pc non va in stand by (virus?)

[tameot]

carisssimi amici nell'augurarvi un Santo e Felice Natale, vi porgo un mio problema spero di facile risoluzione:

ho notato da ieri che il pc non va normalmente in stand by ( sospensione del pc da opzioni risparmio energia) come faceva prima, ma avviene soltanto la disattivazione dello schermo, tempo fa accadeva questo perchè avevo un virus.
ho effettuato la scansione con combofix questo il risultato

ComboFix.txt

ho notato anche un'altra cosa, in msconfig, fra i programmi all'avvio ho tbhcn (produttore sconosciuto), non so cosa sia!

qualcuno puo' aiutarmi? GRAZIE IN ANTICIPO

[vicky67]

ciao Tameot
Buon Natale anche a te.
Quello di cui fai riferimento è da eliminare
c:\users\utente\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\
tbhcn.lnk - c:\users\utente\AppData\Roaming\BrowserCompanion\tbhcn.exe

Vedi se riesci ad eliminarlo in modalità normale,altrimenti in provvisoria.Elimina sia il collegamento che la cartella in grassetto.

-Scarica Adwcleaner sul desktop:
http://general-changelog-team.fr/fr/...e/2-adwcleaner
Avvialo e clicca sul pulsante "Delete"
Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Allega il log.

-Scarica TDSS killer e salvalo sul desktop.
Doppio click su TDSSKILLER.exe per avviare l'applicazione.In change parameters metti la spunta su "detect tdlfs file system"
Clicca su start scan.

Se un file infetto viene trovato,l'azione di default sarà cure,clicca su continua.
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su continua.
Se ti viene chiesto di riavviare il pc completa il processo.Clicca su riavvia ora.
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Allega il report che si trova in C in questa forma "TDSSKiller.[Date]_[Time]_log.txt"

[tameot]

ho fatto tutto quello che mi hai detto

Ecco il primo log: AdwCleaner[S2].txt

e il secondo: http://www.filedropper.com/tdsskille...22012093955log

nel secondo caso il programma trova un TDSS File system, ma facendo skip>> continue non accade nulla e rimane al suo posto.

(ho agito in modalità normale)

dal sistema ms config non riusulta più quella cartella spuntata che (credo) sia sparita

il pc CONTINUA a non andare in Stand By è come se ci fosse qualche processo (o virus) sempre presente!

[vicky67]

Il pc è infetto da rootkit all'mbr.
Riapri tdss killer e alla seguente voce \Device\Harddisk0\DR0 ( TDSS File System ) - skipped by user cambia l'opzione e scegli delete.
Dopo aver eseguito quanto sopra riavvia il pc ed effettua una nuova scansione con tdsskiller(controlla che l'infezione non venga più rilevata).

[tameot]

fatto, sembra sia stato eliminato il rotkit (non è più presente nella scansione)

ma il pc sembra non volerne sapere di andare in stand by, sembra che la CPU continui a lavorare anche quando non faccio niente.

http://www.filedropper.com/tdsskiller2815026122012120333log


faccio una scansione con combofix?

[vicky67]

Effettua una scansione con FRST(esegui la procedura da pc e scarica la versione di FRST a 64 bit).
Trovi la guida qui http://forum.swzone.it/sicurezza/138...nzionante.html
Riesci poi a vedere tramite task manager (mettendo la spunta a mostra i processi di tutti gli utenti) quale processo occupa la cpu?

Log da allegare:FRST.txt

[tameot]

i processi che occupano più memoria:

svchost.exe
mbambservice.exe*32
avguard,exe*32
svchost.exe (ripetuto più volte)

ora procedo alla scansione, te parli di pennetta formattata, non deve avere altri programmi o altro oltre a FRST?

da dove lo scarico il programma?

[vicky67]

Sono leciti:si riferiscono a malwarebytes e all'antivirus.Quanto prendono di CPU?
Il programma lo scarichi dalla guida che ti ho linkato.Se puoi sarebbe meglio non tenere niente sulla pendrive.

[tameot]

tra le opzioni diponibili non c'è ripristina il computer (ho windows 7)
vedo solo
Modalità provvisoria
modalita provvisoria con rete
" " con prompt dei comandi

abilita registrazione avvia
attiva dvedeio a bassa risoluz.
modalita'' ripristino servizi directory
modalità di debug
etc....
cosa faccio?

uso modalità riprinstino servizi directory?

[vicky67]

Controlla se ci sono opzioni avanzate,altrimenti devi eseguirlo con disco di windows 7.
L'unica opzione valida è ripristina il computer.In alcuni pc potrebbe non esserci.

[tameot]

nel mio non c'è!

cosa mi consigli di fare? (non ho il disco di win7)
(spero ci sia una soluzione)

[vicky67]

Il problema dello stand by non è solo causa di infezioni.A parte questo il funzionamento del pc com'è?
Possiamo eseguire dei controlli per escludere che trattasi di virus.

-scarica aswmbr sul desktop http://public.avast.com/~gmerek/aswMBR.exe e salva il log.

• Doppio click per avviarlo,aggiorna le firme.
• Clicca su "Scan" button per far partire lo scan
• Clicca sul pulsante save per salvare il log.

-Esegui anche una scansione con malwarebytes,non so' se l'hai già fatta.

-Esegui una scansione con OTL
Scarica OTL,http://oldtimer.geekstogo.com/OTL.exe salvalo sul desktop,doppio click sulla sua icona.
Metti la spunta su SCAN ALL USERS.


Clicca su RUN SCAN
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt),
allegali.
Se sono troppo grandi(superiori a 100 kb) allegali su http://wikisend.com/


log da allegare aswmbr-malwarebytes-OTL

Per il problema dello stand by dai un'occhiata qui.
Eventualmente se escludiamo altre infezioni presenti come credo puoi continuare in quella discussione.

[tameot]

questi i log. il pc sembra leggermente rallentato, forse però è un impressione.malware ha trovato un trojan che ho rimosso

aswMBR.txt
Extras.Txt
mbam-log-2012-12-26 (19-52-30).txt
OTL.Txt

[vicky67]

I log danno un pc completamente pulito.
Le 2 infezioni che avevi sono state eliminate.
Per il resto e per il problema del topic se ancora presente continua nella giusta discussione che ti ho linkato.
Riapri OTL e clicca sul tab CLEANUP.Verranno disinstallati alcuni software usati.

[tameot]

grazie mille! ora proseguo nell'altra discussione sperando di riuscire ad arrivare ad una soluzione! grazie per la tua disponibilità!