Olimpo Informatico

pietruzzzo · Inviato: 05 Feb 2008 16:35 Oggetto: CiD...

ciao a tutti...

vi scrivo perchè ho bisogno di aiuto a risolvere un problema con l'apertura improvisa di finestre di explorer che mi indirizzano a diversi siti (di vario tipo) con intestazione CiD : nome del sito.

ho già visto dei topic aperti sull'argomento. ho provato a seguire le procedure consigliate ma nessuno di questi mi è stato utile a risolvere il problema.

Vi posto il log di hijack( così abbreviamo) che ho dovuto fare in modalità normale perchè il pc non mi si avvia in modalità provvisoria:
all' avvio faccio F 10 (buffo perchè in genere mi ricordavo che si accedeva alla console di scelta delle varie modalità con F8) e una volta sulla schermata in cui scelgo le opzioni, seleziono modalità provvisoria e il pc elabora per un po e poi riavvia normalmente. (se riuscissi a risolvere anche questo problema non sarebbe male Razz

)

vi ringrazio anticipatamente per l'aiuto.

pietro

Logfile of HijackThis v1.99.1
Scan saved at 15.34.58, on 05/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\a-squared free\a2service.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Wireless LAN Utility\tiwlnsvc.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programmi\Wireless LAN Utility\TIWLANCu.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmi\Labtec\WebCam10\WebCam10.exe
C:\Programmi\Search Settings\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\PIETRU~1\IMPOST~1\Temp\Rar$EX00.659\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb125\SearchSettings.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [TI WLAN] C:\Programmi\Wireless LAN Utility\TIWLANCu.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Labtec\WebCam10\WebCam10.exe" /hide
O4 - HKLM\..\Run: [SearchSettings] C:\Programmi\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [seek 1 skip mfcd] C:\Documents and Settings\All Users\Dati applicazioni\Four Help Seek 1\Boob road.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [nameproc] C:\DOCUME~1\PIETRU~1\DATIAP~1\Plusdate\Hold Bits Data.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{98AF8819-9362-4944-9276-4D2AA181316D}: NameServer = 213.140.2.12,213.140.2.21
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programmi\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programmi\File comuni\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TI Wlan Service (tiwlnsvc) - Unknown owner - C:\Programmi\Wireless LAN Utility\tiwlnsvc.exe

bdoriano · Inviato: 05 Feb 2008 17:31 Oggetto:

Ciao pietruzzzo, Ciao

Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

pietruzzzo · Inviato: 05 Feb 2008 18:42 Oggetto:

ciao Bdoriano...
grazie della risposta...

allora, per riavviare in modalità provvisoria, non riesco afarlo con nessuno dei tre sistemi indicati.
in tutti e tre i casi, il pc si riavvia e tenta di entrare in modalità provvisoria, ma dopo un po alla fine si riavvia sempre normalmente.
uin questo momento, sto provando col 3° sistema e non fa altro che riavviarsi in continuazione. non riesce ad accendersi neanche in modalità normale...

come posso fare?

ps... ovviamente ti sto scrivendo da un altro pc...

grazie

pietruzzzo · Inviato: 05 Feb 2008 19:04 Oggetto:

Help!
non mi si accende più il pc...

va in loop con il tentativo di riavvio in modalitò provvisoria...

Crying or Very sad

bdoriano · Inviato: 05 Feb 2008 19:16 Oggetto:

Probabilmente il virus ha "disabilitato" la possibilità di usare la modalità provvisoria. Think

Riesci a premere F8 dopo i messaggi del BIOS e chiedere di entrare in modalità normale?

pietruzzzo · Inviato: 05 Feb 2008 19:24 Oggetto:

posso entrare nel bios...
se carico i "default Optimals" comunque una volta fatto Ok inizia il loop

a me nella schermata della scelta della modalità provvisoria entrava con F 10 (anche se poi non mi caricava la modalità provvisoria) e ora se pigio F 10 non succede niente...

insomma per ora salvo diverse "dritte" l'unica cosa che riesco a fare è accedere al bios.

aiuto....

bdoriano · Inviato: 05 Feb 2008 19:25 Oggetto:

Dovresti premere F8 dopo i messaggi del BIOS.
Dovrebbe comparirti un'elenco di scelte per l'avvio di Windows.

pietruzzzo · Inviato: 05 Feb 2008 19:35 Oggetto:

già provato Bdoriano...

se pigio F 8 mi appare la schermata per selezionare il first boot device...

per accedere alla schermata di selezione per la modalità provvisoria, anche prima di tutto questop casino, dovevo pigiare F 10...

ora se lo schiaccio non succede niente...

bdoriano · Inviato: 05 Feb 2008 20:24 Oggetto:

Allora fai così:

premi F8 dopo i messaggi del BIOS
ti chiede il boot device
scegli il disco fisso
premi nuovamente f8
ti chiede le opzioni di avvio di windows

pietruzzzo · Inviato: 05 Feb 2008 21:08 Oggetto:

riavvio...

premo F 8
scelgo il disco fisso
invio
ripremo F 8
appare la schermata di scelta modalità di avvio
seleziono modalità provvisoria
la schermata sparisce
schermo nero con "_" in alto a sx che lampeggia
di nuovo schermo nero
si riavvia in automatico....

Crying or Very sad

che disastro... non riesco a uscirne

ps ho provato a ripetere la cosa più volte e anche con le altre opzioni delle modalità di avvio... niente....

bdoriano · Inviato: 05 Feb 2008 21:18 Oggetto:

Rifacciamo:

premi F8 dopo i messaggi del BIOS
ti chiede il boot device
scegli il disco fisso
premi nuovamente f8
ti chiede le opzioni di avvio di windows
scegli la modalità normale (visto che la provvisoria non funziona)
Segui le istruzioni di questo topic per postare il log di combofix.
Fai queste scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.

pietruzzzo · Inviato: 05 Feb 2008 21:23 Oggetto:

aspetta Bdoriano...

io NON riesco ad accedere a Windows! Crying or Very sad

il massimo a cui arrivo è la schermata in cui appare la scritta windows XP con la "barra progressiva" che scorre sotto...

anche seguendo la procedura che mi hai indicato, il risultato è lo stesso...
schermata nera e riavvio automatico del computer!

bdoriano · Inviato: 05 Feb 2008 21:40 Oggetto:

Se riesci ad accedere al disco con un altro pc o con un cd autoavviante tipo ubcd4win (o distribuzione linux), puoi modificare il file c:\boot.ini eliminando la voce /safeboot.

pietruzzzo · Inviato: 05 Feb 2008 21:46 Oggetto:

ciao...

non ho il cd autoavviante... come lo recupero eventualmente?

per accedere all'hard disk da un altro pc che devo fare? lo devo smontare e montare su quell'altro?

può essere che tutto questo casino è dato dal fatto che ho creato un cocktail di comandi per cercare di accedere alla modalità provvisoria?

ho disattivato il ripristino configurazione di sistema.

poi ho anche seguito la procedura Start > msconfig ecc...

non so se queste informazioni ti possono essere d'aiuto

bdoriano · Inviato: 05 Feb 2008 21:54 Oggetto:

pietruzzzo · Inviato: 05 Feb 2008 21:57 Oggetto:

ah ok! che scemo...

si ho il cd di windows...
come procediamo?

bdoriano · Inviato: 05 Feb 2008 22:04 Oggetto:

Inserisci il cd di windows e riavvia il pc.
quando parte il cd scegli di avviare la console di ripristino.
quando si avvia la console di ripristino, ti dovrebbe chiedere su quale hd lavorare (e dovrebbe essere 1).
dopodiché usi il comando bootcfg

pietruzzzo · Inviato: 05 Feb 2008 22:04 Oggetto:

allora.. inserito cd
avviato da questo

selezionato console di ripristino

chiede quale installazione di windows si vuole accedere?
seleziono 1 che poi è l'unica opzione che ho...

digitare la password
premo tab visto che non ne ho una...

appare C:\WINDOWS>

e ora che devo fare?

pietruzzzo · Inviato: 05 Feb 2008 22:05 Oggetto:

ok fatto...
mi è apparasa una lista di roba...
te la devo elencare tutta?

bdoriano · Inviato: 05 Feb 2008 22:07 Oggetto:

si, vediamo quali opzioni andare a modificare.