Olimpo Informatico

[sputnik]

ciao a tutti.
Il mio problema consiste nel fatto che clicco sull'icona Alice per la connessione ADSL e poi devo attendere un bel po' prima che mi compaia l'Home Page.
Questo si verifica soprattutto quando accendo il pc...
Dopo la situazione migliora leggermante, non di troppo.
Così mi è venuto il terribile dubbio che qualcusa si sia inserito nel mio pc.
Il processore è un Intel Pentium 4 CPU 1.70GHz, 1.0GB di RAM, scheda NVIDIA GeForce2 MX/MX400 con s.o. Windows XP Pro con SP2
Vi allego una scansione fatta con Hijack e spero che qualcuno sappia dirmi qualcosa in merito a questo rallentamento e/o se devo intervenire in qualche modo perchè ho qualcosa di infetto...
A presto e grazie anticipate.


*******************************************

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.33.54, on 05/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\UTILITIES\HijackThis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{803A2024-E493-4CCC-9287-162CA66901FA}: NameServer = 85.37.17.8 85.38.28.73
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

--
End of file - 4318 bytes
[/list][/b]

[sputnik]

che come Antivirus uso il Nod32, che uso SpyBotSD, Ad-Aware, A-Squared Free ed il firewall XP....
Chiedo scusa ma ero proprio dimenticato di scriverlo...
A presto.
ciaooo

[Sante62]

Ciao sputnik
Il log di HJT sembra pulito...
Lancia una scansione con Combofix seguendo le istruzioni di questa discussione;

fai anche la scansione con GMER
Ricorda che i log di GMER sono due: Autostart e Rootkit. Postali su www.freefilehosting.net come indicato quì

[sputnik]

ciao Sante62,
anzitutto grazie per avermi risposto.
Come da tua richiesta ti metto qui di seguito i links dei passaggi che mi hai chiesto di fare con Gmer:

circa Autostart : http://www.freefilehosting.net/files/3d6i5

circa Rootkit : http://www.freefilehosting.net/files/3d6i6

Bene, spero di aver fatto un corretto copia/incolla...: ho cercato di seguire le tue richieste nel miglior modo da me conosciuto..
Vorrei sottolineare che il mio problema è sostanzialmente che, lanciando la connessione alla mia Home Page ( www.google.it ) resto per un tempo lunghissimo ( ...minuti) in attesa che la videata bianca si trasformi in quella che è la pagina di Google...
Boh, da ignorante che sono non so spiegarti meglio e spero tu possa capire qualcosa da quanto ti ho postato come richiesto e dirmi qualcosa...
Ancora mille grazie davvero, spero di uscire da questo casino....
A presto.
ciaooo

[Sante62]

Intanto puoi usare CCleaner; Avvialo e clicca su opzioni->Avanzate, e togli la spunta da "elimina file solo se più vecchi di 48 ore"
Utilizza l'opzione Pulizia e poi clicca su Analizza; alla fine clicca su Avvia Pulizia. Fai la stessa cosa con l'opzione Trova problemi; eliminerà una serie di chiavi di registro inutili.

Non si vede nulla di strano neanche dai log di GMER;
Fai la scansione con Combofix che ti ho linkato sopra e posta il log.

[sputnik]

Olà sante !
ho seguito alle lettera quanto mi hai consigliato ed eccomi ad esporti il quanto...
Ho fatto la scansione con Ccleaner ( cosa che faccio quasi ogni 3 gg...) seguendo le info che mi hai dato.
Poi ho scaricato il Combofix e - per la prima volta nella mia vita - l'ho lanciato ed ho seguito personalmente le varie videate...
Alla fine ho salvato il file che ti metto qui di seguito sempre in attesa di un tuo prezioso riscontro.
La mia problematica è quanto mai strana...: anche io non riscontravo particolari "intrusioni" ma il fatto che lanciando IE 7 io dovessi vedere la pagina di Google senza grafica per circa 3 o 3 minuti mi sembrava eccessivo...
Ora sembra "leggermente" migliorato ma sarai tu a dirmi cosa faresti al mio posto...
Per intanto metto di seguito il log di Combofix:

**********************************************
ComboFix 08-03-07.1 - Utente Windows 2008-03-07 18.55.20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.715 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Utente Windows\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\Quarantine
C:\WINDOWS\start.exe
C:\WINDOWS\system32\timedefw32ex.dll
C:\WINDOWS\Web\default.htt

.
((((((((((((((((((((((((( Files Creati Da 2008-02-07 al 2008-03-07 )))))))))))))))))))))))))))))))))))
.

2008-03-03 22:26 . 2008-03-03 22:27 <DIR> d-------- C:\Programmi\RogueRemover FREE
2008-03-03 22:07 . 2008-03-03 22:07 <DIR> d-------- C:\WINDOWS\SYSTEM32\Kaspersky Lab
2008-03-03 22:07 . 2008-03-03 22:07 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab
2008-02-24 11:01 . 2008-02-24 11:01 <DIR> d-------- C:\My Music
2008-02-19 21:18 . 2008-02-19 21:18 24,576 --a------ C:\scegli_tu.doc
2008-02-12 22:35 . 2008-03-02 21:58 <DIR> d-------- C:\Documents and Settings\Utente Windows\Dati applicazioni\MailStore Home
2008-02-12 22:29 . 2008-02-12 22:29 <DIR> d-------- C:\Programmi\deepinvent
2008-02-12 22:26 . 2008-02-12 22:26 <DIR> d-------- C:\Documents and Settings\Utente Windows\Dati applicazioni\Microsoft Help
2008-02-12 22:19 . 2008-02-12 22:25 <DIR> d-------- C:\Programmi\Microsoft Visual Studio 8
2008-02-12 22:19 . 2008-02-12 22:27 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Microsoft Help
2008-02-10 22:03 . 2008-02-10 22:05 <DIR> d-------- C:\Programmi\a-squared Anti-Dialer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-07 17:50 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-03-05 21:52 --------- d-----w C:\Programmi\SUPERAntiSpyware
2008-03-03 22:09 --------- d-----w C:\Programmi\File comuni\Real
2008-03-02 21:29 --------- d-----w C:\Programmi\FlashCAD_Composer
2008-03-02 21:25 --------- d-----w C:\Programmi\Configuratore Yourbath
2008-02-25 16:20 --------- d-----w C:\Programmi\a-squared Free
2008-02-24 20:04 --------- d-----w C:\Programmi\Mgutil
2008-02-23 09:02 30 ----a-w C:\Programmi\Exiferupdate.ini
2008-02-21 18:12 --------- d-----w C:\Programmi\Eusing Free Registry Cleaner
2008-02-16 13:14 --------- d-----w C:\Programmi\FastStone Image Viewer
2008-02-12 22:03 --------- d-----w C:\Programmi\Spybot - Search & Destroy
2008-02-12 21:19 --------- d-----w C:\Programmi\Microsoft.NET
2008-02-07 23:15 --------- d-----w C:\Programmi\Eset
2008-02-06 21:57 441,760 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2008-02-06 21:57 44,384 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2008-02-06 21:57 129,248 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-02-06 21:56 368,736 ----a-w C:\WINDOWS\system32\drivers\tdrpman.sys
2008-02-06 21:56 --------- d-----w C:\Programmi\File comuni\Acronis
2008-02-04 19:31 --------- d-----w C:\Programmi\Index.dat Suite
2008-02-03 12:38 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\Innovative Solutions
2008-02-03 12:38 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Innovative Solutions
2008-02-03 12:37 --------- d-----w C:\Programmi\Innovative Solutions
2008-01-30 21:32 --------- d-----w C:\Programmi\SystemRequirementsLab
2008-01-28 15:38 --------- d-----w C:\Documents and Settings\LocalService\Dati applicazioni\Acronis
2008-01-27 17:31 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\SUPERAntiSpyware.com
2008-01-27 17:31 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-01-27 17:30 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-01-26 14:47 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\EssentialPIM
2008-01-26 14:18 --------- d-----w C:\Programmi\Executive Software
2008-01-24 20:46 --------- d-----w C:\Programmi\Auslogics
2008-01-24 20:46 --------- d-----w C:\Documents and Settings\Utente Windows\Dati applicazioni\Auslogics
2008-01-24 16:55 --------- d-----w C:\Programmi\ViewEXIF
2008-01-22 20:53 2,523 ----a-w C:\Documents and Settings\Utente Windows\scxdtqvo.exe
2008-01-21 18:19 --------- d-----w C:\Programmi\CCleaner
2008-01-20 18:27 --------- d-----w C:\Programmi\Microsoft ActiveSync
2008-01-15 15:45 --------- d--h--w C:\Programmi\InstallShield Installation Information
2007-12-30 13:32 23,984 ----a-w C:\Documents and Settings\Utente Windows\Dati applicazioni\GDIPFONTCACHEV1.DAT
2007-12-08 20:22 35,288 ----a-w C:\WINDOWS\FONTS\Snowcaps.zip
2007-11-07 22:39 18,096 ----a-w C:\WINDOWS\FONTS\heather.zip
2007-11-07 22:36 33,759 ----a-w C:\WINDOWS\FONTS\littlelordfontleroy.zip
2007-10-23 21:26 20 ---h--w C:\Documents and Settings\All Users\Dati applicazioni\PKP_DLea.DAT
2007-01-25 02:52 65,536 ----a-w C:\Programmi\File comuni\NMSAccessU.exe
2006-12-28 17:57 123 ----a-w C:\Documents and Settings\Utente Windows\Dati applicazioni\fusioncache.dat
2006-12-10 21:25 271 --sh--w C:\Programmi\desktop.ini
2006-12-10 21:25 23,476 ---h--w C:\Programmi\folder.htt
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWMON"="C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe" [2005-05-25 12:12 517632]
"H/PC Connection Agent"="C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE" [2003-09-16 10:20 376912]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2007-09-18 22:06 949376]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 15:50 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoSecCpl"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"DisableLockWorkstation"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuPinnedList"= 0 (0x0)
"NoStartMenuMFUprogramsList"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)
"NoToolbarCustomize"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
"NoChangeAnimation"= 0 (0x0)
"NoChangeKeyboardNavigationIndicators"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmi\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TryAndDecideService"=2 (0x2)
"ose"=3 (0x3)
"O&O Defrag"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"a2free"=2 (0x2)
"NVSvc"=2 (0x2)
"NMSAccessU"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"a-squared"="C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programmi\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"C:\\Programmi\\Microsoft ActiveSync\\WCESMGR.EXE"=
"C:\\Programmi\\TC UP\\PLUGINS\\Media\\uTorrent\\utorrent.exe"=
"C:\\Programmi\\TC UP\\TOTALCMD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\deepinvent\\MailStore Home\\MailStoreDesktopServices.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-02-06 22:56]
R1 VD_FileDisk;VD_FileDisk;C:\WINDOWS\system32\drivers\VD_FileDisk.sys [2006-01-13 14:00]
R2 a2AntiDialer;a-squared Anti-Dialer Service;"C:\Programmi\a-squared Anti-Dialer\a2service.exe" [2008-02-10 22:05]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-04-23 13:02]
S4 NMSAccessU;NMSAccessU;C:\Programmi\File comuni\NMSAccessU.exe [2007-01-25 03:52]
S4 TryAndDecideService;Acronis Try And Decide Service;"C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe" [2007-09-14 04:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{84b28234-d40b-11dc-9af8-0017c2022f0f}]
\Shell\AutoRun\command - I:\winPenPack.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-07 18:59:43
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\catchme]
"ImagePath"="\??\C:\WINDOWS\TEMP\catchme.sys"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Programmi\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Executive Software\DiskeeperLite\DKService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
.
********************************************************
.
Ora fine scansione: 2008-03-07 19:02:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-07 18:01:58
.
2008-02-15 20:49:09 --- E O F ---

********************************************************

ti auguro una buona serata e aspetto tue info....
A presto, ciaooooooo

[Sante62]

Bene, a quanto ho capito uno spyware tentava di reindirizzarti a proprie pagine web, ma non vi è riuscito del tutto a quanto pare;

Combofix ha eliminato qualcosa come puoi notare;

Adesso per cortesia fai una scansione con Systemscan e posta il log generato come
indicato quì

[sputnik]

Olà Sante !
Rieccomi qui...
Bene ho seguito ancora una volta le tue indicazioni, ho scaricato il programmino e poi l'ho lanciato.
NON mi è comparsa nessuna scritta come riportato nel link di istruzioni che hai messo ma, purtroppo, si apre una finestrella dos che ti allego per conoscenza e che mi impedisce di far lavorare il programmino...
Ovviamente ho disabilitato il Nod 32.
Se solo sapessi come si fa a mettere a tua disposizione qui la finestra che si apre....
Provo a caricartela nello stesso modo con il quale ti ho caricato i log di Gmer...., fammi sapere se la vedi e come procedere perchè, se premo un qualunque tasto, la finestra dos sparisce...
Questo è il link che ho ottenuto e dal quale dovresti vedere la finestrella:

http://www.freefilehosting.net/show/3d805"]schermata.jpg

A presto, ciao

[/img]

[sputnik]

Ovviamente non ho potuto generare il log che mi chiedi.
Con i tuoi consigli spero poterlo fare presto.
ciaooooo

[sputnik]

forse così riesci a vedere la maledetta finestrella dos....

http://www.freefilehosting.net/show/3d805

A presto, ciao

[sputnik]

Sante, ancora una cosa...
Vedo ora che a nella barra dell'indirizzo del forum NON è più presente il piccolo avatar ma quello del sito di Libero (cioè il logo wind...)
Che significa ?
Da che dipende ?

[sputnik]

[Sante62]

Prova così:
Innanzitutto dobbiamo avere un account amministratore, ovviamente;
Poi vai su pannello di controllo-> Strumenti di amministrazione;
da qui andare su Criteri di Protezione locale (per trovarlo piú facilmente si puó passare nel pannello di controllo alla visualizzazione classica delle icone);
Poi andare su assegnazione diritti utenti (é un sottogruppo della chiave Criteri Locali);
facciamo doppio click sul valore Debug di programmi;
Nella finestra che si aprirá clicchiamo su Aggiungi utente o gruppo;
poi Tipi di oggetto e spuntiamo la casella Gruppi in alto e poi sull?utente da aggiungere scriviamo Administrators.
Diamo ok e riavviamo il pc. Al successivo start di sistema tutti gli account di amministratore avranno il permesso riattivato.

Se tutto va a buon fine riprova con Systemscan...

[sputnik]

ciao Sante

ho appena terminato la procedura che mi avevi consigliato e questa voltatutto è andato bene ( ...spero...)
Di seguito ti posto il link al log ( il file 08_03_2008_11_43_report.zip ) che mi ha generato.

http://www.freefilehosting.net/files/3d8g9

Come avrai capito non sono proprio un'acquila ma - guardando velocemente il file - non vorrei aver visto male vedendo dei redirect...
Ora, come sempre, aspetto tue info su come procedere...
Caio , a presto !

[Sante62]

[sputnik]

ciao Sante !
finalmente ho terminato la scansione profonda fatta con Kaspersky...
Mi ci è voluto quasi 5 ore...
Allora, ti anticipo che la scansione mi ha trovato dei virus ma non so come toglierli....
Ad ogni modo eccoti il link da cui potrai accedere al file in html generato da kaspersky:

http://www.freefilehosting.net/files/3d931

In merito al firewall ti vorrei chiedere:
1) devo disattivare l'attuale firewall di XP ?
2) tra quelli presenti nell'articolo che mi hai postato, sai dirmene uno semplice da configurare. in italiano, funzionale ?
Ho letto molti topics sull'argomento ma tutti in contrasto tra di loro, chi dice "questo va bene" chi invece "a me non va bene, meglio quest'altro..."
Così sono molto dubbioso...
Mi fai sapere qualcosa ?
A presto, aspetto tue notizie relativamente al log che ti ho postato.
ciaoooo

[Sante62]

[sputnik]

ciao Sante e buona domenica a te !
come mi hai detto ho scaricato The Avange ed ho eseguito lo script che mi hai inviato.
Ora ho provato a postarlo sul solito sito ma mi da la pagina NON raggiungibile....
Per questo motivo non lo troverai ma sappi che i 3 files che mi hai indicato nello script sono stati cancellati e che nessun Rootkit è stato trovato.
Ho anche eseguito il Ccleaner come hai detto ed ho fatto l'operazione del punto di ripristino.
In merito al firewall: tempo fa avevo installato lo Zone Alarm ma poi, vai a sapere se per colpa di qualche mio errata indicazione "accetta/Rifiuta" avevo avuto non pochi problemi.
Ancora non conoscevo questo sito e pertanto ero arrivato alla conclusione che era meglio toglierlo perchè mi creava più danni che utilità.
così ora, "bruciato" da quell'esperienza, avendo letto anche qui sul Forum i diversi pareri in merito non è che sia poi così convinto di togliere il firewall di XP che varrà anche nulla ma che sin ora non mi ha dato problemi....
Se riesco a postarti il log lo farò volentieri.
Come sempre resto in attesa di sapere da te se possiamo chiudere il topic o se hai ancora qualche info da darmi, soprattutto dimmi se il pc lo posso ritenere NON infetto e fare quindi un file immagine con True Image.
A presto
ciaooo

[Sante62]

Si, il PC adesso è pulito...
Per il firewall ricorda che vanno configurati correttamente altrimenti risulta quasi impossibile la navigazione;
io Zone Alarm ce l'ho da molto tempo e non mi ha dato problemi;
ti consiglierei pertanto di installarlo perchè quello di Windows è un colabrodo;

A te la scelta...

[sputnik]

ok Sante,
grazie mille per l'assistenza, credo abbiamo fatto un buon lavoro anche per altri che potessero avere il mio stesso problema.
Per il firewall, eventualmente, esiste già un qualche topic relativo a Zone Alarm ?
Eventualmente decidessi di installarlo, mi faresti da "tutor" ?
Ho fatto appena adesso un file immagine con True Imagine e spero di non usarla mai...
Per ora mille grazie ancora e buona domenica, di cuore !
A presto.