ciao,
ho il dubbio di avere un virus nel bios e vi spiego perchè:

avendo già avuto il dispiacere di conoscere linkoptimizer lo scorso anno,
cerco di essere sempre cauto, (paranoic-mode-on sempre attivo) quindi ogni tanto
do uno sguardo al file di registro, al visualizzatore eventi e ai servizi.
lo scorso mese mi ritrovai nuovamente un nome a random proprio nei servizi di win xp pro.
così credendo di avere a che fare con una nuova variante mi misi al lavoro
riuscendo a cancellare abbastanza facilmente, quel servizio di troppo con
gmer, proseguendo poi con prevx2, prevxcsi, 5 antirootkit differenti, hijackthis,
varie scansioni on line, spybot, a-squared, ad-aware, al punto, che ero arrivato a dubitare
anche di questi programmi.
ad un certo punto, senza dare nessun particolare segno di infezione, il pc si spegneva e riuscivo
ad avviarlo soltanto in modalità provvisoria e a volte neanche quella!

Fra una formattazione e l'altra ho provato anche Spymare-doctor il quale ha rilevato un
"trojan downloader.vb.axa" di cui allego lo screen:
http://img137.imageshack.us/img137/4793/spywaredoctorko3.th.png (http://img137.imageshack.us/my.php?image=spywaredoctorko3.png)

questo trojan, aveva aggiunto infinite cartelle sul file di registro, contenenti collegamenti
a siti porno e casinò vari che naturalmente non avevo mai neanche lontanamente visitato.

due formattazioni addietro, utilizzavo Avast, e firewall Comodo, poi ho sostituito Avast con
il fantastico Avira e non uso piu spybot perchè il Teatime cozza con il firewall Comodo.
e da circa un anno che uso Opera ma da una quindicina di giorni lo ho rimpiazzato con
firefox e thunderbird perchè avevo problemi di script e plugin vari che tentavano di installarsi.

nonostante tutte queste precauzioni, ccleaner mi trova sempre un sacco di cookie da cancellare e
a volte mentre navigo si aprono automaticamente delle pagine di siti non richiesti, ebay, ciao it . e
altre che non ricordo.

durante tutti questi esperimenti, prima di rivolgermi a voi ho telefonato alla Microsoft,
dalla quale ho ricevuto una in'aspettata e gradita collaborazione e il gentilissimo tecnico con il quale
sono tuttora in contatto per cercare di risolvere, ha ipotizzato un'infezione da DIALER nel bios e spiego perche,
avevo notato che formattando e installando il s.o. appena terminata l'installazione andando in:

pannello di controllo>strumenti di amministrazione>visualizzatore eventi, mi comparivano sempre
i soliti errori che quì allego come file txt.


ci terrei a precisare che:
-le installazioni avvengono sempre con modem spento e scollegato.
-ho anche utilizzato un singolo Hard Disk nuovo, pulito.

ma gli errori nel visualizzatore eventi sono sempre gli stessi del file che ho allegato.

a questo punto non so se si è capito, ma se sono quì e perche le ho provate tutte e sono veramente disperato.
dopo 5 formattazioni in un mese, vedo linux avvicinarsi sempre di più verso il mio hard disk.

se questo virus è nel bios è sufficente aggiornarlo e quindi riscriverlo, oppure ci va un particolare programma per eliminarlo?

grazie :)

se è nel bios ce devi lavorare è allora meglio rivolgersi alla sezione "schede madri" perchè lì ti sapranno dire con certezza la procedura corretta per rigenerare un bios...
sapranno anche meglio consigliarti se è necessario fleshare il bios e poi uplodare la versione corrente ma pulita o se basta anche solo uplodare la versione corrente. :)

ma virus nel bios esistono?:mbe:
cmq come ha detto deg,credo che o provvedi a fare l'upgrade dello stesso o lo resetti...ma prima ti consiglio di ripulire ben bene il pc da possibili virus,puo darsi che qualcuno di essi possa cambiare qualche impostazione proprio a livello del bios,anche se la mia è solo un'ipotesi.segui la guida alla disinfezione intanto,allegando i log richiesti.

Lo sai che mi puzza tanto di pagliacciata e di presa x il s3d3re da parte di microsoft???

Non ho mai sentito parlare in 12 anni di lavoro coi pc di "Virus nel Bios" (sopratutto ultimamente poi)...può darsi che risieda nell'MBR dell'HDD al massimo........:mbe:

Lo sai che mi puzza tanto di pagliacciata e di presa x il s3d3re da parte di microsoft???

Non ho mai sentito parlare in 12 anni di lavoro coi pc di "Virus nel Bios" (sopratutto ultimamente poi)...può darsi che risieda nell'MBR dell'HDD al massimo........:mbe:

appunto,credo anch'io nell'mbr...
ma puo essere che tenga disattivata l'opzione "attiva antivirus" che sta nel bios(oppure c'è qualcosa,virus,che gliela disattiva),se non sbaglio è quella che protegge l'mbr....:fagiano:

di norma non viene attivato il controllo dei cambiamenti dell'mbr perchè appunto basta un aggiornamento al bootloader e zacchete che incappi in problemi e segnalazioni varie..
solitamente è l'antivirus software che fa questo controllo :)

ciao,
@BEY0ND: la mobo è abbastanza recente e non cè nessuna voce che riguardi la protezione (antivirus) nel bios, non vorrei dire una cavolata, ma mi pare che fosse una caratteristica sulle vecchie mobo .
nel frattempo, tanto per cambiare, ho fatto altre scansioni, di cui vi vorrei sottoporre i report.
per quanto riguarda gmer, per il momento vorrei lasciarlo da parte, non lo ho ancora installato,
poichè nelle precedenti installazioni del s.o., avviando questo programma ad un certo punto,
durante le scansioni mi faceva spegnere il pc di botto!!

poi facendo una googlata ho trovato questo:

http://www.sergiogandrus.it/index.php/2006/12/24/il-mistero-di-gmer/ :mbe:

in quest'ultima installazione,in ordine cronologico, per la sicurezza, ho usato i seguenti programmi:

Comodo Firewall 3 ( sempre attivo e installato per primo subito dopo win xp)

Avira AntiVir Personal Edition Classic (installato per secondo sempre attivo)

Trojan Remover( installato, dopo 3 giorni rimosso )

Ad-aware free (installato, dopo 3 giorni rimosso )

A-squared free v.3.1 ( attualmente attivo )

A-squared Anti dialer ( attualmente attivo)

hijackthis ( appena installato vedi report )

-scansioni on-line effettuate:

onecare.live.com ( risultato negativo )
pandasecurity ( risultato negativo )
bitdefender ( risultato negativo )
kaspersky ( fatto 2 volte, vedi report allegato)

oggi mentre navigavo si sono aperte due pagine di Alice da sole, pur non avendo installato
nessun software di Alice, ho soltanto la connessione di rete locale Lan adsl. è successo anche a qualcun'altro?
http://adsl.alice.it/navigare/alice_7mega.html?CS_BE=Zanox_7Mega&AC_EV=0300&zanpid=1059512666751509507
ho chiamato la telecom:eek: .... ma lasciamo perdere.

il mio antivirus durante una scansione ha visto "prevxcsi" come virus, nel dubbio glielo fatto cancellare,
forse era infettato, al limite me lo riscarico.
questo invece me lo segnala sempre durante tutte le scansioni:
Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened!
è questo l'MBR di cui parlate ?
c'è da preoccuparsi per questo?
comunque allego anche il report di quest'ultima scansione.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.10.41, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\COMODO\Firewall\cfp.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\RMclock\RMClock.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\HThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/advanced_search?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\COMODO\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RMClock] C:\Programmi\RMclock\RMClock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\Firewall\cmdagent.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6117 bytes

log ad-aware
Scan mode: Full
Scan time: 00:14:09
Number of objects scanned: 210940
Number of infections found: 24
Critical: 0
Privacy Objects: 24
Infections deleted: 24
Total infections quarantined: 0
Total infections ignored by scanner: 0


che dite è pulito? o mi tocca questo? :tapiro:

molte grazie :)

quel blog lascia il tempo che trova... e la news hot è del 2006 ;)

che dite è pulito? o mi tocca questo? :tapiro:

Niente tapiro, la macchina è pulita.
Per quanto riguarda invece:
ho il dubbio di avere un virus nel bios e vi spiego perchè ........
mi stupisco che nessuno si sia preso la briga di dare una occhiata al log che avevi allegato; fosse stato fatto, ci si sarebbe accorti che, molto semplicemente, è stato prevenuto un tentativo di modificare la protezione dello spazio dei nomi WMI per utilizzare l'account LocalSystem, da parte di questi tre provider:
HiPerfCooker_v1
CmdTriggerConsumer
Rsop Planning Mode Provider
Niente virus nel bios (e non poteva essere diversamente): più semplicemente, dialer.
L'aver installato un antidialer è, certamente, una buona soluzione.
Devi però, tenere conto del fatto che Asquared Antidialer utilizza, anche un protezione in tempo reale e porta via parecchie risorse.

Niente tapiro, la macchina è pulita.
Per quanto riguarda invece:

mi stupisco che nessuno si sia preso la briga di dare una occhiata al log che avevi allegato; fosse stato fatto, ci si sarebbe accorti che, molto semplicemente, è stato prevenuto un tentativo di modificare la protezione dello spazio dei nomi WMI per utilizzare l'account LocalSystem, da parte di questi tre provider:
HiPerfCooker_v1
CmdTriggerConsumer
Rsop Planning Mode Provider
Niente virus nel bios (e non poteva essere diversamente): più semplicemente, dialer.
L'aver installato un antidialer è, certamente, una buona soluzione.
Devi però, tenere conto del fatto che Asquared Antidialer utilizza, anche un protezione in tempo reale e porta via parecchie risorse.

grazie Riveside :mano:
oggi è diventata una cosa impossibile usare win, passo un mese per cercare di proteggermi dalla rete e da virus, a 15 giorni di effettivo utilizzo del pc, bisogna avere 1000 occhi, non ha più senso.....

vedi, finchè si trattava di installare sui miei hd, era un conto, potevo pensare che le infezioni risiedevano sulle altre partizioni.
ma quando ho fatto l'ultima prova:
-scollegato completamente i miei 2 hd dalla mobo.
-collegato un hd nuovo.
-formattato e installato win xp sp2 pro.
il tutto sempre scollegato dalla rete, appena è terminata l'installazione, vado nel visualizz. eventi e trovo gli stessi eventi che avevo prima quando ho installato sui miei hd, con esattamente gli stessi provider, non ci sono molte alternative questa volta, o è nel bios oppure nel cd d'installazione.

per scrupolo, oltre che averlo scansionato con diversi programmi, ho fatto anche una ricerca, sul cd d'installazione e mettendo le seguenti parole chiave ho avuto dei risultati:

"Rsop" ha trovato, nella cartella I386,rsop.mf_ , rsop.mo_ , rsop.ms_ , rsopprov , rsopsnpw.ch_ , rsopw.ch_ , scersop.mo_

"Cmd" ha trovato, nella cartella I386, BRMFCMDM , CMD , CMDIAL32 , CMDIDE , CMDL32 , CMDLIB.WS_ , ESUCMD , EVNTCMD , NTCMDSW.CH_ , SPCMDCON , LOGKCMD , LOGKCMD.

se hai voglia di guardare nel tuo cd d'installazione per vedere se hai le stesse voci, te ne sarei molto grato e sarei molto più tranquillo.
mi rendo conto di essere al limite della paranoia, ma non so più cosa pensare.

per quanto riguada l'antidialer hai ragione è molto pesante, mi ciuccia più risorse dell'antivirus, ma fra un po lo disinstallo, tanto non ha trovato nulla.

grazie infinite :)

grazie Riveside :mano:
oggi è diventata una cosa impossibile usare win, passo un mese per cercare di proteggermi dalla rete e da virus, a 15 giorni di effettivo utilizzo del pc, bisogna avere 1000 occhi, non ha più senso.....

vedi, finchè si trattava di installare sui miei hd, era un conto, potevo pensare che le infezioni risiedevano sulle altre partizioni.
ma quando ho fatto l'ultima prova:
-scollegato completamente i miei 2 hd dalla mobo.
-collegato un hd nuovo.
-formattato e installato win xp sp2 pro.
il tutto sempre scollegato dalla rete, appena è terminata l'installazione, vado nel visualizz. eventi e trovo gli stessi eventi che avevo prima quando ho installato sui miei hd, con esattamente gli stessi provider, non ci sono molte alternative questa volta, o è nel bios oppure nel cd d'installazione.

per scrupolo, oltre che averlo scansionato con diversi programmi, ho fatto anche una ricerca, sul cd d'installazione e mettendo le seguenti parole chiave ho avuto dei risultati:

"Rsop" ha trovato, nella cartella I386,rsop.mf_ , rsop.mo_ , rsop.ms_ , rsopprov , rsopsnpw.ch_ , rsopw.ch_ , scersop.mo_

"Cmd" ha trovato, nella cartella I386, BRMFCMDM , CMD , CMDIAL32 , CMDIDE , CMDL32 , CMDLIB.WS_ , ESUCMD , EVNTCMD , NTCMDSW.CH_ , SPCMDCON , LOGKCMD , LOGKCMD.

se hai voglia di guardare nel tuo cd d'installazione per vedere se hai le stesse voci, te ne sarei molto grato e sarei molto più tranquillo.
mi rendo conto di essere al limite della paranoia, ma non so più cosa pensare.

per quanto riguada l'antidialer hai ragione è molto pesante, mi ciuccia più risorse dell'antivirus, ma fra un po lo disinstallo, tanto non ha trovato nulla.

grazie infinite :)

potresti comprare la licenza di a.squared-antimalware che è un prodotto completo per la protezionee ingloba un antidialer...
volendo potresti anche usare prevx2.0 senza comprare la licenza cosicchè svolge il suo normale lavoro ma non potrà pulire il pc dopo 30giorni...

formattato e installato win xp sp2 pro.
il tutto sempre scollegato dalla rete, appena è terminata l'installazione, vado nel visualizz. eventi e trovo gli stessi eventi che avevo prima quando ho installato sui miei hd, con esattamente gli stessi provider, non ci sono molte alternative questa volta, o è nel bios oppure nel cd d'installazione.
Come ho già avuto modo di dirti, escluderei, a priori possa trattarsi di un virus a livello bios (tra l'altro dovresti avere una sfiga enorme, per beccarne uno).
In ogni caso, per farti almeno una idea, facendo riferimento all'evento Rsop Planning Mode Provider puoi dare una occhiata qui:
http://support.microsoft.com/kb/915148/it
Tendo ad escludere anche l'eventualità che il CD di installazione sia infetto; non escludo, invece, che possano verificarsi dei problemi in fase di installazione.

Come ho già avuto modo di dirti, escluderei, a priori possa trattarsi di un virus a livello bios (tra l'altro dovresti avere una sfiga enorme, per beccarne uno).
In ogni caso, per farti almeno una idea, facendo riferimento all'evento Rsop Planning Mode Provider puoi dare una occhiata qui:
http://support.microsoft.com/kb/915148/it


Ad ogni modo ho aggiornato il bios, tanto avrei dovuto farlo comunque, poi ho dato un' occhiata all'indirizzo che mi hai fornito:
"Questo evento si verifica in quanto l'infrastruttura di Gestione Windows informa gli utenti che qualsiasi provider eseguito con l'account Local System rappresenta un potenziale rischio di protezione. Poiché il provider RSoP (Resultant Set of Policy) utilizza l'account Local System, questo evento è previsto."
questo quindi è normale, mentre su gli altri due non ho trovato nulla (CmdTriggerConsumer Rsop Planning Mode Provider).

non escludo, invece, che possano verificarsi dei problemi in fase di installazione
a quale tipo di problemi ti riferisci?

dopo tutte le mille mila scansioni che ho fatto, sembra procedere tutto bene, l'unica anomalia sono 4 CTFMON.EXE che partivano in esecuzione automatica, le ho disabilitate tutte e 4 lasciandone soltanto una, quella scritta in minuscolo, adesso e un po più veloce all'accensione e allo spegnimento.
http://img183.imageshack.us/img183/8603/ctfmontc3.th.png (http://img183.imageshack.us/my.php?image=ctfmontc3.png)


@xcdegasp:
a-squared sarà anche un buon programma, non lo metto in dubbio, ma ha impiegato 6 :eek: ore per farmi la scansione contro i 40 minuti di quasi tutti gli altri programmi che ho usato finora.
prevxcsi e prevx2 li ritenevo dei buoni programmi, ma purtroppo questi non sono riusciti a trovarmi nulla, mentre avevo un sacco di schifezze nel pc.
invece sto pensando di acquistare spyware-doctor che pare faccia bene il suo lavoro.

grazie a tutti per l'aiuto che mi state offrendo.

ciao :)

dopo tutte le mille mila scansioni che ho fatto, sembra procedere tutto bene, l'unica anomalia sono 4 CTFMON.EXE che partivano in esecuzione automatica, le ho disabilitate tutte e 4 lasciandone soltanto una, quella scritta in minuscolo, adesso e un po più veloce all'accensione e allo spegnimento.
http://img183.imageshack.us/img183/8603/ctfmontc3.th.png (http://img183.imageshack.us/my.php?image=ctfmontc3.png)

è così su qualsiasi pc che abbia IE7 installato,hai un ctfom in autorun per ogni utente sulla tua macchina.
la velocità dello spegnimento/accensione del pc sicuramente non dipende dalla rimozioe di queste 3-4 voci

@xcdegasp:
a-squared sarà anche un buon programma, non lo metto in dubbio, ma ha impiegato 6 :eek: ore per farmi la scansione contro i 40 minuti di quasi tutti gli altri programmi che ho usato finora.




ciao, è probabile che sul tuo pc ci sia qualche applicazione che entri in conflitto con a-squared (o comunque qualche altro problema) altrimenti non si spiegherebbero le 6 ore di scansione :eek: (almeno che il tuo non fosse solo un modo di dire)
mediamente può impiegare 40,50 minuti per un analisi completa sicuramente in linea con quella degli altri antispy (o comunque non con una differenza cosi spropositata)
ciao:)

ciao, è probabile che sul tuo pc ci sia qualche applicazione che entri in conflitto con a-squared (o comunque qualche altro problema) altrimenti non si spiegherebbero le 6 ore di scansione :eek: (almeno che il tuo non fosse solo un modo di dire)
mediamente può impiegare 40,50 minuti per un analisi completa sicuramente in linea con quella degli altri antispy (o comunque non con una differenza cosi spropositata)
ciao:)

lo ho persino disinstallato-reinstallato e durante le scansioni disabilitavo l'antivirus ( l'antivir guard) ma nulla da fare, era sempre lentissimo non ho altri programmi a parte il fw Comodo, al quale non rinuncerei mai.
purtroppo non era un mio modo di dire, l'ultima volta ho fatto partire la scansione erano le 13 è terminata alle 19...ho pensato che fosse proprio così il programma bho?

@juninho85
è così su qualsiasi pc che abbia IE7 installato
allora se sono legittime, le devo abilitare ?

grazie

Ciao :)

sono legittime ma inutile,volendo le puoi disabilitare(o anche eliminare)tutte quante.
hai mai deframmentato l'HD/pulito file temporanei ecc ecc?

lo ho persino disinstallato-reinstallato e durante le scansioni disabilitavo l'antivirus ( l'antivir guard) ma nulla da fare, era sempre lentissimo non ho altri programmi a parte il fw Comodo, al quale non rinuncerei mai.
purtroppo non era un mio modo di dire, l'ultima volta ho fatto partire la scansione erano le 13 è terminata alle 19...ho pensato che fosse proprio così il programma bho?

@juninho85

allora se sono legittime, le devo abilitare ?

grazie

Ciao :)

obbiettivamente tutti i programmi di difesa che ti sei installato li hai opportunamente settati? come ad esempio escludere dalle scansioni (sia ondemand che real-time) le cartelle di programmi analoghi?
non credo altrimenti non ci impiegava 6 ore e non sarebbero esistiti appunto problemi di compatibilità...
:O

sono legittime ma inutile,volendo le puoi disabilitare(o anche eliminare)tutte quante.
hai mai deframmentato l'HD/pulito file temporanei ecc ecc?

ok, per il momento le lascerò disabilitate.
ho frammentato, in quanto alla pulizia uso ccleaner ogni volta che chiudo una sessione di navigazione ( almeno 4 o 5 volte al giorno ) e prima di spegnere il pc.
in'oltre controllo personalmente le cartelle dei file temporanei, perchè la versione precedente di ccleaner la 2.0.0 , lasciava sempre qualche file in c:\documenti and setting ecc...
fortunatamente con questl'ultima versione non succede più, impostato con "cancellazione sicura lenta NSA 7 passaggi" :D
in più ogni tanto do anche una passatina di "pulitura disco", ho l'hd che brilla più che le pentole di mia moglie.

grazie

ciao:)

obbiettivamente tutti i programmi di difesa che ti sei installato li hai opportunamente settati? come ad esempio escludere dalle scansioni (sia ondemand che real-time) le cartelle di programmi analoghi?
non credo altrimenti non ci impiegava 6 ore e non sarebbero esistiti appunto problemi di compatibilità...
:O

effetivamente è un'operazione che non ho mai fatto, anche perchè pensavo che fosse sufficente terminare gli altri programmi che potessero creare dei conflitti, ma di escludere le cartelle....potrei anche sbagliarmi, però non mi sembra una buona idea.
un'eventuale virus-trojan non potrebbe nascondersi anche li ?

grazie

ciao :)

effetivamente è un'operazione che non ho mai fatto, anche perchè pensavo che fosse sufficente terminare gli altri programmi che potessero creare dei conflitti, ma di escludere le cartelle....potrei anche sbagliarmi, però non mi sembra una buona idea.
un'eventuale virus-trojan non potrebbe nascondersi anche li ?

grazie

ciao :)

è più facile che chi trova lì sia la quarantena del programma o se entrambi stanno in real-time senza esclusione è possibile che mentre uno scansiona un file infetto e che stia per segnalarlo l'altro intervenga prendendone meriti... (o anche meglio descritto con "glielo strappa di mano")

sono due situazioni da evitare perchè questo è l'inizio di un conflitto e non sempre rimane così lieve, potrebbe anche succedere che un file infetto che entrambi individuerebbero passasse inosservato perchè appunto i due bisticciano :)

Lo sai che mi puzza tanto di pagliacciata e di presa x il s3d3re da parte di microsoft???

Non ho mai sentito parlare in 12 anni di lavoro coi pc di "Virus nel Bios" (sopratutto ultimamente poi)...può darsi che risieda nell'MBR dell'HDD al massimo........:mbe:

cavolo!!!
avevi ragione guarda quì:
http://www.p2pforum.it/forum/showthread.php?t=266197

sai esattamente come fare ? Per rimuovere il rootkit è sufficiente utilizzare il comando "fixmbr" da Console di Ripristino.
non vorrei fare danni...

intanto, l'altro ieri ho formattato e installato xp pro sp2, su un pc di un mio amico e pensate un pò che cosa ho trovato nel visualizzatore eventi appena è terminata l'installazione ?
gli stessi provider che figuravano nel mio visualizzatore eventi, con gli stessi messaggi di errore :eek: :eek: :eek:

ciao :)

sai esattamente come fare ? Per rimuovere il rootkit è sufficiente utilizzare il comando "fixmbr" da Console di Ripristino.
non vorrei fare danni...

ciao :)

la console di ripristino sono riuscito a installarla, ora il mio dubbio è questo:
il comando "fixmbr" da dove lo faccio partire da,
c:\ oppure da c:\windows\ ?

grazie

ciao

Ciao ho letto tutta la discussione, e mi e sorto un dubbio, hai detto che hai installato win xp sp2 su un pc di un tuo amico, ed è successa la stessa cosa, non è che il tuo sistema operativo è .....

Ciao ho letto tutta la discussione, e mi e sorto un dubbio, hai detto che hai installato win xp sp2 su un pc di un tuo amico, ed è successa la stessa cosa, non è che il tuo sistema operativo è .....

è originale.

e il cd è masterizzato o originale?

è originale.

ok non ti ho detto quello per malafede :)
allora fai cosi' perchè non formatti tutto e metti vista cosi' realmente possiamo capire il tuo problema se ti dà i stessi problemi anche con vista allora è un virus di boot

ok non ti ho detto quello per malafede :)
allora fai cosi' perchè non formatti tutto e metti vista cosi' realmente possiamo capire il tuo problema se ti dà i stessi problemi anche con vista allora è un virus di boot

ciao, non ti preoccupare l'avevo capito che non eri in malafede :) .
ti ringrazio, ma vista al momento non è nei miei obbiettivi, piuttosto mi sto allenando con ubuntu, che ho installato su un'altro HD insieme ad un'altra installazione di xp, questo HD lo collego alternativamente ha quello diciamo "principale", che sarebbe quello sul quale ho avuto tutti questi problemi.
comunque credo che il problema sia proprio nell' MBR.
Ieri e fino ad oggi pomeriggio ho lavorato sull'altro HD dove ho installato ubuntu, oggi pomeriggio scollego dalla mobo l'HD di ubuntu e collego il mio solito HD con xp, appena carica il sistema operativo, mi ritrovo con una doppia connessione lan.
file temporanei un po strani e dire che di solito prima di spegnere passo ccleaner...
avvio ccleaner, il quale si aggiorna, lo installo , durante la sua installazione il defender del firewall Comodo, mi segnala dei file sospetti che modificano il file di registro, li blocco, disabilito il ripristino di conf. e faccio partire una scansione di Avira questo è ciò che ha rilevato:
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47fe950b.qua' ( QUARANTINE )
[INFO] The file was deleted!
D:\System Volume Information\_restore{DFA2C35C-0FC9-48D4-951D-5722DCC5748D}\RP17\A0006652.exe
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47bf98f9.qua' ( QUARANTINE )
[INFO] The file was deleted!

poi con HijackThis v2.0.2 fixo questa voce:
O4 - HKLM\..\RunOnce: [OVCOMSReg] OVComS.exe /RegServer

nel visualizzatore eventi sotto la voce sistema ho trovato diversi avvisi di errore come questo:
Tipo evento: Errore
Origine evento: W32Time
Categoria evento: Nessuno
ID evento: 17
Data: 17/01/2008
Ora: 17.29.54
Utente: N/D
Computer: ABITQUADGT6600
Descrizione:
Time providerNtpClient: si è verificato un errore durante la ricerca DNS del peer configurato manualmente 'time.windows.com,0x1'. NtpClient ritenterà la ricerca DNS fra 15 minuti. Errore Tentativo di operazione del socket verso un host non raggiungibile. (0x80072751)


ho fatto una scansione online con panda il quale non ha trovato nulla.
ho installato il tool di rimozione della prevx ma si chiude in modo anomalo subito dopo il riavvio.
per fortuna ora la doppia connessione lan è sparita.
e comunque non sono ancora riuscito a fare qualcosa, perchè ho passato tutto il tempo a fare scansioni :muro:

vorrei provare a sovrascrivere l'MBR, in rete ho trovato queste informazioni per farlo:
fare il boot dal cd d'installazione di xp, andare nella console di ripristino e su "c:"
inserire "bootcfg/rebuild" ( per la ricostruzione automatica del file boot.ini )
inserire "fixboot" ( per fixare l'mbr)

che ne pensate posso procedere ?

grazie

ciao :)

ciao, non ti preoccupare l'avevo capito che non eri in malafede :) .
ti ringrazio, ma vista al momento non è nei miei obbiettivi, piuttosto mi sto allenando con ubuntu, che ho installato su un'altro HD insieme ad un'altra installazione di xp, questo HD lo collego alternativamente ha quello diciamo "principale", che sarebbe quello sul quale ho avuto tutti questi problemi.
comunque credo che il problema sia proprio nell' MBR.
Ieri e fino ad oggi pomeriggio ho lavorato sull'altro HD dove ho installato ubuntu, oggi pomeriggio scollego dalla mobo l'HD di ubuntu e collego il mio solito HD con xp, appena carica il sistema operativo, mi ritrovo con una doppia connessione lan.
file temporanei un po strani e dire che di solito prima di spegnere passo ccleaner...
avvio ccleaner, il quale si aggiorna, lo installo , durante la sua installazione il defender del firewall Comodo, mi segnala dei file sospetti che modificano il file di registro, li blocco, disabilito il ripristino di conf. e faccio partire una scansione di Avira questo è ciò che ha rilevato:
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47fe950b.qua' ( QUARANTINE )
[INFO] The file was deleted!
D:\System Volume Information\_restore{DFA2C35C-0FC9-48D4-951D-5722DCC5748D}\RP17\A0006652.exe
[DETECTION] Is the Trojan horse TR/Agent.61693
[INFO] A backup was created as '47bf98f9.qua' ( QUARANTINE )
[INFO] The file was deleted!

poi con HijackThis v2.0.2 fixo questa voce:
O4 - HKLM\..\RunOnce: [OVCOMSReg] OVComS.exe /RegServer

nel visualizzatore eventi sotto la voce sistema ho trovato diversi avvisi di errore come questo:
Tipo evento: Errore
Origine evento: W32Time
Categoria evento: Nessuno
ID evento: 17
Data: 17/01/2008
Ora: 17.29.54
Utente: N/D
Computer: ABITQUADGT6600
Descrizione:
Time providerNtpClient: si è verificato un errore durante la ricerca DNS del peer configurato manualmente 'time.windows.com,0x1'. NtpClient ritenterà la ricerca DNS fra 15 minuti. Errore Tentativo di operazione del socket verso un host non raggiungibile. (0x80072751)


ho fatto una scansione online con panda il quale non ha trovato nulla.
ho installato il tool di rimozione della prevx ma si chiude in modo anomalo subito dopo il riavvio.
per fortuna ora la doppia connessione lan è sparita.
e comunque non sono ancora riuscito a fare qualcosa, perchè ho passato tutto il tempo a fare scansioni :muro:

vorrei provare a sovrascrivere l'MBR, in rete ho trovato queste informazioni per farlo:
fare il boot dal cd d'installazione di xp, andare nella console di ripristino e su "c:"
inserire "bootcfg/rebuild" ( per la ricostruzione automatica del file boot.ini )
inserire "fixboot" ( per fixare l'mbr)

che ne pensate posso procedere ?

grazie

ciao :)

Ciao fai cosi' per eliminare il virus di boot c'è bisogno di una formattazione a basso livello dell'hd ogni hd in commercio ha un suo programma specifico in questo caso dovresti andare sul sito della western digital e scaricare il l'ultility gratuita premetto che non ho mai trattato questo prodotto quindi non saprei dirti con certezza il nome dell'utility dovrebbe essere data lifeguard tools
http://support.wdc.com/download/index.asp?cxml=n&pid=17&swid=36

Ciao fai cosi' per eliminare il virus di boot c'è bisogno di una formattazione a basso livello dell'hd ogni hd in commercio ha un suo programma specifico in questo caso dovresti andare sul sito della western digital e scaricare il l'ultility gratuita premetto che non ho mai trattato questo prodotto quindi non saprei dirti con certezza il nome dell'utility dovrebbe essere data lifeguard tools
http://support.wdc.com/download/index.asp?cxml=n&pid=17&swid=36

grazie Goldrakes, ora me la scarico, intanto ho applicato la procedura di ripristino del boot e dell'MBR, sull'altro hd dove ho ubuntu e xp, dato che dopo aver fatto tutti gli aggiornamenti, xp non riusciva più ad avviarsi....un macello, meno male che lo uso come alternativa e per provare altri os.
in pratica dopo aver fatto il boot da cd d'installazione , ho premuto "R" per il ripristino , poi da console, ho dato il comando "fixmbr" e ho proseguito con il ripristino, (praticamente si è reinstallato), adesso, all'avvio, arriva fino alla barra di caricamento poi accenna una schermata blu e si riavvia in loop.
voglio provare a seguire il tuo consiglio applicandolo per primo su questo hd, poi successivamente anche sul western digital dove ho installato solo xp, per il momento, non ho grossi problemi su questo disco, a parte i virus che ogni tanto saltano fuori, però devo dire che a parità di programmi installati, in questultimo hd non ho fatto neanche un'aggiornamento di xp, seguendo il consiglio di un'amico e devo constatare che ha avuto ragione, infatti questo che non è aggiornato è ancora funzionante.
il virus del boot in questi ultimi mesi è venuto alla ribalta, c'era stato anche un'articolo nelle news, della settimana scorsa se non sbaglio.
finchè non trovano una soluzione e se non da problemi, forse conviene lasciarlo lì dov'è, tanto lo riprenderesti comunque in un'attimo senza accorgertene poichè pare che non esista difesa o sistema operativo che sia immune a questo tipo di virus.

grazie di tutto :) :) :)

ciao