Ancient warrior

Salve a tutti, ho un: Notebook Acer Aspire 5742G Scheda grafica: Intel HD e Nvidia GT 540M RAM: 4 GB HD: 500 GB OS: Windows 7 a 64-BIT - Home Edition- Service Pack 1 Processore Intel i3 2.53 GHz Browser: Firefox + componenti aggiuntivi. No Proxy . Microsoft Office 2007 Connessione con Router Netgear Wireless Infostrada. Il disco fisso è partizionato in tre partizioni 13 GB(Ripristino sistema) 100 MB ( SYSTEM RESERVED) e 452GB (Sistema operativo e utenti, avvio, file di paging, partizione primaria ) Utilizzo due utenti con privilegi differenti , un "Administrator" e uno "Standard" ma sostanzialmente lo utilizzo sempre come utente "Standard" . ! NON ! ho attivato l'account Administrator collegato alla UAC. Veniamo al Problema: Il computer è letteralmente sommerso , in tutte le cartelle di File senza estensione, che non si aprono con nessun programma. La loro dimensione varia da 0 a 4 a moltissimi KB (anche più di 4000) Hanno tutti dei nomi casuali, tipo : fhgksj ; whhzxu ; wzyyfls ; gjslgmo ; wejfksp ecc... insomma tutte lettere accozzate senza senso. Questi file, ripeto privi di estensione e opzioni di apertura, si possono cestinare ma riappaiono dovunque, magari cambiando le lettere: nelle cartelle admin, in quelle dell'utente standard, nei documenti, nella cartella Users, in quella Windows, nelle cartelle AppData, in quelle del NTuser, in quelle del browser, perfino quelle dei videogame che ho installati, insomma il computer è letteralmente invaso da questo tipo di file. Un paio di giorni fa ho constatato la loro diffusa presenza anche sull'hard disk esterno, che non è sempre collegato. Non ho la minima idea da dove provengano, a chi appartengono e come mai ritornano , in massa, magari cambiando l'accozzaglia di lettere con un' altra simile . A parte questo il Pc funziona benissimo. Ho fatto alcune scansioni con Malware Bytes, Microsoft Sec. Ess . Superantispyware , ma nessuno trova nulla. C'è qualcuno che potrebbe controllarmi il log di HijackThis che allego per cominciare a capirci qualcosa di più ?? Grazie in anticipo per l''eventuale aiuto . hijackthis.log

Ciao ragazzi. Innanzitutto complimenti per il grandissimo ampliamento del sito , è veramente un "must". Volevo segnalarvi alcuni atteggiamenti del mio computer, che definire "ambigui", sarebbe quanto mai riduttivo. Il mio computer è un : Notebook Acer Aspire 5742G Scheda grafica: Intel HD e Nvidia GT 540M RAM: 4 GB HD: 500 GB OS: Windows 7 a 64-BIT - Home Edition- Service Pack 1 Processore Intel i3 2.53 GHz Browser: Firefox + componenti aggiuntivi. No Proxy . Microsoft Office 2007 Connessione con Router Netgear Wireless Infostrada. Il disco fisso è partizionato in tre partizioni 13 GB(Ripristino sistema) 100 MB ( SYSTEM RESERVED) e 452GB (Sistema operativo e utenti, avvio, file di paging, partizione primaria ) Utilizzo due utenti con privilegi differenti , un "Administrator" e uno "Standard" ma sostanzialmente lo utilizzo sempre come utente "Standard" . ! NON ! ho attivato l'account Administrator collegato alla UAC. Ora il PROBLEMA: Comincio subito con lo specificare che il PC va che è una meraviglia, a parte delle stranezze su Internet dove a volte carica la pagina all'infinito, e poi smette come se non fosse successo niente.... oppure su Fb, si blocca la pagina o altre simili stranezze, altre volte la connessione Https salta su siti dove non dovrebbe, tipo la casella di posta elettronica.....oppure Google si impalla nella ricerca perennemente senza fine..... Se apro il Tak Manager come utente Standard , sembra tutto a posto , niente abusi di CPU , niente processi sconosciuti insomma tutto Ok... però......se clicco, sempre nel Task Manager su: "Mostra i processi di tutti gli utenti" , il sistema mi chiede la passworld di amministratore, la immetto e noto che il processo "System" dell'utente "SYSTEM" -> ntoskrnl.exe con PID = 4 e percorso C:/Windows/system 32 (legittimo..) non mostra alcuna riga di comando... tra l'altro essendo collegato al Kernel , mi sembra strano che compaia nel TaskManager..(non compare se non si "mostra i processi di tutti gli utenti"....) . Ora comincia il bello : Metto a icona il Task Manager e apro NETSTAT e scrivo il comando con -bafo...e INCREDIBILE:::.... il processo di cui sopra con PID = 4 è in "LISTENING" su diverse porte : 445 ;137; 138 e 139 ... e sotto invece del nome del file, compare la scritta "Impossibile ottenere informazioni sulla proprietà", ma forse è normale dato che l'utente è il SYSTEM.....mah??? Il Kernel che comunica con INTERNET ???? Poi arrivano stranezze ancora più grosse.... Il Process Idle System PID = 0 oggi era in connessione ESTABLISHED sulle porte 51565 e seguenti con Tyler2:HTTPS.....??????!??!?!!?!! Il Process Idle System comunica con connessioni ESTABLISHED su Internet ?????? Ma non è finita qua.. spostando gli occhi dal prompt noto che tra le icone della barra delle applicazioni è comparsa quella del "Pannello di controllo Nvidia...nonostante nessuno le avesse chiesto niente....BOH...??? Dopo un paio di esperimenti vengo a scoprire che OGNI VOLTA che eseguo un programma con la funzione : tasto destro-> "Esegui come amministratore", OGNI SINGOLA VOLTA, si apre il pannello Nvidia che su NETSTAT comincia a imbastire un notevole (anche 25 e più, a volte....) numero di connessioni in TIME WAIT, tutte e sempre sulla porta 2559. Non smette mai e lo fa anche se completamente disconnesso dal router e da Internet...Mah ?? Sarà la funzione ricerca aggiornamenti automatici, mi dico, anche se l'ho impostata su "Manuale"...tra l'altro la scheda Nvidia ha un suo account utente di nome "Updatus user" per aggiornarsi. Faccio una prova e chiedo di scaricare gli aggiornamenti ma la comunicazione avviene su porte diverse da quella sopra menzionata 2559..... Comuque , premendo "esci" dall'icona del pannelo Nvidia si chide e cessano le connessioni.....Altra stranezza è che nel pannello di controllo Nvidia, nei settaggi dei giochi da me configurati compaiono nella lista programmi che non sono installati sul mio PC come "Nations" o "Independence War 2" e che non posso rimuovere dalla scheda in quanto il tasto "rimuovi" non è attivo.... c'è ancora Desperados2.exe nonostante lo abbia disinstallato dal PC e non si può rimuovere dalle impostazioni Nvidia. Tra l'altro quando lo installai, originale, poco tempo fa e poi lo tolsi perchè non partiva, notai che nella cartella del disco c'era anche il file: exeruns.exe...e infatti un' altra stranezza che lo riguarda è in "Protezione esecuzione programmi ": nell'elenco dei programmi esclusi compare appunto il file exeruns.exe che però NON è presente sul computer (??!?!) e, se rimosso dall'elenco "Attiva protezione programmi per tutti i programmi e i servizi tranne quelli nell'elenco" , una volta chiusa la scheda , se ci rientro lo ritrovo..pare che.... si autorigenera come esclusione !!!!!????? Insieme a: " SIGN.MEDIA=A26DADDB Autorun.exe "...e questo cosa sia veramente, non è dato saperlo ....!!!! ???? Andiamo avanti ...aprendo -> "services" scopro che dopo poco l'avvio del computer il servizio "Protezione Software"è stato terminato, non si sa da chi, visto che è impostato per l'avvio automatico e per eseguirsi per: "tutti i programmi tranne quelli nell'elenco"....(Vd. sopra). .....Scansioni effettuate con diverse modalità (provvisioria o normale) con le versioni più aggiornate di Microsoft Security Essentials , MalwareBytesAntimalware, Microsoft Removal Tool, Kaspersky Virus Removal Tool e TDSS KIller, Avast Antivirus, SuperAntiSpyware , Gmer, Norton Online Scan, non rilevano nulla di nulla.... i log sono puliti, Kapsersky soltanto ha trovato due "vulnerabilità" in Flash Player , risolte aggiornandolo..... Hijack This su sistemi a 64 BIT è piuttosto superfluo.... ma..... a stò punto sto cominciando a pensare a qualcosa del genere, visto che driver , software e hardware sono tutti aggiornati e non mostrano problemi : http://www.infosecis...e-Backdoor.html Voi che ne pensate ?? E' tutto "Normale" e sono io paranoico, o veramente questi versi sono strani ?? (sicuramente su Xp non li ho mai visti e anche in questo anno e mezzo che uso W7 non ci avevo mai fatto caso...) .

Ho fatto la scansione di SDfix ti allego il report. non mi sembra sia cambiato molto, nel frattempo qualunque cosa sia si è impadronita di aVast, non posso più settare la protezione su "personalizzata" e nell' opzione "escludi dalla scansione" sono stati inseriti i seguenti percorsi che, se rimossi, una volta chiusa la finestra si rigenerano: -?:\PAGEFILE.SYS -*.TXT -*.INI -*.LOG -C:\WINDOWS\WINSXS\.*MANIFEST -C:\WINDOWS\WINSXS\.*CAT -C:\WINDOWS\WINSXS\.*POLiCY -C:\WINDOWS\CSC\.*TMP -C:\WINDOWS\CSC\?0?????? -\.*EDBCHK Inoltre come ti ho detto settando la protezione su "personalizzata" appena chiusa la finestra me la riporta su "elevata". La sensibilità del'analizzatore è disabilitata in modalità provvisoria. Grazie per l'aiuto Report.txt

Ciao Angelique, succedono strane cose... al riavvio compare in basso a destra nella barra il simbolo rosso di widows , mi dice che nessun firewall è attivato, apro Ahampo ed è tuttto acceso, dopodichè quando attivo windows firewall, parte ashampoo, inoltre ho tentato una sdcansione on line con Norton, ma si auto termina, inoltre quando provo a scaricare Avenger dal TUO link aVast mi blocca il download perchè ci trova dentro un malware Win32 rootkit-Gen. Facendomi poi un giro nel regedit ho trovato strane chiavi tipo: HKCU/software/3rd eyes solutions che non fa riferimento a nessuna cartella, a niente. oppure in HKLM/software/microsoft/windows/current version/Appaths/dialer.exe che fare? EDIT Ciao Angelique...succedono strane cose....quando ho riavviato il pc mi è comparso lo schudo rosso di windows in basso a destra dicendo "il computer potrebbe essere esposto a rischi, nessun firewall attivo". Apro Ashampoo ed è tutto acceso, ma non opera, quando attivo windows firewall comincia ad operare Ashampoo!!!??!! Successivamente cerco di fare una scansione online con Norton ma essa si autotermina prima della conclusione, e quando cerco di scaricare Avenger dal TUO link aVast blocca il download perchè ci trova dentro il malware Win32 Rootkit-gen, inoltre facendo un giro nel regedit ho trovato strane chiavi HKCU/software/3rd eyes solutions che non fa riferimento a nessun file, nessuna cartella HKCU/Enviroment REG_sz Valore non impostato e TEMP REG HKLM/sofware/microsoft/windows/currentversion/Appaths/dialer.exe Che succede? che fare ? Grazie in anticipo per l'aiuto EDIT Scusa, te lo completo HKCU/Environment (Predefinito) REG_SZ (valore non impostato) TEMP REG_EXPAND_SZ %USERPROFILE%\impostazioni locali\Temp TMP REG_EXPAND_SZ %USERPROFILE%\impostazioni locali\Temp Grazie ancora

Ciao Angelique, grazie della tua risposta, ho un pò di problemi: due dei file che mi hai detto di fixare non compaiono nella scansione di hijack e cioè lo 04 e 020, mentre lo 023 si riforma una volta cancellato ed io non ho Norton sul mio pc.Gli altri sono cancellati. Per il resto ho seguito tutta la procedura ti invio i log di combofix, malware bytes, ed il nuovo di hijack this. Grazie del supporto ComboFix.txt EDIT Aggiungo che lo 04 non c'è nel logo di hijack perchè lo ho disabilitato io prima dello scan di hijack, lo 020 non c'è davvero e lo o23 services Norton Autoprotect ecc.. si rigenera ogni volta che lo cancello.Inoltre una scansione online con Kaspersky mi ha trovato Win32.Inter.Dialer che fare? hijackthis.log mbam_log_2008_12_12__19_44_57_.txt

Salve wininizio Qualche giorno fa Avast mi aveva trovato win32 hupigon in un archivio rar nella cartella incoming(emule) alla richiesta di azione di spostamento nel cestino virus, avast diceva che non poteva processare il file e chiedeva di nuovo cosa fare.ho provato a dirgli di cancellare il file ma la risposta era la medesima dopodichè ricompariva la finestra con la richiesta di azione. Dandogli ok ho spostato il file nel cestino(di windows, non di avast,) e questo me lo ha fatto fare, dopodichè cercando di svuotare il cestino con Ccleaner è ricomparsa la finestra di avast "trovato trojan win32..." cosa fare? Scelgo cancella definitivamente il file e questa volta ci riesce. Dopodichè scansiono con vari programmi e sembra tutto a posto. Non fosse che oggi mentre tentavo di scaricare aggiornamenti da Microsft update mi bloccava, primail download tutti gli aggiornamenti e adesso quello dello strumento rimozione malware di windows, che ancora non riesco a scaricare, inoltre una scansione con Wise registry cleaner si è auto terminata. Vi posto un log di Hijack, per aiutarmi a scoprire cosa può essere. hijackthis.logGrazie in anticipo.