Olimpo Informatico

dalì

giorni fa si spegne "di botto" il pc e compare una schermata azzura che diceva "se è la prima volta che compare questa schermata riavviare se no controlla il bios...contatta il fornitore dell'hardware...premi f8 ecc ecc...informandomi pare che abbia un virus o comunque riesco ad accedere al pc solo in modalità provvisoria...vorrei recuperare i dati...come faccio ?non ho mai fatto robe tipo "distro" come diceva un utente su un altro sito...aiutoooooo, ultima cosa la schermata azzurra non ha il simbolo di windows è solo scritte e dice : se è la prima volta che compare...poi parla di bios, di contattare il fornitore dell'hard disk e ste fregnacce qua...è cmq un virus? posso eliminare il virus che forse è + semplice?

ps io ho un lettore cd non dvd (se può servire come info ce la metto).
vi prego aiutatemi.

bdoriano

Potrebbe esserci un problema hw (magari il disco fisso). Rolling Eyes

Però, proviamo a fare le pulizie generiche:

Disabilita il ripristino di sistema.
Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Fai una scansione cone Norman Malware Cleaner.
- Scarica il programma
- Avvia il pc in modalità provvisoria.
- Avvia Norman Malware Cleaner e fagli fare la scansione completa.
- Alla fine della scansione viene generato un log sul desktop chiamato NFix_2008-MM-gg_hh-mm-ss.log.
Riavvia il computer in modalità normale
Segui le istruzioni di questo topic per eseguire combofix.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di Norman Malware Cleaner su FreeFileHosting come indicato qui e posta il link che ti viene assegnato
- Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Ciao Dali' Ciao

Potrebbe essere un virus, ma abbiamo bisogno di qualche altra informazione e cioè se la schermata blu resta fissa e il PC non si riavvia automaticamente;

Intanto utilizza
CCleaner;
Avvialo e clicca su opzioni->Avanzate, e togli la spunta da "elimina file solo se più vecchi di 48 ore"
Utilizza l'opzione Pulizia e poi clicca su Analizza; alla fine clicca su Avvia Pulizia. Fai la stessa cosa con l'opzione Trova problemi; eliminerà una serie di chiavi di registro inutili.

ovviamente devi farlo funzionare dalla modalità provvisoria, se come dici alla modalità normale non va; poi cerca di deframmentare il disco;

Fai la scansione con Combofix leggendo questa discussione; funziona anche dalla modalità provvisoria; poi ovviamente se va devi farla anche alla modalità normale; se hai problemi scaricalo su una chiavetta USB e poi lo trasferisci sul PC infetto;

se ancora riscontri l'errore dovresti riferire il tipo, che di solito si trova nelle ultime due o tre righe della schermata, dovresti riportarle quì per intero, perchè in modalità provvisoria si puo lavorare solo parzialmente.

se tutto va a buon fine posta un log di Hijackthis

dalì

cavoli grazie mi avete dato un pò di speranza.
cmq l'avevo già fatto partire c cleaner ma non migliorava nulla ora provo le altre cose tipo combofix...
la schermata una volta che compare rimare finche non spengo io il pc
per fissa che intendi? che non "trema", o che non sparisce? cmq è "ferma"(non credo che intendessi in questo senso).

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

bdoriano

dalì

non vi dico le prove che ho fatto con norman... si bloccava sempre.
cmq qualcosa ha migliorato perchè a un certo punto si riavvia il pc non faccio in tempo a digitare f8 quindi parte in modalità normale e sono riuscito a far partire zonealarm che ha eliminato un virus...è migliorato molto... ora faccio partire combofix... ma una bella scansione con kaspersky ?...nel frattempo l'ho rimediato, anche avg 8.0...ditemi voi.

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Fai girare Combofix; tieni disattivato l'antivirus mentre fai questa scansione;

La scansione con Kaspersky la faremo alla fine;

posta anche un log di Hijackthis

dalì

dalì

ComboFix 08-05-09.1 - dan 2008-05-10 15:16:46.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.652 [GMT 2:00]
Eseguito da: G:\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\packet.dll

.
((((((((((((((((((((((((( Files Creati Da 2008-04-10 al 2008-05-10 )))))))))))))))))))))))))))))))))))
.

2008-05-01 03:42 . 2008-05-01 03:42 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-04-28 01:38 . 2008-04-28 01:38 <DIR> d-------- C:\Program Files

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-10 12:23 488,552 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-10 12:23 36,402,720 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-10 03:53 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\AVG7
2008-05-09 14:03 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\U3
2008-05-02 10:00 9,216 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-05-02 10:00 3,710,118 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-04-29 14:03 28,160 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-04-29 14:03 1,437,184 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-29 01:51 1,437,184 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-04-29 01:46 --------- d-----w C:\Programmi\TuneUp Utilities 2007
2008-04-28 00:22 1,432,064 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-04-28 00:13 1,433,600 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-04-28 00:10 2,463,232 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-04-28 00:10 1,432,064 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-04-25 11:00 --------- d-----w C:\Programmi\Google
2008-04-25 10:58 --------- d-----w C:\Programmi\Java
2008-04-25 07:58 --------- d-----w C:\Programmi\GCH Guitar academy
2008-04-21 00:43 --------- d-----w C:\Programmi\LimeWire
2008-04-18 21:32 --------- d-----w C:\Programmi\eMule
2008-04-18 20:46 2,086,912 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-18 20:44 2,086,912 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-04-15 01:07 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\LimeWire
2008-04-12 17:12 --------- d-----w C:\Programmi\Soulseek-Test
2008-04-06 23:02 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-04-06 23:02 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Spybot - Search & Destroy
2008-03-30 15:39 --------- d-----w C:\Programmi\ExtractNow
2008-03-25 22:33 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\Registry Booster
2008-03-25 21:14 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\Uniblue
2008-03-13 23:11 2,840,064 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-03-10 11:50 --------- d-----w C:\Programmi\Free Audio Pack
2008-02-07 00:07 957,781 ----a-w C:\Programmi\VirtualDub-1.6.12.zip
.

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Apri il notepad e crea il seguente file di testo:

dalì

ComboFix 08-05-09.1 - dan 2008-05-11 2:58:21.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.661 [GMT 2:00]
Eseguito da: C:\Documents and Settings\dan\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\dan\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-04-11 al 2008-05-11 )))))))))))))))))))))))))))))))))))
.

2008-05-01 03:42 . 2008-05-01 03:42 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-04-28 01:38 . 2008-04-28 01:38 <DIR> d-------- C:\Program Files

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-10 17:03 489,104 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-10 17:03 36,402,720 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-10 03:53 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\AVG7
2008-05-09 14:03 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\U3
2008-05-02 10:00 9,216 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-05-02 10:00 3,710,118 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-04-29 14:03 28,160 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-04-29 14:03 1,437,184 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-29 01:51 1,437,184 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-04-29 01:46 --------- d-----w C:\Programmi\TuneUp Utilities 2007
2008-04-28 00:22 1,432,064 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-04-28 00:13 1,433,600 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-04-28 00:10 2,463,232 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-04-28 00:10 1,432,064 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-04-25 11:00 --------- d-----w C:\Programmi\Google
2008-04-25 10:58 --------- d-----w C:\Programmi\Java
2008-04-25 07:58 --------- d-----w C:\Programmi\GCH Guitar academy
2008-04-21 00:43 --------- d-----w C:\Programmi\LimeWire
2008-04-18 21:32 --------- d-----w C:\Programmi\eMule
2008-04-18 20:46 2,086,912 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-18 20:44 2,086,912 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-04-15 01:07 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\LimeWire
2008-04-12 17:12 --------- d-----w C:\Programmi\Soulseek-Test
2008-04-06 23:02 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-04-06 23:02 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Spybot - Search & Destroy
2008-03-30 15:39 --------- d-----w C:\Programmi\ExtractNow
2008-03-25 22:33 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\Registry Booster
2008-03-25 21:14 --------- d-----w C:\Documents and Settings\dan\Dati applicazioni\Uniblue
2008-03-13 23:11 2,840,064 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-02-07 00:07 957,781 ----a-w C:\Programmi\VirtualDub-1.6.12.zip
.

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Non è andata a buon fine l'operazione dello script;
Scarica Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato.

Posta anche un log di Hijackthis.

dalì

log di virit :

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
11/05/2008 - 20:33:03

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[D:]

[E:]

[F:]

[G:]
BOOT SECTOR: OK

Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 48244.
Files Totali: 48244.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]
OK

log hjt[/u][u]

Logfile of HijackThis v1.99.1
Scan saved at 23.05.09, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\dan\IMPOST~1\Temp\Rar$EX10.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programmi\Winamp Toolbar\winamptb.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programmi\Winamp Toolbar\winamptb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users.WINDOWS\Dati applicazioni\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191280813921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191514532640
O17 - HKLM\System\CCS\Services\Tcpip\..\{C30CC503-6C86-42E8-9E37-5AF1293541B7}: NameServer = 193.70.152.15,193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Rifai questa operazione con Combofix: