Olimpo Informatico

[ettore]

bounasera a tutti, mi rivolgo a voi in quanto non so proprio dove mettere mano, non sono un esperto, il mio problema con il computer è che quando l'accendo arriva fino alla schermata del desktop e poi si blocca e niente lo fa ripartire, tanto che devo togliere la corrente per spegnerlo, questo problema mi si verifica cinque o sei volte contiuamente ma solo all'accensione, delle volte rimane acceso anche fino a 15 minuti per poi bloccarsi all'improvviso in qualunque posto stia, dopo che mi ha fatto perdere una mezz'oretta di tempo con le varie accensioni, all'improvviso non si verifica più nulla e il p.c. funziona benissimo, sarà un virus? è rotto qualche altra cosa? proprio non so, ho avira ant/vir come antivirus, ho fatto la scansione ma il problema resta.
potete aiutarmi a capire per favore?

vi ringrazio e un saluto a tutti

[Sante62]

Ciao ettore

Scarica questo programma e salvalo in una sua cartella non temporanea e non sul desktop. http://www.merijn.org/files/HiJackThis_v2.exe
Avvia hijackthis e clicca su Do a system scan and save a logfile.
Ti si aprirà una finestra di notepad. Seleziona tutte le righe e copiale nella tua prossima risposta, che gli si da un'occhiata.

[bdoriano]

Ciao ettore,

Se vuoi, puoi presentarti qui

[ettore]

[ettore]

[kevin]

ciao ettore
dopo aver scaricato HJT che ti dice Sante,

estrai il contenuto del file zip in una cartella permanente, per esempio C:\HJT, non cartelle temporanee come Desktop oppure C:\Windows\temp.


Come attivare HJT per ottenere il log :

1.Chiudi tutte le applicazioni aperte
2.Avvia HiJackThis con doppio click
3.Clicca su DO A SYSTEM SCAN AND SAVE LOGFILE
4.Attendi che finisca la scansione e che si apra in automatico un foglio di blocco note scritto
5.Copia TUTTO il contenuto all'interno del foglio appena apparso
6.Incolla il contenuto nel post.

[ettore]

[Sante62]

[ettore]

eccomi quà, buonasera a tutti, ho fatto come da voi suggerito e questo è il risultato:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.46.00, on 13/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\utente\Documenti\Nuova cartella (2)\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kataweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: desktop(2).ini (User 'SYSTEM')
O4 - .DEFAULT Startup: desktop(2).ini (User 'Default user')
O4 - Startup: desktop(2)(2).ini
O4 - Startup: desktop(2).ini
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.rossoalice.it
O15 - Trusted Zone: *.rossoalice.virgilio.it
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FB56490-5232-4185-9D92-CFFCBC989C8F}: NameServer = 85.37.17.16 85.38.28.68
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

--
End of file - 5512 bytes


spero che ci sia qualcosa che serva a risolvere il problema, ora oltre a bloccarsi, si spegne e riaccende da solo, è successo 2 volte in quest'ultima accensione.

grazie e.... a dopo

[bdoriano]

Lasciamo stare hijackthis e passiamo ai pezzi grossi...
Fai questi passaggi:
Scansione con FindAWF
Scansione con GMER

[ettore]

questo è il risultato di FindAWF

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\ANTIVI~1\BAK

02/04/2007 10.35 327.720 avgnt.exe
1 File 327.720 byte
2 Directory 27.315.638.272 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\ITUNES\BAK

27/04/2007 11.25 257.088 iTunesHelper.exe
1 File 257.088 byte
2 Directory 27.315.638.272 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\QUICKT~1\BAK

28/05/2007 00.52 282.624 qttask.exe
1 File 282.624 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 16.39 15.360 ctfmon.exe
08/10/2004 12.52 221.184 LVCOMSX.EXE
09/07/2001 12.50 155.648 NeroCheck.exe
22/08/2002 01.00 745.543 pmxinit.exe
4 File 1.137.735 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

09/11/2006 01.26 406.016 avgcc.exe
1 File 406.016 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\LOGITECH\VIDEO\BAK

18/01/2005 18.47 458.752 ISStart.exe
18/01/2005 18.37 217.088 LogiTray.exe
18/01/2005 18.07 196.608 ManifestEngine.exe
3 File 872.448 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

12/03/2006 18.55 180.269 realsched.exe
1 File 180.269 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~1\JAVA\JRE15~2.0_1\BIN\BAK

15/12/2006 04.23 75.520 jusched.exe
1 File 75.520 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\PROGRA~2\LOGITECH\DESKTO~1\8876480\PROGRAM\BAK

11/03/2006 17.04 20.480 BackWeb-8876480.exe
1 File 20.480 byte
2 Directory 27.315.634.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 4407-8CD1

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

01/07/2002 05.05 74.752 E_S10IC2.EXE
1 File 74.752 byte
2 Directory 27.315.630.080 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

327720 1 Jul 2007 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
327720 2 Apr 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
327720 2 Apr 2007 "C:\Documents and Settings\utente\Impostazioni locali\Temp\RarSFX1\basic\avgnt.exe"
257088 27 Apr 2007 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
282624 28 May 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
221184 8 Oct 2004 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
745543 22 Aug 2002 "C:\WINDOWS\system32\bak\pmxinit.exe"
406016 9 Nov 2006 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
458752 18 Jan 2005 "C:\Programmi\Logitech\Video\bak\ISStart.exe"
217088 18 Jan 2005 "C:\Programmi\Logitech\Video\bak\LogiTray.exe"
196608 18 Jan 2005 "C:\Programmi\Logitech\Video\bak\ManifestEngine.exe"
180269 12 Mar 2006 "C:\Programmi\File comuni\Real\Update_OB\realsched(2).exe"
180269 12 Mar 2006 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
49263 26 Jul 2006 "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
49263 12 Oct 2006 "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe"
20480 11 Mar 2006 "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\bak\BackWeb-8876480.exe"
74752 1 Jul 2002 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S10IC2.EXE"
74752 1 Jul 2002 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE"


end of report

ora faccio l'altro

[ettore]

cmq volevo dirti che nelle mie connessione c'è istant /access

[ettore]

non si apre http://www.freefilehosting.net

mi esce scritto 503 - service not available

mancava poco

e ora?

[Sante62]

Riprova, che con me funziona.
Dal log di FindAWF, a meno che non mi sfugga qualcosa, non vedo tracce di infezione.

[ettore]

questo è il primo passaggio

autostart6.txt

a tra poco l'altro


modificato da bdoriano.
I logs di gmer si caricano su http://www.freefilehosting.net, per non intasare il forum e perchè sono troppo lunghi per starci del tutto.

[ettore]

e questo è il secondo passaggio

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-08-13 19:40:49
Windows 5.1.2600 Service Pack 2


AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F9965F70] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F9965F70] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F9966160] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F9965F70] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F9959F08] fltMgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F9959F08] fltMgr.sys

---- Files - GMER 1.0.13 ----

ADS C:\Documents and Settings\utente\Dati applicazioni\Microsoft\Office\File recenti\01&id_busq=vhoy10AEA4A7FC106E7325E0066beea6b44b&nombre=HOSTAL+SAN+JOSE&ip_usuario=82.57.155.77&site=viajarhoy&sec=home&query=sec=home&pext=&PROV=Valencia&pgpv=1&rural=0&TIAL.url:KAVICHS
ADS C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\pacotto56@hotmail.com\SharingMetadata\enricoconti80@hotmail.com\DFSR\Staging\CS{D4AB6323-AC7A-E66A-797D-31EB4F7F3C1C}\01\10-{D4AB6323-AC7A-E66A-797D-31EB4F7F3C1C}-v1-{588E6B8F-4B16-49FF-9F5F-8006B2331692}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
ADS C:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\virgilioeneide@hotmail.it\SharingMetadata\pacotto56@hotmail.com\DFSR\Staging\CS{39163174-3F13-A76E-3375-29064D477466}\01\10-{39163174-3F13-A76E-3375-29064D477466}-v1-{7BB4E8CD-12AD-4647-AC23-38C634CC44E6}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

che ne dici?

---- EOF - GMER 1.0.13 ----

[ettore]

[ettore]

[Sante62]

Coraggio!

[ettore]