Olimpo Informatico

[blumarinets]

Vi posto qui il log hijackthis come mi ha detto di fare Fulmine

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.29.25, on 31/07/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Users\Tizi2\Desktop\Programmi vari\Sicurezza Pc\HiJackThis.exe
C:\Windows\system32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eGames Toolbar - {4E7BD74F-2B8D-469E-85B2-BC27FE9AAE2E} - C:\PROGRA~1\EGAMES~1\EGAMES~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: eGames Toolbar - {4E7BD74F-2B8D-469E-85B2-BC27FE9AAE2E} - C:\PROGRA~1\EGAMES~1\EGAMES~1.DLL
O3 - Toolbar: &WebTrad - {7056E733-8C57-4E4E-9085-E50DE6F3374E} - C:\Program Files\Expert System\PlanetGate\IEETRADBANDS.DLL
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://194.244.16.123/g_bin/eng/boards_2_0_0_34.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C7AC69A-CFD2-4F1B-A51B-F0B5B9AA64B3}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF6D9C49-DB67-4333-B5A9-0B0E0904ABE3}: NameServer = 85.37.17.14 85.38.28.78
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C7AC69A-CFD2-4F1B-A51B-F0B5B9AA64B3}: NameServer = 85.37.17.14 85.38.28.78
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--
End of file - 8086 bytes

[Sante62]

Ciao blumarinets
Qualcosina c'è, ma se dici che problemi riscontri è ancora meglio;
Provvedi con pulizie generiche:

• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Segui le istruzioni di questo topic per usare MBAM.
  
• Segui le istruzioni di questo topic per eseguire combofix.
  
• Segui le istruzioni di questo topic per postare il log di HiJackThis.
  
• Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
  
  • Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.
    
  • Carica il log di HiJackThis su WikiSend e posta il Forum Link che ti viene assegnato.

[blumarinets]

Domani faccio quello che mi consigli. Per i problemi che ho avuto, li ho scritti in questo topic:

http://forum.zeusnews.com/viewtopic.php?t=34667&postdays=0&postorder=asc&start=0

Intanto grazie.

[Sante62]

Ah ecco....hai il PC leggermente incasinato...

[blumarinets]

Ho fatto 2 delle 3 cose richieste.
Il programma Combo Fix continua a non funzionare (come l'altra volta che avevo problemi...), per le altre 2 cose, ecco i link:

MBAM

mbam-log-8-1-2008 (14-03-32).txt

HIJACKTHIS

hijackthis.log

[Sante62]

Sembra sia infetto da Bagle;
Guarda questa discussione scarica e fai la scansione con Elibagla;

Fai anche la scansione con Systemscan e posta il log generato come
indicato quì

Se non dovesse funzionare il primo, procedi con il secondo.

[blumarinets]

Elibagla non ha funzionato bene, durante la scansione, sono apparsi molti messaggi in cui si diceva che l'accesso a certe cartelle era negato, e poi finita la scansione e riavviato il pc, il log C:\InfoSat.txt. non appariva, ci ho provato 3 volte, ma niente da fare...

Questo è il llink del log di SystamScan:

report_1217679753318.txt

[Sante62]

Guarda la cartella C:\Windows\system32 se è visibile, e guarda anche la visualizazione dei file nascosti e di sistema è abilitata;

Nel log di Systemscan non trovo file pericolosi o quantomeno che possano creare questo tipo di problemi..

[blumarinets]

La cartella che mi dici c'è (contiene 2602 elementi, c'è anche lsass.exe, 2605 visualizzando anche i file nascosti).
Normalmente la funzione di visualizzazione dei file nascosti, c'è l'ho disabiltata.

[Sante62]

Prova a far girare Combofix dalla modalità provvisoria e poi dalla modalità normale...

[blumarinets]

Non solo non funziona, ma se lo riscarico, e tento di far partire quello appena scaricato, mi viene un messaggio di avviso di pc tools spyware doctor, dice che un applicazione cmd.exe tenta di entrare nel file: C:\327882R2FWJFW\PV.CFEXE

[Sante62]

Cerca questo file ed eliminalo:

[blumarinets]

Mi riferivo a ComboFix, quel programma nel mio pc proprio non vuole funzionare.

Il file che mi hai detto di cancellare, non l'ho trovato.

Comunque, per spiegarmi meglio, lunedì ho avuto il problema che ho riferito nel topic "lsass.exe" nella sezione "windows vista".
Potevo andare solo in modalità provvisoria, mercoledì pensavo di averlo risolto, visto che riuscivo di nuovo ad usare la modalità normale (avevo creato un nuovo account, come spiego nel topic che ho citato prima), però mi accorgo che l'antivirus non funziona a dovere, e il centro sicurezza pc non si avvia.
Giovedì ho fatto una scansione con RegSeeker, ed eliminato tutti i risultati in verde.
Poco fa, prima di risponderti, per provare (non ho pensato di farlo dopo la scansione con RegSeeker), ho disinstallato l'Avast (che fino a poco prima non funzionava) e l'ho nuovamente installato. Ora funziona! Le due iconcine blu finalmente compaiono in basso a destra.
Il centro sicurezza pc, però, non si avvia ancora.
A me interessava sopratutto far ripartire l'antivirus, ed ora quel problema sembra risolto.
Ora, io non ho capito se il mio pc è a posto, o se ci sono dei virus, di cui devo ancora liberarmi.
In ogni caso continuo a fare cio che mi consigliate.

[Sante62]

Creando un nuovo account hai nuove impostazioni personali e quindi installando Avast funziona a dovere; la stessa cosa non si può dire per il centro sicurezza, perchè mi sembra ci vogliano privilegi di amministratore, ma non vorrei sbagliarmi;

probabilmente avrebbe funzionato col vecchio account se lo reinstallavi anche li;

Cio che è stato riscontrato con le varie scansioni fino ad ora non è tale da giustificare i problemi che riferisci, però almeno il log di Combofix devi cercare di farlo partire; ma qual'è l'errore esattamente di Combofix?.

[blumarinets]

[bdoriano]

Scusate,

Combofix viene rilevato come programma malevolo dal tuo SpywareDoctor.
Per poterlo utilizzare, devi prima disabilitare il tuo antivirus e il tuo antispyware per tutta la durata della scansione.

PS: la versione di SystemScan che hai utilizzato è vecchia.

[blumarinets]

OK, ho rifatto la scansione con SystemScan aggiornato, qui il log:
report.txt

Ho disabilitato antivirus e antispyware (ho chiuso tutti i programmi) e avviato ComboFix, si è aperta una finestra a sfondo blu, ha lavorato per un pò poi si è chiusa (secondo me non ha lavorato bene). Ho aspettato un pò, poi ho riavviato il pc, ma non c'era nessun report...

[Sante62]

Guarda in C:\ se c'è un file denominato Combofix.txt, qualcosa deve aver memorizzato, altrimenti fallo girare dalla modalità provvisoria come ti era già stato suggerito; in un modo o nell'altro deve girare Combofix...

guarda poi il file hosts in C:\Windows\Sistem32\drivers\etc, cerca il file hosts senza nessuna estenzione e aprilo col blocco note;

controlla che ci sia solo questa scritta:

[blumarinets]

Sia che faccio girare ComboFix in modalità normale, sia in quella provvisoria, prima viene una scritta che dice (più o meno): impossibile trovare testo messaggio per numero messaggio 0x2371.
Premo invio, lavora qualche secondo, poi si apre una finestra di windows che dice che il programma Windows Command Processor ha smesso di funzionare., clicco su chiudi, si chiude anche combofix e non succede nulla.

L'altra cosa, del file hosts, l'ho fatta senza problemi.

[Sante62]

Non riesco a comprendere quest'errore....

Vediamo se trovo una soluzione...