Olimpo Informatico

[ALVAR MAYOR]

Salve a tutti,dopo aver ripristinato ho scaricato SP2,durante l'installazione e' caduta la connessione!Un messaggio mi informa che SP2 e' da disinstallare con tutti i conseguenti rischi,disinstallo,non funziona piu' correttamente ripristino ancora(.......e tre!!!!).A questo punto mentre scarico il SP2 incomincia la sagra delle segnalazioni di errore:prima una di Windows,poi tre anonime!

WINDOWS:Segnalazione errori
C:\WINDOWS\Minidump\Mini110107.dmp
C:\DOCUME~1\ROBERTO\IMPOST~\Temp\WER5A.tmp.dir00\sisdata.xml
BC Code:50 BCP1:BAD08158 BCP2:00000000 Bcp3:8057237A
BCP4:00000000 OSVer:5_1_2600 SP:0_0 Product:256_1
******Il simbolo ~ e' piu' in alto,come gli asterischi********
Un avviso di Windows mi ha anche detto che il sistema era stato ripristinato a causa di un grave errore.

ANONIME:MESSAGGIO DA REGISTRY A SYSTEM
STOP!Registry errors can cause severe data loss scan criticalsystem errors
to scan and fix errors please do the following
download registry cleaner from .scanpc32.com
install registry cleaner
run registry cleaner
reboot
failure to act may lead to data loss and corruption
Lo stesso messaggio si e' ripetuto con altri indirizzi:.helpfix.com e
.regifix.com.
Questi sono i miei dati: SO XP PRO Ver.2002 SP2
Antivirus Nod32
Firewall di Windows

Questo e il log di HJT:(mi sono mangiato la p di spyware )
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.21.44, on 02/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Programmi da Olimpo per Syware-Malware\Installazioni dei programmi\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Softwin\BitDefender10\bdmcon.exe
C:\Programmi\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\ATKOSD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Programmi da Olimpo per Syware-Malware\Installazioni dei programmi\Spybot search and destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender10\vsserv.exe
C:\Programmi\Programmi da Olimpo per Syware-Malware\Installazioni dei programmi\HJT\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\PROGRA~1\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programmi\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Programmi da Olimpo per Syware-Malware\Installazioni dei programmi\Spybot search and destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: ASUS Hotkey.lnk = C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\PROGRA~1\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\PROGRA~1\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193879064126
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Programmi da Olimpo per Syware-Malware\Installazioni dei programmi\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programmi\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 5698 bytes

Grazie per l'attenzione!

[bdoriano]

Ciao ALVAR MAYOR,

Il log sembra pulito, comunque, per sicurezza, scarica Rogue Remover Free, installalo, aggiornalo e fagli fare una scansione del tuo pc. Se trova qualcosa, faglielo eliminare.

Alla fine, prova a fare questi passaggi:
Scansione con FindAWF
Scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.

[ALVAR MAYOR]

Rogue Remover non ha trovato niente,questi sono i link richiesti,ho qualche dubbio sul log di FAWF,forse ho sbagliato qualcosa.
Nuov Documento di testo15.txt
Nuovo Documento di testo16.txt
Nuovo Documento di testo (2)1.txt

[bdoriano]

I logs non evidenziano cose strane.
Le finestre anonime compaiono ancora?
Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.

[ALVAR MAYOR]

Ciao bdoriano,grazie per l'assistenza!Le finestre anonime sono apparse solo mentre installavo SP2,anche quella di Windows non e' piu apparsa(anche questa era dovuta a malware?).
Ecco il link e grazie ancora
03_11_2007_16_39_report.zip