Olimpo Informatico

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.47.27, on 29/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Eset\nod32kui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\southkenny\Desktop\utility\HiJackThis.exe
C:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [UpdateReminder] C:\Programmi\Eset\UpdateReminder.exe
O4 - HKLM\..\Run: [Autorun Eater] C:\Programmi\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Widget vodafone.lnk = C:\Programmi\Widget vodafone.it\Widget vodafone.it.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75AD137A-2C29-4770-B822-6A0CE65B120C}: NameServer = 193.70.152.70,193.70.152.15
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8585 bytes
... Grazie in anticipo....

Luko · Dio maturo Registrato: 07/05/09 12:35 Messaggi: 1001

Ciao wii78 Ciao

Il fatto che winrar sia lento non vuol dire che tu ti sia beccato un virus.
Può dipendere da molti fattori (cosa gli stai facendo comprimere/decomprimere, se stai facendo altre operazioni, all' usura dell' hardware stesso [...]).
Poi dipende quanto sia diventato più lento, hai già provato a disinstallarlo e reinstallarlo?

Il log non presenta tracce di infezione, vuoi fare una scansione più approfondita o sposto il 3D nella sezione dedicata a Windows XP?

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Luko · Dio maturo Registrato: 07/05/09 12:35 Messaggi: 1001

Beh, se stai utilizzando entrambi gli antivirus ed entrambi con la protezione in tempo reale attiva potresti avere problemi. (non ho trovato nulla sulla loro compatibilità).
avast! è comunque un pessimo antivirus.
Secondo me non ci dovrebbero essere problemi dato che il virus è stato eliminato. Prova a reinstallare winrar.

Se vuoi stare più tranquillo:

N.B: Esegui queste procedure una alla volta seguendo questo ordine

Disattiva il ripristino configurazione di sistema,
http://forum.zeusnews.com/viewtopic.php?t=22084
Pulisci i files temporanei con CCleaner (registro compreso)
http://forum.zeusnews.com/viewtopic.php?p=282670#282670
Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch
Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223
Scarica e installa la versione Free di SuperAntispyware:
linklo configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Aggiornalo ed esegui una scansione completa ed elimina quello che è stato trovato.
Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Aggiornalo ed esegui una scansione completa, elimina gli eventuali file infetti trovati.
Segui le istruzioni di questo topic per postare un log di Hijackthis:
http://forum.zeusnews.com/viewtopic.php?p=194964#194964
Carica i log di SuperAntispyware, Mbam, Hijackthis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.

Elimina quello che ha trovato Malwarebytes.

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Beh non per esser ripetitivo... il problema si è venuto a creare all'inserimento di questa chiavetta 2 giorni fa... e quei "programmi" sono li da ben prima e il pc ha sempre funzionate bene... poi ho già rimosso tutti i file ke sono stati trovati da tutti i programmi ke mi avete consigliato... ma tutto come prima...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Segui le istruzioni di questo topic per usare Combofix: (usa Internet Explorer e ricorda di scaricarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log con:
link

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Ciao ho eseguito tutta la procedura con ComboFix ma tutto come prima...
Io credo ke ci dovremmo indirizzare su qualke tool o antivirus ke rilevi il file Autorun.inf, Pozuda o Malena.exe

ComboFix
link[/b]

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Prima di andare a casaccio, è meglio vedere lo stato in cui è messo il pc, e dove si trova questa infezione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Carica i log di Systemscan su WikiSend e posta il Forum Link che ti viene assegnato.
link

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Ciao ho lanciato SystemScan di seguito copia del Log... P.S. ho fatto tutto in modalità provvisoria è lo stesso? Speriamo di arrivare ad una soluzione... Grazie

SystemScan
link

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Eh no accidenti.... Confused

Già sono venuto mezzo "strabico" per leggere il log di Combofix....
Se devo leggere in queste condizioni anche Systemscan, divento cieco del tutto. Rolling Eyes

Per favore, postami il log con Wikisend:
link

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Non volevo, ma con i primi file questo sito mi aveva dato errore nel caricamento... eccoti accontentato... E ankora grazie
P.s. Ti allego anche una scansione fatta con Spyware Cleaner ke essendo versione prova, vede solo quello che c'è...

Spyware Cleaner
link

SystemScan
link

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Và già meglio.... Razz

Come mai, hai scaricato FindyKill ?
Sei stato infettato dal Worm Beagle?
E questo, che roba è: Vba32 (un antivirus ?)
Non c'è nessuna traccia di autorun.inf infetti.
Più che altro, guardando qualche log precedente, ho visto che praticamente, sei senza antivirus.
Non dirmi che hai Avast, che oltre a essere un antivirus mediocre, è pure obsoleto.
E hai anche il Nod32.
Li disistalliamo, e installiamo Avira?
Mi fai un'altra cortesia ?
Mi posti il log di Combofix con Wikisend ?
link

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Ciao in effetti avevo sia nod32 ke avast... ma per fare tutte queste procedure e utilizzare i vari tool andava in conflitto o dovevano essere disabilitati...quindi senza connessione ad internet per il momento di ho disinstallati...In attesa di un antivirus migliore... Il beagle è stato rimosso 6/7 mesi fa...Cmq vba32 è un antivirus, l'ho provato ma non lo consiglio a nessuno... ora ti aggiungo il log di combofix... Grazie di tutto...

Combofix
link

pegifr · Mortale pio Registrato: 05/09/10 23:55 Messaggi: 25

Il log di Combofix non mostra nessuna infezione attiva.
WinRar è tipicamente un pò più lento degli altri anche perchè nel contempo verifica se i file sono danneggiati.

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

non è ke si tratta solo di winrar ma di tutto il pc, task manager è quasi sempre al 100% gli stessi file su un'altro pc con caratteristiche simili vanno bene... tutto è da ricondursi a quando ho inserito quella chiavetta... ora provo avir e come ultima ipotesi formatto tutto

pegifr · Mortale pio Registrato: 05/09/10 23:55 Messaggi: 25

Se Combofix non ha trovato nulla penso che non sia dovuto ad un'infezione.
Prova a fare un ripristino configurazione di sistema, optando per una data antecedente al misfatto ossia quando hai inserito la chiavetta.
Potresti anche riavviare il pc come se volessi entrare in modalità provvisoria e scegliere invece un pò più in basso ultima configurazione sicuramente funzionante.
Tentar non nuoce...

wii78 · Mortale devoto Registrato: 29/11/10 19:50 Messaggi: 12

Beh seguendo la procedura passo per passo il primo punto è:
Disattiva il ripristino configurazione di sistema così facendo si vanno a perdere tutti i punti di ripristino precendenti... quindi ora è come partire da zero... almeno sotto quel punto di vista

pegifr · Mortale pio Registrato: 05/09/10 23:55 Messaggi: 25

Hai ragione l'opzione 1 è saltata, prova con la 2.