il pc all'unitilita. L'unica operazione possibile rimane questa http://ilarialab.com/2008/11/18/dr-web-liv...rus-demergenza/

[Luna75]

http://forum.wininizio.it/index.php?showtopic=68080