l'aspetto delle finestre di win xp torna all'aspetto tipo win98

[Opmet]

Questo è il mio primo post su questo forum.
Ho un problema che mi attanaglia da quasi una settimana, solo che tra impegni vari tra qui università non ho mai avuto tempo di smanettare.
Oggi seguendo guide varie, ho scaricato ed usato programmi vari:
CCleaner - Ad-Aware - SpyBot - MalwareBytes e vari vari vai...

Il mio problema è questo, mi connetto ad internet, navigo e dopo un pò di tempo (imprecisato, possono essere minuti come instantaneo) il pc va fuori di testa, l'aspetto delle finestre di win xp torna all'aspetto tipo win98, risulto connesso infatti non posso disconnettermi, ma la linea non c'è, per "risolvere" momentaneamente mi trovo costretto a riavviare il pc.

Ho provato anche ad usare HijackThis ma non riesco a comprenderlo molto bene.
Aiutatemi per favore, sto impazzendo...
Giulio

 

[SuperRomu]

Salve Opmet,
potrebbe anche postare qui i risultati della sua scansione con HiJackThis.

 

[JeanGrey]

Ciao Opmet e benvenuto.

Segui questa guida
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html

Dai un'occhiata anche qui
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html

 

[Opmet]

Ciao Opmet e benvenuto.
Dai un'occhiata anche qui
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html

Ho già provato tutte queste cose, ora sul fisso sto facendo una scansione in provvisoria con malwarebytes...

Vi allego il log di hijackyhis

EDIT:
Ha finito la scansione con malware, vi allego anche quella.

 

[JeanGrey]

Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

F2 - REG:system.ini: Shell=explorer.exe D:\WINDOWS\system32\mswinvks.exe
F3 - REG:win.ini: load=D:\WINDOWS\system32\mswinvks.exe
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\mswinvks.exe,
O1 - Hosts: 69.16.243.105 L2authd.lineage2.com
O1 - Hosts: 69.16.243.105 auth.lineage2.com.tw
O1 - Hosts: 69.16.243.105 auth.lineage2.jp
O1 - Hosts: 69.16.243.105 L2auth.Lineage2.in.th
O1 - Hosts: 69.16.243.105 L2auth.Lineage2.ph
O1 - Hosts: 69.16.243.105 L2testauthd.lineage2.com
O4 - HKCU\..\Run: [SoftAuto.exe] "D:\Programmi\Creative\Software Update 3\SoftAuto.exe"
O4 - HKCU\..\Run: [EPSON SX100 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU "D:\WINDOWS\TEMP\E_S46.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] D:\WINDOWS\system32\csrcs.exe

Scarica Combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
devi rinominare il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:
"%userprofile%\desktop\abc.exe" /killall
Premi OK
(se usi vista start > tutti i programmi accessori > esegui)
se tutto va bene parte il programma che potrebbe impiegare molto
attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt.

Rimuovi quanto trovato da Malwarebytes.

 

[Opmet]

Fatto tutto quello che mi hai detto.
Pulito con hijackthis, con combofix, ora ho provato a riconnettere, non succede più che mi cambia l'aspetto delle finestre in stile win98, però cmq la connessione si pianta...

Allego il log di combofix.

 

[JeanGrey]

Il computer è molto infetto, segui queste indicazioni:

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

Scarica MBRGUI.exe
http://h5n1.altervista.org/apps/MBRGUI.exe
avvialo, clicca su FIX,
lascia lavorare il programma, riavvia.

Scarica TFC by OldTimer sul desktop
http://oldtimer.geekstogo.com/TFC.exe
chiudi tutti i programmi
avvia TFC, clicca su "star"
al termine della scansione ti chiederà il riavvio, dai ok.

 

[Opmet]

Fatto tutto...
Ho fatto partire anche MBRGUI, cliccato fix, ci ha messo tipo mezzo secondo sono uscite 4-5 righe e basta...
Ora sono connesso, vediamo come procede.
Comunque allego il log di combofix.

EDIT: Ora la connessione sembra andare meglio, però mi appare questo messaggio:
"si è verificato un errore generic host process for win32 services. l'applicazione verrà chiusa"
Help!!!

EDIT2: Ora ho scaricato questo file:
WindowsXP-KB921883-x86-ITA

Vediamo come va...

 

[Opmet]

Niente de fare...
Sempre uguale.
Mi sono stufato, credo proprio che formatterò.
Qualcuno ha qualche OS da consigliarmi?
Anche in pm va bene.
Grazie...

 

[Opmet]

Ancora peggio, ora si addirittura freeza tutto...
E' successo già 2 volte...

 

[JeanGrey]

Scarica Stealth MBR rootkit detector sul DeskTop e mettilo direttamente nella Directory C:\
Riavvia il Pc in modalità provvisoria con F8

Start - Esegui - digita C:\mbr.exe -f e clicca su OK
Salva il log prodotto per il controllo.

Riavvia il PC in modalità normale
Start - Esegui - digita C:\mbr.exe e cliccate su OK
Salva il log prodotto per il controllo

Scarica Prevx CSI Prevx 3.0 for Home and Family
installa, aggiorna ed esegui la scansione
per ottenere il log clicca su Options - Save a Log File
allega il rapporto nella tua risposta.

 

[Opmet]

Fatto tutto...
Ecco i log, ne allego anche uno nuovo con HJT:

 

[<H5N1>]

scarica sul desktop GMER: http://www.gmer.net/gmer.zip
scopatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note salva il file ed allegalo qui

 

[Opmet]

Alla fine ho formattato.
Grazie lo stesso a tutti :)