Ciao a tutti,
mi è successo che a causa di un virus (o più), mi sono comportato nel seguente modo:
- sono andato in modalità provvisoria, ho disattivato ripristino configurazione sistema ed ho lanciato nell'ordine - ad-aware-stinger-nod32 e sono riuscito ad eliminare i file infetti.
Ora però se richiamo il task manager (ctr-alt-del), questo mi appare per 5 secondi e sparisce, lo stesso accade anche con msconfig (start-esegui-msconfig).
Mentre con regedit (start-esegui-regedit) mi appare la mappata nera di dos che dopo 15 secondi scompare senza dirmi nulla.
Ho provato di tutto, dal ripristino "r" con il cd di xp-home, ho installato la fix.
Non so più che fare, lo strano è che installando regexp lo stesso prg funziona.

Grazie!

Io farei un qualche scan online.
Puzza tanto di qualche virus rimasto ancora in vita.

Puoi fare anche una scansione con Hijackthis per vedere se ci sono applicazioni strane attive, posta qui il log se hai dei dubbi.

Ho fatto di tutto e mi sono sritto l'errore che mi da la schermata di dos per regedit:
"la cpu ntvdm ha incontrato un'istruzione non valida
- cs:0f66 op:06 32 00 00 00".


Logfile of HijackThis v1.99.1
Scan saved at 17.26.07, on 06/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\smbr.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Lexmark 2200 Series\lxbvbmon.exe
C:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\iolo\System Mechanic Professional 6\IoloSGCtrl.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Acronis\ProcessActivityMonitor\paamsrv.exe
C:\Programmi\LeechGet 2005\LeechGet.exe
C:\Programmi\BitComet\BitComet.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
D:\Programmi\D-Tools\daemon.exe
D:\Programmi\DC++\DCPlusPlus.exe
C:\Programmi\Internet Explorer\iexplore.exe
I:\software\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.type2find.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.type2find.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe smbr.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [codfxrun] "C:\Programmi\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programmi\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [winsockdriver] smbr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [SystemGuardAlerter] "C:\Programmi\iolo\System Mechanic Professional 6\SystemGuardAlerter.exe"
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-22JE8.exe" /REG
O4 - HKLM\..\RunOnce: [Reboot necessary (SM Pro)] "C:\Programmi\iolo\System Mechanic Professional 6\SysMech6.exe" /CLEARWEBUPDATE
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Programmi\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe"
O4 - HKCU\..\RunOnce: [winsockdriver] smbr.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.h tm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: v3cab - http://searchmiracle.com/cab/1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131192734046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131196683420
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1112897.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://deposito.hostance.net/dialer/610365.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Programmi\iolo\System Mechanic Professional 6\IoloSGCtrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Process Activity Monitor (paamsrv) - Unknown owner - C:\Programmi\File comuni\Acronis\ProcessActivityMonitor\paamsrv.exe
O23 - Service: shost.exe - Unknown owner - C:\WINDOWS\shost.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Originariamente inviato da paolfranco
O16 - DPF: v3cab - http://searchmiracle.com/cab/1.cab

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1112897.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://deposito.hostance.net/dialer/610365.exe


Intanto butta via sta roba che è palesemente schifezza, il primo cab avast me lo segnala anche come infetto... :)

Oltre a quello che ti ha detto Sharok, togli anche queste righe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.type2find.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.type2find.com/sp2.php
F2 - REG:system.ini: Shell=explorer.exe smbr.exe
O4 - HKLM\..\Run: [winsockdriver] smbr.exe
O4 - HKCU\..\RunOnce: [winsockdriver] smbr.exe
O23 - Service: shost.exe - Unknown owner - C:\WINDOWS\shost.exe
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-22JE8.exe" /REG

Poi ti scarichi questi due file, li metti in una cartella, estrai il contenuto del zip e fai una scansione magari dalla modalità provvisoria.
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/pattern/lpt929.zip

hai alcuni exe molto strani e sconosciuti.

Scusate la mia ignoranza, ma come faccio a eliminare quello che mi avete indicato.

Grazie!

Rifai la scansione con Hijackthis, metti il flag sulle voci che ti abbiamo indicato e poi premi fix.

Grazie, molto gentile,
sarà fatto.

ho fatto quello che mi avete consigliato, il risultato è che ho risolto 2 problemi su 3.
L'unico che non mi funziona è il regedit.
Dimenticavo, visto che sono entrato in msconfig e credo di avere i file: win.ini e system.ini che non mi piacciono, posso sapere dove posso trovare i due files standart (win xp home).

Grazie

Qualcuno può aiutarmi a risolvere il 3 problema (regedit).

Grazie