Olimpo Informatico

[bntgnn]

Di solito me la cavo, ma questa volta AIUTOOO...
Portatile Fujitsu Siemens Amilo L
Da qualche giorno Avvio MOLTO LENTO (circa 5 min dal power on per avere utilizzabili le icone del desktop)
Kaspersky segnala in continuazione:
"eliminato: Trojan Trojan-Downloader.Java.Agent.c
File: C:\Documents and Settings\user\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\FcPred.jar-10f0c63b-27135eaf.zip/FcPred.class
eliminato: malware not-virus:Hoax.Win32.Agent.b
File: C:\Documents and Settings\user\Impostazioni locali\Temporary Internet Files\Content.IE5\5GN4EIVJ\vcodec2007[1].exe
rilevato: malware not-virus:Hoax.Win32.Agent.b URL: http://vcodec2007.com/vcodec2007.exe
eliminato: malware not-virus:Hoax.Win32.Agent.b File: C:\Documents and Settings\user\vcodec2007[1].exe"
Pulita senza risultati la cache di Java
Eseguito Hijackthis, allego il logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.34.16, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Wireless 802.11g Monitor\XPFix.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Power Manager\PM.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\unzipped\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [XPFix] C:\Programmi\Wireless 802.11g Monitor\XPFix.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programmi\Power Manager\PM.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183629495062
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

--
End of file - 4865 bytes
Non ci trovo particolari brutture......
Aiuto e GRAZIE.

[Sante62]

Ciao.

Il problema della lentezza potrebbe dipendere dai trippi programmi caricati all'avvio del PC.

Comunque avvia Hijackthis, e cerca queste stringhe:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

Non le eliminare però da quì. Disconnettiti da internet e vai su Start Esegui e digita msconfig.. Si apre la finestra di configurazione di sistema. Portati sul tag Avvio e cerca i programmi suddetti. Togli il segno di spunta verde sulla sinistra e poi clicca su applica. Così abbiasmo disabilitato alcuni programmi superflui allavvio.
Vedi come va il PC. Ciao.

[bntgnn]

Ti ringrazio per la sollecita, quasi istantanea, risposta ma le cose non sono cambiate. E poi rimane sempre il problema del Trojan + Hoax che sia autogenerano, mi sono trovato in situazioni analoghe e ho trovato sempre il file da eliminare, questa volta rimango nella cacca.....
Grazie

[bdoriano]

Fai questi passaggi:
passaggio 1
passaggio 2

[bntgnn]

Molte grazie per l'interesse. Sono già tato vittima di "labbra rosse", i sintomi erano diversi..ma me la sono cavata con indicazioni otenute dalla rete. Ad ogni modo FindAVG mi fornisce un report che mi sembra tranquillo. Guardalo e dammi la tua opinione

Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
GRAZIE

[Orange]

infatti è tranquillo
fai quelle operazioni con Gmer

[bntgnn]

OK, fatto anche con gmer. Ma, scusa la curiosità, che cosa devo aspettarmi dai files spediti a "freefilehosting"?
GRAZIE ancora

[Orange]

freefilehosting è un servizio che "ospita" gratuitamente i tuoi files...
quando hai fatto upload, ti dovrebbe restituire 3 link. copia il primo della lista ed incollalo qui. così noi possiamo scaricare ed analizzare il report di Gmer.

[bntgnn]

Mi sono ben guardato dal prendere in considerazione quanto era scritto....
Ora rimando i report (credo che non ci siano problemi...) e ti faccio conoscere...
GRAzie e scusa.
ecco i link
per il report gmer rootkit http://www.freefilehosting.net/download/MjQzMjY1
per il report showall
http://www.freefilehosting.net/download/MjQzMjY5
ANCORA GRAZIE

[aris73]

scansiona da provvisoria con rootkitbuster http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip
rimuovi ciò che rileva e successivamente scansiona con sysclean, quì vedrai come utilizzarlo
http://www.megalab.it/articoli.php?id=533
fammi sapere
ciao

[bntgnn]

Ciao
RootkitBuster dice che sono pulito, me lo aspettavo perchè uso un analogo programma di AVG. Ti allego il report
Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------
--== Dump Hidden File on C:\ ==--
No hidden files found.
--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.
--== Dump Hidden Process ==--
No hidden processes found.
-== Dump Hidden Driver ==--
No hidden drivers found.
Per quanto riguarda i virus OK
Rimane il dramma dell'avvio che continua ad essere lentissimo (sempre gli stessi tempi indicati nella richiesta di aiuto) anche se ho tolto alcuni programmi dalla esecuzione automatica e disinstallata qualche inutilità.
GRAZIE

[bdoriano]

E' lento solo in avvio? Altri problemi non ne ha?
Prova a fare queste operazioni:
- cancellare i files temporanei con ATF-Cleaner
- ripulire il file di registro
- deframmentare il disco

[bntgnn]

Ciao
Il tempo di avvio posso facilmente misurarlo e confrontarlo con un PC fisso che è più veloce (3.0 GHz vs 1.68) ma si avvia in meno di 1min. Gli altri tempi possono essere "sensazioni". Devo dire che tante clessidre come negli ultimi giorni non le ho mai viste. Con il Task Manager vedo che la CPU è spesso usata al 100% (che cosa succedeva prima??), per confronto posso dire che per operazioni simili (p.es. chiamare Explororer) gli utilizzi sono diversi (fisso 50% o meno, portatile 100% per un tempo non breve).
Le pulizie sono una mia abitudine (uso easy cleaner di Toni Arts).
Prima di formattare l'HD vorrei scoprire se serve.
GRAZIE

[bntgnn]

Ciao
è scortese non aspettare la risposta ad un messaggio, scusa ma ho osservato un comportamento che, leggendo in giro, mi sembra anomalo.
In avvio, il task manager indica per "ciclo idle del sistema" valori elevati (>70) anche per utilizzi della CPU prossimi al 100%. Se ho capito dovrebbe essere il contrario...
Grazie ed ancora scusa

[bntgnn]

Problema risolto reinstallando windows XP, ci sono nuovi problemi, apro nuovo argomento.