Olimpo Informatico

[Venere80]

Ciao.
Credo di aver beccato un virus, perchè da alcuni giorni il pc subisce forti rallentamenti durante la navigazione e inoltre la memoria disponibile nel task manager passa da 190000 kb circa dopo aver acceso il pc, a 70000 kb durante la connessione internet. Infatti il processo IE spesso tocca quota 65000 kb. Anche la memoria allocata totale arriva a 530 kb.
Vi ho allegato il rapporto di Hijackthis.
Vi ringrazio e attendo vostri consigli

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.32.34, on 09/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
c:\programmi\lenovo\system update\suservice.exe
C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programmi\File comuni\Lenovo\Logger\logmon.exe
C:\Programmi\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programmi\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - http://download.boulder.ibm.com/ibmdl/pub/pc/pccbbs/bp_pc/acpir.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.110.80.20,131.110.20.25
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 11909 bytes

[Riverside]

Bah, dal log di Hthis non si evidenziano problemi particolari .... a parte il sistema operativo non aggiornato, un antivirus (Norton, un firewall (ZoneAlarm) che si portano via parecchie risorse (un firewall, tra l'altro, quasi ingestibile per un utente consumer) ed un numero esagerato di processi che girano in background di cui potresti fare a meno.

[Venere80]

Grazie mille Riverside.
In effetti dopo aver eliminato ieri 5 virus di java, poco fa ho concluso la scansione con Panda Antivirus Online.
Credo che l' antivirus abbia preso un granchio grosso, perchè mi segnala
4 viruss, 3 Combofix come malware quando sappiamo tutti a cosa serve.
Doubleclick è un cookie che spesso lo ritrovo, ma non ha mai dato problemi.
Ecco il responso di Panda. Spero non venga come l' ho allegato, ma dipende sempre dal log di Panda.
Grazie e ciao.

;*****************
ANALYSIS: 2008-12-09 23:29:04
PROTECTIONS: 3
MALWARE: 3
SUSPECTS: 0
;*****************
PROTECTIONS
Description Version Active Updated
;=============
Symantec Antivirus Corporate Edition 8.0 No Yes
Zone Alarm Security Suite 7.0.462.000 No No
Norton Antivirus Edition 7.5 No No
;=============
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=============
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No
C:\Documents and Settings\nomeutente\Cookies\nomeutente@doubleclick[1].txt
01262593 Application/NirCmd.A HackTools No 0 No No
C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe[C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe][327882R2FWJFW\nircmd.cfexe]
01262593 Application/NirCmd.A HackTools No 0 No No
C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe[C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe][327882R2FWJFW\nircmd.com]
03899005 Generic Malware Virus/Trojan No 0 No No
C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe[C:\Documents and Settings\nomeutente\Desktop\ComboFix.exe][327882R2FWJFW\ntp.exe]
;=============
SUSPECTS
Sent Location *
;=============
;=============
VULNERABILITIES
Id Severity Description *
;=============
;=============

[Riverside]

Hum ... qualcosa non mi quadra ..... vediamo un pò di sistemare le cose.
Inizia con il seguire questa procedura:

1) Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

2) Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

3) Scarica ed installa Hijackthis:
clicca qui per il download

4) lancia Hthis e pulisci gli ADS in questo modo:
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

5) scarica ed installa la versione Free di SuperAntispyware:
clicca qui per il download
e la configuri come da immagini:





esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

6) scarica ed installa MalwareBytes:
clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

7) eseguiti i passaggi da 1) a 6), scarica ed installa CCleaner:
clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Infine, rilancia Hijackthis:
● clicca su Do a system scan and save a logfile
● finita la scansione verrà rilasciato un il log
● salva il log sul desktop ed allegalo.

Per allegare i tre log richiesti (quello di SuperAntispyware, MalwareBytes e Hijackthis) utilizza questo servizio di upload:
clicca qui per wikisend
I link ai log pubblicali in un unico post, proseguendo qui.

[Venere80]

Gentilissimo Riverside ho un po' di difficoltà perchè ho la connessione
dial-up e quindi faccio concorrenza alle lumache.
Ancora problemi durante la navigazione. Ho un processo svchost.exe che sale a volte sui 50000 kb durante la connessione. Idem per IE.
In più nel task manager, nel riquadro utilizzo Cpu, da una settimana insieme alle linee verdi ci sono delle linee rosse.
Altra anomalia, quando scrivo su questo forum, si apre enormemente la pagina tanto che devo utilizzare i cursori per leggere i messaggi.
Grazie ancora. Ciao



SuperAntiSpyware
MBAM
hijackthis.log

[Venere80]

Ehi vi siete dimenticati di me?
Vi prego il pc si comporta in modo anomalo.
Grazie

[bdoriano]

Ciao Venere80,

I logs che hai postato non evidenziano presenze strane.
In attesa che Riverside riprenda le redini, segui le istruzioni di questo topic per postare il log di combofix.

[Venere80]

Ciao ragazzi e grazie ancora, ho il pc che si comporta in modo anomalo.
Dopo aver eliminato dei virus java con Norton ho utilizzato Combofix e da lì sono iniziate le stranezze.
Ovvero si sono create in C:\ delle cartelle Data, 1 file cabinet col nome di Data1. Cab con l' icona formata da due cassetti.
Sia la cartella che il file si sono creati quasi all' unisono, il 14 dicembre alla stessa ora, con differenze di 2 minuti
quindi potrebbero essere eliminabili.
Il problema è che dentro la cartella Data ci sono altre 6 cartelle; in due, pur avendo nomi diversi,
ho visto che ci sono gli stessi componenti un file batch MS-Dos, un applicazione e un file .ovl.
Ripeto tutti questi file hanno la stessa data ma ho paura ad eliminarli.
Poco fa ho fatto un pò di pulizia con Index.dat Suite e anche qui si è creato un file batch MS Dos in C:\.
Nel frattempo ho installato Avira ed eliminato Symantec Client Antivirus.
Durante la navigazione la memoria disponibile tocca anche quota 50000 kb.
La memoria disponibile è sempre più bassa della cache di sistema mentre prima era il contrario.
Poco fa ho riutilizzato Combo e mi ha aperto la porta DCOM RPC nell' applicazione Windows Worms Doors Cleaner che ho ancora in C:\
che un un anno fa il mitico Sante mi consigliò.
Sempre Combo mi aveva disattivato ripristino configurazione di sistema. L' ho ripristinato.
Negli ultimi giorni mi cade spesso la connessione dopo circa 20 minuti.
Insomma il pc è molto strano.

Nel report di Combo si vede una cartella "file strani" dove ho racchiuso quelle cartelle Dat, e il file cabinet di cui parlavo
all' inizio e il file batch MS-Dos.

http://wikisend.com/download/914020/combo log.txt

[Riverside]

Ciao Venere la situazione, direi, è parecchio confusa.
Esegui una scansione completa del sistema con Avira dopo averlo configurato seguendo questa guida: clicca qui per il download
al termine della scansione verrà rilasciato un report: allegalo.

[Venere80]

Grazie Riverside.

Ecco il file con la scansione di Avira.
Attendo tuoi consigli e ti saluto.

http://wikisend.com/download/492058/AVira report 11 gennaio 2009.txt

[Venere80]

Nessuna anima pia mi soccorre?
Vi prego.

[Riverside]

[Venere80]

Gentilissimo Riverside , grazie per l' aiuto.
Ecco i 3 log richiestimi.
http://wikisend.com/download/594990/SUPERAntiSpyware Scan Log - 01-20-2009 - 22-14-42.log

http://wikisend.com/download/617542/mbam-log-2009-01-20 (21-51-51).txt

http://wikisend.com/download/584518/hijackthis.log 20 gennaio 2009.txt

Ti chiedo però se posso eliminare la cartella "file strani" presente in C:\ che si era creata un mese fa e di cui avevo parlato alcuni post fa.
Non dovrebbero esserci problemi visto che il pc non ha più avuto problemi significativi.
L' unica stranezza è quella della memoria disponibile che è quasi sempre inferiore a quella della Cache sistema. A volte è sui 100000 kb altre schizza a 200000.
Lo stesso explorer.exe anche a connessione staccata spesso è sui 30000 kb.
E' meglio che vada in un altra sezione del forum?
E sì che ho eliminato gli screensaver ed altre cose inutili seguendo una guida e la memoria doveva essere alleggerita.
Grazie a presto

[Riverside]

[Venere80]

Ciao Riverside. Oggi stavo , smattando. Scusami la lunghezza, ma devo descriverti bene cosa è successo.
L' SP3 non l' ho aggiornato perchè ho in parcheggio diversi aggiornamenti. L' ultima volta avevo spuntato solo quelli che mi interessavano, ma me li aveva scaricati tutti e per 3 giorni il pc era una lumaca. Aspetto qualche giorno perchè devo installare l' adsl.

La cartella a cui mi riferivo nel post di ieri è questa:
Dopo aver eliminato dei virus java con Norton ho utilizzato Combofix e da lì sono iniziate le stranezze.
Ovvero si sono create in C:\ delle cartelle Data, 1 file cabinet col nome di Data1. Cab con l' icona formata da due cassetti.
Sia la cartella che il file si sono creati quasi all' unisono, il 14 dicembre alla stessa ora, con differenze di 2 minuti quindi potrebbero essere eliminabili.
Il problema è che dentro la cartella Data ci sono altre 6 cartelle; in due, pur avendo nomi diversi, ho visto che ci sono gli stessi componenti un file batch MS-Dos, un applicazione e un file .ovl.
Ripeto tutti questi file hanno la stessa data ma ho paura ad eliminarli.
Poco fa ho fatto un pò di pulizia con Index.dat Suite e anche qui si è creato un file batch MS Dos in C:\.
Ho creato una cartella "file strani" in C:\, dove li ho racchiusi tutti.

Oggi 21 Gennaio altra stranezza.
Premetto che non ero connessa.
Ho controllato il log della scansione di Avira di pochi giorni fa e tra i "Warning" sono andata nel percorso C:\SWTOOLS\Apps\PCDRWIN\Setup.exe
Appena dentro la cartella PCDRWIN ( è il programma PC Doctor), ho cliccato sull' icona setup.exe per vedere le proprietà e capire quando fosse stato installato il programma.
L' avessi mai fatto, da quel momento ogni volta che cliccavo su qualsiasi icona, del desktop, Risorse ecc. il pc si bloccava.
La CPU saliva al 50% , si formava la clessidra del mouse ed era un' impresa andare avanti. Dopo una ventina di secondi potevo uscire da un file.
Ho fatto la scansione antirootkit con Avira, ma tutto negativo.
Avevo difficoltà anche a collegarmi alla rete.
Sono andata in visualizzatore eventi da gestione risorse e C' erano una quarantina di Timeout
Sono andata in modalità provvisoria e il pc andava bene.
Adesso mentre sto scrivendo tutto sembra ritornato normale
Grazie ancora, un salutone.

[Riverside]

Venere, tesoro , ho l'impressione che a forza di smanettare, tu abbia incasinato (e non poco) il computer.
Ora possiamo stare qui per settimane senza risolvere nulla (tra l'altro il computer, come ti ho già detto, non è infetto, quindi i problemi sono altri).
Visto che a giorni avrai l'Adsl, ti suggerisco di formattare il Computer e sistemare cosi, definitivamente la cosa ed avere il computer senza problemi.
Venere solo un suggerimento: una volta formattato, non installare né l'anitvirus e neppure il ZoneAlarm ma, torni qui, e ti dico io cosa installare.

[Venere80]

Ciao Riverside , scusa se rispondo solo ora ma con l' attivazione dell' adsl mi hanno bloccato la linea.

Ma come faccio a formattare? Posso farlo anche da sola?

Comunque ho eliminato quella cartella "file strani" in C:\ e tutto è ok.

Ciao e a presto.

[Riverside]