Quotidiana e improvvisa scomparsa di testo e icone su Windows

[billime]

Ciao,
dopo la rimozione di BOO/Alureon.A eseguita con tdsskiller.exe, si è innescato un problema sul mio pc, che temo di aver propagato su un altro della mia rete di casa.

Non riesco a capire da cosa può essere generato il problema e provo a descriverlo qui di seguito.

Dopo alcune ora di lavoro tutti i giorni mi succede che il sistema vada in tilt: sui tab di chrome (che uso per navigare) scompaiono le descrizioni, sulle pagine web scompare parte del testo, alcuni programmi (come skype) perdono la connessione, altri non si aprono per "memoria insufficiente", e infine i file aperti (ad es. con word e txt) in cui anche scompaiono le parole non si riescono più a salvare. Anche i pop-up di conferma compaiono senza testo. L'unico antitodo è riavviare il sistema e tutto torna normale per diverse ora, fino a quando il problema si ripropone nuovamente.

Ho Antivir Free Edition per uso personale e non rileva nulla. Ho installato diversi anti spyware (Spybot, Malawarebytes) e non ho ottenuto alcun rilevamente significativo. Infine un prodotto non registrato, Anti Trojan Elite, identifica nei seguenti file alcuni trojan (ma è l'unico a darmi questa segnalazione):

c:\windows\system32\rundll32.exe -> Trojan.NetThief (Infection not binded)
c:\windows\system32\ctfmon.exe -> Trojan.Foxmanykmmhmpm (Infection not binded)
c:\windows\system32\notepad.exe (quando apro un file txt) -> Trojan.NetThief (Infection not binded)

Dopo avergli fatto eseguire una delete su questi ed altri file exe (sotto system32, dal programma identificati come trojan) ho ritenuto questa cosa poco attendibile. Anti Trojan Elite infatti anche su altri pc da lo stesso risultato, e sembra quindi "confondere" questi exe con il trojan NetThief.

L'altro pc che presenta da qualche giorno lo stesso problema ha avuto un contatto col mio tramite USB, ma la stessa USB sembra pulita.

Qualcuno ha mai riscontrato questi sintomi e sa darmi qualche indicazione?

Grazie.

PS: non riesco ad allegare per intero il file hijackthis.log, c'è qualche verifica che posso fare su quello?

[billime]

Ciao di nuovo a tutti.
Non sono certo che la segnalazione fatta da Anti Trojan Elite sia affidabile, in quanto rileva in quei file gli stessi trojan anche su altri pc che sembrano non avere problemi.

Aggiungo, se qualcuno sa interpretarli meglio di me, che al momento del verificarsi del problema nel log degli eventi di windows trovo la seguente segnalazione:

codice:

Tipo evento:	Errore
Origine evento:	sr
Categoria evento:	Nessuno
ID evento:	1
Data:	 10/11/2010
Ora:	 12:52
Utente:	 N/D
Computer:	RR21102010
Descrizione:
Errore imprevisto '0xC000009A' durante l'elaborazione del file 'etilqs_vHH .. uUOshaGcNe' sul volume 'HarddiskVolume2'. Il monitoraggio del volume è stato interrotto.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Dati:
0000: 06 00 00 00 04 00 4e 00 ......N.
0008: 00 00 00 00 01 00 00 c0 .......À
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

Al riavvio del sistema (come dicevo unico modo per ripristinare il tutto) trovo invece questo secondo errore:

codice:

Tipo evento:	Errore
Origine evento:	ACPIEC
Categoria evento:	Nessuno
ID evento:	1
Data:	 10/11/2010
Ora:	 12:58
Utente:	 N/D
Computer:	RR21102010
Descrizione:
\Device\ACPIEC: l'hardware del controller integrato (EC) non ha risposto nei limiti del periodo di timeout. Ciò indica un errore dell'hardware o del firmware del controller integrato oppure che un BIOS non all'altezza ha tentato di accedere al controller integrato in modo errato. Il driver del controller integrato riproverà eventualmente a effettuare la transizione non riuscita.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Dati:
0000: 00 00 68 00 01 00 be 00 ..h...¾.
0008: 00 00 00 00 01 00 05 c0 .......À
0010: 00 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
0028: 99 9e 36 00 15 00 ff ff ??6...ÿÿ
0030: 75 00 05 00 15 02 0e 00 u.......
0038: 85 00 47 01 a5 09 6c 04 ?.G.¥.l.
0040: 15 02 50 00 65 00 05 00 ..P.e...
0048: 55 00 90 01 75 00 05 00 U.�.u...
0050: 15 02 0e 00 85 00 50 01 ....?.P.
0058: a5 09 65 04 15 02 18 00 ¥.e.....
0060: 45 00 05 00 14 00 b7 00 E.....·.
0068: a4 06 9c 01 14 02 19 00 ¤.?.....
0070: 44 02 04 00 16 08 50 00 D.....P.
0078: 66 00 05 00 56 00 3c 07 f...V.<.
0080: 76 00 05 00 16 0a 0e 00 v.......
0088: 86 00 45 01 a6 09 61 04 ?.E.¦.a.

[FDAC]

Scarica ComboFix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Quando lo salvi hai la possibilità di rinominare il file: rinomina l’exe in pippo.exe

● posiziona pippo.exe sul Desktop
● disconnettiti da Internet
● sconnetti, fisicamente, il modem dal computer
● accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore
● lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log
● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)

Note - durante la scansione:
● verranno creati alcuni file sul desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all' antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consenti pure)

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai inviare qui.

Conclusa la scansione:
● riavvia il sistema in modalità normale
● ricollega, fisicamente, il modem al computer
● connettiti a Internet e invia il file di testo

N.B. Se non riuscissi in alcun modo ad utilizzare Combofix, segui questi semplici passi:

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\pippo.exe" /killall
Premi OK, si dovrebbe avviare la scansione.

[billime]

Grazie, innanzitutto.

L'avevo eseguito ma non in modalità provvisoria.

Come posso allegare il file alla risposta?

O per invialo intendevi altro?

Grazie.

[SkinBonno]

salva il file in formato .TXT e allegalo sul forum oppure usa un servizio di hosting come wikisend e riporta sul forum il link ottenuto.

[billime]

Grazie, il forum non mi pare consenta di allegare un txt, quindi l'ho caricato, come da consiglio, qui:

Combolog.txt

[billime]

Gent.ssimi,
tra le stranezze che avvengono sul mio pc, che in generale funziona, avviene che l'orologio windows segna le 7 quando sono le 19, ma se faccio doppio click per reimpostarlo fa effettivamente le 19, così come se scrivo "time" sulla shell.

Sembra cioè un problema di visualizzazione e non di impostazioni. Ovviamente quando è mezzanotte segna le 12 sulla barra di sistema.

Non so bene cosa leggere dal log di ComboFix, si evince qualcosa?

Grazie.

[fede854783]

Ciao a tutti.
Anche il mio PC presenta gli stessi problemi dell'utente Billime

vi allego il log combofix.txt creato dopo aver lanciato combofix in modalità provvisoria:

http://wikisend.com/download/522268/comboFix.txt

Potete gentilmente dare una mano anche a me??
Grazie mille in anticipo!
Federico

[billime]

Ciao Federico,
a te come ha avuto origine il problema? Io non sono per nulla certo che venga dalla rimozione di Aleuron, perché lo stesso problema lo ha un mio pc "casalingo" che non ne aveva avuti altri prima. Io non riesco davvero a capire da che dipende. Nessun rilevamento virus/trojan.

[fede854783]

Ciao Billime,
in effetti il mio caso non deriva dalla rimozione di Aleuron, che a dire la verità non ho nemmeno idea di cosa sia
Semplicemente si è presentato per la prima volta settimana scorsa e si è ripetuto per qualche giorno; da quando ho scritto il messaggio non si è piu presentato (tocco ferro ma temo che si ripresenti di nuovo).
Spero nell'aiuto di qualche esperto del forum!