Olimpo Informatico

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

salve il mio pc si blocca improvvisamente mentre provo a fare una scansione con malware o con avira e appare una videata di colore blu che poi scompare e fa riavviare il pc,cosa posso fare??
dimenticavo si tratta di un sony vaio vgn ar51e con s.o. vista..

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link (per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

grazie della risposta e dell'aiuto,ecco il report di roguekiller:

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Started in : Normal mode
User : Politano [Admin rights]
Mode : Scan -- Date : 04/27/2013 22:44:12
| ARK || FAK || MBR |

¤¤¤ Bad processes : 2 ¤¤¤
[SUSP PATH] PCShowServerPMWrapper.exe -- C:\Users\Politano\AppData\Local\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe [7] -> Chiuso [TermProc]
[SUSP PATH] NDSPCShowServer.exe -- C:\Users\Politano\AppData\Local\Sky Italia\Sky Go Player\NDSPCShowServer.exe [7] -> Chiuso [TermThr]

¤¤¤ Registry Entries : 5 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : PCShowServer ("C:\Users\Politano\AppData\Local\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe") [7] -> Trovato
[RUN][SUSP PATH] HKUS\S-1-5-21-2016768570-635039134-4265061013-1000[...]\Run : PCShowServer ("C:\Users\Politano\AppData\Local\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe") [7] -> Trovato
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> Trovato
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> Trovato
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> Trovato

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A66FA5 -> HOOKED (Unknown @ 0x8B29F4BE)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A79142 -> HOOKED (Unknown @ 0x8B29F4C8)
SSDT[289] : NtSetContextThread @ 0x82AC825F -> HOOKED (Unknown @ 0x8B29F4C3)
SSDT[314] : NtSetSecurityObject @ 0x829F5027 -> HOOKED (Unknown @ 0x8B29F4CD)
SSDT[332] : NtSystemDebugControl @ 0x82A2DEF1 -> HOOKED (Unknown @ 0x8B29F4D2)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8B29F4E6)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8B29F4EB)

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2035GSS +++++
--- User ---
[MBR] 3a23e1b15053bf5ad3b52d207f3f31a8
[BSP] 5aeeb5c91d0c0cb33e346a432b0ff027 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 9035 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 18505728 | Size: 181745 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1]_S_04272013_02d2244.txt >>
RKreport[1]_S_04272013_02d2244.txt

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Segui le istruzioni di questo topic per usare Combofix: ( ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.

Poi:
Fai questa scansione con OTL.
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i log con Wikisend.

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

ho seguito le tue istruzioni ma a metà del percorso mentre combofix era in esecuzione improvvisamente si è bloccato ed è apparsa una schermata blu con delle scritte e il pc si è riavviato,esattamente ciò che accadeva quando provavo a fare una scansione con avira o malware ed è per questo che ho chiesto il vostro aiuto!!

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

come ti dicevo combofix si blocca e mi riavvia il pc senza lasciare nessun log,
invece con OTC mi crea qs file che ti posto:

link

link

ps con wikisend non mi permette l'upload quindi ho usato un altro programma,spero non sia un problema,scusa ma non sono molto pratico e
ho bisogno di sistemare il mio pc,grazie ancora!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

in modalità provvisoria il pc non mi riparte,resta la scritta ATTENDERE CARICAMENTO IN CORSO per oltre 40 minuti;
cmq ho fatto come hai detto tu con OTL ed ecco il log creato:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry value HKEY_USERS\S-1-5-21-2016768570-635039134-4265061013-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{fde1c224-0b9c-46b2-8fca-8945bcf8d4cb} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fde1c224-0b9c-46b2-8fca-8945bcf8d4cb}\ not found.
Registry key HKEY_USERS\S-1-5-21-2016768570-635039134-4265061013-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
C:\Users\Politano\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk moved successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\Windows\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a3f95bf-e915-11df-a3ce-001a801bfeac}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a3f95bf-e915-11df-a3ce-001a801bfeac}\ not found.
File G:\setup.exe not found.
========== FILES ==========
< ipconfig /flushdns /c >
Configurazione IP di Windows
Cache del resolver DNS svuotata.
C:\Users\Politano\Desktop\cmd.bat deleted successfully.
C:\Users\Politano\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\""|""%1" %*" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56620 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Politano
->Temp folder emptied: 4988561 bytes
->Temporary Internet Files folder emptied: 5345187 bytes
->Java cache emptied: 16977967 bytes
->Google Chrome cache emptied: 50794295 bytes
->Apple Safari cache emptied: 23650304 bytes
->Flash cache emptied: 57032 bytes

User: Public

%systemdrive% .tmp files removed: 482408 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 98,00 mb

[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: Politano
->Java cache emptied: 0 bytes

User: Public

Total Java Files Cleaned = 0,00 mb

File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Politano
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 04282013_135226

Files\Folders moved on Reboot...
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Ho riletto il log di RogueKiller in cui trova sospetti questi file:

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

rieseguendo rogue killer non mi appaiono più quelle voci da te indicate ma solo altre tre diverse,ecco il report:

RogueKiller V8.5.4 [Mar 18 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Started in : Normal mode
User : Politano [Admin rights]
Mode : Scan -- Date : 04/28/2013 14:24:46
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 3 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> Trovato
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> Trovato
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> Trovato

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [LOADED] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A71FA5 -> HOOKED (Unknown @ 0x8AB36C2E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A84142 -> HOOKED (Unknown @ 0x8AB36C38)
SSDT[289] : NtSetContextThread @ 0x82AD325F -> HOOKED (Unknown @ 0x8AB36C33)
SSDT[314] : NtSetSecurityObject @ 0x82A00027 -> HOOKED (Unknown @ 0x8AB36C3D)
SSDT[332] : NtSystemDebugControl @ 0x82A38EF1 -> HOOKED (Unknown @ 0x8AB36C42)
SSDT[334] : NtTerminateProcess @ 0x82A31173 -> HOOKED (Unknown @ 0x8AB36BCF)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8AB36C56)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8AB36C5B)

¤¤¤ HOSTS File: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2035GSS +++++
--- User ---
[MBR] 3a23e1b15053bf5ad3b52d207f3f31a8
[BSP] 5aeeb5c91d0c0cb33e346a432b0ff027 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 9035 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 18505728 | Size: 181745 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[2]_S_04282013_02d1424.txt >>
RKreport[1]_S_04282013_02d0943.txt ; RKreport[2]_S_04282013_02d1424.txt

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

Allora malware si blocca dopo una ventina di minuti...quindi ho riavviato in modalità provvisoria e fatto partire combofix ma dopo più di un' ora rimane alla scritta che è stato completato lo stage 3 ma non arriva alla fine quindi non crea nessuno lo g..in generale il PC funziona ma a volte si blocca mentre navigo e soprattutto non posso fare scansioni Anti virus ne' con avira ne' con malware ne' con altri programmi!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

scarica Windows Repair (All In One)
link

Installalo.

Avvia il programma Repair_Windows con diritti amministrativi (tasto destro, Esegui come Amministratore).

Clicca sulla scheda "Start Repairs".

Ti chiederà di fare un Backup del registro.

Clicca no.

clicca su "Start".

Metti la spunta a: (se trovi le caselline tutte spuntate clicca su : "Unselect All")

Reset Registry Permissions
Reset File Permissions
Register System Files
Repair WMI
Repair Windows Firewall
Repair Internet Explorer
Repair Hosts File
Remove Policies Set By Infections
Repair Icons
Repair Windows Updates
Set Windows Services To default startup.

Ora, nella parte in basso a destra, seleziona la casella "Restart / Shutdown System When Finished"

Quindi assicurarsi che il pulsante di opzione "Restart System" sia abilitato. (se manca la spunta, la metti)

Clicca "Start".

Aspetta pazientemente che le eventuali riparazioni siano effettuate.

Dovrebbe riavviarsi automaticamente il pc.

Importante:
Assicurati di non avere programmi in esecuzione, durante le riparazioni.

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

ciao e scusa per il ritardo ma solo ieri sono rientrato a casa...ho seuito tuttel le tue istruzioni riguardo repair windows ma stamattina ho riprovato a fare una scansione completa con malware senza risultati,ad un certo punto si blocca il pc e devo solo spegnerlo!!grazie ancora per la collaborazione e la pazienza!!

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Fai questa prova:
Vai in "Programmi e funzionalità" e disistalla Malwarebytes.
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Riavvia il pc.
Rifai le pulizie con CCleaner.

Reistalla Malwarebytes:

link

Fai attenzione: durante le varie fasi di installazione a NON lasciare la spunta ad una voce che ti farà scaricare Malwarebytes Pro.
Devi levare tale spunta, altrimenti ti verrà scaricata la versione di "Prova".

Poi prova la scansione completa. (ricorda di AGGIORNARLO prima)

antoseven7 · Eroe Registrato: 04/10/09 11:43 Messaggi: 66

nessun messaggio,si blocca al min 21 della scansione, la pannellata di malwrae resta aperta sul pc ma non posso fare nulla se non riavviare spegnendo il pc col pulsante di accensione!!