Olimpo Informatico

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ciao a tutti!
Allora, questa mattina ho acceso il pc. Sembrava tutto normale, ma andando sul pulsante Start, lo clicco, e sento come un rumore di una sveglia come se fosse coperta ( Non mettetevi a ridere, per favore! ). Cerco di connettermi ma il rumore persiste.
Allora vado su Start-Pannello di controllo e cosa vedo? Gli stessi file che ho sul desktop. Dopo parecchi tentativi, provo ad andare su Regedit, da Esegui-regedit. Tutto di un tratto il rumore cessa, e tutto riprende a funzionare. Andando pure su Pannello di controllo, visualizzo bene tutte le icone. A questo punto riavvio il computer. Stesso problema all'apertura di Windows, appena clicco Start riprende il rumore e su Pannello di controllo visualizzo i file che ho sul desktop. Vado su Start, Eseguii, digito regedit, Apro il visualizzatore del registro, lo chiudo, e tutto ritorna al suo posto! Non capisco proprio cosa possa essere.
Se potete darmi una mano a risolvere questo problema abbastanza grave...
Grazie!

bdoriano

Ciao ilovetoothedog, Ciao

Segui le istruzioni di questo topic per postare il log di hijackthis.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di HT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.32.13, on 05/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Controllo\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MotiveReportAgent] "C:\Programmi\Common Files\Motive\McciBootStrapper.exe" /url="-url=file://C:\Programmi\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Programmi\Common Files\Motive\MotiveBrowser.exe" /hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226001063187
O17 - HKLM\System\CCS\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{33B1FF6C-7CEC-458B-BF15-CDED6B99F39F}: NameServer = 193.12.150.2 212.247.152.2
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Google Update Service (gupdate1c98c4526d06656) (gupdate1c98c4526d06656) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6439 bytes

ste_95 · Dio maturo Registrato: 03/08/07 14:41 Messaggi: 1920 Residenza: Italy

Nel log non si vede nulla di sospetto,

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Carica il log su WikiSend come indicato qui.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Carica il log su WikiSend come indicato qui.

edit by bdoriano: corretti i links per l'invio dei logs.

bdoriano

Non mi sembra ci siano cose strane che possano giustificare il comportamento che segnali. Think

Giusto per sicurezza, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Guarda, ti sembrerà strano ( e volevo dirtelo prima di postare il log di HT ), il disturbo è cessato. Ad ogni modo posto quello che mi hai chiesto.
Sempre più strano. Mi sa che ho davvero bisogno di un Esorcista! Smile

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di Gmer:

[LOG GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-05 22:34:08
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

---- EOF - GMER 1.0.15 ---- /LOG]
edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su WikiSend come indicato qui.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log per i rootkit:

[LOG]GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-05 23:35:18
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

---- EOF - GMER 1.0.15 ----[/LOG]
edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su WikiSend come indicato qui.

bdoriano

Non mi ero accorto che anche ste_95 ti aveva risposto.
Per cortesia, riposta i logs di gmer, caricandoli su wikisend come ti ho indicato nei miei edit.

Personalmente, preferisco il log di SystemScan perché lo trovo più completo:

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di Gmer:

Log Gmer.txt

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di Gmer per rootkit:

Log Gmer rootkit.txt

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Per favore, mi volete spiegare come si posta un log ? Ho letto le istruzioni, almeno tre volte, ma non capisco perchè a me mi vengano male.
Grazie.

bdoriano

Li hai postati correttamente, sono solo gli spazi nei links che non vengono interpretati correttamente dal bbcode. Wink

Li ho sistemati io.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ah, ti ringrazio! Smile

bdoriano

Ho dato un'occhiata ai logs che hai postato.
Sono simili (hai postato solo la sezione Rootkit, manca la sezione Autostart).
Ci sono alcuni riferimenti che mi paiono strani. Think

Per cortesia, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di Autostart:

Log Autostart.txt

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Ecco il log di SystemScan:

report.txt

bdoriano

Hai cambiato il firewall, giusto?
Sei passato da ZoneAlarm a Comodo.

Ora non vedo più le voci sospette... Think

Però, mi sembra ci siano dei rimasugli del vecchio ZoneAlarm.

ilovetoothedog · Dio minore Registrato: 16/03/06 01:05 Messaggi: 663 Residenza: Genova

Esatto, sono passato a Comodo Firewall, mi sembra migliore...
Tu dici che ci sono ancora tracce del vecchio ZoneAlarm, e penso che vorresti che le elimini, giusto ?
Allora se c'era qualche problema prima era dovuto al firewall ?

bdoriano

Si, sto verificando il report per esserne sicuro al 100%. Razz

Appena puoi, posta i 2 logs aggiornati di GMER (rootkit e autostart).
Così faccio un controllo incrociato. Wink