Olimpo Informatico

[sagittarjo]

Buongiorno a tutti,
ho un portatile samsung r60+fy.. con xp pro e da un paio di mesi il boot è lento, soprattutto quando carica icone e barra.
Ho già provato a sostituire file explorer.exe o a rimuovere eventuali creazioni di virus nel registro (non presenti) senza risultati.
kis 09 non rileva virus ed il pc funziona rapidamente e bene a parte questo problema di boot.
bootvis segnala una fase di shell lunghissima(+ di un min.).
Il problema era andato a posto per un paio di giorni in seguito ad un ripristino all'ultimo avvio sicuramente funzionante ma ora non funziona +; il ripristino sul mio pc lo tengo da sempre disattivato.
Ho provato con sfc /scannow creandomi un disco con nlite(non so se l'ho creato bene) e la scansione arriva al termine senza notificarmi nulla.
Qualcuno ha altre idee?
Grazie

[sagittarjo]

Ah, dimenticavo di dire che il problema si è verificato col sp2 che ho da poco aggiornato al 3 senza però risolvere.
Per + di un anno ho lavorato col sp2 senza alcun problema di boot.

[bdoriano]

Ciao sagittarjo,

oltre ad avere appena aggiornato a SP3, hai scaricato anche tutti gli altri aggiornamenti di Windows?

Per cortesia, segui le istruzioni di questo topic per postare il log di hijackthis.

[sagittarjo]

Ciao BDoriano, grazie per l'aiuto.
Io veramente ho sempre pensato di averlo già installato il sp3 ma l'altro ieri non lo trovavo e l'ho reinstallato; oltretutto ho gli aggiornamenti automatici attivati, quindi penso di essere aggiornato anche coi successivi. Conosci un modo per verificare la situazione aggiornamenti; sai, dal 12/05/08 la lista è lunga.....
Ora posto il mio LOG di HJT.....

[sagittarjo]

Ecco qua:


Scan saved at 16.32.19, on 29/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator 11\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FBC2D91-D316-45F3-919F-AEF64E69FBFD}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E0D4FE-3F7A-484E-99FB-66D58B5C6EA2}: NameServer = 208.67.220.220,208.67.222.222,192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{4FBC2D91-D316-45F3-919F-AEF64E69FBFD}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{4FBC2D91-D316-45F3-919F-AEF64E69FBFD}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\..\{4FBC2D91-D316-45F3-919F-AEF64E69FBFD}: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 6001 bytes

[madvero]

dai, vi sposto al pronto soccorso.

[sagittarjo]

significa che sono infetto???

[madvero]

no, ho visto un log hjthis e ho pensato all'ennesima infezione.



guardando il log, effettivamente dovresti essere pulito.
hai giusto qualche voce di troppo (i file missing) e poi c'è questa voce che io proprio ignoro

[sagittarjo]

fiiiuuuuu.....meno male....
i file missing perchè ho pulito manualmente la cartella dei programmi senza usare poi ccleaner, ora dovrebbe essere ok.
La linea di adobeplatform non ho idea, oltretutto io uso foxy ed adobe l'ho rimosso.
comunque aspettiamo bdoriano:)
grazie Madvero

[bdoriano]

In effetti, a parte qualche voce da cancellare, infezioni non sembrano essercene...
La voce indicata da madvero è relativa ai prodotti Adobe.

Giusto per tirarsi via ogni dubbio, fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

[sagittarjo]

Ho provato ad avviare systemscan ma mi dà errore

explorer
bad file name or number

[sagittarjo]

Le ho provate tutte ma systemscan non si avvia per il suddetto errore.
Altri suggerimenti?
Grazie

[bdoriano]

Prova a seguire le istruzioni di questo topic per postare il log di combofix.

[sagittarjo]

ecco qua il link del log di combofix:
log combofix

e grazie bdoriano

[bdoriano]

Ciao sagittarjo,

Scusa l'attesa,
anche dal log di ComboFix non si evince alcuna presenza oscura.
C'è solo un rimasuglio di CounterSpy della Sunbelt.

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

[sagittarjo]

Log di combofix:

http://wikisend.com/download/498250/ComboFix2.txt

Log di hjt:

http://wikisend.com/download/590852/hijackthis.log

A dopo....

[sagittarjo]

[bdoriano]

Disinstalla Combofix (non ci serve più):
Clicca Start
Clicca Esegui...
Digita:

[sagittarjo]

Foxy l'avevo già ma l'ho aggiornato e gli aggiornamenti microsoft me li ha installati a metà, mancano questi che non è riuscito:
Aggiornamento critico per Office 2003 (943452)
Aggiornamento per Outlook 2003 (KB943649)
Aggiornamento della protezione per Office 2003 (KB945185)
Aggiornamento per Office 2003 (KB907417)
Aggiornamento della protezione per Microsoft Works Suite 2005 (KB943973)
Aggiornamento per Microsoft Office Outlook 2003 (KB953432)
Aggiornamento della protezione per Microsoft Office 2003 (KB921598)
Aggiornamento della protezione per Access Snapshot Viewer 2003 (KB955439)
Aggiornamento della protezione per Microsoft Office 2003 (KB951535)

All'accesso alla scrittura di questo messaggio sul forum mi ha dato + volte errore di script chiedendomi se volevo eseguire il debug ma non so come fare.
P.S. ho appena aggiornato java come mi hai suggerito

segue log hjt.......

[sagittarjo]

Log di hjt:

http://wikisend.com/download/506322/hjt.txt

Sempre grazie.

P.S. sono riuscito ad eseguire il debug, ora sembra tutto ok.