Olimpo Informatico

[Sehol]

Salve, è il mio primo post e spero di non aver sbagliato sezione.
Da un paio di giorni, senza un apparente motivo di modifiche software o hardware, con il pc protetto da Kaspersky internet security 2010, Windows ha cominciato a fare le bizze.
Kaspersky non riusciva più ad attivare alcuni servizi, LogMeIn Hamachi 2.0 non avvia il suo servizio di Tunnelign Engine(presente nei servizi di windows), ed alcune applicazioni quali lo stesso Hamachi, Emule, e Ad-Aware devono essere aperti due volte di seguito per farli avviare, altrimenti il processo viene chiuso senza risultati.
Ho dovuto Togliere Kaspersky perchè, non riuscendo ad attivare i servizi, mi bloccava tutto quanto.
Altra cosa molto strana è che se cerco di avviare manualmente il servizio di Hamachi, mi da due errori alternati, errore 1053: il servizio non ha risposto e altre votle 1065. Se invece io disinstallo Hamachi e lo reinstallo il servizio funziona, al riavvio torna tutto come prima.
Ho provato a fare varie scansioni con HJT ma all'inizializzazione della scansione mi da, in alto, una barra rossa con scritto INT VALUE 6/7 e poi si chiude.
Non sò davvero dove mettere le mani
Mi scuso se non è questa la sessione giusta, per la lunghezza del post, e magari per la confusione. Ma vi prego...Dateme na mano!!

[bdoriano]

Ucci, ucci...

Ciao Sehol,

ho il sospetto che il tuo pc sia ostaggio di qualche birbantello...

Giusto per sicurezza, fai queste operazioni:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con combofix.
  
• Fai questa scansione con SystemScan.
  
• Riferisci nella tua in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

PS: ti sposto nella sezione Pronto Soccorso Virus.

[Sehol]

Subito un problema.
Nonostante io non abbia più Avira Antivir, ma kaspersky, e nonostante avira lo abbia disinstallato a dovere utilizzando il tool, combofix mi dice che stò maledetto avira è ancora in esecuzione...strano, non ci sono processi riconducibili ad avira.
Altra cosa molto particolare che mi accade è che alcune porte mi vengo date come chiuse anche senza firewall attivi sul pc, nè il Windows Firewall nè kaspersky.
Altra domanda: HJT mi ha trovato ADS solo di kaspersky, elimino uguale?

edit:
Intanto ecco i report dei programmi:

MBAM

SUPERAntiSpyware

SuspectFile

Mi scuso per i link sopra non propriamente funzionanti, ma non capisco perchè non mi legge il bbcode anche se è scritto bene...boh forse non li riconosce per i caratteri...

[Sante62]

Nod 32 non si disattiva dalla tray bar?. Cliccando col destro sull'icona, di solito si apre un menu. Normalmente funziona così con tutti gli antivirus.

[Sehol]

Io non ho NOD32.
É Avira che combofix mi dice che è installato e funzionante, quando invece non è nè installato nè ci sono processi a lui riconducibili.

[Sante62]

Scarica Avira RegistryCleaner

avviarlo e clicca sul pulsante Scan for keys per iniziare la ricerca di tutte le chiavi del registro di sistema che riguardano Avira Antivir. Al termine della breve ricerca, bisogna mettere il segno di spunta accanto alla voce Select All e cancellare tutte le chiavi trovate. Riavvia e vedi come va.

[R16]

Ciao Sante.
Dal log di Systemscan, il nostro amico ha più di qualche problema:
Per Avira ha questo driver attivo:
C:\WINDOWS\system32\drivers\avgntflt.sys
Ma il problema più grosso, è che ha l'Userinit danneggiato:
"Userinit"="C:\WINDOWS\SYSTEM32\Userinit.exe"
Manca la virgola finale. (segnalato anche dal log di HJT)

[Sehol]

quello forse è un problema che ho causato io modificando a mano il registro perchè avevo il problema lsqualcos'altro causato dalla rimozione di ad-aware, oppure no? EDIT: ho detto na cavolata...quello era autocheck
Altra cosa, come lo levo il driver?

[R16]

Non lo sò se stato tu.
Però non si dovrebbe mettere le manine sull'Editor del Registro, se non lo si conosce bene.
Per il driver:
Clicca su Risorse del computer.
Clicca su C:
Clicca Windows.
Cerca la cartella System32 (e l'apri)
Cerca la cartella drivers
La apri, e cerca il file : avgntflt.sys
Vai sopra con il tasto destro del mouse, e scegli elimina.
Riavvia il pc.
Mi raccomando, non sbagliare file.
Se non ti senti sicuro, lo si può levare in un altro modo.

[Sehol]

no ma infatti, non ho sbagliato a maneggiare il reg edit, qualcosa ci capisco, non troppo certo:)
pèer il driver, pensavo che se fosse in esecuzione non me lo facesse deletare, ora provo, al massimo utilizzo il tool di HJT

fatto...devo ripostare qlc?

[R16]

Più che un log di HJT, serve una scansione con Combofix, e relativo log.
Poi ci penserà Sante o bdoriano, a darti ulteriori indicazioni.
Ignora gli avvisi dell'antivirus quando fai la scansione con Combofix.
Prosegui con la scansione.

[Sehol]

Sarà Fatto davvero grazie...
In aggiunta, tnato perchè ne avevo poche ( che comunque piano piano sembrano risolversi grazie al vostero aiuto), ora ogni tanto, nvata.sys che se non erro è il file che gestisce la connessione s-ata sulla mia A8n-e Asus, mi da un errore Driver Irql not less or equal, questo credo isa un problema hardware e non sbaglio...
Cmq ora attivo Combofix e posto il log:D
Edit:
Ecco il log di ComboFix

[R16]

[Sehol]

l'unica schermata blu me la da nvata che a quanto sò è il sys per la gestione delle s-ata (ad occhio direi che NV è Nvidia e Ata è la tipologia di connessione hd) poi mi sbaglio non sò.. La Asus A8N-e che monto io utilizza chipset Nvidia
Certo che ora il pc fa un pò quel che vuole...
il più delle volte non mi riconosce l'installazione di Wind e per farlo andare devo rifare chkdsk /r...
Sarà l'hd da buttare...boh

[Sante62]

Intanto correggi la seguente chiave, come si vede quì sotto in modo corretto, perchè sicuramente ti darà ulteriori problemi se non lo fai.

[Sehol]

Fatto.
Kaspersky ha torvato questo:
23/10/2009 13.33.09 Eliminato: Trojan-PSW.Win32.Kates.j c:\WINDOWS\vakj.dat
ed ecco il log di HJT
Ho fatto upgrade di Bios e Driver del chipset, ora sembra non dare più BSOD il nvata.sys

[Sante62]

disattiva il ripristino di sistema e poi riattivalo.
Consiglio di limitare l'uso delle toolbar allo stretto necessario.
Avvia HJT, seleziona le seguenti righe, clicca poi su fix checked:

[Sehol]

hai ragione delle toolbar, ma usando firefox( senza toolbar) quelle de explorer non le guardo ahahah
MBAM non mi ha più trovato nulla ho fatto 2 scansioni complete tra ieri e oggi.
Ora metto in pratica i tuoi consigli
Grazie molto , davvero

[Sehol]

fatto tutto e pare andare, tranne un piccolo problema.
Dopo il rilevamente del'hd, e del sistema operativo, appare la schermata nera con la barra di caricamento bianca, tipo quella che viene quando si sceglie di ricaricare l'ultima configurazione funzionante, o quando si sta installando windows, che l'installazione fa ripartire il pc.
Questa barra di caricamento si riempie molto lentamente, poi dopo appare la schermata di caricamente classica di win con logo e barra blu.
Il tutto ci impiega oltre 6 minuti....si può fare qualcosa?^^

[Sante62]

Spegni il PC e fallo ripartire, e vedi se continua a caricarsi così.