Olimpo Informatico

[R16]

Ciao Silent Runner
Scarica Avenger, e scompattalo in una sua cartella non temporanea e non sul desktop:
link

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco:

[Silent Runner]

[quote="R1"]Seguendo il percorso, trova la (o le) cartelle\file in rosso:

C:\Programmi\pdfforge Toolbar\SearchSettings.exe
C:\Programmi\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
[\quote]
scusa ma non ho capito.. che ci faccio con questi file? li cancello?
Subito dopo hai scritto

[Silent Runner]

Niente, Avenger mi ha dato errore, non posso "trattare" i file che mi hai detto di copincollare.

[R16]

Ciao Silent Runner
Avrei voluto anche vedere il log di Avenger.
In ogni caso, deve avere fatto bene il suo lavoro, perchè i file e le cartelle che c'erano in HJT, non ci sono più.
Andiamo per piccoli passi:
Vorrei sapere cos'è questo programma, e se ti serve:
C:\Programmi\Application Updater\ApplicationUpdater.exe
Poi:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\pdfforge Toolbar\SearchSettings.dll (file missing)
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~3.EXE -Update -1103472 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.rete.toscana.it/sett/pta/cartografia_sit/sit/terraflyer/terraflyer. html?initCoordX=1662347&initCoordY=4853225&initHeading=0&langId=ita"

Riavvia il pc.
Controlla che tutto funzioni a dovere, e poi posta un nuovo log di HJT.
Non dimenticare di farmi sapere cos'è quel programma. (in rete ne sanno poco)

[R16]

Cos'è il programma in rosso: (e se lo usi)
C:\Programmi\Application Updater\ApplicationUpdater.exe

[Silent Runner]

Oddio sai che non lo so?

Non ho postato il log di Avenger perché avevo letto che non aveva trovato niente... ma se vuoi te lo posto...

Aspetta, ho guardato nei programmi..

nel file ini parla di "WidgiToolbar" ed è un programma sconosciuto (non oso farlo partire) con un © della Spigot.inc

ecco il log di avenger.
avenger.txt

Edit:

pare che questo dannato programma della Spigot.inc sia un malware, così mi è sembrato dando un'occhiata su internet.. ma non ne sono sicuro

ho eseguito le ultime operazioni di fixing e riavviato il pc..

Mo adesso vedo..


ecco l'ultimo log.
Edit:
hijackthis e un se ne po'piùùùù.log

[R16]

No, non sembra un Malware.
Ma non mi piace:

[Silent Runner]

ci siamo sovrapposti.. ho ripostato nel vecchio post mentre tu postavi nel nuovo.. ho aggiunto l'ultimo log..

Fatto, ho disinstallato tramite Ccleaner il programma della spigot.
ora faccio una pulizia dei file temporanei e del file di registro..

[R16]

Tieni duro che siamo nella fase finale.
Segui queste indicazioni:
Elimina queste voci di HJT:
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Programmi\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programmi\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - Global Startup: Exif Launcher.lnk = ?
O23 - Service: Application Updater - Spigot, Inc. - C:\Programmi\Application Updater\ApplicationUpdater.exe

Trova ed elimina la cartella in rosso:
C:\Programmi\Application Updater\ApplicationUpdater.exe

Riavvia il pc.

N.B:
Nessun programma verrà eliminato.
Non verranno caricati all'avvio di Windows, ma funzioneranno correttamente lo stesso.
Per qualsiasi problema, si possono sempre ripristinare, con un paio di click.

Poi, se la voce 023 non si elimina, prova in Modalità provvisoria.
Posta un log aggiornato di HJT.
Dimmi come funziona il pc.

[Silent Runner]

Ok grazie multiple.. lo farò domani se mi riesce, sto per uscire per un congresso e anche domani sarò ad un convegno.. (sob) Il tempo è sempre tiranno...
Mi sembra che, tutto sommato, qualcosa di buono lo abbiamo fin qui raggiunto!
Grazie di tutto e buona serata.

[Silent Runner]

Eeeeeehhhh!
E' successo un bel casino!
Nel cancellare le voci che mi hai indicato, un programma fondamentale per il lavoro dell'utente di questo PC, si apre ma non genera più risultati, non esegue più calcoli.

E questo è un guaio perché per farsi ridare dalla casa produttrice le chiavi per riattivarlo è una faccenda solo all'ìapparenza semplice: in realtà è macchinosa e talvolta deve essere ripetuta più volte con risultati incerti

E' possibile reintegrare le stringhe di codice fixate con Hijackthis?
E' sufficiente copincollare la dove erano in origine?

[R16]

Ciao Silent Runner.
Dimmi quale programma e ripristiniamo la voce.

[Silent Runner]

..spetta, pare aver ripreso a funzionare.. non capisco che cosa sia successo, meglio fare una verifica più approfondita prima di procedere oltre. Questa mattina non c'era verso di fargli fare i calcoli strutturali...


Poi sono apparse alcune stranezze meno importati: ad esempio, alle volte, la barra in basso, quando appare, è piena di righe righe orizzontali, come se ci fosse qualche problema di scheda video.. però per il resto sembra che tutto funzioni regolarmente.
Questo PC è sempre stato un po' "strano", alle volte lentissimo tanto da far spazientire anche Giobbe in persona.
Non si capisce perché, dal momento che la CPU e la RAM paiono all'interno dei parametri medi di funzionamento.

Boh, Per il momento sembra i i trojan siano stati debellati e quella tool bar sia sparita.
Però non ho potuto ancora fare la verifica e cancellazione via Modalità Provvisoria come mi hai detto. In effetti, quella cartella non c'è da nessuna parte. Anche perché, se non ricordo male, ho disinstallato il file tramite Ccleaner.. se non erro.

Ti saprò dire, grazie per ora.

[R16]

Ciao Silent Runner.
Il non funzionamento di quel programma, NON dipende dall'eventuale voce che è stata rimossa dall'Avvio.
Sò cosa faccio eliminare, e sò, che la prima regola, è quella di non fare danni, più di quelli che già ci sono, in un pc.
Fra l'altro, sono abituato, anche in caso di errori, di tenermi sempre una via d'uscita.
Se hai il sospetto, che possa dipendere dall'eliminazione all'avvio di tale programma, niente di più semplice, è ripristinarla.
Ma, sono convinto, che, se il programma non funziona adesso, non funzionerà neanche dopo il ripristino.
Tale eliminazione, NON influisce, sul funzionamento del programma.

[Silent Runner]

Sì, infatti. Credo che dipenda da qualcos'altro...
Per ora sembra funzionare.
Chissà che cosa è stato.
Sono programmi compilati da piccole aziende informatiche e qualche bug salta sempre fuori.

Se c'è qualche altro problema mi riaffaccio subito. Altrimenti mi rifaccio vivo solo per postare l'ultimo log del hijackthis.