| Precedente :: Successivo |
| Autore |
Messaggio |
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
 Inviato: 05 Lug 2009 12:08 Oggetto: Problema stranissimo con Windows |
 |
|
Ciao a tutti!
Allora, questa mattina ho acceso il pc. Sembrava tutto normale, ma andando sul pulsante Start, lo clicco, e sento come un rumore di una sveglia come se fosse coperta ( Non mettetevi a ridere, per favore! ). Cerco di connettermi ma il rumore persiste.
Allora vado su Start-Pannello di controllo e cosa vedo? Gli stessi file che ho sul desktop. Dopo parecchi tentativi, provo ad andare su Regedit, da Esegui-regedit. Tutto di un tratto il rumore cessa, e tutto riprende a funzionare. Andando pure su Pannello di controllo, visualizzo bene tutte le icone. A questo punto riavvio il computer. Stesso problema all'apertura di Windows, appena clicco Start riprende il rumore e su Pannello di controllo visualizzo i file che ho sul desktop. Vado su Start, Eseguii, digito regedit, Apro il visualizzatore del registro, lo chiudo, e tutto ritorna al suo posto! Non capisco proprio cosa possa essere.
Se potete darmi una mano a risolvere questo problema abbastanza grave...
Grazie! |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Lug 2009 14:25 Oggetto: |
|
|
Ciao ilovetoothedog, 
Segui le istruzioni di questo topic per postare il log di hijackthis. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 05 Lug 2009 21:38 Oggetto: |
|
|
Ecco il log di HT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.32.13, on 05/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Controllo\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Programmi\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Programmi\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Programmi\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226001063187
O17 - HKLM\System\CCS\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Google Update Service (gupdate1c98c4526d06656) (gupdate1c98c4526d06656) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6439 bytes |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 05 Lug 2009 21:53 Oggetto: |
|
|
Nel log non si vede nulla di sospetto,
Scarica GMER, poi segui i seguenti passaggi:
--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Carica il log su WikiSend come indicato qui.
--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Carica il log su WikiSend come indicato qui.
edit by bdoriano: corretti i links per l'invio dei logs. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Lug 2009 21:55 Oggetto: |
|
|
Non mi sembra ci siano cose strane che possano giustificare il comportamento che segnali. 
Giusto per sicurezza, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 05 Lug 2009 22:10 Oggetto: |
|
|
Guarda, ti sembrerà strano ( e volevo dirtelo prima di postare il log di HT ), il disturbo è cessato. Ad ogni modo posto quello che mi hai chiesto.
Sempre più strano. Mi sa che ho davvero bisogno di un Esorcista!  |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 05 Lug 2009 22:38 Oggetto: |
|
|
Ecco il log di Gmer:
[LOG GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-05 22:34:08
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
---- EOF - GMER 1.0.15 ---- /LOG]
edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su WikiSend come indicato qui. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 05 Lug 2009 23:37 Oggetto: |
|
|
Ecco il log per i rootkit:
[LOG]GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-05 23:35:18
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
---- EOF - GMER 1.0.15 ----[/LOG]
edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su WikiSend come indicato qui. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Lug 2009 00:04 Oggetto: |
|
|
Non mi ero accorto che anche ste_95 ti aveva risposto.
Per cortesia, riposta i logs di gmer, caricandoli su wikisend come ti ho indicato nei miei edit.
Personalmente, preferisco il log di SystemScan perché lo trovo più completo:
|
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 06 Lug 2009 08:16 Oggetto: |
|
|
Ecco il log di Gmer:
Log Gmer.txt |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 06 Lug 2009 09:02 Oggetto: |
|
|
Per favore, mi volete spiegare come si posta un log ? Ho letto le istruzioni, almeno tre volte, ma non capisco perchè a me mi vengano male.
Grazie. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Lug 2009 11:09 Oggetto: |
|
|
Li hai postati correttamente, sono solo gli spazi nei links che non vengono interpretati correttamente dal bbcode. 
Li ho sistemati io. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 06 Lug 2009 11:56 Oggetto: |
|
|
| Ah, ti ringrazio! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Lug 2009 10:18 Oggetto: |
|
|
Ho dato un'occhiata ai logs che hai postato.
Sono simili (hai postato solo la sezione Rootkit, manca la sezione Autostart).
Ci sono alcuni riferimenti che mi paiono strani.
Per cortesia, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 07 Lug 2009 18:26 Oggetto: |
|
|
Ecco il log di SystemScan:
report.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Lug 2009 20:12 Oggetto: |
|
|
Hai cambiato il firewall, giusto?
Sei passato da ZoneAlarm a Comodo.
Ora non vedo più le voci sospette...
Però, mi sembra ci siano dei rimasugli del vecchio ZoneAlarm. |
|
| Top |
|
|
ilovetoothedog
Dio minore
Registrato: 16/03/06 01:05
Messaggi: 663
Residenza: Genova
|
| Inviato: 07 Lug 2009 20:23 Oggetto: |
|
|
Esatto, sono passato a Comodo Firewall, mi sembra migliore...
Tu dici che ci sono ancora tracce del vecchio ZoneAlarm, e penso che vorresti che le elimini, giusto ?
Allora se c'era qualche problema prima era dovuto al firewall ? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Lug 2009 20:26 Oggetto: |
 |
|
Si, sto verificando il report per esserne sicuro al 100%. 
Appena puoi, posta i 2 logs aggiornati di GMER (rootkit e autostart).
Così faccio un controllo incrociato. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
