[LOG HIJACKTHIS] Problema Generic Host Process for Win32

[Sk1ZzATO]

Salve a tutti, premetto che sono nuovo, e nonostante abbia letto il regolamento chiudete un occhio se sbaglio qualcosa

Comunque ritornando al problema, da stamattina ne ho uno, quando cerco di aprire un browser in questo caso google chrome, o qualsiasi gioco che abbia un launcher per farlo partire (trackmania, world of warcraft, thehunter....) mi esce un errore nuovo mai uscito prima : "Generic Host Process for Win32".

Dando un occhiata sul web (fortunatamente avevo anche mozilla installato e non mi da problemi) ho notato che parecchia gente ha fatto un aggiornamento dal service pack 2 al service pack 3, sfortunatamente io ho gia il 3 e non so che aggiornamento appigliarmi.
Come seconda soluzione, ho visto molta gente, invece, che ha usato il programma Hijackthis e combofix o qualcosa di simile.

Il log di hijackthis gia ve lo posto poi non so come continuare, spero possiate darmi una mano.

Grz in anticipo.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.40.13, on 27/08/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\windows\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\windows\Explorer.EXE
C:\windows\System32\svchost.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\windows\system32\nvsvc32.exe
C:\Programmi\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\svchost.exe
C:\Documents and Settings\All Users\Dati applicazioni\QuestBrwSearch\questbrowse199.exe
C:\windows\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Programmi\QuestBrwSearch\questbrwsearch.exe
C:\windows\system32\wscntfy.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\windows\System32\alg.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\windows\System32\svchost.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\OfferBox\OfferBox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Rosario\Documenti\Download\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: OfferBox - {703740c1-0f1a-4cec-a4df-d78db0158477} - C:\Programmi\OfferBox\extensions-4.0.4376.15\offerbox_air_iexplorer.dll
O3 - Toolbar: VMN Toolbar Astro Gemini - {A057A204-BACC-4D26-8287-79A187E26987} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Rosario\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-73586283-1580436667-1177238915-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration Brothers In Arms.LNK = D:\Support\Register\RegistrationReminder.exe
O4 - Startup: Registration Driver Parallel Lines.LNK = C:\Programmi\Ubisoft\Driver Parallel Lines\Register\RegistrationReminder.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programmi\ShopperReports3\bin\3.1.22.0\ShopperR eports.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programmi\ShopperReports3\bin\3.1.22.0\ShopperR eports.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\wi371a~1\datamngr\datamngr.dll c:\progra~1\wi371a~1\datamngr\iebho.dll wbsys.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\windows\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\windows\system32\browseui.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe
O23 - Service: QuestBrowse Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\QuestBrwSearch\questbrowse199.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 6574 bytes

[menatwork]

ciao

hai delle infezioni da eliminare ora esegui queste procedure

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco della riga che ti segnalo qui sotto -> Clicca su Fix Checked

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4

O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programmi\ShopperReports3\bin\3.1.22.0\ShopperR eports.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programmi\ShopperReports3\bin\3.1.22.0\ShopperR eports.dll

O23 - Service: QuestBrowse Service - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\QuestBrwSearch\questbrowse199.exe

Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla queste righe nella box bianca che si è aperta:

files to delete:
C:\windows\svchost.exe
C:\Documents and Settings\All Users\Dati applicazioni\QuestBrwSearch\questbrowse199.exe
C:\Programmi\QuestBrwSearch\questbrwsearch.exe
C:\Programmi\OfferBox\OfferBox.exe

folders to delete:
C:\Programmi\OfferBox
C:\Programmi\QuestBrwSearch

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Scarica e installa malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

[Sk1ZzATO]

Ciao grazie per l'imminente risposta, ho fatto il tutto può sembrare strano ma ho 1 altro problema diverso da prima.

Ho fatto tutto alla lettere e sembra non dare problemi, ma ora il computer va lentissimo, appena ho loggato sul mio account di windows ci ha messo 2-3 minuti a caricare le icone sul desktop e ci mette 2-3 minuti per avviare un qualsiasi programma

[menatwork]

vedi se riesci a scaricare questo tool e salvalo sul desktop

alla richiesta se vuoi installare la recovery console clicca su NO

esegui ComboFix.exe

segui le instruzioni

finita la scansione portati in C:\ e allega , nella tua prossima risposta, il contenuto del file di testo Combofix.txt

come usare correttamente combofix

vorrei controllare anche i rapporti di avenger e malwarebytes

postali qui nel forum

[Sk1ZzATO]

Allora, nessune buone nuove.

Ho riacceso il pc dopo averlo pulito e deframmentato per la 3 volta oggi nella speranza di farlo caricare un pò piu velocemente. Tentativo fallito.

Scaricando combofix non ho avuto problemi ad installarlo, ma quando lo faccio partire si apre il bios e rimane per circa un quarto d'ora alle prime tre righe : Attendere prego, Tentativo di nuova operazione di ripristino o roba simile.

Poi, sono ritornato su malware per riprendere il log della scansione completa di oggi e si è vaporizzato nel nulla, ho controllato anche nella cartella d'installazione del programma ma niente.

Addirittura avenger è scomparso dal pc, e dopo averlo riscaricato, mi sono beccato il famoso errore generic host progress for win32.



PS. Volevo ringraziarvi per l'aiuto che mi state dando, se entro domani sera non riuscirò a risolvere, lunedi porto a formattare il pc, ultima soluzione.

[menatwork]

vediamo se riusciamo a capirci qualcosa ma devi seguirmi altrimenti e' inutile

fai questo che ti dico

scarica Rsit da qui:

http://images.malwareremoval.com/random/RSIT.exe

avvialo ed eseguilo

Se Hijackthis (versione aggiornata) non é già presente nel sistema, RSIT lo scarica e dovrai accettare la sua licenza
Al termine saranno redatti due log, log.txt e info.txt, che troverai nella cartella creata dal programma C:\rsit.exe.
Inseriscili su wikisend http://wikisend.com/

[menatwork]

Sk1ZzATO se vuoi seguire le mie istruzioni piu' rapidamente premi il tasto F5 della tastiera in questo modo aggiorni la pagina e non sei li' a pensare che devo ancora risponderti

fallo frequentemente soprattutto quando non vedi nessuna risposta

intanto segui quello che ti ho scritto prima di questo post

[Sk1ZzATO]

Ok ho fatto come mi hai detto.

Il file info.txt : http://wikisend.com/download/162328/info.txt
Il file log.txt : http://wikisend.com/download/726278/log.txt

[menatwork]

conosci queste cartelle

C:\Documents and Settings\Rosario\Dati applicazioni\DYA_LVQPUJFRCOTDSLNLJ

C:\Documents and Settings\All Users\Dati applicazioni\DYA_LVQPUJFRCOTDSLNLJ

C:\Documents and Settings\Rosario\Dati applicazioni\DYA_NQJRMHHEARTJQOIRS

C:\Documents and Settings\All Users\Dati applicazioni\DYA_NQJRMHHEARTJQOIRS

attenzione sono doppie come vedi sono in due percorsi diversi


questo file analizzalo su virus total dovrebbe essere un trojan

C:\Documents and Settings\All Users\Dati applicazioni\id Software\QuakeLive\npquakezero.dll

[Sk1ZzATO]

No non mai viste prima, virus total è 1 sito o 1 programma?