www.MegaLab.it

[Palpas]

Ciao a tutti, nel mio windows XP dopo un po di tempo dall'accensione cominciano a verificarsi strani fenomeni...
Le barre del titolo sulle finestre scompaiono, spariscono anche diverse icone dei file, i menu si accorciano e non riesco più ad aprire alcun programma (neanche il taskmanager) restituendo l'errore "Memoria insufficiente" o "Immagine non valida".

Ecco Hijackthis (Dio esiste... )

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.30.19, on 17/11/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\No-IP\DUC20.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Common Files\VMware\USB\vmware-usbarbitrator.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\DOCUME~1\Saverio\IMPOST~1\Temp\7zO5.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mozilla Sunbird.lnk = C:\Programmi\Mozilla Sunbird\sunbird.exe
O4 - Startup: No-IP DUC.lnk = C:\Programmi\No-IP\DUC20.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\vmware\vmware player\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programmi\vmware\vmware player\vsocklib.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7494484500
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC6D84B-35B5-48DA-A3B7-6D60A1EDE5AB}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SolarWinds TFTP Server - SolarWinds - C:\Programmi\SolarWinds\TFTPServer\SolarWinds TFTP Server.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programmi\VMware\VMware Player\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Programmi\Common Files\VMware\USB\vmware-usbarbitrator.exe

--
End of file - 5192 bytes

Avira non segnala nulla, ho fatto anche la scansione anti-rootkit con AVG e Panda e non hanno rilevato nulla.
a voi la parola

[Uomo_Senza_Sonno]

Se non è un virus particolarmente dannoso, prova a verificare l'integrità della ram, errori di questo genere possono essere imputabili a malfunzionamenti. In più, esegui un controllo con un rescue disk, così escludiamo il sistema operativo e fai una scansione completa.

[Palpas]

Ho fatto i controlli: memtest non segnala alcun errore e nel pc non ci sono virus

[farbix89]

Ho fatto i controlli: memtest non segnala alcun errore e nel pc non ci sono virus

Davvero strano

Anche perché i sintomi ci sono tutti

Le barre del titolo sulle finestre scompaiono, spariscono anche diverse icone dei file, i menu si accorciano e non riesco più ad aprire alcun programma (neanche il taskmanager) restituendo l'errore "Memoria insufficiente" o "Immagine non valida".

Usi COMODO come firewall+HIPS?

Hai sandboxato(o il programma ti ha chiesto di sandboxare)qualche processo vitale di Windows,tipo explorer.exe?

[Palpas]

Usi COMODO come firewall+HIPS?

Si

Hai sandboxato(o il programma ti ha chiesto di sandboxare)qualche processo vitale di Windows,tipo explorer.exe?

No

[farbix89]

Provato una scansione approfondita in modalità provvisoria?

Almeno escludi a prori eventuale software maligno annidato nei files di sistema

topic65911.html

Puoi anche scansionare da Ubuntu

http://www.MegaLab.it/6562/i-virus-su-w ... -da-ubuntu

[Palpas]

ok lancio la scansione per stanotte
grazie dell'aiuto...ci sentiamo domani
(intanto sto tenendo attivo Processmonitor in attesa che si ripresenti il problema...cosi magari vedo da che possa dipendere)

[Palpas]

Ho scansionato in modalità provvisoria con Avira e Malwarebytes...nessun virus, il mio pc è pulito

[Palpas]

Forse ho trovato una pista: sospetto di Adobe Flash Player.
Mentre iniziava a verificarsi il problema ho fatto caso che firefox mi ha segnalato un anomalia del flash player. Sono riuscito ad aprire il taskmanager e a terminare il processo plugin-container e il pc si è ripreso!

Non sono sicuro che sia lui ma almeno è una pista. Comunque ora ho riscaricato e installato Adobe Flash Player... vediamo come va

[farbix89]

Prova a disattivare il processo Plug-in container...da solo problemi.

http://www.valkiro.org/2010/08/10/plugi ... attivarlo/

I plug-in funzionano lo stesso,ma nello stesso processo di Firefox.

[Palpas]

Prova a disattivare il processo Plug-in container...da solo problemi.

http://www.valkiro.org/2010/08/10/plugi ... attivarlo/

I plug-in funzionano lo stesso,ma nello stesso processo di Firefox.

fatto

[Palpas]

Il problema persiste, ora provo a disabilitare il plugin Silverlight

[Palpas]

Il problema ancora persiste...provo a non utilizzare più Firefox per un po di tempo

[zigno]

Ciao.
Anch'io ho lo stesso identico problema, stessi sintomi. Ho scansionato con livecd di trendmicro, avg, dr. web, niente! Prova per favore a vedere se anche tu hai il disco del s.o. (nel mio caso C:\) condiviso (la condivisione si riesce a togliere solo in modalità provvisoria). Se è così allora al 99% è un virus. comunque anch'io ho comodo e aggiornato da poco e firefox non credo c'entri perché io uso principalmente chrome e ho problemi lo stesso. Fammi sapere se hai novità. Grazie

[Palpas]

Prova per favore a vedere se anche tu hai il disco del s.o. (nel mio caso C:\) condiviso (la condivisione si riesce a togliere solo in modalità provvisoria). Se è così allora al 99% è un virus.

Il disco C è condiviso per via amministrativa...è normale.

[Palpas]

Niente da fare....
Ragazzi non ho uno straccio di indizio....

[FDAC]

Ciao Palpas.

Scarica Combofix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Nota: prima di eseguire il download, rinomina il file in pippo.exe

posiziona pippo.exe sul Desktop ed esegui queste operazioni preliminari:
● disconnettiti da Internet
● sconnetti, fisicamente, il modem/router dal Computer

è assolutamente necessario, se attivo:
● disattivare l'Antivirus in uso, dall'icona presente sulla traybar (accanto all'orologio di Windows)
● disattivare il Firewall eventualmente installato, dall'icona presente sulla traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:

● lancia ComboFix con un account con privilegi di Amministratore e segui le istruzioni che verranno rilasciate per eseguire la scansione
● verrà richiesta la installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi la scansione e la fase di creazione del log

Note - durante la scansione:
● verranno creati alcuni file sul Desktop e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall, se attivo, potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti

Quando Combofix avrà concluso l'operazione di scansione:

● il sistema verrà riavviato automaticamente (in caso contrario, riavvialo tu)
● ricollega, fisicamente, il modem/router al Computer
● connettiti a Internet
● vai in Disco Locale C:, cerca il log dal nome combofix.txt ed allegalo

Per allegare il log utilizza questo servizio di upload: http://wikisend.com
e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

******************************
Sebbene la procedura di utilizzare un servizio di upload esterno non sia errata, si consiglia di allegare i LOG utilizzando il tag MEMO.
Qualora il log fosse troppo lungo, lo stesso andrà diviso in più parti.
******************************

[Sabbb]

Io proverei ad installare il SP3,forse aiuta..

[everi]

http://www.navigaweb.net/2008/12/test-r ... k-cpu.html

[Palpas]

Io proverei ad installare il SP3,forse aiuta..

Bravissimo, mi hai letto nel pensiero... l'ho fatto proprio prima di leggere il tuo post vediamo come va...

@FDAC: combofix l'unica volta che l'ho usato mi ha fatto un casino di Dio...cerco di evitare di usarlo grazie comunque