Olimpo Informatico

[grandegio]

Ciao a tutti e grazie d'anticipo a chi mi risponderà!!
Prima di tutto voglio mettervi a conoscenza che sono un utente nuovo di questo forum, ma ho deciso di registrarmi perchè questo sito è il migliore sul web!!!
Complimenti!
Adesso espongo il mio problemino:
Il mio sistema operativo è Windows XP Professional.
E' quasi un mese che la connessione mi salta all'improvviso.Appena mi connetto salta dopo appena 5 minuti, e poi stacco l'usb del modem ( un nortek dato in regalo dalla tiscali 5 anni fà) così facendo si riallinea e la connessione riparte di nuovo. In questo modo tante volte non salta più o tante volte dopo 4 o 5 ore saltadi nuovo! CHE RABBIA!!!
Come antivirus ho AVG 7.5 Internet Security e come anti Spy ho Giant AntySpyware. Per un ulteriore filtro alla rete ho installato anche Sygate Personal Firewall Pro. Pensate che sono abbastanza protetto?
Comunque sia ho scansionato il mio Pc in modalità provvisoria con tutti questi programmi e ho trovato un mare di cavalli di troia e di cooking e anche qualche virus! Penso ormai tutti eliminati.
Ora quello che mi preoccupa moltissimo è che AVG rileva sempre una minaccia con probabile virus: LanMon.exe ( Prima mi rilevava anche questo file Nvidiatop.exe). Adesso se volete posto qui la scansione fatta con HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 11.19.16, on 24/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\nvidiatop.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
F:\Software\Pulisci Registro Sistema\Problemi Internet\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.110.154.45:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\nvidiatop.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Software\Adobe Reader 6.0\Installazionne\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - D:\Alessandro\Progammi Utili\FleshGet\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\Alessandro\Progammi Utili\FleshGet\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDAED44C-A866-4602-B915-B251135E174B}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe



Su una riga compaiono questi file :

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\nvidiatop.exe"

Ho provato a Fixarli ma niente ritornano sempre!!
Forse è quella la causa della mia frequente disconnessione dell'adsl?
Ma perchè quando mi compare la finestra di AVG in cui dice di eliminare o almeno coreggere questi file non riesco?
Grazie a tutti!!! Sperando in una vostra rispota.
Ciao a tutti

[dasio78]

Ciao grandegiò, e benvenuto!!

Ti apettiamo nel qui per le presentazioni!!

nell'attesa che un vero esperto ti aiuti, mi viene da pensare che più che un trojan o uno spyware si tratti di un dialer... che tipo di connessione usi?
Se usi un'adsl, di solito fanno quest'effetto...

Hai provato a dare un'occhiata al topic "il meglio del forum di pronto soccorso Zeus"? Sul link "tool e risorse per la sicurezza" puoi trovare virusTotal, che scansiona singoli files direttamente dal tuo hardisk, oppure fare una scansione on line.

[grandegio]

Prima di tutto voglio ringraziarti del tuo interesse per il mio problema!!
Senti scusa la mia ignoranza..! ma dove trovo quel link?

[grandegio]

Ok grazie ho travato il link.
Ma per fare una scansione che cosa devo fare?
Dove devo clikkare?

[Orange]

ciao, benvenuto anche dalla parte mia

[grandegio]

ok grazie!!
ma senti nvidiatop.exe è un virus o altro? E' questo che causa la caduta di connessione dell'adsl?Come posso controllare che la voce non sia presente nella chiave shell??
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
questi due file sono i codec per vedere i film in divx? Presentano un pericolo anche questi?
Come faccio a portarmi su quella chiave nel registro di sistema??

Portati a questa chiave:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
individua la voce USERINIT

Come faccio??

[Orange]

[grandegio]

Si sono i miei codec. Scusa ma dopo la frase dovevo mettere il punto invece ho sbagliato e ho messo il punto interrogativo!
Senti ma come si vede se quel file stà anche su SHELL???
Comunque nella chiave di registro l'ho eliminata come mi avevi detto.
Adesso speriamo bene e magari speriamo che la connessione non cada più!
Senti invece per il file LanMon che cosa mi dici??

[chemicalbit]

[Orange]

[grandegio]

OK.. Tutto chiaro. Ho trovato le voci nel registro del sistema, la voce SHELL è ok, ma nella voce Userinit compare la voce "c:\windows\nvidiatop.exe", , poi ho clikkato due volte sopra la voce Userinit e ho selezionato quel pezzettino che mi hai detto tu e ho cancellato con il tasto Canc della tastiera. A quel punto tutto ok le chiavi erano pulite. Poi con KillBox ho fatto la seconda procedura sempre seguendo la tua guida. Adesso è rinato il problema!
Oggi sono andato dinuovo a vedere nel registro sistema, e quella cavolo di riga si è ripresentata. "c:\windows\nvidiatop.exe", .
Per quale motivo??? Adesso provo a rifare la procedura poi posto qui il file log nuovo di HiJack. Comunque oggi la connessione salta ancora!