pc si riavvia dopo un po'

[and80]

salve a tutti... sono alle prese con un pc zeppo di virus, trojan, dialer e quant'altro... credo che tutte queste presenze maligne siano dovuto alla presenza del Gromozon...

ora, ho debellato il Gromozon... ho eliminato virus, dialer, trojan, backdoors e il pc sembra stabile... se non chè... accade una cosa fuori dal controllo... il pc in "Modalità normale" si accende normalmente ma poi si spegne (quasi come a comando) dopo un tot di tempo... non l'ho cronometrato, ma direi che sta nell'ordine dei cinque minuti, ho provato più volte ad accedere al sistema in modalità provvisoria e scandire nuovamente il sistema con antivirus e antispyware ma senza risultato... ora chiedo... cosa succede?! è un problema hardware, software o è uno strascico di gromozon risolvibile in altra maniera?

grazie a tutti

@ moderatori: spero che il post in questa sezione vada bene... ero indeciso se postare qui o in Sicurezza e infine ho optato per qui

[darkkik]

A dir la verità l'argomento è un po' borderline

Teoricamente potrebbe benissimo stare anche qua, penso però che nel forum sicurezza abbiano già affrontato la questione e, a mio avviso, potresti avere risposte più mirate e tempestive.

Ti sposto

[and80]

Originariamente inviato da darkkik
A dir la verità l'argomento è un po' borderline

Teoricamente potrebbe benissimo stare anche qua, penso però che nel forum sicurezza abbiano già affrontato la questione e, a mio avviso, potresti avere risposte più mirate e tempestive.

Ti sposto

ok, grazie

[and80]

allora, ho levato il riavvio automatico in caso di errore e questa volta la prospettiva cambia...

il pc non si riavvia, ma appare la schermata blu con errore del file "lzx32.sys"... ho cercato su google ed ho scoperto che si tratta di un altro trojan generato dal rootkit ma non ho trovato il modo di debellarlo... qualcuno ha idea?

[Habanero]

Per rimuovere gromozon hai usato tools specifici?
In rilievo c'è una discussione per la rimozione di tale malware-

Se ancora non risolvi leggi la discussione sulla rimozione del malware posta in rilievo, vai direttamente al punto [4] e posta un log di hijackthis....
Questo per cominciare... se c'è un driver di mezzo è probabile che qualche parte del rootkit sia rimasta attiva..

[and80]

mi scuso per il ritardo con cui rispondo, ma ho dovuto mettere da parte il problema di questo computer per altre cose...

rispondo ora alle domande in sequenza di Habanero

>>Per rimuovere gromozon hai usato tools specifici?
>>In rilievo c'è una discussione per la rimozione di tale malware-

ho seguito esattamente quella discussione, facendo ogni cosa descritta e tentando le scansioni con i tools indicati, in effetti il sistema è stato "pulito" da gromozon, infatti le successive scansioni non hanno più rilevato il rootkit

>>Se ancora non risolvi leggi la discussione sulla rimozione del malware posta in rilievo, vai
>>direttamente al punto [4] e posta un log di hijackthis....

ok... fatto, posto il log

codice:

Logfile of HijackThis v1.99.1
Scan saved at 0.12.57, on 01/01/2003
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\symantecdriver.exe",,C:\WINDOWS\SERVICES.EXE
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {94C34DF6-4D89-AE65-45B9-823396BD84F2} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:  
O20 - Winlogon Notify: SABWinLogon - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NetBjh - Unknown owner - C:\Programmi\File comuni\System\EoFNim.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: QEFTO - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Standard\IMPOST~1\Temp\QEFTO.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmi\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SrvCxw - Unknown owner - C:\Programmi\File comuni\System\GeT.exe (file missing)

>>Questo per cominciare... se c'è un driver di mezzo è probabile che qualche parte del rootkit
>>sia rimasta attiva..

il disco è partizionato in due parti di cui una solo con sistema operativo, intendevi questo?

spero che il log possa aiutare, io sinceramente non essendo esperto in quest'ambito faccio fatica a capire quali sono le cose "buone" e quali quelle "cattive"

grazie per l'aiuto dato finora ;-)

[Habanero]

vedi se ti è d'aiuto questo:
http://forum.html.it/forum/showthrea...readid=1065834

[and80]

VVoVe: VVoVe: ora si sta riavviando continuamente, non mi da il tempo di fare nulla... neanche in modalità provvisoria