Olimpo Informatico

[carlemar]

Per motivi vari ed ameni ho dovuto formattare l'HD e reinstallare il sistema operativo.
Ho ripetuto l'operazione più volte perché non appena mi connettevo ad internet, prima ancora di aggiornare Avast e XP, mi entrava di tutto.

Alla fine sono andato avanti e al momento credo di avere dei dialer fastidiosissimi che non riesco a debellare. Non capisco neppure se sto telefonando alle bahamas. Ma con l'ADSL dovrebbe essere sicuro, o no?

Comunque ecco il mio log di Hijackthis.

C'è qualcuno così gentile da aiutarmi?
Non potrò ricollegarmi fino a lunedì.
Grazie in anticipo.

Carlo

Logfile of HijackThis v1.99.1
Scan saved at 18.05.30, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\clockz.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system\msnrav.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Iexplore Data1 Center] C:\WINDOWS\system32\clockz.exe
O4 - HKLM\..\RunServices: [Iexplore Data1 Center] C:\WINDOWS\system32\clockz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {D2046727-FA5C-4086-BD12-E22AB97BA209} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182498629218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182809872812
O17 - HKLM\System\CCS\Services\Tcpip\..\{1803192F-A6BB-4971-B498-51DF4B0FFC0D}: NameServer = 85.37.17.17 85.38.28.72
O17 - HKLM\System\CS1\Services\Tcpip\..\{1803192F-A6BB-4971-B498-51DF4B0FFC0D}: NameServer = 85.37.17.17 85.38.28.72
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe

[bdoriano]

ciao carlemar,
Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

[carlemar]

Allora, ho fatto quello che mi hai detto di fare. Grazie davvero per il tempo che dedichi a questo.

Qui il primo file di GMER (Autostart): http://www.freefilehosting.net/download/MjM2ODI1

Qui il secondo file di GMER (Rookit): http://www.freefilehosting.net/download/MjM2ODI3


Qui sotto il nuovo log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 21.20.28, on 02/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182498629218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182809872812
O17 - HKLM\System\CCS\Services\Tcpip\..\{1803192F-A6BB-4971-B498-51DF4B0FFC0D}: NameServer = 85.37.17.17 85.38.28.72
O17 - HKLM\System\CS1\Services\Tcpip\..\{1803192F-A6BB-4971-B498-51DF4B0FFC0D}: NameServer = 85.37.17.17 85.38.28.72
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[bdoriano]

Con hijackthis fixa questa voce:

[carlemar]

Scrivo dal computer dell'ufficio, quindi non ho sottomano il mio che mi dà problemi.

Uno dei problemi che mi dava, ma forse prima di fixare tutto come suggerito da te, era che mi toglieva la spunta dall'aggiornamento automatico di windows update.
L'altro problema era il seguente: quando accendo il computer mi trovo il firewall disattivato e senza possibilità di attivarlo.
Vado su pannello di controllo - strumenti di amministrazione - servizi.
Da lì metto in automatico l'avvio del Centro di sicurezza PC (lo trovo disabilitato infatti), quindi lo avvio.
Il firewall di windows a questo punto funziona. Ma dopo qualche minuto lo trovo nuovamente disattivato.
Magari domani scrivo se il problema persiste...

In ogni caso, GRAZIE!

[carlemar]

Ora sembrerebbe funzionare tutto bene. Se non fosse per il fatto che il firewall di windows mi si disconnette da solo dopo qualche minuto.

Non mi pare un buon segno.

Già che ci sono posto anche un altro problema, ma forse è meglio in un altro topic...

[bdoriano]

Prima di iniziare un altro topic, è meglio chiudere questo in positivo (cioè senza tracce sospette!)
Dato che hai problemi di connessione, scarica ed avvia questo. Vediamo se trova qualcosa anche lui.
Facci sapere.

[carlemar]

cureit, che mi avevi suggerito di usare, mi ha trovato msnrav.exe infettato da Win32.HLLW.MyBot.

Lo ha curato, ma avrà risolto?

Ora ho messo ZoneAlarm come firewall.
Ma praticamente permetto tutto perché non capisco bene cosa fa male...

Tra questi svchost.exe sembra poco promettente, ma se non lo abilito non entro in internet...

[bdoriano]

msnrav.exe "A variant of the IRCBot family of worms and IRC backdoor Trojans."
Di solito la cura è l'eliminazione dell'ospite.

svchost.exe è un servizio di windows, quindi devi attivarlo per forza.
Tieni conto che potrebbero esserci dei virus che sfruttano svchost.exe per collegarsi ad internet.
Di solito, il consiglio che do ai nuovi utenti di ZoneAlarm è questo:
- finestrella verde acqua: fai passare
- finestrella arancio: va verificato (quindi ricerca in internet o nei forum specializzati)
- finestrella rossa: va bloccato

Prima di permettere tutto, leggi il nome del programma che ti viene evidenziato nella finestra.
Io, di solito, permetto:
- l'aggiornamento dell'antivirus
- l'aggiornamento degli antispyware
- la navigazione (Opera, FireFox, IE)
- la lettura della posta (Thunderbird, OE, Outlook, etc...)
poi, man mano che uso le varie applicazioni, decido cosa autorizzare e cosa non autorizzare.

[carlemar]

Sembra che ci siamo.

Il PC è stabile (e ho risolto anche l'altro problema che avevo per cui niente nuovo thread ).

Solo una domanda: zone alarm continua a bloccare intrusioni... dalla data di installazione (l'altro ieri) ne ha bloccate 673 (ma il numero aumenta continuamente) di cui 32 considerate di alto livello...

Mi devo preoccupare?

[Orange]