trojan o backdoor ?

[kidmarco]

ciao,
su un altro pc (non questo da cui vi riesco a scrivere) si è verificato un problema che spero sia possibile risolvere...da solo non ce la faccio.

su quel portatile, ram 2gb dualcore 1,8, gira Vista (sp1) e Internet Explorer 7.
Un giorno, senza che facessi operazioni particolari o visitassi siti a rischio, il pc ha cominciato improvvisammene ad essere lentissimo,
poi dopo un po' si aprono a ripetizione finestre di Explorer vuote.

Utlizzando "Spy Doctor" ho trovato/eliminato alcuni spyware e malware,
poi con "Trojan Hunter" ho rilevato e rimosso 3-4 trojan , e mi segnalava che vi erano 3 porte aperte (porte in successione, tipo "8182" e seguenti)


A questo punto, mi connetto per scaricare-installare un firewall gratuito, e sigillare tutto.
Durante la connessione, ricevo un messaggio dal sofware "Spy Doctor" (che avevo lasciato attivo in background) che mi chiede l'installazione di un update: acconsento.
Poco dopo, il pc va si superlavoro e finisce in dumping con schermata blu.

Riavvio. Ma il pc, prima di completare il caricamento del desktop, si riavvia di nuovo in continuazione
non so che fare ???
Fatemi sapere, GRAZIE


PS:
non so se il discorso delle porte aperte sia dovuto ai trojan che avevo. Probabilmente sì.
Ma aggiungo un dettaglio, per completezza, visto che i problemi mi sono sorti (forse per pura coincidenza) subito dopo questo fatto:
avevo appena spedito una mail ad un amico...questo tipo, oggettivamente molto esperto in informatica, credo si diverta a fare hacking (ne sono praticamente certo).
credo sia in grado di entrare il reti locali, e una volta gli ho intravvisto uno strumento che mi è parso un port-scanner professionale.
...il fatto delle porte aperte che volevo chiudere, mi ha fatto collegare i 2 fatti...forse sono paranoico ?
ho pensato:
mediante la mail mi ha rintracciato l'IP e ha scansionato le porte...magari mi aveva installato un backdoor, o forse mi ha "infilato" qualcosa tempo fa, collegando al mio portatile il suo hd esterno?...mah!

[kidmarco]

vi prego...fatemi sapere qualcosa!

il caricamento del desktop (dopo ogni riavvio) non si completa credo perché il pc (cpu o ram) va in superlavoro subito
poi si riavvia di nuovo

[emmebì]

Credo proprio che la vita del tuo Vista sia finita.

Reformat!

[kidmarco]

c'è qualche tentativo che posso fare ?

ps:
potrebbe essere questo ?
avevo fatto degli screenshots del problema, ma non riuscendo ad avviare completamente Vista, non riesco a vederli (e capire se si tratta di Vundo o altro...)

[kidmarco]

help....

può servire qulche tool di riavvio disperato, tipo:
http://www.free-av.com/en/tools/12/a...ue_system.html
o
http://www.geekissimo.com/2008/06/17...rso-per-il-pc/
o simili ? (Knoppix...)

[amvinfe]

prova a riavviare in modalità provviaoria
http://windowshelp.microsoft.com/Win...904a11040.mspx

se riesci ad entrare in tale modalità, carica su una penna http://www.suspectfile.com/systemscan
ed esegui una scansione. Il file di report (estensione .zip) verrà creato all'interno della cartella suspectfile sul desktop.
Carica il file .zip su http://www.freefilehosting.net vediamo se riusciamo a capirci qualcosa di più.

[kidmarco]

riesco ad avviare in Mod. Provv. ma purtroppo dà gli stessi problemi:
al caricamento desktop, la ram (o cpu?) va al massimo e si riavvia.
siccome questo lasso di tempo è circa 1 min., ho provato in fretta a cliccare Esegui > Msconfig (per vedere se individuvo qualche processi sospetto, e lo deselezionavo)
ma mi dice "MSconfig: servizio non disponibile" o qualcosa di simile...

non vedi altra soluzione che boot da cd?
quale il migliore, secondo te (vorrei, se possibile, tentare una scansione...nel caso non riuscisse, dovrei poter masterizzare i dati principali):

Antivir rescue

Kaspersky rescue

Knoppix

www.ubcd4win.com/downloads.htm
...altri ??


fammi sapere, GRAZIE!

[kidmarco]

prima di optare x il boot da CD...(ma con quale tool?)

se, come ultimo tentativo, provassi ad avviare con Ripristino di sistema? (riportando alla configurazione di 2 settimane fa, ad esempio)...
non l'ho mai fatto prima, per cui non sono molto ferrato...perderei eventuali installazioni fatte, o anche dati (files creati, mails scaricate con Outlook...etc) ??

fammi sapere, se puoi
Grazie!

[amvinfe]

di norma facendo un ripristino non si dovrebbe perdere nulla se non le installazioni successive alla data del ripristino, però mi domando come tu riesca a farlo se si continua a riavviare.

Da quello che ho potuto leggere sembra un problema (sembra) di conflitto fra software... potrebbe visto che tutto è nato dopo l'installazione di SDoctor e THunter.

Puoi sempre provare con Kaspersky Rescue Disk

[Deifobe]

non credo che sarà utile.. però si potrebbe provare..

apri il blocco note e copiaci dentro questo:

@echo off
regedit.exe /e E:\file1.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run"
echo End of file >> E:\file1.txt
regedit.exe /e E:\file2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Run"
echo End of file >> E:\file2.txt
regedit.exe /e E:\file3.txt "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run"
echo End of file >> E:\file3.txt
regedit.exe /e E:\file4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows"
echo End of file >> E:\file4.txt
regedit.exe /e E:\file5.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\ShellServiceObjectDelayLoad"
echo End of file >> E:\file5.txt
regedit.exe /e E:\file6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
echo End of file >> E:\file6.txt
regedit.exe /e E:\file7.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"
echo End of file >> E:\file7.txt
regedit.exe /e E:\file8.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Explorer\Browser Helper Objects"
echo End of file >> E:\file8.txt

salvalo come
nome: pippo.bat
tipo fi file: tutti i file

salvalo in una penna usb e, dopo l'avvio, trasferiscilo sul desktop ed eseguilo

attenzione: io ti ho inserito E:\ ma ricordati di cambiare l'unità se è diversa (16 volte)

se avrai eseguito la procedura correttamente, ti ritroverai nella pen drive 8 files... che potrai zippare e caricare su Savefile.

ciao