Svchost, dwm.exe e instabilità del pc

[Caparezza84]

Ciao a tutti. Dopo aver scaricato uno strano file ho notato che si erano inseriti nell'avvio automatico 3 nuovi programmi: uno mi pare metaquotes.com e due nominati svchost.exe. Avg inoltre mi ha evidenziato come virus questi file e li ha spostati in quarantena (comperso anche un file dwm.exe). Da allora il sistema è instabile, all'improvviso lo schermo diventa completamente nero per un paio di secondi e ogni tanto mi appaiono schermate di errore tipo questa:




Ho provato anche con un ripristino di sistema e a ripristinare anche i file dalla quarantena.


Edit: Aggiungo un'altra finestra d'errore che si presenta all'avvio, dopo che ho ripristinato dalla quarantena winset.ini:




Inoltre le finestre e la barra delle applicazioni ogni tanto perdono l'effetto trasparenza come se l'aero di vista non funzionasse piu'.

[bonovox767]

Allega un log di Hijackthis

[Caparezza84]

Allego il log di Hijackthis:

[dubo]

di sicuro la cancellazione di Dwm.exe==> Dwm.exe – Processi di Windows e' l'ennesima prova della non affidabilita' di AVG..
winset.ini dovrebbe essere un infezione. comunque dal log di hijackthis emerge un pc infetto, procedi cosi': disattiva il controllo real time del tuo antivirus,scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , salvalo sul desktop e disconnettiti dalla rete
Una volta scaricato il programma non devi cliccare sull'icona del programma, clicca il tasto windows(logo bandierina)+R e nello spazio bianco di esegui copia e incolla questo comando, cosi' com'e':

"%userprofile%\desktop\combofix.exe" /killall <==copia e incolla

Premi OK, dovrebbe partire la scansione che puo' durare molto, durante la scansione non fare assolutamente niente con il pc.dopo il riavvio allega il log C:\combofix.txt insieme ad un nuovo log di hijackthis eseguito dopo combofix

[Caparezza84]

Fatto, ecco in allegato i due log:

[dubo]

ciao caparezza, avvia nuovamente hijackthis, seelziona do a systemscan only, metti la spunta accanto a questa voce:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://search.imgag.com/?appid=kwapp&c=&sbs=7&sc=2&f=web&vernum=1.0&uid=&d id=%7b1AD360C0-C4D8-418A-A9FA-1008F3840B16%7d&component=]Kiwee.com Web Search

e premi fix checked
comunque il pc adesso, combofix ha compiuto molte rimozioni e ripristinato files importanti , appare in ordine : elimina combofix, elimina la sua cartella backup C:\qoobox, svuota il cestino e pulisci il sistema con CCleaner o simili. riavvia il sistema e verifica.

[Caparezza84]

Grazie. Fatto anche questo... però continua ad uscirmi la finestra d'errore (servizio host di windows ha smesso di funzionare, il primo screen che ho postato) e continua a fare le bizze l'effetto trasparenze della barra di navigazione e/o delle icone e delle finestre. Che mi abbia cancellato qualcosa AVG? Cosa posso fare?

[FDAC]

Ciao Caparezza.

Scarica questo file sul desktop : (clicca su Download)
GenericHostErrorProblem.bat - File Shared from Box.net - Free Online File Storage
Eseguilo.
Ti appare una finestra Dos.
Dopo avere eliminato gli errori, ti chiederà di premere un tasto qualsiasi per terminare. (Press any key to continue)
Premilo, e vedi se hai risolto.

[vicky67]

@FDAC
sei sicuro di non provocare danni al sistema con quel fix per Generic Host Process For Win32 Services?L'utente ha windows vista e quel fix si riferisce a windows xp.

@Caparezza

*Scarica Rootkit Unhooker salvalo sul desktop.http://www.rootkit.com/vault/DiabloN...UnhookerLE.EXE
* doppio click su RKUnhookerLE.exe per avviarlo.
* clicca sul tab Report, poi clicca su Scan.
* spunta solo Drivers, Stealth code. Poi Click OK.
* aspetta che lo scan abbia finito , poi salva il report cliccando su file-save report.

*Scarica mbrcheck sul desktop.
Doppio click per eseguirlo.Aspetta la fine delle operazioni.Ti chiederà premi ENTER per chiudere.
Troverai il suo log sul desktop.Postalo.

[Caparezza84]

Ecco i due nuovi log generati dai programmi suggeriti da vicky67.

[vicky67]

Il pc è ancora infetto.

Scarica TDSS killer e salvalo sul desktop.Estrai il contenuto sul desktop.Doppio click su
TDSSKILLER.exe per avviare l'applicazione e poi su start scan.
Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Se un riavvio è richiesto il report si trova in C:\folder in questa forma "TDSSKiller.[Version]_[Date]_[Time]_log.txt"

Dopo questa operazione riallega un nuovo log di mbrcheck e controlla come va il pc.

[Caparezza84]

TDSS killer mi ha trovato qualcosa che ho riparato con "cure".

Ho rifatto la scansione con MBRCheck e a prima vista mi sembra che non abbia trovato piu' nulla...se me lo confermate.

Allego i due log.

Ora nella giornata di oggi vedo un pò come va il pc e vi farò sapere. Vi ringrazio innanzitutto per la grande disponibilità e le celeri risposte.

[Caparezza84]

Ho testato per tutto il giorno il pc, ora va benissimo.

Dal momento in cui ho fatto la riparazione con TDSS killer tutti i problemi sono spariti e ora il pc va bene come prima.

Vi ringrazio tutti tantissimo, ormai ero quasi rassegnato a formattare.

[vicky67]

bene.
Procedi con la pulitura del sistema.

•Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "start"
al termine della scansione ti chiederà il riavvio, dai ok.


•Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Disattiva e riattiva il ripristino configurazione di sistema.

n.b.
L'ultima infezione è un'infezione piuttosto seria.
Ti consiglio di cambiare tutte le password e se hai digitato numeri di carte di credito di avvertire la tua banca.
Lo scopo del tdss rootkit è di prelevare tutti i dati sensibili.ciao

[Caparezza84]

Ok grazie. E' davvero necessario effettuare la pulizia con quei programmi?

Ho già appena fatto con TuneUp la pulizia del registro, deframmentazione del registro e dei dischi e la riparazione dei collegamenti non funzionanti e degli errori nel registro.