Pc Si Spegne - Virus????

[polly76]

Ciao! Da vari giorni il pc si spegne all'improvviso e qualche volta si riavvia, altre si spegne e basta. Ieri x la prima volta è apparsa la schermata:
Il sistema sta per essere arrestato salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche salvate andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM Tempo rimasto prima dell'arresto: 00:00:40
So che il W32.Blaster.Worm, ho installato patch di microsoft anche se ho il sp4 e pensavo ci fosse già, poi fatto scansione col fix apposito di Symantec che non ha trovato nulla. Cosa faccio?? E' collegato il fatto che si spegne spessissimo?? Ho fatto i controlli cn Sandra, x alimentatore etc. ma mi dice che è tutto apposto. Aiutatemi come sempre!! Grazie!
Ora ho notato che dopo che si spenge si cancella la cronologia dopo e in risorse del computer, sempre nella cronologia, compaiono questi 2 files: STSE e STSD, cosa sono?? Può essere un virus allora??? Ho fatto una ricerca nn ho trovato nulla su di loro, se clicco dice impossibile trovare i files .tmp

Logfile of HijackThis v1.99.1
Scan saved at 12.54.11, on 06/04/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\igfxpers.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\SBHookSvc.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrator\Documenti\Download\hijackth is\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\System32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: Yahoo! Literati - http://download2.games.yahoo.com/ga...nts/y/tt5_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download2.games.yahoo.com/ga...s/y/mjst4_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/ga...ts/y/poti_x.cab
O16 - DPF: Yahoo! Scopa - http://download2.games.yahoo.com/ga...ts/y/sct5_x.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/h...ivex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1162914168046
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6FAF22B-CF38-432A-B96B-64E3500FCF98}: NameServer = 212.216.112.112,212.216.172.62
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: SBHookSvc - Motive Communications, Inc. - C:\PROGRA~1\ALICET~1\SMARTB~1\SBHookSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[OYS]

Fai start-->esegui-->regedit
Portati fno a questa chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run

E controlla se al suo interno trovi qualcosa di sospetto.

Poi fai andare questo: http://www.uploads.ejvindh.net/rustbfix.exe

[polly76]

Dice percorso errato

[polly76]

E il rustfix ha esito negativo.

[OYS]

Originariamente inviato da polly76
Dice percorso errato

Quando scrivi regedit dice percorso errato?

Fai una scansione con systemscan.
Una volta eseguita la scansione portati in C:\suspectfile e carica il file report.txt su www.sendmefile.com e scrivi il link per poterlo scaricare.

[polly76]

Il regedit controlalto meglio scusami, ma tutto ok.

[polly76]

Scusa ma dopo si vedono i titoli dei miei files per favore cancellate il post per privacy ok?

[OYS]

Originariamente inviato da polly76
Scusa ma dopo si vedono i titoli dei miei files per favore cancellate il post per privacy ok?

Non si vedono i tuoi file, perchè si vedono solo i file recenti delle cartelle C:, C:\windows, C:\windows\system32, C:\Programmi\File comuni, C:\WINDOWS\temp. (a meno che non salvi le tue cose in quelle cartelle..)
Cmq dal log non è risultato nessun file sospetto, e nessuna anomalia nelle chiavi di registro..
Per caso hai eliminato qualcosa di importante dalle cartelle principali negli ultimi giorni? Capita pure che software di sicurezza eliminino un file del sistema perchè è infetto da un virus..

[tognazzi]

http://www.geekstogo.com/forum/index...&f=37&t=152878

date un'occhiata.
c'è una voce che contiene STSE e viene fixata.
nel forum sopra discutono di una variante del vundo.
nel tuo log però la voce con stse non compare.

[polly76]

Non compare è vero ma nella cronologia sì! Sarà un virus?