MegaLab.it

Inviato: **gio ott 14, 2010 9:26 pm**

Ciao a tutti, come da oggetto devo denunciare lo strano comportamento del pc di mia madre, è un Pentium Dual Core E2200, 3 giga di ram, windows xp sp3 super aggiornato, scheda video nvidia integrata nella scheda madre (mi pare sia la 7050). Il PC funziona perfettamente e non presenta alcuna infezione (ho fatto varie scansioni con avira + malware bytes + superantispyware) purtroppo ogni tanto (in modo apparentemente assolutamente casuale) mentre si visionano dei siti (in particolar modo youtube) il pc mostra una schermata blu e si blocca. La cosa non avviene sempre e sistematicamente, molto spesso youtube funziona perfettamente, il problema si pone sia con firefox (ultima versione) che con internet explorer (versione 8). La prima cosa che ho pensato è che ci fosse un chip della ram difettoso ma dopo aver fatto il testo con il memtest86 ed aver visto che i chip sono funzionanti al 100% ho escluso questa ipotesi, l'unica cosa che mi viene in mente è che ci sia un componente "super partes" che crea questo problema (infatti succede sia con firefox che con ie) ma purtroppo non ho idea di cosa possa essere. Ho già disinstallato tutti i programmi ed i plugin non strettamente necessari (perfino quicktime e java!) e flash player è installato all'ultima versione (ho anche provato a toglierlo e poi ad installarlo di nuovo). La non replicabilità sistematica dell'evento rende ancora più difficile una diagnosi. Ho fatto una scansione con hijack this...cosa ne pensate? Mi aiutate ad interpretarlo? Ciao e grazie.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.28.03, on 14/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\WINDOWS\Twain_32\Samsung\SCX4600\Scan2pc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\giovanna\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [4600 Scan2PC] "C:\WINDOWS\Twain_32\Samsung\SCX4600\Scan2pc.exe"
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [] cmd.exe /c rd /s /q "C:\DOCUME~1\giovanna\IMPOST~1\Temp\joi5.tmp"
O4 - HKCU\..\RunOnce: [join.me_joi5.tmp_cleanup] cmd.exe /c del /f /q "C:\DOCUME~1\giovanna\IMPOST~1\Temp\joi5.tmp_cleanup.bat"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0717809859
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9b9564ff78a9e) (gupdate1c9b9564ff78a9e) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 5936 bytes

Inviato: **gio ott 14, 2010 9:41 pm**

Le schermate a cui ti riferisci in gergo informatico si chiamano BSOD,e spesso (non sempre)sono dovute a malfunzionamenti di driver ,aggiunta di un nuovo software, o aggiornamenti degli stessi.Ultimamente hai installato qualche nuovo prpgramma o hai aggiornato qualche driver? In estremis potresti utilizzare la funzione punti di ripristino di Windows (se funziona [acc2]

) In attesa di risposta ,vediamo anche altri suggerimenti di altri amici di MLI.

Inviato: **gio ott 14, 2010 9:52 pm**

in effetti aggiornare è un mio pallino (sempre pensando di fare bene), quindi windows xp sp3 è aggiornato fino all'ultimo "martedì", i vari firefox, ie, directx, antivirus e plug-in vari sono tutti aggiornati. Le uniche cose che non sono aggiornate sono i driver nforce (ma qui perché non ne escono da parecchio tempo) e il driver audio (la scheda audio ha sempre funzionato egregiamente e non mi sono mai preoccupato di andare a cercare driver audio nuovi sul sito realtek). Devo dire che circa 1 mese o 1 mese e 1/2 fa non c'era questo comportamento strano. Purtroppo la bsod non appare sistematicamente ad un dato evento (almeno questo è quello che mi riferisce mia madre, abito lontano dai miei genitori e quindi per ora non ho il pc sotto mano ma in remoto sono riuscito a fare hijackthis) e questo rende più difficile la cosa, inoltre da quello che mi dice mia madre nella schermata blu non appare il "colpevole" del blocco, purtroppo non appare una scritta tipo "il programma prog.exe ha causato un errore etc etc".

Inviato: **gio ott 14, 2010 10:46 pm**

Chiedigli se ha aggiunto nuovo hardware ultimamente. Per gli aggiornamenti del OS fai bene che lo fai mantenere aggiornato;è abbastanza improbabile (ma non impossibile) che gli errori in questione siano da attribuire a questi.

Inviato: **ven ott 15, 2010 1:29 pm**

Ciao Giovanna, ciao Sabato :)

Hammer, sei infetta.
Rilancia Hijackthis:
- Do a System Scan Only
- spunta la casellina fianco di ogni singola voce che ti indicherò sotto
- una volta spuntate le voci:
- chiudi tutte le applicazioni aperte
- chiudi tutte le pagine del browser aperte
- in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [4600 Scan2PC] "C:\WINDOWS\Twain_32\Samsung\SCX4600\Scan2pc.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [] cmd.exe /c rd /s /q "C:\DOCUME~1\giovanna\IMPOST~1\Temp\joi5.tmp"
O4 - HKCU\..\RunOnce: [join.me_joi5.tmp_cleanup] cmd.exe /c del /f /q "C:\DOCUME~1\giovanna\IMPOST~1\Temp\joi5.tmp_cleanup.bat"
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messenger ... E_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0717809859
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

POI

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.

Inviato: **ven ott 15, 2010 1:48 pm**

accidenti non pensavo che il computer di mia madre fosse infetto, avira e super antispyware hanno sempre dato esito negativo. Inoltre volevo dire riguardo alcune voci da fixare che fanno semplicemente parte del software della stampante samsung o di msn messenger, mentre la riga join.me probabilmente è presente perché io da remoto tramite il software join.me tentavo di sistemare il pc di mia madre.
comunque farò una scansione approfondita con malware bytes.Ciao.

Inviato: **ven ott 15, 2010 2:21 pm**

hammer ha scritto:accidenti non pensavo che il computer di mia madre fosse infetto, avira e super antispyware hanno sempre dato esito negativo. Inoltre volevo dire riguardo alcune voci da fixare che fanno semplicemente parte del software della stampante samsung o di msn messenger, mentre la riga join.me probabilmente è presente perché io da remoto tramite il software join.me tentavo di sistemare il pc di mia madre.
comunque farò una scansione approfondita con malware bytes.Ciao.

Intervengo solo per l'aspetto preventivo,sulla falsariga del detto "non dare un pesce a chi ha fame ma insegnagli a pescare".....
Prendo spunto da ciò che hai scritto per fare una considerazione generale. [:)]

L'antivirus,specie nelle configurazioni di sicurezza di utenti esperti, non ne è il componente fondamentale.
Ciò perché in presenza di malwares 0-days solitamente l'antivirus,anche il più efficiente, "nulla può".
Questo è ben visibile nel test retrospective-proactive di AV dove la percentuale di efficienza, ad esempio di AVIRA che usa tua madre,è inferiore notevolmente a quella del test on demand.
Quindi qual è il componente fondamentale (quindi il cuore) da cui partire per assicurare una ottima configurazione di sicurezza ?
Un gruppo si affida agli HIPS (D+....) un altro ai Sandbox (Defensewall....).
Nel gruppo dei sandbox (che è il mio) c'è un ulteriore gruppo che sia avvicina di più ad una configurazione di sicurezza minimale.
E quindi propende di ricercare nel browser-sandboxato il cuore della loro configurazione di sicurezza.

Ma non tutti sono in grado di usare quanto sopra quindi cosa fare ?

Occorre incrementare la protezione web in modalità real time.

Io ti consiglierei,sopratutto per una persona poco esperta in questo campo di aggiungere protezioni senza decisioni individuali dell'utente:

1) Browser predefinito configurato ad hoc,per me Chrome 6.
2) DNS più protettivi (per me Norton DNS).
3) installare AVG Linkscanner ma solo se AVIRA è la versione free,perché quelle a pagamento sono incompatibili.

Qualche scan on demand con:

1) MBAM che ti hanno già consigliato
2) Hitman Pro.

Inviato: **ven ott 15, 2010 5:20 pm**

ok grazie mille

Inviato: **lun nov 01, 2010 12:24 am**

volevo dire che ho risolto al 99%, il problema era dovuto a nv4_disp.dll, probabilmente qualcosa lo faceva crashare (anche se i driver erano in penultima versione), ho scaricato ed installato l'ultimissima versione dei driver nvidia e sembra che tutto funzioni perfettamente ora. Devo dire che mi ha aiutato molto il programma della nirsoft BlueScreenView per analizzare il blocco del pc, consigliato a tutti.
Ciao e grazie!

MegaLab.it

strano comportamento pc + log hijack

strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack

Re: strano comportamento pc + log hijack