Virus che stressa la CPU - Utilizzo Cpu sospetto

Kuma · July 29, 2006

Ciao katya15P

Dai una passata con questo in modalità provvisoria

---4,5 Mb---

poi faremo un controllo più approfodito

katya15P · July 29, 2006

allora mi diceva che aveva piu di 200 problemi nel registro e ne ha riparati poki ne sn rimasti 180 perche il resto non riesce a ripararli... cosa posso fare?

Kuma · July 29, 2006

Lo hai usato in modalità provvisoria ???

Allora adesso devi postarmi un log di Hijack

in questa pagina trovi il download del programma ed alcune istruzioni

http://www.kuma215.it/Guide%20K&J/K/Hi...jack-guida.html

katya15P · July 29, 2006

si ero in modalità provvisoria

katya15P · July 29, 2006

Logfile of HijackThis v1.99.1

Scan saved at 18.07.39, on 29/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Programmi\D-Tools\daemon.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\DOCUME~1\AMINIS~1\IMPOST~1\Temp\Rar$EX00.719\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://busollo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD...ap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

katya15P · July 29, 2006

se non sbaglio il trojan ce ancora...

Kuma · July 29, 2006

Adesso ti dico cosa devi rimuovere... dammi 5 minuti che controllo le voci

Kuma · July 29, 2006

Oltre ad Avast, che programmi usi come Antispy ???

______________________________________________

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni ------ > (Stampa la pagina) oppure fai un copia/incolla e salva il file con le istruzioni sul desktop...

(L'opzione STAMPA è in alto a destra:)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

C:\WINDOWS\system32\hldrrr.exe

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - blank (file missing)

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

Trova e se ci sono elimina questi files o cartelle

C:\WINDOWS\system32\hldrrr.exe

Riavvia in modalità normale,

Scarica ed usa questi due programmi:

Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Ccleaner (pulizia generale)

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Se non hai più problemi di connessione, fai anche una scansione online in questi due siti:

poi

Al termine, rifai un log aggiornato e mettilo qui per un ultimo controllo

katya15P · July 30, 2006

io avevo sl avast...

katya15P · July 30, 2006

ma scusa io ieri ho installato il programma ma ora non lo trova piu il pc....

katya15P · July 30, 2006

scusa mi ripuoi ridare il link per scaricarlo?

Lorenz · July 30, 2006

scusa mi ripuoi ridare il link per scaricarlo?

Qual è il programma che non trovi più?

katya15P · July 30, 2006

il programma Hijack

Lorenz · July 30, 2006

il programma Hijack

Lo puoi scaricare da qui.

katya15P · July 30, 2006

scusate il problema sta sempre di piu peggiorando faccio fatica a farlo andare... si blocca costantemente il pc e se cerco di riavviarlo non me lo fa riavviare e per spegnerlo mi tocca farlo manualmente...

katya15P · July 30, 2006

vabbe ho cancellato la chiave di registro dove c era il virus tanto che nex mi poteva aiutare <_< al max nn partira piu il pc perchè noto che l antivirus non mi da segnali di vita :giu:

Kuma · July 30, 2006

A che punto sei ????

Riesci a fare qualcosa con il PC ????

(scusa ma io sto in Giappone e i nostri orari sono molto diversi )

katya15P · July 30, 2006

credo che se riavvio il pc non partirà piu...

Kuma · July 30, 2006

1. Avvia il computer.

2.Premi il tasto per entrare in modalità provvisoria ( F8 ).

3. Quando viene visualizzato il menu relativo alle opzioni avanzate di Windows, utilizzare i tasti di direzione per selezionare Ultima configurazione sicuramente funzionante , quindi premere INVIO.

Altrimenti lo formattiamo ... e vedrai che in poco tempo riolvi tutti i problemi... ce l'hai il Cd di XP ???

katya15P · July 30, 2006

si infatti avevo intenzione di formattarlo anke se lo appena fatto una settimana fa

Kuma · July 30, 2006

Aspetta...

OK, hai il CD di XP... il Service Pak 2 ce l'hai ???? (è molto importante)

Se non vuoi rimanere infetta appena ti connetti, segui queste istruzioni...

Prima di formattare procurati: (e salvali su un CD)

1. un antivirus (avast è OK)

2. un firewall- --> ZoneAlarm FREE

3 Almeno un paio di programmi antispy, di cui uno con il controllo in tempo reale

(ti consiglio SuperAntispyware e Ad-Aware... in questa pagina)

---------

Una volta che hai i programmi per la sicurezza, puoi procedere alla formattazione:

# Stacca la connessione telefonica

# Formatta ed installa il sistema operativo compreso il service pack e gli eventuali driver (stampanti scanner ecc..)

# Installa Antivirus, Firewall e Antispy (riavvia il PC e ricollega la connessione telefonica)

# Aggiorna i programmi di sicurezza (antivirus e Antispy)

# Collegati a Windows Update e scarica gli ultimi aggiornamenti disponibili

# In ultimo installa gli altri programmi che sei solita usare (facendo particolare attenzione se ne hai qualcuno free)

Evita d'installare le varie TOOLBAR, a parte quelle sicure (Google, Yahoo, Wninizio ecc...)

katya15P · July 30, 2006

ho riavviato il pc ma sembra che non dia problemi ho ricontrollato:

Logfile of HijackThis v1.99.1

Scan saved at 18.39.57, on 30/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\WinRAR\WinRAR.exe

C:\DOCUME~1\AMINIS~1\IMPOST~1\Temp\Rar$EX00.640\HijackThis.exe