Salve, avevo già postato questo 3d sulla sezione dei problemi, mi hanno detto che sono vittima di una infezione e di postarlo qua nella sezione che riguarda virus e quant'altro.

Io posto qua... spero che qualkuno mi aiuti.
Grazie

Salve a tutti, sono nuovo del forum ed ho un enorme problema con un vecchio pc fisso.

Il problema è che questo pc alle volte si riavvia da solo senza segnalare nessun problema.
Il sistema operativo e Windows XP home edition.

Faccio brevemente una cronologia di come sono arrivato fino qui sul vostro sito.

Da impostazioni di sistema o levato il riavvio automatico e così facendo ho ottenuto la classica schermata blu.
Analizzando la schermata blu (fortunatamente ho un pc portatile di appoggio connesso a internet) dal messaggio che mi ha dato, presumo che si tratti di problematiche relative a drivers.
Continuando nella ricerca ho scoperto l'esistenza del software Driver verifier manager.
Ho lanciato da esegui il file verifier.exe ed ho analizzato i drivers non firmati, ho riavviato e difatti nuova schermata blu.
Correggetemi se sbaglio o qualke passaggio manca.O c'è troppa confusione.
Dopo di che da modalità provvisoria ho deletato il verifier in modo da far ripartire windows normalmente.
Mi sono annotato i drivers non firmati: (io li scrivo spero serva)

prohlp02.sys
prosync1.sys
pxhelp20.sys
sfhlp01.sys

A questo punto cercando su internet uno di questi file sono giunto al programma Hijack, l'ho installato ed ho fatto lo scan come detto.
Lo allego qui sperando che qualkuno mi aiuti a eliminare il problema.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.30.54, on 05/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dllcache\iexplore.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programmi\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Mobile Partner] C:\Programmi\3 Internet\3 Internet.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-171c565f4d32a96a.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 4861 bytes

Premetto che il computer è stato soggetto a pulizia rimuovendo vari programmi, eseguito scandisk, deframmentazione, antivirus ed antispyware. Ho fatto i vari aggiornamenti di windows xp. Ho scaricato da internet tune up utilities e ho usato pure quello per correggere eventuali errori.

Mentre stavo scrivendo sto 3d, il pc in questione si è bloccato di nuovo. Funziona solo il puntatore del mouse ma non posso eseguire o lanciare nessuna icona. Bloccato.

Vi ringrazio per l'aiuto. Spero mi possiate aiutare.
Attendo info, sono diversi giorni che faccio a testate con questo pc.

Grazie di nuovo.

Gianluca.

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

Visto che il programma che mi avete suggerito non mi si installava, ne ho cercato un altro su internet.
Ho trovato malwaredestroyer, l'ho installato e lanciato.
Pure questo andava aggiornato e l'ho fatto.
Ho fatto una scansione e mi ha rilevato un file che ho rimosso.
E adesso????

ciao e grazie fdaccc,

combofix che mi hai suggerito non mi funziona il link!

Aiuto...

Per eliminare i vari Tooll scaricati: (combofix ed eventuali altri tooll)
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [Microsoft©] C:\WINDOWS\system32\dllcache\iexplore.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-171c565f4d32a96a.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

Fai una pulizia con CCleaner.

Riavvia il pc.

Un paio di domande:
Hai scaricato file dai P2P ?
Ti esce qualche messaggio, (quando hai tentato di scaricare Malwarebytes e Combofix) del tipo: "Win32 non è un'applicazione valida"?
Se sì:
Scarica Findykill:
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
installa FindyKill .
chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
disconnettiti da Internet
sconnetti, fisicamente, il modem dal computer.
avvia il tool e digita F per impostare la lingua;
clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)
al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop, e postalo qui.
P.S:
Potranno esserci dei riavvii, non preoccuparti, è il programma che stà lavorando.

scusate la domanda sciocca,ma hai antivirus e firewall installati?

se non ha l'adsl sara' meglio che installi anche un antidialer...

Per paolopa, ho antivirus e firewall installati. Mi collego a internet con una key della 3, non ho ADSL.

Però penso che il pc sia ancora infestato. Non riesco a lanciare malware e combofix.
Inoltre, questo forse nei precedenti post non lo avevo scritto, non funziona ne lo scandisk ne la deframmentazione.
Ho provato pure in modalità provvisoria e non funziona.
Internet explorer ogni tanto si chiude da solo, chiude tutte le finestre aperte.
Tra un pò esco da lavoro e stasera vedo di attuare i consigli di R16.


Grazie di nuovo per tutte le info.
La battaglia prosegue.

esegui cio' che ti ha consigliato r16,potresti intanto scaricarti questo antivirus su una chiavetta e,se lui è daccordo,fare una scansione in modalita' provvisoria per vedere se ti allevia un poco la situazione,ma come ripeto aspetta il suo parere.
http://www.aiutamici.com/software?ID=11485

ps:se inserisci la chiavetta sul pc infetto ricordati che prima di riusarla va scansionata con antivirus.se saera' il caso ti spiegheremo la procedura.

Questo è il log di malware, trovati 4 file infetti e confermati da antivirus (AVG). Li ho rimossi.

Scansione è stata fatta dal portatile. Ho scansionato il disco rigido infetto diventato un hard disk esterno.


Malwarebytes' Anti-Malware 1.44
Versione del database: 3700
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

11/02/2010 22.06.57
mbam-log-2010-02-11 (22-06-57).txt

Tipo di scansione: Scansione completa (G:\|)
Elementi scansionati: 174348
Tempo trascorso: 1 hour(s), 36 minute(s), 43 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
G:\WINDOWS\system32\H8SRTepktpruwai.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
G:\WINDOWS\system32\H8SRTxxrlovnrje.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
G:\WINDOWS\system32\drivers\H8SRTnkpkbmnmyb.sys (Malware.Packer) -> Quarantined and deleted successfully.
G:\Documents and Settings\Proprietario\Impostazioni locali\Temp\H8SRT848.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

Adesso cosa devo fare???