Nyo

[xp] Problemi Allo Spegnimento (ripristino In Seguito Ad Errore Grave)

10 messaggi in questa discussione

Provo a postare qua dopo il 3D aperto qui in cerca di aiuto...

Ecco il log di HiJackThis!

Logfile of HijackThis v1.99.1

Scan saved at 21.14.00, on 28/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\TGTSoft\StyleXP\StyleXP.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Programmi\Windows Live\Messenger\msnmsgr.exe

C:\Programmi\mozilla.org\FireFox\firefox.exe

C:\Programmi\Windows Media Player\wmplayer.exe

C:\Programmi\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Nyo, il log è pulito anche se sarebbe meglio usare l'ultima versione

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

Salvalo sul desktop.

(se il file salvato dal primo link non dovesse funzionare, scaricalo dal secondo link)

(scollegati da internet)

1. Doppio click su combofix.exe, comparirà la seguente videata:

http://img293.imageshack.us/img293/8500/combofix01fn6zj1.jpg

2. Digita 1, premi Invio e segui le indicazioni.

3. Al termine, verrà creato un file log chiamato C:\ComboFix.txt.

4. Posta il log creato

Nota: Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Nota: ComboFix non funziona in modalità provvisoria.

Esegui una scansione online con Kaspersky (su "my computer")ed allega il report in formato HTML

http://forum.wininizio.it/index.php?showtopic=36981&hl=

Se non riesci ad allegare il report,

carica il file su http://www.wikifortio.com/

e poi copia il link per poterlo scaricare

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ecco qui lo scan di ComboFix

ComboFix 08-05-29.1 - Emilio 2008-05-29 18.41.42.1 - NTFSx86

Eseguito da: C:\Documents and Settings\Emilio\Desktop\ComboFix.exe

* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Creati Da 2008-04-28 al 2008-05-29 )))))))))))))))))))))))))))))))))))

.

Nessun nuovo file creato in questo arco di tempo

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-29 16:45 6,072,352 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-05-29 08:16 71,612 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-05-28 15:55 3,959,808 ----a-w C:\WINDOWS\Internet Logs\xDB68.tmp

2008-05-27 20:39 --------- d-----w C:\Programmi\AdunanzA

2008-05-27 19:42 --------- d-----w C:\Documents and Settings\Emilio\Dati applicazioni\OpenOffice.org2

2008-05-27 16:01 --------- d-----w C:\Programmi\mIRC

2008-05-23 13:15 8,444,928 ----a-w C:\WINDOWS\Internet Logs\xDB67.tmp

2008-05-03 13:24 --------- d-----w C:\Programmi\MSN Messenger

2008-04-21 08:31 --------- d-----w C:\Documents and Settings\Liliana\Dati applicazioni\AdobeUM

2008-04-17 16:29 --------- d-----w C:\Programmi\Avira

2008-04-17 16:29 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Avira

2008-04-16 08:04 --------- d-----w C:\Documents and Settings\Liliana\Dati applicazioni\Ahead

2008-04-11 15:45 --------- d-----w C:\Programmi\mozilla.org

2008-04-10 19:46 --------- d--h--w C:\Programmi\InstallShield Installation Information

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:06 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-13 21:11 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2008-03-13 21:11 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll

.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]

"STYLEXP"="C:\Programmi\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2003-03-27 16:34 53248 C:\WINDOWS\SOUNDMAN.EXE]

"ZoneAlarm Client"="C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-13 23:11 919016]

"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 21:43 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

"PcSync"="C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 18:15 1634304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\Programmi\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Avvio veloce di Adobe Reader.lnk

backup=C:\WINDOWS\pss\Avvio veloce di Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Emilio^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma.lnk]

path=C:\Documents and Settings\Emilio\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma.lnk

backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2004-05-12 15:18 241664 C:\Programmi\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-12 13:38 49152 C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 16:40 155648 C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhilipsDM]

C:\Programmi\Philips\Philips Device Manager\Bin\DeviceManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a--c--- 2005-11-10 13:03 36975 C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programmi\\Messenger\\msmsgs.exe"=

"C:\\Programmi\\SmartFTP Client 2.0\\SmartFTP.exe"=

"C:\\Programmi\\iTunes\\iTunes.exe"=

"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

S3 efipsk;efipsk;C:\DOCUME~1\Emilio\IMPOST~1\Temp\efipsk.sys []

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-29 18:45:30

Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo

Files nascosti: 0

**************************************************************************

.

Ora fine scansione: 2008-05-29 18.48.59

ComboFix-quarantined-files.txt 2008-05-29 16:48:50

5 Directory 52,532,338,688 byte disponibili

7 Directory 52,519,800,832 byte disponibili

101 --- E O F --- 2008-05-17 08:16:37

ed allegato c'è lo scan dell'antivirus Kaspersky... risultato, infetto!

Avira AntiVir infatti, mentre procedeva lo scanner, apriva il seguente dialog:

C:\System Value Information\...\A0211338.exe

TR\Dialer.axw.1

E, ovviamente da ignorante in materia, ho clickato su "ignore"...

Ditemi voi :)

Grazie, Nyo.

kaspersky_scan.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Combofix lo hai eseguito in modalità provvisoria o normale??

il file infetto segnalato da kaspersky è nel restore...ma da li non può creare problemi...

mentre Infected: not-a-virus:Client-IRC.Win32.mIRC.616 è un falso positivo.

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Combofix lo eseguito in modalità normale, disabilitando la connessione internet.

Per quanto riguarda mIRC ok...

E il file infetto (2 segnalati alla fine dello scan di KasperSky) oggi non ha nemmeno creato quel problema "Sistema ripristinato in seguito ad errore grave" al momento dell'avvio...

Comunque un file infetto c'è, come si potrebbe eliminare?

Grazie, Nyo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Comunque un file infetto c'è, come si potrebbe eliminare?

Disabilita il Ripristino di configurazione su tutte le unità;

http://www.kuma215.it/WI/

(nota che questo eliminerà tutti i punti di ripristino, ed eventuali virus in esso contenuti..)

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ho fatto tutto...

1) Riavvio computer in modalità provvisoria;

2) Disabilito unità di ripristino di sistema;

3) Ho cercato di cancellare a mano il virus ma non trovo la cartella C:\System Value Information, così ho avviato Avira AntiVir che mi ha detto che non è presente nessun virus... anche se, se vado sul registro Guard, ci sono i report del trojan che avevo ignorato quando la scansione con KasperSky aveva tirato fuori...

4) Quindi riavvio in modalità normale;

5) Riattivo l'unità di ripristino di sistema e creo un nuovo punto di ripristino.

Il problema, secondo me, è che avira antivirus non riconosce quel tipo di trojan, tant'è che ho ricercato nel database sul sito e non v'è n'è traccia...

Modificato da Nyo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusate ma ho un nuovo problema... Ieri sera sembrava tutto a posto, dopo quello che ho scritto sopra ho chiuso firefox, pulito con ccleaner e spento normalmente il computer... Ora lo accendo e:

1) Si riavvia da solo e dopo la prima schermata appare:

Tabella partizioni non valida

di cui proprio ignoro la causa...

2) Al secondo riavvio, schermata blu con

Si è verificato un problema con Windows ed è stato arrestato per impedire danni al computer.

BAD_POOL_HEADER

[... testo riguardante problemi hardware e/o software, sempre nella schermata blu ...]

Informazioni tecniche:

*** STOP: 0x00000019 (0x00000020, 0x825D03F0, 0x825D0420, 0x0A060001)

3) Riavvio ancora e stavolta riesco ad arrivare fino al mio account, con il solito dialog "Sistema ripristinato in seguito ad errore grave"... E in più è partito all'avvio anche il task di QuickTime Player (???) forse dovuto al punto ripristino, ma è solo un'ipotesi.

Insomma, non ci capisco più una mazza...! Ditemi voi...

Saluti e ancora grazie, Nyo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Behh...visto che non hai più punti di ripristino non puoi neache tornare indietro a quando il pc non ti creava errori...

il tipo di errore che hai ora è di difficile individuazione...potrebbe essere un conflitto con una nuova periferica, con un nuovo software...

il processore...la ram...l'hardisk...fai una ricerca con il link che ti ho dato... %3b%29.gif

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Per ora non sembra avere problemi...

Dopo la maturità formatterò (adesso non posso che mi serve).

Grazie per il prezioso aiuto :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora