Olimpo Informatico

[elettroniko]

Salve! Il mio antivirus (Avira Antivir Premium) ha rilevato ke il file csys32pe.exe è infetto e l'ho messo in quarantena. Da qualche giorno Internet Explorer nn funziona correttamente e spesso il PC si blocca. Ho cercato quel file su Internet ma nn lo trova. Se lo cancello forse faccio danni. Qualcuno sa dirmi cosa posso fare? Grazie

Inoltre, appena apro la pagina di google ho notato ke scrivendo una lettera nella barra della ricerca compaiono delle ricerche ke io nn ho mai effettuato. Tra l'altro il completamento automatico è stato sempre disattivato ora invece si è attivato da solo. Sicuramente c'è qualche virus.

[Sante62]

Ciao elettroniko e benvenuto...

Provvedi prima con pulizie generiche:

• Pulisci i files temporanei con ATF-Cleaner e/o
  CCleaner
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
• Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
  
• Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

[elettroniko]

Ciao Sante e grazie x aver risposto. Allora ho iniziato la scansione con il programma MBAM ed nn ha rilevato nulla. Ecco il log
mbam-log-2008-12-15 (12-35-30).txt

Ecco il log di HiJackThis
hijackthis 15-12-08.txt

Aspetto tue notizie.

[Sante62]

Disinstalla questa toolbar:

[elettroniko]

Guardando il log di HiJackThis ho visto ke c'è il programma Ares ke io ho cancellato tanto tempo fa. Come mai è rimasto?

Allora ho fatto tutto quello ke hai scritto!

Ecco il log di HijackThis dopo aver riavviato il pc in modalità provvisoria e tutto il resto
hijackthis 15-12-08 N°2.txt

Poi la scansione con il programma Virus Removal Tool nn ha rilevato nulla.
Ecco il log Virus Removal Tool 15-12-08.txt

[elettroniko]

Nell'antivirus (Antivir Avira) ancora c'è tra i files in quarantena csys32pe.exe
Cosa faccio? Clicco su "elimina l'oggetto selezionato?"
Tra i processi è sparito questo file.

[Sante62]

[elettroniko]

Ok! Per Ares farò come hai detto! Il file dalla quarantena l'ho cancellato e finora nessun problema!
Internet Explorer nn si blocca come prima. Quindi penso che il problema sia risolto. Grazie!!

Però c'è ancora una cosa che nn capisco: il completamento automatico con pubblicità. Ti spiego meglio: aprendo google e scrivendo una qualsiasi lettera compare nella barra delle ricerche nomi tipo corriere della sera,carrefour, avast, e tante altre cose che nn so da dove vengono.
Il completamento automatico lo tengo attivo solo x indirizzi web e basta. Queste pubblicità nn so da dove vengono xkè nn ho installato delle toolbar. Pensavo fosse quella toolbar "AskBar" ma mi sbagliavo visto ke è stata cancellata. Boh, nn so che fare.
Cmq grazie ancora e ti farò sapere se, a distanza di tempo, Internet Explorer si blocca ancora.

[Sante62]

Aggiorna regolarmente il sistema opetarativo.
Usa nuovamente CCleaner per cancellare nuovamente anche gli indirizzi nella barra delle ricerche.

scarica e installa la versione Free di SuperAntispyware:;
la configuri come è stato spiegato quì;

Se non l'hai già fatto, scarica anche Spybot da quì ed eventualmente Leggi quì per l'uso.

Fai le scansioni con entrambi e fai sapere.

[elettroniko]

Allora ho pulito tutto con CCleaner,poi ho avviato la scansione con SuperAntySpyware ed ha rilevato 115 minacce.
Ora sono state messe in quarantena dal programma.

Ecco il log http://wikisend.com/download/473076/SUPERAntiSpyware

Tra le minacce c'è Adware- MyWebSearch. Potrebbe essere qst il motivo di quelle pubblicità.
Aspetto altri consigli..

[elettroniko]

Ancora però Internet Explorer continua a bloccarsi. Ora però dà un altro problema. Nn apre le pagine, cioè, carica le pagine ma senza aprirle.Compare la scritta "Sito rilevato in attesa di risposta" però alla fine nn apre niente. Poi si blocca solo Internet Explorer e nn tutto il PC però sono costretto a riavviarlo xkè mi serve Internet.

[Sante62]

Se hai un firewall diverso da quello di Windows, disattivalo e riprova a far partire il browser.

Fai la scansione anche con Spybot che ti ho indicato precedentemente...

Se dopo tutto ciò il browser non parte, controlleremo il file hosts...

[elettroniko]

Mi pare che di firewall c'è attivo solo quello di Windows. Scusa l'ignoranza ma come faccio a vedere se ce ne sono altri attivi?
Le 115 minacce che ha rilevato con SuperAntySpyware attualmente sono nella quarantena del programma. Le posso eliminare?
Ora faccio la scansione anche con Spybot e vediamo se rileva qualcos'altro.

[Sante62]

[elettroniko]

Ci ho messo un pò x scaricare e installare Spybot xkè si bloccava sempre Internet ma alla fine ce l'ho fatta.
Ecco il log di Spybot: http://rapidshare.com/files/175140760/SpybotSD.Results.txt.html
(Ho usato rapidshare xkè su wikisend nn me lo faceva caricare)

Alcuni problemi li ha risolti ma altri no. Se ho capito bene c'è stata una modifica al registro che ha reso il PC più vulnerabile.

Ti volevo chiedere un'altra cosa: Ho il sospetto ke qualcuno utilizzi la mia connessione. Come faccio a capire se è veramente così. La velocità della connessione è diminuita di parecchio ultimamente.

[Sante62]

La lentezza della connessione può dipendere da vari motivi, compreso lo stesso gestore di provider...

Se possiedi un modem Wi-Fi, devi stare attento che qualcun altro nelle vicinanze non sfrutti questa connessione, quindi devi essere protetto da questo punto di vista, ma questo dovrebbero avertelo spiegato durante l'acquisto. Se invece hai un normale modem USB è eslcuso che qualcuno dall'esterno possa sfruttare la tua linea, sempre che non vi sia qualche processo infetto all'interno del sistema.

Per quest'ultima ipotesi, procedi con questa operazione:
resta disconnesso da internet;
Vai su start->esegui e digita cmd; si aprirà schermata dos;
al cursore, digita:
netstat -anovb e dai l'invio;
aspetta che sia ritornato il cursore come in origine;
clicca col destro su un punto vuoto della schermata dos;
scegli - seleziona tutto; copia il contenuto con CTRL+C e incollalo quì.

[elettroniko]

Questo è tutto ciò che compare, anche se apparivano altre scritte dopo. Ho selezionato queste:


Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\XP>netstat -anovb

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1208
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32\rpcss.dll
C:\WINDOWS\system32\svchost.exe
-- componente/i sconosciuto/i --
[svchost.exe]

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
-- componente/i sconosciuto/i --
[Sistema]

TCP 0.0.0.0:26400 0.0.0.0:0 LISTENING 2464
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\DNA\btdna.exe
C:\WINDOWS\system32\msvcrt.dll
[btdna.exe]

TCP 0.0.0.0:44080 0.0.0.0:0 LISTENING 1948
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Premium\MSVCR71.dll
C:\WINDOWS\system32\kernel32.dll
[AVWEBGRD.EXE]

TCP 0.0.0.0:44110 0.0.0.0:0 LISTENING 1756
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[avmailc.exe]

TCP 127.0.0.1:1072 0.0.0.0:0 LISTENING 2804
C:\WINDOWS\System32\WS2_32.dll
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[alg.exe]

TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 592
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Java\jre6\bin\MSVCR71.dll
C:\WINDOWS\system32\kernel32.dll
[jqs.exe]

TCP 192.168.1.2:139 0.0.0.0:0 LISTENING 4
-- componente/i sconosciuto/i --
[Sistema]

TCP 127.0.0.1:44080 127.0.0.1:2253 FIN_WAIT_2 1948
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Premium\MSVCR71.dll
C:\WINDOWS\system32\kernel32.dll
[AVWEBGRD.EXE]

TCP 127.0.0.1:2253 127.0.0.1:44080 CLOSE_WAIT 1656
C:\WINDOWS\system32\ws2_32.dll
C:\WINDOWS\system32\WININET.dll
[jusched.exe]

TCP 127.0.0.1:5152 127.0.0.1:1358 CLOSE_WAIT 592
C:\WINDOWS\system32\WS2_32.dll
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Java\jre6\bin\MSVCR71.dll
C:\WINDOWS\system32\kernel32.dll
[jqs.exe]

TCP 127.0.0.1:44080 127.0.0.1:2248 TIME_WAIT 0
TCP 127.0.0.1:44080 127.0.0.1:2237 TIME_WAIT 0
UDP 0.0.0.0:1066 *:* 1628
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP 0.0.0.0:500 *:* 984
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\oakley.DLL
C:\WINDOWS\system32\LSASRV.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[lsass.exe]

UDP 0.0.0.0:445 *:* 4

[elettroniko]

Allora da quando ho qst problema (internet Explorer che si blocca) la velocità di connessione è diminuita. Io ho il modem Alice Gigaset ADSL che si può utilizzare anche come router. Io però l'ho utilizzo con la porta USB, qualche volta mi connetto tramite LAN con il portatile. Come faccio a sapere se è veramente protetta la mia connessione?

[Sante62]

Comincia col disinstallare questo programma, sempre se non ti è necessario:
C:\Programmi\DNA\btdna.exe;

Avvia CCleaner, scegli strumenti->Avvio e vedi quali processi si caricano;

quelli che ritieni non necessari, li selezioni e clicchi su Disattiva;

per riattivarli basta fare la procedura inversa.

Se hai difficoltà inviami un log di Hijackthis, così ti suggerisco, cosa eliminare.

[elettroniko]

Ho provato ad disattivare 2 programmi ke sono: launchlist.exe di pinnacle e hpwuschd2.exe ke è un programma della mia fotocamera ma al riavvio del pc è comparso un messaggio che c'è stato una modifica al registro riguardo a qst due processi.
Quindi ti mando il log di hijackthis e dimmi tu quali potrei disattivare.
http://wikisend.com/download/598206/hijackthis.log]hijackthis.log