Olimpo Informatico

[Zodiac]

salve a tutti,mi sono già presentato nel topic relativo e in parte ho spiegato come sono arrivato qui
ho un grosso problema da più o meno due settimane a questa parte e spero possiate aiutarmi.premessa:ho libero adsl 5.1 mb quindi si sa che libero può dare problemi ma trovandomi quasi al centro di roma ed essendo ormai prolungato il problema dubito sia solo colpa della libero.
in parole povere ho la connessione molto ballerina,ma nn si sconnette semplicemente 2-3 volte al giorno,quello potrebbe passare in fondo ho libero .......il vero problema è che ci sono momenti in cui mi disconnette,mi riconnetto e mi ridisconnette subito dopo...e questo va avanti a ruota per un frazione di tempo che può andare dai 5 minuti ai 20 minuti in cui è impossibile rimanere connessi.inoltre io della cosa ne risento giocando su internet.
mi è stato passato da un mio amico quindi il programma hijackthis dicendo che forse avrebbe risolto il problema.ho letto la guida ed avviato la scansione ma da quel che ho visto "sembrerebbe"che vada più o meno tutto apposto.
chiedo quindi a voi più esperti sicuramente di me una miglior interpretazione.ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 20.02.33, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DialerSpy\dspy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O1 - Hosts: 85.18.73.4 L2authd.lineage2.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [DialerSpy] C:\Programmi\DialerSpy\dspy.exe
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG2
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE95BB03-FFC7-47C3-9CD6-924B80281A17}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

ecco secondo voi le mie strane disconnessioni a cosa possono essere dovute alla luce di tale log(se poi il problema è effettivamente qualcosa che ha infettato il pc)?
inoltre altra cosa molto strana:nell'analizzare il log mi dice che non ho nessuno firewall attivo,ma invece non è vero ........ho proprio quello di winzoz e per sicurezza ho anche guardato nel centro sicurezza pc e me lo da in verde attivo.è impazzito ?
attendo risposte perchè ormai giocare è diventata un'impresa la sera....a volte anche semplici ricerche se gli riprende un brutto momento ad internet diventano impossibili.
chiedo scusa se ho sbagliato qualcosa nel postare ma sono ancora un pò niubbo e cercato di orientarmi vedendo gli altri post e leggendo il regolamento.
aiutatemi

[ste_95]

seleziona queste voci e premi fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG2

poi scarica findawf e fai una scansione anche con lui, poi posta il log...

ps. di questa nn so:

O20 - AppInit_DLLs: MsgPlusLoader.dll

[Orange]

Benvenuto, Zodiac

caspita, che avatar! è Super Mario quel poverello?

[Zodiac]

scansione fatta con findawf

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\MIAF83~1\BAK

12/07/2005 15.35 473.928 gcasServ.exe
1 File 473.928 byte
2 Directory 158.633.299.968 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\QUICKT~1\BAK

14/12/2006 23.29 98.304 qttask.exe
1 File 98.304 byte
2 Directory 158.633.299.968 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 158.633.295.872 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

05/05/2003 09.57 143.360 SMTray.exe
1 File 143.360 byte
2 Directory 158.633.295.872 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\CREATIVE\SYNCMA~1\BAK

28/04/2006 18.08 692.224 CTSyncU.exe
1 File 692.224 byte
2 Directory 158.633.295.872 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\EXECUT~1\DISKEE~2\BAK

22/12/2004 00.29 180.312 DkIcon.exe
1 File 180.312 byte
2 Directory 158.633.295.872 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 746E-7993

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

02/06/2005 13.46 180.269 realsched.exe
1 File 180.269 byte
2 Directory 158.633.295.872 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

473928 12 Jul 2005 "C:\Programmi\Microsoft AntiSpyware\bak\gcasServ.exe"
98304 14 Dec 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
143360 5 May 2003 "C:\Programmi\Analog Devices\SoundMAX\SMTray.exe"
143360 5 May 2003 "C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe"
692224 28 Apr 2006 "C:\Programmi\Creative\Sync Manager Unicode\bak\CTSyncU.exe"
180312 21 Dec 2004 "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
73728 27 Aug 2007 "C:\WINDOWS\Installer\{76EF79CA-A6A8-41C4-AE49-E49BA075FA51}\DkIcon.exe"
73728 29 Aug 2007 "C:\WINDOWS\Installer\{CC7464F1-BE7D-49FD-88B8-49C0AA894233}\DkIcon.exe"
73728 29 Aug 2007 "C:\WINDOWS\Installer\{E87BE7F8-3077-40C1-8592-956F649A2781}\DkIcon.exe"
180312 22 Dec 2004 "C:\Programmi\Executive Software\Diskeeper\bak\DkIcon.exe"
180269 2 Jun 2005 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"


end of report

p.s thx .....sì è super mario.....per carità,mario mi sta simpatico ma l'avatar mi fa troppo ridere .
roma zona battistini,poco lontano dal vaticano

p.p.s ho eliminato i due file sopra come consigliato,ma nn in modalità provvisoria per due motivi:
-non dovrebbero essere virus
-sarebbe stata la prima volta che mettevo la modalità provvisoria e per evitare casini ho preferito fare senza

[ste_95]

scarica avenger
eseguilo
vai su input script manually
poi sulla lente
copia quanto segue:

Files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Executive Software\Diskeeper\DkIcon.exe

Files to move:
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe | C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Executive Software\Diskeeper\bak\DkIcon.exe | C:\Programmi\Executive Software\Diskeeper\DkIcon.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe

poi vai su done
poi sul semfaorino
accosnenti
a questo puno il dovrebbe riavviarsi, altrimenti fallo tu
al riavvio posta il contyenuto del lbocco note che apparirà

[Orange]

@ste: di Instant Access non c'è traccia, quindi non servono assolutamente le operazioni con Avenger da te suggerite. ci penserei un paio di volte prima di far fare qualche danno ad un PC che non è tuo.

@Zodiac: fai per cortesia quei passaggi con Gmer

[disturbatore]

[Zodiac]

scansione fatta con gmer,link:
http://www.freefilehosting.net/download/MzEzNDc=

seconda scansione con gmer,link:
http://www.freefilehosting.net/download/MzEzNTQ=

[bdoriano]

Ciao Zodiac,

I logs di gmer mi sembrano puliti, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[Orange]

[Zodiac]

log con system scan,link:
http://www.freefilehosting.net/download/MzE1NDE=

per la cronaca con le modifiche fatte tramite fix checked di hijackthis non è cambiato nulla

[Orange]

ciao.
tutto sommato anche il log di SS è pulito. ci sono un paio di spyware e qualcosina nei files temporanei, ma non credo che la disconnessione può dipendere da quello..
proviamo lo stesso:

disattiva il ripristino

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[Zodiac]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dtreypjp

*******************

Script file located at: \??\C:\qtxrwnjx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\iun6002.exe deleted successfully.
File C:\WINDOWS\temp\tmpA.tmp deleted successfully.
File C:\WINDOWS\temp\tmpB.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

log avenger

lo riattivo il ripristino?e come si fa un punto di ripristino?

[ste_95]

si, lo puoi riattivare.
per il punto di ripsristino devi andare su
start
tutti i programmi
accessori
utilità di sistema

[Zodiac]

thx.......fatto tutto,eliminato dialer spy e puliti i file temporanei,ma niente,il problema persiste,qualche idea ?

[chemicalbit]

Posta un log di HijackThis che (ri)controllaimo.

Nel frattempo hai sentito il tuo provider d'aaccesso ad internet?

[bdoriano]

Puoi usare questo per vedere se ci sono problemi con le impostazioni di rete. Scaricalo e copialo sul pc "incasinato". Lo installi e lo avvii, clicca poi sui bottoni Reset TCP/IP e Repair WinSock. Chiudi il programma, ti riavvierà il pc. Vedi se riesci a collegarti e navigare normalmente.