HO UN PROBLEMA GRAVE CON IL PC!!!!AIUTO!!!!

[mox_81]

Salve a tutti, mi sono appena registrato xche devo chiedervi un aiuto enorme, e suppongo gia sia grave.
Ora vi racconto cosa è successo:

Non so come ho fatto ma mi sono ritrovato con ben 16 files infetti (tra dialer, malware, trojan e via dicendo)
e me ne sono accorto xche ad un certo punto mi si è disattivato windows firewall,
e quando vado su pannello di controllo mi dice:
"Impossibile visualizzare le impostazioni di Windows Firewall.
Il relativo servizio non è avviato.
Avviare il servizio Windows Firewall / Condivisione connessione Internet (ICS)?"

Se non sono connesso mi dice avviamento servizio Windows Firewall... in corso,
e poi mi dice:
" Impossibile avviare il servizio Windows Firewall / Condivisione connessione Internet (ICS).

premo ok e il problema non si risolve e quindi praticamente mi sono accorto
dopo molte prove che ad ogni riavvio del pc mi da questo messaggio,
poi se invece mi connetto a internet e vado ad aprirlo mentre sono connesso allora mi appare la schermata del windows firewall,
e allora ho pensato che qualcosa non andava visto che cmq si dovrebbe aprire a prescindere se uno è connesso o meno.

Insomma sono andato su avanzate uno dei 3 foglietti del windows firewall (gli altri sono generale e eccezioni),
e c'è un triangolo giallo con il punto esclamativo a fianco e dice: Le impostazioni di connessione di rete sono danneggiate.
Per risolvere il problema, scegliere ripristina. In questo modo, verranno eliminate tutte le impostazioni di Windows Firewall.
Alcuni programmini potrebbero inoltre smettere di funzionare".

Sono andato su ripristina migliaia di volte, andava bene finche non dovevo o riavviare o spegnare il pc,
xche dopo cmq mi dava l'avviso di Windows sulla tray bar che non c'era nessun firewall attivo.

Allora cosa ho fatto, cmq ho fatto la scansione con i seguenti programmi:

-ewido anti-spyware 4.0 e mi ha detto nel log:

2720] C:\WINDOWS\system32\win32.exe -> Dialer.Archiviosex.c :no action taken (praticamente non è riuscito a levarlo)

dicendomi che era un trojan.small

(ora non so se è un file di sistema che cmq è stato infettato dal dialer oppure è u dialer a se stante);

poi:

C:\Documents and Settings\Simone.MOX-281B4926DC9\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\9s9akhh0.default\Cache\4CFD9252d01 -> Downloader.Zlob.aco : Cleaned with backup (quarantined).


e poi con spyware nuker XT ho tolto:

"New dial" che aveva 2 chiavi di registro;

con spybot search&destroy 1.4 ho tolto:

"citofarera" con 4 chiavi di registro ( praticamente ha tolto il famoso file e1xplorer)

"astakiller" con 2 chiavi di registro;

insomma ho ripulito tutto almeno credo,
pero cosa strana volevo disinstallare la connessione ad internet tramite il pulsante rimuovi su proprieta di internet explorer,
e niente non ne vuole sapere di essere rimossa,
ho provato a rimuoverla da risorse di rete ma niente,
xche cmq non voglio che magari qualche dialer mi si collega a quella connessione, cosi ho pensato di disinstallare il modem,
e reinstallarlo insieme alla connessione ma niente, mi rida sempre quella.
come caspita è possibile?

ho letto da alcuni messaggi del forum di installare ccleaner e hijackthis, l'ho fatto,
con ccleaner ho rimosso tutti i problemi,
con hijackthis ho creato il file log ma visto che non lo conosco non mi sono azzardato a compiere azioni.



AH cmq dimenticavo, io ho Avast professional e mi andava bene e non entrava in conflitto col firewall di windows.
ora mi funziona lo stesso pero non vorrei che il messaggio che mi da sempre che il file
win32.exe vuole accedere, (infatti lo metto in quarantena con ewido, o lo fermo con spyware nuker)
fosse inerente al firewall, che quindi ci sia un conflitto tra firewall e programmini o avast!

INOLTRE VOLEVO FARE IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA MA NON MI DA PUNTI DI RIPRISTINO E
NEANCHE MI FA ANDARE AI MESI PRECEDENTI TIPO LUGLIO COSA STRANISSIMA XCHE L?HO SEMPRE FATTO ALTRE
VOLTE E MI ANDAVA ANCHE INDIETRO DI 2 MESI.

non so piu che pensare, sono 2 giorni che sto smadonnando qui davanti. di solito questi problemi li ho risolti,
ma stavolta è dura.

AIUTATEMI VOI. VI PREGO AIUTATEMI ALTRIMENTI PENSO DI FORMATTARE E DI REINSTALLARE XP xche non vedo via d'uscita.
o cmq ditemi come devo fare in caso se devo reinstallare le connessioni di rete
e ripristinare il windows firewall in modo che non mi dia piu problemi.

vi ringrazio anticipatamente.


P.S: ecco il file log di hijackthis (visto che lo chiedete a chi ha problemi di crearlo):



Logfile of HijackThis v1.99.1
Scan saved at 17.17.49, on 18/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\Spyware Nuker\swnxt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\service.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\The Cleaner\cleaner.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Simone.MOX-281B4926DC9\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SWN2] C:\Programmi\Spyware Nuker\swnxt.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by110fd.bay110.hotmail.msn.com/r ... nPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCA7F83F-E181-48B9-AD27-DC5F07F972C8}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: wincxh32 - wincxh32.dll (file missing)
O20 - Winlogon Notify: winnuz32 - winnuz32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe

[Luke57]

Ciao, fai girare questo tool nel computer:
http://www.symantec.com/region/it/techs ... .tool.html
Inoltre scarica stinger 2.6.0 da qui:
http://vil.nai.com/vil/stinger/
è stand alone, non va installato e fai una scansione completa, meglio dalla modalità provvisoria.
Se non rimuovono niente, apri hiajckthis, premi "open the misc tool section", "open process manager", cerchi il seguente processo e lo evidenzi:
C:\WINDOWS\System32\service.exe
premi kill process

Premi poi back, scan cerchi e spunti:
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\System32\service.exe

premi fix checked.

cerchi ed elimini il file:
C:\WINDOWS\System32\service.exe

[mox_81]

Ciao Luke57, innanzitutto ti ringrazio x avermi risposto, per quanto riguarda il mio problema ho fatto come mi hai detto tu, ho fatto la scansione con il removal tool della symantec e lo stinger del McAfee ma non mi hanno trovato niente, poi ho aperto Hijack this e seguendo le tue istruzioni ho cliccato kill process ma non me lo fa togliere e mi ha dato questa schermata di errore:

"The selected process could not be killed. It may have already closed, or it may be protected by Windows.
This process might be a service, which you can stop from the Services applet in Admin Tools.
(To load this window, click Start, RUn and enter "services.msc")

Praticamente dice che è un file protetto da windows o gia chiuso e si puo fermarlo solo entrando in services.msc, ma visto che non lo conosco non faccio nulla. cosa devo fare ora?
Cmq appena mi riconnetto spyware nuker mi dice che win32.exe vuole accedere e io allora lo blocco, e poi questo cavolo di firewall continua a dirmi che è disattivato, poi in aggiunta non riesco ancora a rimuovere la mia connessione predefinita..mi dici tu come posso fare?
una cosa alla volta ovviamente...
Cmq gia mi preparo al peggio cioè alla formattazione...anche se mi rode,
xche mica possono sempre farla franca sti infami di virus!
Ciao e grazie ancora x la tua disponibilità.

[andorra24]

Praticamente dice che è un file protetto da windows o gia chiuso e si puo fermarlo solo entrando in services.msc, ma visto che non lo conosco non faccio nulla. cosa devo fare ora?
.

Ciao, sei sicuro di aver tentato di eliminare il seguente file?
C:\WINDOWS\System32\service.exe

NON confonderlo con questo che e' legittimo!
C:\WINDOWS\system32\services.exe

Visualizza cartelle e file nascosti e cerca il file service.exe (senza la S finale) e lo elimini.

Esegui anche questa operazione:
start>esegui>sc stop WSCM>OK
start>esegui>sc delete WSCM>OK

[mox_81]

ciao, si come no avevo eseguito le tue indicazioni alla lettera,
per prima cosa avevo aperto hijackthis ma non me lo faceva fare "kill process" quindi non so riuscito ad eliminare il processo,
e avevo gia visto che c'era questo file simile a quello di windows che è services, infatti ho capito subito che non era di windows,
allora cosa ho fatto, l'unico modo x terminare il processo era andare sul task manager e terminarlo "brutalmente" manulamente,
cosi ho fatto e dopo ho cancellato manualmente il file,senno non me lo faceva togliere xche infatti mi diceva che era usato
in esecuzione da un programma.
cmq ora che l'ho eliminato il file pensi che ho risolto?
gli altri problemi relativi alla connessione che non si rimuove e al firewall cmq non si sono risolti...
la connessione non mi si rimuove, il firewall mi dice sempre quel messaggio che ti scrissi al 1° topic, mi fa connettere ad internet
x aprirmi il windows firewall..cosa che non deve accadere, xche lo aprivo spesso x controllare i programmi che bloccava anche quando non ero connesso.
penso che l'unico modo qui di risolvere questi problemi è di formattare e via...tu che mi consigli?
ciao e grazie ancora x l'aiuto.
sei stato gentilissimo.