Precedente :: Successivo |
Autore |
Messaggio |
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 19 Giu 2007 13:18 Oggetto: Computer Invaso da Virus 3 - La salvezza del computer eroe |
|
|
Salve a tutti...sono desolato...questa è la terza discussione che apro in questo forum a causa di questi virus e schifezze varie...dopo aver formattato, aver installato un firewall (SunbeltKerio Personal Firewall) un antivirus (Avira AntiVir) e un anti spyware (Spybot S&D), vado a scaricare un altro software, poichè assalito da dubbi, dato che il mio computer si sta letteralmente distruggendo a causa di questi cosi...la ventola è quasi andata e lo schermo si sta per spegnere, a causa sempre di questo processo: SVCHOST.EXE che una volta chiuso fa ritornare la CPU ad un livello accettabile... comunque dopo aver installato Spyware Doctor ed eseguito una scansione cosa trovo? 217 infenzioni di cui quasi 200 gravi...infezioni che gli altri software non mi avevano minimamente segnalato...poi tanto per cambiare anche Firefox mi dà problemi...avevo la versione 2.0.0.3 e mi sono ritrovato con la 2.0.0.4 senza che io volessi, la quale mi fa andare Firefox lento e la CPU al 100%...non so cosa fare.
Vi chiedo di aiutarmi, lo so che è stancante, ma vorrei risolvere questo problema una volta per tutte
Grazie e scusate. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Giu 2007 17:13 Oggetto: |
|
|
Comincia a postare un log di hijackthis. |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 20 Giu 2007 13:29 Oggetto: |
|
|
Ecco il log:
Citazione: | Logfile of HijackThis v1.99.1
Scan saved at 14.27.14, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\BenQ\Q-MediaBar\QBar.exe
C:\Programmi\BenQ\QMusic2\QMAgent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Adobe\Photoshop Elements 5.0\apdproxy.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programmi\UberIcon\UberIcon Manager.exe
C:\Programmi\WinRoll\winroll.exe
C:\Programmi\YzShadow\YzShadow.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Ciao\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.benq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.benq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programmi\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Q-MediaBar] C:\Programmi\BenQ\Q-MediaBar\QBar.exe
O4 - HKLM\..\Run: [QMusic2] C:\Programmi\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Programmi\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [RK Launcher] C:\Programmi\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programmi\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programmi\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programmi\Windows Live Mail desktop\mailcomm.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe
|
|
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Giu 2007 13:49 Oggetto: |
|
|
Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione: | O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programmi\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citri x/wficat-no-eula.cab |
clicca su fix checked
riavvia il pc, rifai il log di hijackthis e postalo qui.
ulteriore controllo:
Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato. |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
|
Top |
|
|
alessandro.polo Dio maturo
Registrato: 17/02/07 18:08 Messaggi: 2043 Residenza: Al di sotto di Zeus Thor e Anubis
|
Inviato: 20 Giu 2007 15:22 Oggetto: |
|
|
se ti manca firefox 2.0.0.3 puoi sempre reinstallarlo e stare attento agli aggiornamenti automatici (di Firefox)! |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 20 Giu 2007 17:43 Oggetto: |
|
|
ciao.
l'unica cosa che ho visto è che non hai un antivirus... (non avevi detto che hai installato Antivir?) o non l'hai attivato.
che posso dire: il processo SVCHOST.EXE è leggittimo e serve per parecchie cose (tra i quali aggiornamenti automatici) magari prova a disattivarli e vedere che succede (operazione sconsigliabile!)
tutti quei infezioni trovati da Spyware Doctor io non le vedo.
al limite prova a fare qualche scansione on-line (bit-defender o trend-micro)
hanno il pregio di eliminare le infezioni trovate.
o Kaspersky che le riconosce "al volo"
facci sapere com'è andata |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 21 Giu 2007 13:28 Oggetto: |
|
|
Allora non hai notato la presenza di anitvirus perchè lo ho dovuto disinstallare per installare Kaspersky Antivirus, il quale ha trovato varie infezioni, ma non so quali perchè si è bloccato...poi eseguendo una scansione online con BitDefender anche questa ha portato a varie infezioni di cui anche vari Trojan Horse...che anche quì non sono riuscito ad eliminare perchè alla fine di scansione dopo 2 ore si è bloccato...prima all'apertura del computer l'avvio è stato molto lento e si è anche riavviato da solo...ora mentre scrivo la CPU è all 100% e io non so cosa devo fare...uff
Aiutatemi perfavore |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 21 Giu 2007 13:40 Oggetto: |
|
|
interessante...
scarica SystemScan da qui
avvialo, spunta tutte le sue opzioni e fai lo scan (disattiva il tuo AV durante la scansione e non usare il PC per scongiurare il rischio di blocco)
finita la scansione carica il log generato su http://www.freefilehosting.net/
e qui metti solamente il link dove scaricarlo. |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 21 Giu 2007 14:46 Oggetto: |
|
|
Ecco il log che mi hai chiesto: report.txt |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 21 Giu 2007 15:07 Oggetto: |
|
|
Mi è venuto un dubbio...io ho scompattato programmi come Hijackthis e Gmer e tutti quelli che mi avete detto di scaricare insomma! sul desktop...ma ho letto in altre discussioni che dicevate di non scompattare nel desktop...questo può aver influenzato i log dei programmi?
Rispondete perfavore |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Giu 2007 15:11 Oggetto: |
|
|
I logs non vengono influenzati.
ll problema può nascere con hijackthis quando si devono fixare delle voci.
E' sempre meglio dedicare una cartella per ciascuno dei programmi che ti abbiamo indicato. |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 21 Giu 2007 15:13 Oggetto: |
|
|
ok, e sul log di system scan cosa puoi dirmi? |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 21 Giu 2007 15:34 Oggetto: |
|
|
Che è composto da 5985 righe.
Altra cosa sposta: la cartella Suite Multimedia dalla cartella Documenti. La sua sola presenza ha incrementato il log di oltre 1000 righe inutili.
Anticipo la tua domanda: creati una cartella in C:\ e copiala li con tutti i suoi files e sottocartelle. |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Giu 2007 07:09 Oggetto: |
|
|
Ho finito di dare un'occhiata al log di systemscan e non mi sembra di vedere cose strane.
Orange, hai dato un'occhiata anche tu? |
|
Top |
|
|
Cessiti Eroe in grazia degli dei
Registrato: 10/04/07 11:23 Messaggi: 123
|
Inviato: 23 Giu 2007 10:15 Oggetto: |
|
|
Allora ho eseguito una scansione con a-squared, mi ha trovato 292 elementi infetti, tutti adware di rischio medio, li ho eliminati, ma mi sa che non ho risolto proprio un bel niente, perchè la CPU mi va al 100% sotto il processo SVCHOST.EXE, che eliminato mi fa diventare il tema di windows xp come quello di windows 98...e il computer rimane lento e sotto sforzo...ci sarà un virus nascosto, o un worm...
Ho anche notato che l'icona degli aggiornamenti automatici se ne presantano due e non una come al solito...quindi credo che una sarà un imitazione virus...
Non so cosa fare... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14296 Residenza: 3° pianeta del sistema solare...
|
Inviato: 23 Giu 2007 16:30 Oggetto: |
|
|
Il log di SystemScan è abbastanza difficile da analizzare.
Per come lo conosco io, sembra tutto ok.
Se vuoi, puoi postarlo qui. Leggi attentamente le istruzioni.
Potresti anche fare un'analisi con Kaspersky, salvare il log in un file, caricare il file su http://www.freefilehosting.net e postare qui il link. |
|
Top |
|
|
|