Olimpo Informatico

[flames24]

da qualche giorno sono alle prese con un problema al pc di mio babbo che mi sta facendo diventare matto ! ! !

mentre navigava è comparso un avviso di intrusione da virus, non sapendo cosa fare è uscito e ha spento il pc....ora all'avvio compare:

MSASCui.exe errore applicazione
applicazione non correttamente inizializzata

chiudo la finestra e tutto normale tranne che l'antivirus (AVG) non funziona, i vari anti spyware non funzionano (spybot, malware, super antispyware), windows defender ha problemi e quando si è connessi in internet ogni tanto mi chiude internet explorer.
le ho provate tutte anche se non ci capisco molto ho provato con i consigli che ho trovato nel forum ma niente da fare!!!!

A I U T O !!!

come sistema operativo ho VISTA....posto il log di hijackthis così se mi potete dare una mano: (ahh dimenticavo ho disinstallato tutti gli antivirus antispyware ecc....ma niente)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.00.13, on 04/01/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\hp\support\hpsysdrv.exe
C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Windows\PixArt\PAC207\Monitor.exe
C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\Windows\system32\msfeedssync.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=84&bd=Presario&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1231661474&rver=5.5.4177.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx%3Fn%3D2002379773&id=64855
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=84&bd=Presario&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=84&bd=Presario&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [PAC207_Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [EPSON BX300F Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "C:\Windows\TEMP\E_S6834.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55772E0F-C9CC-43D4-90B5-83850A9D58AB}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E50EC8C0-59F1-48CA-A9A5-0CC77B768C72}: NameServer = 85.37.17.47 85.38.28.82
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Servizio di Google Update (gupdate1ca1353f30cc3f9) (gupdate1ca1353f30cc3f9) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

--
End of file - 8030 bytes


attendo la venuta di un esperto
intanto grazie mille!!!!
ciaoo

[Sante62]

Ciao flames24 e benvenuto...
Procedi con queste scansioni preliminari:

• Pulisci i files temporanei con
  CCleaner
  
• Segui le istruzioni di questo topic per rimuovere gli ADS con Hijackthis.
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
• Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
  
• Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

Connettevi a internet solo per contattare questo forum, per adesso, per evitare ulteriori infezioni, a parte il fatto , come mi sembra di capire, che siete senza antivirus.

[flames24]

grazie per la risposta....

pulito file temporanei con CCleaner
rimossi ADS con Hijackthis

ma purtroppo il problema più grosso è che MBAM come tutti gli altri programmi vedi Spybot, SuperAntispyware ecc ecc non riesco ad installarli e se li installo non funzionano, non capisco il perchè!!!! clicco 2 volte sul file di installazione e niente come se non avessi fatto nulla, nessun messaggio!!!

la situazione è sempre come prima....non so cosa sia ma i programmi antivirus e antispyware sembra che siano bloccati!!!

intanto ti posto il forum link di hijackthis:

hijackthis.log

dacci un'occhiata tu....grazie a presto spero con buone notizie!!!

[Sante62]

Il log di HJT non presenta problemi di sorta.
Segui le istruzioni di questo topic per eseguire combofix. Accedi al link riguardante le istruzioni per Win Vista.

Quando lo scarichi cambia il nome; esempio Combo-fix, insomma fai in modo che non mantenga il nome originale, per impedire al malware di riconoscerlo e speriamo bene.

[flames24]

GRAZIEEE MILLLEEEE SANTE!!!

eseguito alla lettera topic per combofix riavviato il computer ed ora tutto funziona alla perfezione!!! 8)

posto il log per sicurezza:

ComboFix.txt


ultima cosa:
che programmi mi consigli di installare??
io nel pc a casa ho AVG, spybot search and destroy, spyware blaster e superantispyware ! !

grazie ancora per la pazienza!!!!

[Sante62]

Bene, adesso ripeti l'operazione con MBAM....

Come antivirus e/o antimalware installa:
AviraAntivir
Installa e configura AntiVir come indicato in:
questo documento
la versione Free di SuperAntispyware:;
la configuri come da immagini

Fa le scansioni con questi. Lascia anche MBAM, che può sempre tornare utile in caso di emergenza. Alla fine invia anche un log aggiornato di HJT.

[flames24]

ecco fatto tutto !! !! 8)

log aggiornato di hijackthis:
hijackthis.log

dato che lo conoscevo già ho installato AVG al posto di avira (se è molto inferiore posso anche cambiare!!)

ho aggiunto forse esagerando un po':
Spybot S&D
Spywareblaster
MBAN
e SuperAntiSpyware
configurato tutto seguendo i consigli del forum.....fatto tutti gli scan possibili ed immaginabili
dovrei essere OK !! !! !!

[Sante62]

Per me andava Avira, perchè è più leggero, e un ottima capacità di individuazione. Poi fai tu...

Per il resto, se vuoi, disinstalla spyware blaster e tieni pure gli altri.

Se non ci sono altri problemi dovremmo aver finito.

[flames24]

ok vada per avira....
grazie mille ancora per i preziosi consigli!!!




alla prossima disavventura

[Sante62]

Alla prossima...