PDA

Visualizza versione completa : avira segnala dpi3d32.dll come virus



francescoliv2
26-03-11, 09: 52
Ciao a tutti ragazzi, è circa una settimana che il mio portatile ha dei problemi.
Allora:
- spesso quando clicco per aprire una cartella, essa non si apre al primo tentativo, ma devo riprovare
- 5 giorni fa avira mi ha segnalato il file dpi3d32.dll come cavallo di troia hiloti.d.400 al chè l'ho messo in quarantena senza eliminarlo (non si sa mai)
- oggi è la terza volta che quando avvio il portatile prima di caricare windows vista mi si blocca in una schermata nera, dopodichè se faccio reset si avvia normalmente
- sempre oggi proprio nella fase di avvio del computer mi è apparsa una schermata iniziale dove ho dovuto cliccare F1 per proseguire con il load default del computer (però non mi ricordo bene che c'era scritto)
- e proprio ora mentre scrivevo improvvisamente la barra degli strumenti di vista è diventata bianca.

penso di avere qualche problemino, intanto vi allego scansione di superantispyware, emisoft anti-malware e il log di hijackthis

grazie..aspetto un vostro aiuto.


Only registered members can view code.


Only registered members can view code.


Only registered members can view code.

DeST
26-03-11, 15: 27
Inizia a fixare con hijackthis:
O4 - HKCU\..\Run: [Dmonip] rundll32.exe "C:\Users\Utente\AppData\Local\dpi3d32.dll",Startup

Poi dalla modalità provvisoria fatti una bella scansione completa con MalwareBytes

francescoliv2
26-03-11, 16: 22
Ho provato a fixarlo ma rimane

ganzo123
26-03-11, 17: 58
Ciao francescoliv2!
Per quanto riguarda il premere F1 all'avvio del computer, sarebbe opportuno sapere l'esatto messaggio di errore che ti compare, comunque potresti fare una prova entrando nel BIOS e uscirne salvando le impostazioni senza modificare nulla. Se anche così non funziona e non hai modificato molto le impostazioni del BIOS, potresti ricaricare le impostazioni di default.

Intendi dire la barra delle applicazioni? Quella in basso dove appaiono i programmi aperti per intenderci.
Per caso hai installato di recente qualche software che modifica il tema di Windows?

Per quanto riguarda l'infezione, oltre alla scansione completa con MalwareBytes (http://www.malwarebytes.org/mbam.php) ti consiglio anche una scansione con ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix).
Posta i log che ti restituiscono.

:bai

francescoliv2
26-03-11, 19: 19
Ciao ganzo123
1) per adesso il messaggio di errore all'avvio non mi si è piu ripresentato, qualora risucceda mi scrivo cosa dice
2) si intendo la barra delle applicazioni dove appaiono i programmi aperti..comunque no non ho installato niente che modifichi il tema di windows
3) domani faccio le scansioni e poi vi aggiorno

francescoliv2
27-03-11, 14: 33
1-Allora il problema che mi da all'avvio è:
CMOS settings wrong
CMOS date/time not set
le scelte sono f1(load default values and continue) e f2 (to run setup), purtroppo nel bios io non so dove mettere le mani
2- lo schermo spesso crasha e si blocca
3- combofix non funziona, mi fa solo riavviare il computer e non fa niente

4- windows update non riesce a fare il download degli aggiornamenti (non so se puo essere dipendente dai vari problemi che ho) (errore 80072efe:errore scnosciuto)

con malwarebytes ho fatto la scansione, vi allego il log, ed ho eliminato i file trovati.
alla fine ho dato una passata con atfcleaner e ccleaner.

Only registered members can view code.

Allego anche un nuovo log di hijackthis

Only registered members can view code.

Data e ora nella barra delle applicazioni all'avvio di windows non sono quelle effettive ma (luglio ore 00.00)
non so che altro fare, sembra che niente si sia risolto.
aspetto vostri aiuti

Clairvoyant
27-03-11, 15: 15
Ciao francescoliv2.

ComboFix lo avevi lanciato da click Dx => Esegui com Amministrore..?
Perchè altrimenti su Vista non funziona.

Per ora comunque lascia stare ComboFix, scarica DDS (http://download.bleepingcomputer.com/sUBs/dds.scr), disattiva le protezioni in real time di Antivirus etc., fai una scansione ed allegaci i logs che genera.

Per la questione del CMOS è quasi sicuramente un problema hardware, ad esempio la batteria tampone scarica o scollegata, ma potrebbe trattarsi anche di problematiche più serie.

Vedremo dopo i logs come procedere.

:bai

francescoliv2
27-03-11, 15: 53
Ciao clairvoyant
combofix lo avevo lanciato semplicemente cliccandoci sopra (2 click Sx)
DDS lo scarico ma mi dice che è uno script di autocad??? e me lo apre col blocco note..

EDIT

risolto..ora faccio lo scanner

--- Post unito in modo automatico ---

Ecco il log di dds


Only registered members can view code.

DeST
27-03-11, 19: 55
E' bello incasinato questo computer...
Ho visto che hai installato anche Emsisoft Anti-Malware
hai già fatto la scansione completa anche con questo?
Ricorda è necessario fare le scansioni in modalità provvisoria se vuoi trovare tutto il possibile...

Disinstalla anche tutte le toolbars che non usi...
e alla fine fai anche una passata veloce con Panda Anti Rootkit (http://download.cnet.com/Panda-Anti-Rootkit/3000-8022_4-10717196.html?part=dl-PandaAnti&subj=dl&tag=button)

francescoliv2
27-03-11, 20: 01
La scansione con emisoft anti-malware l'ho fatta non ricordo se in modalità provvisoria o no ma al primo post ho allegato il log.
Ma il problema qual'è? non riesco a capirlo..ho forse mbr rootkit?
Panda non mi funziona (ho vista)

DeST
28-03-11, 11: 28
mbr rootkit lo escluderei dal log risulta

device: opened successfully
user: MBR read successfully

però meglio fare tutte le scansioni visto che fino ad ora hai rimosso:
diversi Tracking Cookie (i meno pericolosi)
1 Backdoor
Ben 7 Trojan!!!
1 adware
1 spyware

Se nel pc è entrata tutto questo bel po di roba bisogna cercare di pulire TUTTO il possibile...

Che firewall usi? AntiVir è aggiornato hai fatto anche una scansione completa con questo?

francescoliv2
28-03-11, 11: 31
alla fine della scansione con DDS mi dice

Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

che significa?
che scansioni mi suggerisci di fare?

DeST
28-03-11, 12: 17
scarica da questa pagina il tdss killer ed eseguilo
TDSS killer (http://support.kaspersky.com/viruses/solutions?qid=208280684)

poi scarica e masterizza l'immagine iso che trovi qui
Index of /devbuilds/RescueDisk10/ (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/)

fai partitre il cd all'avvio e fai una scansione del pc
questo dovrebbe bastare a pulire tutto...

francescoliv2
28-03-11, 13: 50
ecco il log della scansione con tddskiller

Only registered members can view code.

LadyHawke
28-03-11, 14: 23
tdds killer ha rilevato il rootkit sull'HDD 0 e al riavvio dovrebbe averlo rimosso: per sicurezza io comunque ricontrollo sempre, quindi o fai di nuovo una scansione con tdds killer o a priori utilizzi la console di ripristino (http://www.collectiontricks.it/forum/guide-sistemi-operativi-e-software/Ct827-la-console-di-ripristino-di-windows-xp.html) per essere sicuri che l'MBR sia riscritto (la prima opzione è quella più semplice, la seconda, se sei un pochino pratico, è probabilmente la più veloce)

:bai

francescoliv2
28-03-11, 14: 33
Ho rifatto la scansione e l'ha effettivamente eliminato

Only registered members can view code.

per la console di ripristino non sono pratico, non l'ho mai fatto.
Per quanto riguarda i problemi CMOS che devo fare? per adesso al riavvio del portatile non mi sono piu ripresentati.

Clairvoyant
28-03-11, 21: 13
Ciao francescoliv2.

Il TDSS direi che è stato rimosso, ma erano presenti altre occorrenze malevole nei logs.
Hai effettuato la scansione con il Rescue Disk come suggerito da DeST?
Se ancora non lo hai fatto eseguila, dai una pulita con Glary Utilities (http://download.cnet.com/Glary-Utilities/3000-2094_4-10508531.html?part=dl-6280556&subj=dl&tag=button) tramite la funzione 1-Click Maintenance ( deseleziona prima Spyware Remover ), rifai la scansione con DDS ed allegaci i logs di quest' ultimo.

Per i problemi del CMOS, se sinora non si sono ripresentati è probabile che siano stati in qualche modo legati al TDSS.
Si fosse trattato di un problema hardware i messaggi di errore continuerebbero ad apparire, visto che le batterie non si ricaricano, i contatti interrotti non si ripristinano da sè e le sk madri non si autoriparano ( non ancora almeno :ghgh ).

:bai

francescoliv2
28-03-11, 23: 43
Con il rescue disk come funziona? la scansione la fa in automatico?
Cos'è spyware remover?

Clairvoyant
29-03-11, 02: 31
Ciao.

Con il rescue disk come funziona? la scansione la fa in automatico?
Dopo che lo hai settato si.

Qui (http://support.kaspersky.com/viruses/rescuedisk?level=2) trovi la pagina di riferimento.
Il manuale è in inglese e di 80 pagg., ma quelle che servono sono poche e si trovano in fretta.
Se hai problemi comunque chiedi.


Cos'è spyware remover?E' una funzione di Glary Utilities che in teoria dovrebbe rimuovere anche il malware che trova.
Il problema è che mi sa che non ne trova tanto :tong2, ed in ogni caso passando prima con il Kaspersky Rescue Disk non ti serve a nulla ed allunghi inutilmente i tempi scansione.

N.B.: ti consiglio di farti un backup di tutti i dati.
Dopo una infezione come questa è sempre bene salvarsi tutto, se non lo hai già fatto, anche perchè quando avremo finito dovremo eliminare i punti di ripristino che con ogni probabilità sono infetti.

:bai

francescoliv2
29-03-11, 10: 00
Il rescue disk non riesco a farlo partire. All'avvio del computer ho premuto F2 per entrare nel bios, sono andato nella sezione boot e ho impostato CD/DVD come prima periferica eseguibile, però parte ugualmente windows, non carica il DVD (il masterizzatore CD non mi funziona già da un po). Posso lanciarlo da penna USB?
La scansione con Glary utilities l'ho fatta e ha rimosso un po di registry e uno startup manager.
Ieri sera con scansioni di dds, superantispyware e malwarebytes non ha trovato niente, se può essere utile allego i nuovi log.

EDIT
Ho messo il tutto su penna usb, nel bios all'avvio ho impostato come prima periferica di avvio removal devices , ma continua a partirmi windows.

DeST
29-03-11, 19: 13
Posso lanciarlo da penna USB?

Per farlo devi usare questa apposita utility (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe) seguendo questa apposita guida (http://support.kaspersky.com/faq/?qid=208282163)
Comunque l'utility è abbastanza intuitiva...

francescoliv2
29-03-11, 20: 02
Grazie dest ma avevo gia scritto nel messaggio precedente che l'ho messo su penna usb ma non parte lo stesso, si avvia windows normalmente, pur avendo messo removal device come prioritario.

LadyHawke
29-03-11, 21: 05
Attenzione perchè generalmente le pendrive vengono rilevate come dischi fissi, non come removibili: dovresti avere anche una voce (hard disk setting o hard disk priority) che indica quale dei vari dischi fissi rilevati deve partire per primo nel momento in cui il Bios riceve il comando per il boot di un hard disk: controlla che la pen drive sia fra i dischi fissi ed eventualmente portala in prima posizione, selezionando poi nell'altra opzione l'hard disk come primo dispositivo di boot

:bai

francescoliv2
29-03-11, 21: 25
Effettivamente era come dicevi tu ladyhawke, sono riuscito a far caricare il rescue disk da pennina, soltanto che dopo aver scelto la lingua e la modalità grafica, lo schermo crasha, rimane bloccato con delle righe e non riesco piu a far niente, dovendo resettare il portatile.

LadyHawke
29-03-11, 21: 42
Quali sono le modalità grafiche permesse?

:bai

francescoliv2
29-03-11, 21: 44
Quali sono le modalità grafiche permesse?

:bai

in che senso scusami?
le opzioni del rescue disk.. ci sono modalita grafica, modalita solo testo.

Clairvoyant
31-03-11, 20: 56
Ciao francescoliv2.

A dire il vero neanch' io ho capito la domanda di LadyHawke :ehmm, però tornando al tuo problema c'è da dire che quella .iso su alcuni pc può non partire ( non mi chiedere il motivo, però è successo anche a me ).

A questo punto, da modalità normale e sempre come Amministratore, ti consiglierei di procedere così:

scansione con AVPTool (http://support.kaspersky.com/viruses/avptool2010)
scansione completa con MalwareBytes'
pulizia con Glary Utilities
scansione con DDS


Se i primi due rilevano e rimuovono qualcosa copiancollaci i risultati solo di quelle parti, poi allegaci anche i logs di DDS, così qualora sia rimasto qualcosa possiamo individuarlo ed eliminarlo.

Nel frattempo hai riscontrato altri problemi?

:bai

LadyHawke
31-03-11, 21: 03
A dire il vero neanch' io ho capito la domanda di LadyHawke :ehmm Sorry, mi ero persa il replay di francescoliv2 :ohoh
Ho fatto quella domanda perchè tutte queste tipologie di CD anno base linux, perciò mi chiedevo se, come è su molte distro, ci fosse qualche modalità grafica protetta "di base" che escludesse incompatibilità di avvio

:bai

francescoliv2
01-04-11, 09: 28
Ok seguo le istruzioni che mi hai dato e poi posto i risultati.

Per adesso non ho più avuto nessun problema di quelli che avevo, e neanche nessun nuovo problema.

DeST
01-04-11, 11: 54
Per adesso non ho più avuto nessun problema di quelli che avevo, e neanche nessun nuovo problema.

ottimo però non sottovalutare i rischi della rete...
mantieni sempre aggiornato AntiVir ed installa un buon firewall io ti consiglio COMODO Personal firewall (che è anche free)

francescoliv2
01-04-11, 14: 23
ok installerò comodo (quindi devo disabilitare quello di vista giusto?!)
stasera farò le scansioni.

Eres
01-04-11, 14: 56
Da qeullo che sento in giro l'ultima versione di Avira fa qualche casino, meglio cambiare :eye

francescoliv2
05-04-11, 17: 14
Ho installato Comodo.
Malwarebytes non ha rilevato niente

Only registered members can view code.
DDS neanche

Only registered members can view code.
Glary qualche file di registro e file temp
Qualcosa ha rilevato kaspersky ma non riesco a trovarli nel log (di 128 Mb)

DeST
05-04-11, 17: 24
L'importante è che hai ripulito tutto e che il pc non da più problemi...
posta anche un nuovo log di hijackthis

francescoliv2
05-04-11, 17: 44
Ecco hijackthijs

Only registered members can view code.

DeST
05-04-11, 19: 29
perfetto il log è lindo e pinto
le uniche voci non necessarie che puoi fixare sono:

Only registered members can view code.

Clairvoyant
05-04-11, 20: 01
Ciao francescoliv2.

Dopo aver eliminato le voci suggerite da DeST, non ti resta che:

verificare di avere l' ultima versione di Java (http://www.java.com/it/download/index.jsp); se ne hai una obsoleta disinstallala ed aggiorna a quella più recente
disattivare il Ripristino Configurazione di Sistema per eliminare i punti di ripristino infetti
dare una pulita con CCleaner (http://www.piriform.com/ccleaner) ( prima di avviare la pulizia vai su Opzioni => Avanzate e togli la spunta da Elimina file solo se più vecchi di 24h )
riattivare il Ripristino Configurazione di Sistema


:bai

francescoliv2
06-04-11, 09: 39
I primi 3 punti gli ho eseguiti.
Per l'ultimo punto, devo cliccare su "crea" quando riattivo il ripristino oppure rimettere soltanto la spunta?

LadyHawke
06-04-11, 12: 02
Rimettendo solo la spunta riattivi il Ripristino (che creerà dei Punti successivamente a sua discrezione)
Se usi anche "crea", esegui subito un nuovo punto di ripristino

:bai

francescoliv2
06-04-11, 12: 21
Fatto!!!
Grazie a tutti dell'aiuto, siete stati molto pazienti e veloci nelle risposte!!