[Risolto]Win XP SP3 - ComboFix si avvia ma si blocca ...

[wirecut]

Ciao a tutti,

premetto che il mio notebook DELL LATITUDE 505 funziona correttamente, forse un po' lentino, ma considerato che ha una CPU Pentium M715 da 1,5 Ghz e 512 mega di RAM, non mi posso lamentare.

Uso Avast come antivirus e Spyware Doctotor (con licenza).

Considerato che sto cercando di ripulire il desktop infetto, ho pensato di verificare in che condizioni si trova questo computer.

Faccio girare "KasperSky Virus removal tool" e non segnala infezioni.
Faccio girare MalwareBytes e non segnala infezioni.

Ma quando provo a far girare ComboFix, si blocca.
Ho provato a farlo girare anche in modalità provvisoria e si blocca lo stesso allo stesso punto:
"Su PC molto infetti, in tempo di scansione può raddoppiare facilmente" e per sbloccarlo devo spegnerlo.

Ho installato Hijackthis e questo è il log:

Codice:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10.57.22, on 14/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TeamViewer\Version7\TeamViewer_Service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\TeamViewer\Version7\TeamViewer.exe
C:\Programmi\TeamViewer\Version7\tv_w32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll
O3 - Toolbar: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - (no file)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1088508607634
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212234728272
O17 - HKLM\System\CCS\Services\Tcpip\..\{9818416C-388B-4745-A6C0-E04E52087970}: NameServer = 204.117.214.10,4.2.2.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0212CAE-449A-42D6-93B1-874111CD53C8}: NameServer = 204.117.214.10,4.2.2.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C4DE53-2DD6-4561-896C-81736C7E4576}: NameServer = 204.117.214.10,4.2.2.4
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Programmi\Spyware Doctor\BDT\BDTUpdateService.exe (file missing)
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MaxiVista_service_A - Unknown owner - C:\Documents and Settings\Administrator\Desktop\MaxiVistaViewerA.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version7\TeamViewer_Service.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\Spyware Doctor\TFEngine\TFService.exe


--
End of file - 7476 bytes

Vedete qualcosa di anomalo?

Cordialità

Leo

[tecnico24]

Ciao , il pc è infetto.

Con il ripristino configurazione disattivato , avvia Hijackthis e spunta a sinistra su queste voci:

O23 - Service: PEVSystemStart - Unknown owner - C:\ComboFix\pev.3XE

O23 - Service: MaxiVista_service_A - Unknown owner - C:\Documents and Settings\Administrator\Desktop\MaxiVistaViewerA.ex e

O17 - HKLM\System\CCS\Services\Tcpip\..\{F1C4DE53-2DD6-4561-896C-81736C7E4576}: NameServer = 204.117.214.10,4.2.2.4

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0212CAE-449A-42D6-93B1-874111CD53C8}: NameServer = 204.117.214.10,4.2.2.4

O17 - HKLM\System\CCS\Services\Tcpip\..\{9818416C-388B-4745-A6C0-E04E52087970}: NameServer = 204.117.214.10,4.2.2.4

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\Alwil Software\Avast5\aswWebRepIE.dll

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"


e clicca sotto sul pulsante Fix Checked.

Scarica Tcp/Ip Repair:
http://www.xp-smoker.com/downloads/xptcprep.exe
Chiudi la connessione
Avvia il tool
Clicca su Reset TCP/IP
Riavvia il Computer


Scarica Pserv da questo link:
http://www.p-nand-q.com/download/pse.../pserv-2.7.exe
Installalo e portati in C:\Programmi
Lo avvii da lì , e dalla sezione Services & Devices
cerchi il servizio Service: PEVSystemStart
Tasto destro su di esso e clicca su Delete.
Riavvia il pc.

PER FAR RIPARTIRE COMBOFIX:
Scarica OTC by oldtimer da qui:
http://oldtimer.geekstogo.com/OTC.exe
Chiudi tutti i programmi aperti e clicca su Cleanup.
Riscarica Combofix da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
e salvalo sul desktop.
Da start-esegui copia | incolla questo codice in grassetto:

"%userprofile%\desktop\combofix.exe" /killall

dai OK e attendi la scansione.

[wirecut]

Ciao,

segnalo che il link:
http://www.p-nand-q.com/download/pse.../pserv-2.7.exe
non è piu' valido.
E' disponibile la versione 3 al link:
http://www.p-nand-q.com/gtools/pserv3.html
Saluti
Leo

[tecnico24]

Ciao,

segnalo che il link:
http://www.p-nand-q.com/download/pse.../pserv-2.7.exe
non è piu' valido.
E' disponibile la versione 3 al link:
http://www.p-nand-q.com/gtools/pserv3.html
Saluti
Leo

Hai eseguito le operazioni che ti ho elencato?
Non importa la versione del programma.

[wirecut]

Ho eseguito tutti i passaggi, ma ComboFix si continua a bloccare:

"Su PC molto infetti, in tempo di scansione può raddoppiare facilmente"

e rimane bloccato cosi!

Intanto grazie per i preziosi suggerimenti!

[tecnico24]

Rimuovi nuovamente Combofix utilizzando il programma OTC by Oldtimer.

Scarica nuovamente Combofix però stavolta rinominandolo , in Explorer.exe

Quindi avrai l'icona di combofix sul desktop rinominata in explorer.exe (NON APRIRLO!)
Da tastiera schiaccia il tasto di windows + R e incolla questa righa:

"%userprofile%\desktop\explorer.exe" /killall

Vedi se riesci a farlo partire : invia anche un nuovo log di Hijackthis.

[wirecut]

... fatto!

Purtroppo ComboFix si continua a bloccare:

"Su PC molto infetti, in tempo di scansione può raddoppiare facilmente"

e rimane freezato cosi! L'HDD è fermo e l'unico modo di uscirne è il power off.

[tecnico24]

Hai disattivato la protezione di Spyware doctor e Avast quando esegui Combofix ?
Probabili conflitti che interagiscono con il programma.

Scarica Virit Explorer Lite
Avvia l'installazione
Attiva la versione di prova di 60 gg
Esegui una scansione completa del sistema e aspetta che finisce di rimuovere eventuali malware
Posta il suo rapporto in allegato sul forum

Invia anche un nuovo log di Hijackthis come ti ho scritto.

[wirecut]

Ecco il log di Hijack prima di effettuare l'operazione con Virit Explorer Lite

------
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15.34.46, on 14/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TeamViewer\Version7\TeamViewer_Servic e.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\TeamViewer\Version7\TeamViewer.exe
C:\Programmi\TeamViewer\Version7\tv_w32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google News
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail, Messenger, Actualité, Sport, People, Femmes - MSN France
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.7.7227 .1100\swg.dll
O3 - Toolbar: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - (no file)
O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programmi\SigmaTel\Driver audio di SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461 B1589E8B4FB7.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1088508607634
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1212234728272
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Programmi\Spyware Doctor\BDT\BDTUpdateService.exe (file missing)
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version7\TeamViewer_Servic e.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\Spyware Doctor\TFEngine\TFService.exe


--
End of file - 6389 bytes
----

[tecnico24]

Il log di Hijackthis è pulito.

Attendo il report di Virit explorer lite.

Disinstalla Spyware doctor che non fa altro che rallentarti il pc:combofix lavora con connessione chiusa e Avast disattivato?

Ciao.

[wirecut]

... ... ecco il log di Virit explorer lite.

Codice:

irIT eXplorer Lite Log


[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
14/02/2012 - 16:10:26


[SCANSIONE DEL REGISTRO]
OK


[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK
 
 
[D:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK
 
D:\Programmi\ASIX\SIGMA\dll_mutex.dll Infetto da Trojan.Win32.Generic.LXF
 * * *  RIMOSSO  * * *
 
[E:]
 
 
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 64690.
Files Totali: 64690.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.
 
--------------------------------------------------------
14/02/2012 - 19:18:01


[SCANSIONE DEL REGISTRO]
OK


[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK
 
 
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 139.
Files Totali: 139.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

Mi ero salvato una copia di ComboFix rinominadola Explorer_.exe nella directory di download; l'ho copiato sul desktop, rinominato in Explorer.exe e l'ho avviato come suggerito:

"%userprofile%\desktop\explorer.exe" /killall

Purtroppo ComboFix si continua a bloccare nello stesso punto.

"Su PC molto infetti, in tempo di scansione può raddoppiare facilmente"

e rimane bloccato. L'hard disk dopo un po smette di operare e tutto rimane bloccato. Se ne esce solo con power off.

[tecnico24]

Ciao wirecut ,
il pc dopo eseguite le operazioni postate è pulito.
Il fatto che combofix non funziona può dipendere dai vari conflitti : se disattivi spyware doctor , avast e la connessione è lo stesso ?
Poi il procedimento che hai postato va aggiustato : se lo rinomini in explorer_.exe il codice è

"%userprofile%\desktop\explorer_.exe" /killall

Il tool tra l'altro serve in alcuni casi , non va usato frequentemente poichè modifica le chiavi di registro ed è molto invasivo.
Per il resto puoi stare tranquillo.

[wirecut]

Ciao Tecnico24.

Spyware Doctor è disattivato, Avast è disattivato, non ho ben capito cosa devo fare per disattivare la connessione.

Il comando comunque era quello giusto, perchè sul desktop il file era: Explorer.exe.

Devo riconoscere che ora il notebook è molto piu' veloce.

Quindi possiamo concludere che il il notebook è a posto?

Posso riattivare Avast?

Mentre per Spyware Doctor, mi sembra di capire che non ne sei entusiasta. E probabilmente hai ragione, visto che comunque il PC si è infettato comunque.

Mi spiace perchè avevo da poco rinnovato la licenza. Che mi suggerisci in alternativa?

Ora possiamo passare a Win7 e vedere di capire perchè si corrompe il protocollo HTTP?

Saluti

Leo

[tecnico24]

Passare a Windows 7 è un ottima scelta : velocità , più sicurezza e stabilità.

Spyware Doctor non ha mai brillato in rilevazione e rimozioni , ci sono software più efficaci come :
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Che pur non avendo la real-time , basta lanciarlo una volta al mese per effettuare una scansione approfondita e accurata.
Per quanto riguarda la tua situazione , attiva avast , rimuovi spyware doctor e Virit ( ha finito il suo lavoro ) e installa malwarebytes.

Saluti.

[wirecut]

Non posso passare a WIN7 sul notebook per via di alcuni software che ancora non sono pienamente compatibili con Win7.

Riattiviamo questo tread?
Help- Win7- Funziona tutto tranne il protocollo HTTP.

Saluti

Leo