ERrore svchost allo startup (win xp sp3)

[Sir Jack]

Salve a tutti.
Da qualche tempo il mio computer, connesso tramite penna wi-fi D-Link, riscontra un crash di svchost.exe allo startup.
La cosa strana è che continuo a visualizzare normalmente i siti e a scaricare la posta, eppure tutte le altre operazioni di networking sono compromesse.
Non posso accedere a skype o messenger, nè configurare una rete domestica o accedere ad una stampante condivisa.

Visualizzando l'eventvwr, noto due errori che ricorrono, li posto di seguito.

Spoiler

Ecco il primo:

Ecco il secondo

Ecco il log di Hijack
http://myfreefilehosting.com/f/0e0e4cf7f2_0.01MB

Non so da che parte cominciare, potete aiutarmi? Vi anticipo che sono molto ignorante in campo informatico, quindi abbiate un po' di pazienza in più con questo noob.

Il sistema è piuttosto datato, monta Win Xp Sp3 su un Dual Core 2,40 Ghz con 2 giga di ram.
Grazie.

 

[pegifr]

A naso ti direi che la causa è il trojan.DNSChanger.
Alcune informazioni del log di HJT lo confermano ma non mi torna che Avira non te lo abbia quantomeno segnalato...

 

[Sir Jack]

A naso ti direi che la causa è il trojan.DNSChanger.
Alcune informazioni del log di HJT lo confermano ma non mi torna che Avira non te lo abbia quantomeno segnalato...

Non ho trovato segni dell'infezione di DNSChanger, tipo driver nascosti... E Avira non rileva nulla!

 

[pegifr]

Beh, sei pieno di indirizzi IP ucraini e credo che non sia voluta la cosa…
Fai un whois e lo vedrai ma se Avira e magari altri antitutto che hai utilizzato non ti rilevano nulla vuol dire che il problema va approcciato nella sezione più giusta.
Tuttavia per toglierti ogni dubbio potresti seguire la guida in rilievo di JeanGrey per scovare una probabile infezione.

 

[Alessandro91]

fai una scansione con combofix

 

[JeanGrey]

fai una scansione con combofix

Nella guida in rilievo viene consigliato anche di usare combofix, inutile aggiungere informazioni quando non si sa bene cosa ha consigliato l'utente prima. ;)

 

[Sir Jack]

Scusate il ritardo, il lavoro uccide :D

Ho fatto una scansione in modalità provvisoria con Malwarebytes AntiMalware, e sono stati trovati e curati 6 file infetti da DNSChanger.
Yuppie!

Ora Internet funziona normalmente, ma non riesco comunque a configurare il network domestico come prima. Credete che ci siano ancora tracce di infezione, e che valga ancora la pena eseguire altri accertamenti?

 

[pegifr]

Sono lieto di sapere che il mio naso funziona ancora bene… ;)

Fai una ulteriore scansione con Combofix (non in modalità provvisoria) seguendo la guida in rilievo che ti ho indicato prima. Della connessione ce ne occupiamo dopo.

 

[Sir Jack]

Ecco il log di Combofix.
E grazie per l'aiuto che mi stai dando :)

 

[pegifr]

Ciao :)
Tu sei la prova che MBAM, come gli ideatori sostengono, è in grado di rimuovere da solo il DNSChanger, trojan che impazza ultimamente in rete, infatti il log di Combofix non mostra altre eliminazioni nè tantomeno la necessità di intervenire manualmente.
A conferma di ciò posta un log aggiornato di HJT.

 

[Sir Jack]

Ciao :)
Tu sei la prova che MBAM, come gli ideatori sostengono, è in grado di rimuovere da solo il DNSChanger, trojan che impazza ultimamente in rete, infatti il log di Combofix non mostra altre eliminazioni nè tantomeno la necessità di intervenire manualmente.
A conferma di ciò posta un log aggiornato di HJT.

Ecco ;)

 

[pegifr]

Ciao
Procedi così:
Disattiva il ripristino configurazione di sistema -> http://support.microsoft.com/kb/310405/it

Lancia HiJackThis
· clicca su Scan
· spunta le caselle relative alle voci che ti indico
· con tutte le applicazioni chiuse e disconnesso da Internet clicca su Fix checked

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.68,93.188.166.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C72CB2A-C8D2-47CF-B771-32D3236CE79B}: NameServer = 93.188.163.68,93.188.166.7

Poi:
Sempre con Hijackthis pulisci gli ADS in questo modo:
· clicca sulla voce Open the misc tool section
· clicca su Open ads spy
· togli la spunta alla voce Quick scan (windows base folder only)
· clicca su Scan

Aspetta pazientemente la fine della scansione
Se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Poi:
Segui questo percorso e svuota la cartella Prefetch: (non eliminare la cartella)
C:\Windows\Prefetch

Riattiva il ripristino configurazione di sistema e crea un nuovo punto di ripristino

Poi:
Start -> esegui -> cmd e dai invio. Digita ipconfig /flushdns

Scollega il router ed esegui nuovamente HJT verificando la presenza delle voci 017, se presenti le fixi.
Riavvia e sempre a router scollegato riesegui HJT verificando nuovamente la loro presenza.

 

[Sir Jack]

Fatto tutto.

Ecco l'ultimo log

 

[pegifr]

Credo tu non abbia letto bene l'ultima parte...
Te lo ripeto:
Poi:
Start -> esegui -> cmd e dai invio. Digita ipconfig /flushdns

Scollega il router ed esegui nuovamente HJT verificando la presenza delle voci 017, se presenti le fixi.
Riavvia e sempre a router scollegato riesegui HJT verificando nuovamente la loro presenza.

Il log tuo a quale passaggio corrisponde?
Non hai trovato quelle voci nè prima nè dopo il riavvio?

 

[Sir Jack]

Ho fatto il log dopo aver fatto /flushdns, scollegato il router ecc. Ho fatto tutto quello che mi hai detto, mi sembrava opportuno farti avere un ulteriore log.
No, non ho trovato le voci 017 nè prima nè dopo il riavvio, è un buon segno?