Lentezza E Difficoltà Nel Riavvio

Goblo · June 26, 2009

Salve,ho ricevuto un portatile abbastanza "datato" e sto cercando di rimetterlo in sesto per utilizzarlo questa estate quando sarò fuori casa.

Se possibile,datemi una mano.Ve ne sarei davvero grato....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.04.32, on 26/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe

C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe

C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\Philips\Philips Device Manager\Bin\DeviceManager.exe

C:\Programmi\Nokia\Nokia Software Launcher\NSLauncher.exe

C:\Programmi\Apoint2K\Apntex.exe

C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

C:\Programmi\Philips\Philips Lime Service\bin\LimeAlive.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Philips\Philips Lime Service\bin\Lime.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\WINDOWS\SoftwareDistribution\Download\9b1b2679b00a3ccb8e73ffa1125a0a10\update\update.exe

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__P9HEPQKBJ.EXE

O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programmi\Give4Free Plugin\ibho.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [_WinExec] C:\WINDOWS\WinFast.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [PhilipsDM] "C:\Programmi\Philips\Philips Device Manager\Bin\DeviceManager.exe"

O4 - HKLM\..\Run: [NSLauncher] C:\Programmi\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [st-1ita00008] c:\Webdialer\st-0ita00008.exe -m

O4 - HKCU\..\Run: [PhilipsLime] "C:\Programmi\Philips\Philips Lime Service\bin\LimeAlive.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.1987324.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jd...ows-i586-jc.cab

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: CC7A6F76 - Unknown owner - C:\WINDOWS\system32\4C1F26BC.EXE (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/GIANNI_C/IMPOST~1/Temp/msohtml1/01/clip_image002.gif

--

End of file - 8127 bytes

Grazie mille in anticipo!

$angelique!? · June 26, 2009

Ciao Goblo,

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__P9HEPQKBJ.EXE

O2 - BHO: Give4Free Plugin Installer - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programmi\Give4Free Plugin\ibho.dll (file missing)

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [_WinExec] C:\WINDOWS\WinFast.exe

O4 - HKCU\..\Run: [st-1ita00008] c:\Webdialer\st-0ita00008.exe -m

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.1987324.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O23 - Service: CC7A6F76 - Unknown owner - C:\WINDOWS\system32\4C1F26BC.EXE (file missing)

Segui questa guida ed allega i report di combofix e malwarebytes

gio! · June 27, 2009

Spesso eliminare la sola voce F2 in hijackthis non basta.Quindi fai anche così oltre ai consigli di angelique:

Clicca su start-->esegui e digita regedit.

Usando le caselline col segno + naviga fino a:

HKEY_LOCAL_MACHINE-->Software-->Microsoft-->Windows NT-->CurrentVersion

Ora clicca su Winlogon a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e clicca su modifica, elimina quindi nella stringa di testo il valore: ,C:\WINDOWS\__P9HEPQKBJ.EXE

Deve quindi rimanere solo:

c:\windows\system32\userinit.exe,

Ricorda, deve rimanere una sola virgola!

Poi clicca su OK, riavvia il PC e posta i log richiesti da angelique.

Goblo · June 27, 2009

Come al solito,rapidissimi nelle vostre risposte!

Adesso è in atto la scansione con Malwarebytes.

Con regedit,fortunatamente,la stringa era già C:\WINDOWS\SYSTEM32\Userinit.exe,

Completo la procedura ed appena possibile posto i log!

Graize

Ps. Un dubbio.Durante tutte queste operazioni,Avira lo lascio acceso?

gio! · June 27, 2009

Ps. Un dubbio.Durante tutte queste operazioni,Avira lo lascio acceso?

Meglio disattivarlo quando usi combofix

Goblo · June 27, 2009

Ecco il primo report :

Malwarebytes' Anti-Malware 1.38
Versione del database: 2340

Windows 5.1.2600 Service Pack 2

27/06/2009 13.11.34

mbam-log-2009-06-27 (13-11-24).txt

Tipo di scansione: Scansione completa (C:\|)

Elementi scansionati: 143574

Tempo trascorso: 1 hour(s), 48 minute(s), 53 second(s)

Processi delle memoria infetti: 0

Moduli della memoria infetti: 0

Chiavi di registro infette: 1

Valori di registro infetti: 0

Elementi dato del registro infetti: 1

Cartelle infette: 1

File infetti: 10

Processi delle memoria infetti:

(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:

(Nessun elemento malevolo rilevato)

Chiavi di registro infette:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.

Valori di registro infetti:

(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:

c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

File infetti:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isys32.exe (Trojan.Agent) -> No action taken.

c:\system volume information\_restore{e147887e-b9fe-4ffa-abdc-f8fff4189d99}\rp166\A0060982.DLL (Trojan.Downloader) -> No action taken.

c:\system volume information\_restore{e147887e-b9fe-4ffa-abdc-f8fff4189d99}\rp166\A0061009.DLL (Trojan.Downloader) -> No action taken.

c:\system volume information\_restore{e147887e-b9fe-4ffa-abdc-f8fff4189d99}\rp167\A0061340.exe (Trojan.Downloader) -> No action taken.

c:\system volume information\_restore{e147887e-b9fe-4ffa-abdc-f8fff4189d99}\rp167\A0061341.EXE (Trojan.Downloader) -> No action taken.

c:\windows\system32\175E3DDE.DLL (Trojan.Downloader) -> No action taken.

c:\windows\system32\kb2006a.exe (Trojan.Downloader) -> No action taken.

c:\windows\system32\usbmons.dll (Trojan.Downloader) -> No action taken.

c:\windows\system32\usbmons.exe (Trojan.Downloader) -> No action taken.

c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

Goblo · June 27, 2009

In allegato il log di combofix!

Attendo vostre notizie

log.txt

gio! · June 27, 2009

Fai cancellare a malwarebyte's le infezioni trovate! Il log dice che non hai compiuto alcuna azione.

Poi questi due file eliminati da combofix a me sembrano legittimi:

c:\windows\system32\muzapp.exe

c:\windows\system32\Ati2evxx.dll

Aspettiamo anche il parere di angelique

Goblo · June 27, 2009

Ne approfitto per chiedere una ulteriore cosa.Poichè ho disabilitato aggiornamenti automatici e firewall di windows,mi esce fuori ad ogni avvio questo messaggio abbastanza fastidioso!

Aggiornamenti automatici disattivato
Fare cli su questo promemioria....

$angelique!? · June 27, 2009

Si, i due file sono legittimi, e possono essere ripristinati in caso di problemi,

basta prelevarli dalla cartella QooBox presente in C, eliminare l'estenzione .vir e collocarli in system32

c:\windows\system32\Ati2evxx.dll ATI External Event Utility DLL Module

c:\windows\system32\muzapp.exe sembra appartenere al Software EmoDio per Lettori MP3 Samsung

Goblo salva il documento che ti allego

apri il blocco note copia e salva questo testo,chiamandolo CFScript

col mouse trascina il file CFScript.txt sull'icona rossa di combofix

lascia lavorare il programma

finito verrà creato un nuovo log combofix.txt, postalo

per quanto riguarda le notifiche di windows, in pannello di controllo > centro sicurezza, dovrebbero esserci le impostazioni che possono essere modificate

l'immagine è di Windows Vista, ma dovrebbe essere uguale

Ps: Sygate non è più sviluppato da tempo

CFScript.txt

Goblo · June 27, 2009

Grandioso!!!L'iconcina è scomparsa subito.

Per quanto riguarda combofix ecco il nuovo log...

Ps. Non so davvero come ringraziarvi

newlog.txt

Goblo · June 29, 2009

Devo fare altro?

E' tutto ok così?

Grazie

Luke57 · June 29, 2009

Ciao, sembra a posto.

Goblo · June 29, 2009

Ok!

Grazie mille...siete sempre i migliori!!!

Lentezza E Difficoltà Nel Riavvio

14 messaggi in questa discussione

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Condividi questo messaggio

Link di questo messaggio

Condividi su altri siti

Crea un account o accedi per lasciare un commento

Crea un account

Accedi