riavvio pc, virus no sasser no blaster

**puntotoprinci** · 09-02-2008, 03:00

ciao a tutti ho un problema che mi stà assillando, ho passato tutta la serata, saranno 5 ore, a cercare di risolvere il seguente problema..

Quando accendo il computer, dopo circa 2 minuti mi appare un messaggio di errore: dcom terminato a causa di un errore imprevisto; poi parte il conto alla rovescia e il pc si riavvia.

Andando su esegui e scrivendo "shutdown -a" riesco a tenerlo acceso ma il pc non è proprio integro, non è un sasser né un blaster..ho provato mille strade, antivirus in modalità provvisorioa, aggiornamenti sistema operativo (xp sp2) ma niente da fare..

c'è qualcuno che può darmi una mano?

grazie

**puntotoprinci** · 09-02-2008, 12:53

ho provato ad installare il firewall "zoneAlarm" ma ancora non riesco a risolvere il problema..

**puntotoprinci** · 09-02-2008, 12:58

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.56.40, on 09/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\atwtusb.exe
C:\USBStorage\USBDetector.exe
C:\Programmi\Prolific\One Button\OneBtn.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Documents and Settings\user\ntuser.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\SkypeMate\SkypeMate.exe
C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\user\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [Prolific_OneButton] C:\Programmi\Prolific\One Button\OneBtn.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [auto] C:\WINDOWS\system32\drivers\win32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ntuser] C:\Documents and Settings\user\ntuser.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-1343024091-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-1343024091-725345543-1003\..\Run: [auto] C:\WINDOWS\system32\drivers\win32.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-1343024091-725345543-1003\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-583907252-1343024091-725345543-1003\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
O4 - HKUS\S-1-5-21-583907252-1343024091-725345543-1003\..\Run: [ntuser] C:\Documents and Settings\user\ntuser.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-583907252-1343024091-725345543-1003 Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe (User '?')
O4 - S-1-5-21-583907252-1343024091-725345543-1003 Startup: SkypeMate.lnk = C:\Programmi\SkypeMate\SkypeMate.exe (User '?')
O4 - S-1-5-21-583907252-1343024091-725345543-1003 Startup: ZDWLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe (User '?')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: SkypeMate.lnk = C:\Programmi\SkypeMate\SkypeMate.exe
O4 - Startup: ZDWLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\WLAN_802.11g_Utility\ZDWlan.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programmi\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8005 bytes

**amvinfe** · 09-02-2008, 13:57

scarica
http://downloads.andymanchesta.com/R...ools/SDFix.exe
eseguilo, lascia la directory ( C: ) impostata di default, seleziona "Install"

riavvia in modalità provvisoria

portati in C:\ e apri la cartella SDFix

esegui il file RunThis.bat

rispondi digitando Y

al termine della procedura clicca un qualsiasi tasto

al riavvio il tool porterà a termire la rimozione, quando apparirà Finished primi nuovamente un tasto

riporta nella tua risposta il contenuto del file Report.txt che troverai nella cartella SDFix

posta infine un nuovo log di HJT

**puntotoprinci** · 09-02-2008, 15:33

provo e poi riposto (grazie sono sull'esaurimento nervoso)

**puntotoprinci** · 09-02-2008, 16:11

SDFix: Version 1.139

Run by Administrator on 09/02/2008 at 14.51

Microsoft Windows XP [Versione 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\drivers\LJR02.sys - Deleted
C:\NTBOOT - Deleted
C:\Documents and Settings\user\msftp.dll - Deleted
C:\WINDOWS\system32\msftp.dll - Deleted
C:\WINDOWS\system32\drivers\win32.exe - Deleted

-------------------
questo è il report, per ora il problema non mi si sta ripresentando..aspetto 10 minuti e posto aggiornamento

**puntotoprinci** · 09-02-2008, 16:29

GRAZIEEEEEEEEEEEEEE GRAZIE GRAZIE amvinfe!!!!
ho riavviato il pc e sembra funzionare tutto!!!!!!!!!!!!
non si sta + verificando!
mi hai davvero salvato è da ieri notte che ci provo!!!
sono ancora incredulo!!!!
dici che sono a posto così o devo fare altro?

**amvinfe** · 09-02-2008, 20:06

avevo visto un altro valore
C:\Documents and Settings\user\ntuser.exe (dovrebbe essere infetto)

portati in www.virustotal.com e fallo analizzare ma non rimuoverlo anche se infetto.

Poi scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile un file con estensione .zip (data+ora+.zip)
Portati in www.sendmefile.com carica il file e scrivi, nella tua prossima risposta, l'URL per scaricare il report.

Ricordati d'effettuare la scansione non connesso e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata

**puntotoprinci** · 10-02-2008, 11:30

non sono riuscito ad esffettuare la sansione, mi si è riavviato e nella cartella suspect file non c'è dunque nessuno zip

**amvinfe** · 10-02-2008, 20:04

prova ad effettuare la scansione dalla modalità provvisoria anche se questa modalità non aiuta a vedere tutto.

Discussione: riavvio pc, virus no sasser no blaster

Strumenti discussione

Ricerca discussione

Visualizza

riavvio pc, virus no sasser no blaster

aggiornamento

Permessi di invio