Olimpo Informatico

[Parnassus]

Ciao a tutti.
Ho eseguito le istruzioni del "Pronto Soccorso Virus!"

Dopo aver avviato hijackthis, questo elencato sotto è il risultato.
Ho postato il vostro log, e ora attendo con pazienza una risposta di qualche utente più esperto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.51.45, on 27/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Programmi\Uniblue\SpyEraser\SpyEraser.exe
C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\CoolStreaming\cool.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\eMule\emule.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66008
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe D:\WINDOWS\Media\Installed\lsass.exe
O2 - BHO: (no name) - {02478d38-c3f9-4efb-9b51-7695eca05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1601.0\it\msntb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe" "ZyXEL\USB ADSL"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programmi\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\npjpi160_16.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\npjpi160_16.dll
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.com/download/files/win/expressview/webinstall/isetup.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53FDCD7-40D3-4F07-838D-3F2811DDEE31}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programmi\LizardTech\Express View\expressview.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programmi\LizardTech\Express View\expressview.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Dialer Service (a2antidialer) - Unknown owner - C:\PROGRAMMI\A-SQUARED ANTI-DIALER\a2service.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (lbtserv) - Logitech, Inc. - C:\Programmi\File comuni\Logitech\Bluetooth\LBTServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 9359 bytes

[bdoriano]

Ciao Parnassus e benvenuto,

effettivamente, hai almeno un ospite indesiderato...
Chiudi tutti i programmi e fai queste operazioni preliminari:

• Pulisci i files temporanei con CCleaner
  
• Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• scarica e installa la versione Free di SuperAntispyware:
  la configuri come da immagini:
  
  
  
  
  esegui una scansione completa del sistema
  
• Fai questa scansione con SystemScan.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SuperAntiSpyware su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di SystemScan su WikiSend e posta il Forum Link che ti viene assegnato.

[Parnassus]

Gentilissimo bdoriano,
ritengo doveroso iniziare ponendo i dovuti ringraziamenti per la tempistica ricevuta al mio quesito iniziale.
Purtroppo, atraverso un lavoro lento e paziente, sono riuscito ad arrivare sino al momento in cui le istruzioni dicono:
"Vediamo come usare SystemScan di SuspectFile, lo strumento "estremo" per la verifica del pc....
# IMPORTANTE: Disattiva temporaneamente il tuo antivirus.
# Clicca qui (tenendo premuto il tasto CTRL).
# Dopo qualche secondo ti parte il download del programma di scansione.
Si chiamer? SYS#####. Dove, al posto dei #####, ci saranno dei numeri casuali. "

Peccato che clicco qui (tenendo premuto CTRL) mi scarica in pochissimi secondi il logo SYS#### ma quando ci faccio doppio clic sopra si vede una clessidra per 1-2 secondi e poi pi? nulla...
Non riesco a fare questa scansione.
Suggerimenti ???
Grazie !!

[R16]

Ciao.
Prova da qui, senza tenere premuto il tasto Ctrl:
link

In alternativa, se proprio non riesci a scaricarlo, puoi scaricare Combofix:
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

[Parnassus]

Un saluto a tutti e un saluto speciale a coloro che tentano di alzare il mio basso (molto basso…) livello culturale sul PC.
Dopo aver fatto visionare il “Running processes” di hijackthis, girato sul mio computer, con benevola pazienza l’Amministratore (bdoriano) mi ha indicato “una via da percorrere”.
Sperando che torni utile a qualcuno, questi i risultati.
Passo 1. = Puliti i files temporanei con CCleaner. Tutte le operazioni indicate in questa fase si sono svolte regolarmente e senza intoppi.
Passo 2 = Rimossi gli ADS con HijackThis. Anche questa operazione si è svolta regolarmente (almeno credo…). Sono rimasto perplesso nel vedere che ho messo la spunta a molte caselline su ADS rilevati (scusate, ma cosa sono gli ADS ???. Se erano da togliere, sicuramente non credo fossero cose positive !!)
Passo 3 = Ho seguito le istruzioni del Topic. Ho scaricato e fatto girare Malwarebytes' Anti-Malware. Anche in questo caso, devo dire, ho trovato un po’ “di immondizia”.
Sino ad ora, istruzioni semplici e chiare per un “pellegrino” quale sono.
Passo 4 = Scaricato, installato e fatto girare la versione Free di SuperAntispyware. In questa fase trovato 1 solo elemento da eliminare.
Passo 5 = Come già riportato nelle discussioni, qui mi bloccavo perché non riuscivo ad aprire il programma “SuspectFile”.
Interveniva R1 (Semido) che suggeriva “Prova da qui, senza tenere premuto il tasto Ctrl:
http://www.suspectfile.com/systemscan”, ma anche in questo approccio, nulla da fare. Non si riusciva a scarica.
Allora sono passato alla soluzione alternativa, sempre indicata da R1 (“se proprio non riesci a scaricarlo, puoi scaricare Combofix:).
Peccato che arrivato alla schermata celeste “scansione file infetti….Sul pc molti infetti il tempo di scansione può raddoppiare facilmente…”, sono crollato davanti ad una attesa perenne….
Ho atteso inutilmente per 90 minuti (dei previsti 10…). Quando ho visto che la schermata celeste non dava segni di vita (nessun stage completato…) mi sono arreso.
Nel frattempo una considerazione. Il mio PC era lento e continua a rimanere lento (meno virus o similari, ma sempre troppo lento per un Asus k Series K70IO).
Cosa suggerite ??
Avevo pensato di fare un “Running processes” di hijackthis per vedere la situazione cristallizzata al momento.
Rimango in attesa di un cortese riscontro e saluto cordialmente
Parnassus

[bdoriano]

90 minuti?
Wow!

Comincia a postare i logs dei programmi che sei riuscito a fare girare finora, così abbiamo qualche indizio iniziale di quello che sta accadendo al tuo pc.

Per quanto riguarda SystemScan, clicca qui per scaricarlo (in formato zippato).
Scompattalo sul desktop e avvialo, ovviamente disattivando il tuo antivirus.

Facci sapere come procede.

[Parnassus]

Salve di nuovo !!
Credo che ci siamo impallati....
Ho scaricato SystemScan sul desktop (sys83856.exe).
Così come per sys9511.exe - sys15980.exe - sys99754.exe (e già segnalato), appare la clessidra per 1/2 secondi e non succede nulla (ho disattivato l'antivirus).
Scusa l'ignoranza (non a caso "comune mortale...).
Come faccio a postare i logs dei programmi che sono riuscito a fare girare finora ?? Me lo spiegate passo passo ?? (immagino sia una ignoranza grave, ma il dramma di chi tenta di approfondire la sua conoscenza del proprio PC spesso si imbatte in medici e sapienti che danno per scontato cose che, per noi umani, sono di difficile comprensione...)
Solo gratitudine.
Parnassus

[bdoriano]

Carica i logs su uno dei servizi di hosting indicati in questa discussione.

[R16]

Buongiorno Parnassus
Per facilitare le operazioni future, si può sempre eliminare, quello che già si vede dal log di HijackThis .

1)Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe D:\WINDOWS\Media\Installed\lsass.exe
O2 - BHO: (no name) - {02478d38-c3f9-4efb-9b51-7695eca05670} - (no file)
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\USB ADSL\CnxDslTb.exe" "ZyXEL\USB ADSL"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.com/download/files/win/expressview/webinstall/isetup.cab
O23 - Service: a-squared Anti-Dialer Service (a2antidialer) - Unknown owner - C:\PROGRAMMI\A-SQUARED ANTI-DIALER\a2service.exe (file missing)

N.B:
Se la voce 023 non si elimina, prova in Modalità provvisoria.

Fai una pulizia con CCleaner.

Riavvia il pc per confermare le modifiche.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO.

Sarebbe anche interessante, sapere cosa hai installato nella partizione D:\

Aspettiamo buone nuove. (oltre ai log che posterai)

[Parnassus]

Un caloroso saluto a tutti i frequentatori dell'Olimpo !!!
Come temevo, ci siamo (o, se preferite, mi sono) avvitato su me stesso....
Andiamo con ordine, perchè altrimenti mi perdo.
1. Disattivato il "Ripristino di configurazione di sistema". Tutto OK
2. Avviato hijackthis, e messa la spunta alle voci elencate da R1 e con tutte le applicazioni chiuse e disconnesso da Internet. Poi premuto su fix checked
3. Osservazione. Non era presente (e quindi non ho potuto spuntare nulla...) la voce:
"F2 - REG:system.ini: Shell=explorer.exe D:\WINDOWS\Media\Installed\lsass.exe".
Come mai ?? Quale incubo stà vivendo il mio PC ?
Andiamo avanti.
Come acutamente mi è stato fatto notare: "...Se la voce 023 non si elimina, prova in Modalità provvisoria... ".
Peccato che quando premo F8, per entrare in modalità provvisoria, mi appare la schermata nera, scelgo la "Modalità provvisoria" ma quando premo "Invio" il PC si riavvia (riparte con il boot...) e mi ritorna alla schermata nera, nuovamente con la possibilità di scelta delle varie opzioni tra cui "Modalità provvisoria". Quando premo, il PC si riavvia.... e così per due o tre tentativi sino a quando ho realizzato che NON HO POSSIBILITA' DI ACCESSO ALLA MODALITA' PROVVISORIA".
Comunque, per non far torto a nessuno, ho continuato e ho fatto anche una pulizia con PCcleaner. Tutto OK
Poi Start/Esegui/digitato %temp% e svuotata la cartella temp (cancellato un solo file...).
Successivamente aperta cartella Prefecht e ho eliminato 130 voci.
Ripulito il cestino.
Tutto OK.
Risultato. Il PC mi sembra, effettivamente, un poco più veloce ma per poter dare una conferma attendibile dovrei lavorarci un poco.
Viceversa sapreste dirmi il perchè degli intoppi segnalati sopra ??
Risposta per quanto riguarda la partizione D:\. Contiene esclusivamente file che scarico da internet e vado a raccogliere in D:\. Il materiale di interesse, una volta omogeneizzato, verrà trasferito, su CD.
Infine questi Log. Ho capito come li devo "postare".
Quello che non ho chiaro è da dove li devo prendere per "postarli".
E lo so... sono un somarello, povero e misero mortale.
Ma faccio notare che con il PC, spesso, si parte per fare dei piccoli interventi ma poi ci si rende conto che la macchina non è esattamente nello "status" che uno poteva supporre ma escono magagne o stranezze particolari.

Questo, attualmente, è il risultato dello Scan fatto da HijackThis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.58.46, on 31/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Uniblue\SpyEraser\SpyEraser.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Bruno\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1601.0\it\msntb.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Programmi\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\npjpi160_16.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\npjpi160_16.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53FDCD7-40D3-4F07-838D-3F2811DDEE31}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: jpip - {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programmi\LizardTech\Express View\expressview.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: sidlet - {B92DD248-E3D5-4A92-B311-C9B841681455} - C:\Programmi\LizardTech\Express View\expressview.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Dialer Service (a2antidialer) - Unknown owner - C:\PROGRAMMI\A-SQUARED ANTI-DIALER\a2service.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (lbtserv) - Logitech, Inc. - C:\Programmi\File comuni\Logitech\Bluetooth\LBTServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 5956 bytes

Se qualcuno può/vuole farmi sapere qualcosa, io rimango in paziente e serena attesa.
Un abbraccio a tutti coloro che aiutano i poveri e miseri mortali come me.
Ciao

[bdoriano]

Per recuperare il log di MBAM:

• Avvia MBAM
  
• Clicca File di log
  
• Seleziona il file di log nell'elenco che ti compare
  
• Clicca Apri
  
• Ti si apre il Blocco note con il contenuto del file
  
• salvalo con un nuovo nome sul desktop
  
• carica il nuovo file su FreeFileHosting come indicato qui e posta il forum link che ti viene assegnato.

Per recuperare il log di SuperAntiSpyware:

• Avvia SuperAntiSpyware
  
• Clicca Preferences... / Preferenze...
  
• Clicca Statistics/Logs / Statistiche/Registri
  
• Clicca View log... / Visualizza il registro...
  
• Ti si apre il Blocco note con il contenuto del file
  
• salvalo con un nuovo nome sul desktop
  
• carica il nuovo file su FreeFileHosting come indicato qui e posta il forum link che ti viene assegnato.

[Parnassus]

Seguite le istruzioni.
Mi sono ritrovato 3 log.
Io li inserisco tutti e tre !!!
Questo è il forum link del primo ABM
1. mbam-log-2009-10-27 (18-22-55).txt
Questo è il secondo:
2. mbam-log-2009-10-28 (09-56-29).txt

E questo il terzo:
3. mbam-log-2009-10-29 (11-01-02).txt.

Tra breve invio gli altri...
Ciao

[Parnassus]

Ed ecco il log di AntiSpyware:
1. SUPERAntiSpyware Scan Log - 10-28-2009 - 11-43-18.log

Spero vi sia stato di aiuto x comprendere meglio.
Rimango in attesa di avere sviluppo sulle condizioni del mio PC.
Grazie a tutti !!

[R16]

[Parnassus]

Scaricato Findykill e svolte tutte le operazioni indicate.
Accipicchia !! Con voi dell'Olimpo "ho visto cose (programmi...) che noi miseri mortali non possiamo neanche immaginare...".
Poi scaricato Elibagla e fatto girare.
Risultato:
FindyKill.txt

Nel frattempo il mio PC mi sembra un poco più veloce, ma siamo ancora lontani dagli Standard che, sono sicuro, la macchina può raggiungere.
Naturalmente grazie a tutti voi per la cortesia che mostrate nel tentare di alzare i miei miserevoli livelli informatici.

Se, come penso e spero, arriveremo ad una buona soluzione finale, ho già pronto, in canna, una serie di quesiti informatici.
Che la felicità e l'allegria sia vostra fedele compagna...
Ciao Parnassus 8)

[R16]

Buonasera.
Vorrei vedere il log di Elibagla.

Per cominciare, dovresti eliminare tutti i Crack /Keygens che si trovano in D:\
E' attraverso questi Crack che hai imbarcato il Beagle.

Adesso, dovresti essere in grado di entrare in modalità provvisoria, per cui:

Scarica Norman Malware Cleaner:

link

accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore

lancia Norman ed esegui una scansione completa

al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema


accedi nuovamente al sistema in modalità provvisoria con un account con privilegi di Amministratore

rilancia Norman ed esegui una seconda scansione completa

al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2
Posta i log.

Quando hai finito, prova a far partire Combofix.
Se riesci a fare la scansione, posta anche il suo log.

[Parnassus]

Gentile R1,
come avrà capito non a caso sono un misero mortale...
Per errore ho inviato il log di Findykill.
In realtà mi era stato chiesto il log di Elibagia.
Lo inserisco adesso...
InfoSat.txt

Tra breve iniziero a fare le operazioni descritte per scovare il "Beagle".; spero di riuscirci...
Desideravo, giunti a questo punto, porre un quesito che, ritengo, sia lecito.
Da quando si è iniziato questo interessante scambio di missive, non ho fatto altro che scimmiottare quello che voi gentilmente avete indicato.
Scarica questo, logga quest'altro, ora scansiona questo, ora riavvia e aspetta fiducioso, etc. etc. etc.
Ma la domanda (direbbe qualcuno...) nasce spontanea.
Perchè non viene mai specificato:
a. qual'è il tipo di problema/i che affligge il mio PC e che si stà cercando di bonificare;
b. la funzione operativa per cui si deve scaricare e far girare un certo programma piuttosto che un altro;
c. attraverso step successivi, indicare quali siano gli obiettivi che, successivamente, si vuole raggiungere per arrivare al risultato finale.

I quesiti di cui sopra nascono dal fatto che io (o meglio, voi...) una volta che riuscite a far tornare efficiente il PC io mi ritrovo con una serie di programmi sul PC di cui non sò quale siano le caratteristiche operative e come poterli utilizzare in futuro o cosa poter fare per non cadere di nuovo in avaria con il PC.

Rimango in attesa di un vostro gentile e cortese riscontro,
saluto cordialmente l'Olimpo Informatico e ricordarsi di ricordare che un sorriso non ha mai fatto male a nessuno...
Grazie,
Parnassus

[R16]

[Parnassus]

Gentile Olimpo Informatico,

citazione:
Adesso, dovresti essere in grado di entrare in modalità provvisoria, per cui:
Scarica Norman Malware Cleaner:
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
accedi al sistema in modalità provvisoria con un account con privilegi di Amministratore

Sono in grado di entrare in modalità provvisoria (F8) con Account Amministratore.
Ho scaricato, in modalità normale, (sul desktop) Norman Malware.
Ma se entro in modalità provvisoria non appare sul desktop.
Ho provato ad entrare in “modalità provvisoria in rete” ma non mi fa connettere con Internet per provare a scaricare Norman.

Quindi non riesco ad accedere a questa istruzione.
Posso solo far “girare” Normal Malwere dal PC normalmente.
Saluti dal vostro mortale devoto….

[R16]

Buongiorno.
Crea una cartella nel Desktop, dagli un nome, e mettici dentro Norman.
Poi prova in Modalità provvisoria, a vedere se trovi la cartella e fare la scansione.