Disconnessione Continua Da Internet

[padalecki]

Ciao raga, mi chiamo Max e sono nuovo di questo forum... Spero di non aver fatto casini postando il mio problema in questa sezione... quindi siate indulgenti con me visto che è la prima volta

Chiedo scusa per il mio lunghissimo post, ma sul serio non so più dove sbattere la testa per capire questo problema.

Da circa una settimana ho notato un rallentamento nell'apertura delle pagine web e del download e quel che è peggio è che da tre giorni il mio PC si disconnette da solo spesso e volentieri ed in modo particolare nelle ore serali e notturne. Come mia abitudine cerco di capire quale possa essere il problema e la prima cosa che ho tentato di fare è stata quella di ripristinare il sistema ad un punto precedente ma con mia sorpresa ho trovato che il ripristino di configurazione di sistema era misteriosamente disabilitato ed ovviamente tutti i punti di ripristino precedenti erano andati persi... quindi nulla da fare. Ho pensato subito ad un virus o simili che avesse potuto disabilitare questa funzione e la prima cosa che ho fatto è stata quella di fare varie scansioni con NOD e vari programmi per trovare eventuali spywere, worm, dialers ecc... eccetto qualcosa sui cookies però questi programmi non hanno trovato nulla. Ho rimosso in cookies in questione ma ovviamente il problema non si è risolto.

A questo punto ho cercato di fare un controllo al 187 (ho un ADSL Alice 4Mega) e lì mi hanno detto che risultava tutto in ordine, che ero allineato (non so cosa significhi)... mi hanno consigliato di staccare la stampante, di provare ad utilizzare il modem senza prolunga (cosa che purtroppo non posso fare)... mi sono limitato a sostituire la prolunga perchè dopo due anni di utilizzo senza problemi poteva anche non funzionare più... ma nulla da fare. Ad ogni modo mi assicurano che il problema dipende da me e non da loro... Come d'abitudine ho fatto varie telefonate al 187 nella speranza di trovare una persona realmente competente che potesse consigliarmi e soprattutto aiutarmi a risolvere il problema... ma nulla da fare. Uno di questi operatori mi ha suggerito di fare un controllo alla linea in tre orari diversi con un loro tools che si chiama "Alice ti aiuta". Il tools non mi segnala nessun errore nella configurazione del modem e delle connessione, ma quando prova a fare il test della velocità di upload e download mi segnala in genere l'upload tra i 300 ed i 320 kb e fin qui tutto normale, ma per il test del download mi segnala una velocità tra i 170 ed i 230 kb... di gran lunga inferiore ai 4800 kb... Ovviamente il tools mi avvisa che c'è un problema e mi invita a fare una segnalazione al 187... e da qui il cerchio ricomincia... Praticamente non so più dove sbattere la testa e vorrei evitare di formattare. Quindi se qualcuno ha avuto il mio stesso problema ed è riuscito a risolverlo o se c'è qualcuno capace di aiutarmi o di darmi ulteriori e validi suggerimenti lo apprezzerei tantissimo.

Indico qui di seguito i dati che credo possano essere utili a chi è capace di capirci qualcosa:

Come ho già detto ho una connessione ADSL Alice 4mega

il mio sistema operativo è Windows XP SP2

Il modem è un IPM DATACOM su porta USB che in due anni non ha mai dato problemi

Entrambi le spie del modem sono fisse

La configurazione del mio sistema almeno volontariamente non è cambiata in questi giorni.

Uso spesso emule ed anche qui ho notato una diminuzione della velocità di download

Per scaricare file zip da internet utilizzo il DAP che normalmente scarica tra i 400 e i 500 kb ed ora a malapena arriva a 50 kb

Beh... no so se vi sono necessarie ulteriori informazioni, quindi per concludere allego il file di log ottenuto con hijackthis... magari qualcuno può dirmi se ci sono problemi perchè io ci capisco poco e niente

Logfile of HijackThis v1.99.1

Scan saved at 0.07.15, on 03/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\gsicon.exe

C:\WINDOWS\system32\dslagent.exe

C:\Programmi\Eset\nod32kui.exe

C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Programmi\QuickTime\qttask.exe

C:\Programmi\Lexmark 5200 series\lxbtbmgr.exe

C:\Programmi\Lexmark 5200 series\lxbtbmon.exe

C:\WINDOWS\system32\SxgTkBar.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Winamp\winampa.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\WINDOWS\TEMP\blotda.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Programmi\WinZip\WZQKPICK.EXE

C:\Programmi\Alice ti aiuta\bin\mad.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

C:\Programmi\eMule\emule.exe

C:\Programmi\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\DAP\DAP.EXE

C:\Programmi\a-squared Free\a2free.exe

C:\PROGRA~1\Netscape\Netscape\Netscp.exe

C:\Documents and Settings\Frozen\Documenti\CD\imagenet\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.it.netscape.com/it/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.it.netscape.com/it/home/winsearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programmi\Lexmark 5200 series\lxbtbmgr.exe"

O4 - HKLM\..\Run: [sxgTkBar] SxgTkBar.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [blotda.exe] C:\WINDOWS\TEMP\blotda.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programmi\Netscape\Netscape\Netscp.exe" -turbo

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Add this link to WebWhacker... - C:\Programmi\Blue Squirrel\WebWhacker 5.0\Art\wwieextlink.html

O8 - Extra context menu item: Add this page to WebWhacker... - C:\Programmi\Blue Squirrel\WebWhacker 5.0\Art\wwieext.html

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: WebWhacker - {E5336D32-0CBE-4E1F-A2C7-38DCAA8B07EF} - C:\Programmi\Blue Squirrel\WebWhacker 5.0\Art\wwietb.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{43EB7F4F-AEA2-4D89-AED1-7194B47C2E71}: NameServer = 85.37.17.11 85.38.28.69

O17 - HKLM\System\CS1\Services\Tcpip\..\{43EB7F4F-AEA2-4D89-AED1-7194B47C2E71}: NameServer = 85.37.17.11 85.38.28.69

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Credo sia tutto... Chiedo ancora scusa per la lunghezza del mio post e ringrazio in anticipo chiunque possa darmi un aiuto o una delucidazione.

PS Ho dimenticato di dire che ogni tanto la connessione sembra ritornare normale, proprio ora che sto scrivendo sto provando a scaricare un file zip con DAP e la velocità di download è di 418 kb... un'ora fa con lo stesso file non arrivava che a 36kb... Il che mi fa sempre più pensare che sia un problema di linea della telecom e non mio... anche se mi assicurano che per loro è tutto in ordine...

Modificato March 3, 2007 da padalecki

[luigi1986]

[ben]padalecki[/ben]

[firewall76]

premesso che i log vanno postati nella sezione apposita: veniamo a noi.

Fixa le seguenti voci :C:\WINDOWS\TEMP\blotda.exe

C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE

Fai una scansione anche da questo sito (usa i.e) http://www.ewido.net/en/onlinescan/

Comunque in molti stanno sperimentando i tuoi stessi problemi: lavori telecom.

Prova anche a inserire dei nuovi dns http://www.opendns.com/.

Il discorso dell'allineamento riguarda il collegamento del modem alla centrale.

Purtroppo la banda garantita per telecom e, non solo, non esiste quindi non so cosa sia il caso di augurarsi: se un guasto che ti impedisca la connessione oppure una banda pià lenta, ma stabile.

[padalecki]

premesso che i log vanno postati nella sezione apposita: veniamo a noi....

Ciao,

ops... chiedo scusa per il log... non capiterà più!!!

Comunque veniamo a noi. Innanzi tutto grazie per i tuoi consigli... Ho già fissato quella stringa che mi dici blotda.exe.... Ieri continuando a navigare ho trovato una sezione di Hijackthis che ti permette di inserire il log e ti da una spiegazione in tempo reale... Qui mi segnalava come sospetto questo blotda. In quanto a MOTIVE~1.EXE credo che provenga dal tool alice ti aiuta (infatti mi è apparso quando l'ho installato) comunque provvederò a fissarlo.

Farò anche una scansione tramite il link che mi hai dato e vedremo cosa salta fuori.

Ieri sera ho fatto una scansione anche con a-squared Free ed anche questo prog mi ha trovato dei cookies + un altro paio di cose che non so cosa siano... e, sperando di non fare di nuovo l'errore del log, ti scrivo giusto l'essenziale:

C:\Documents and Settings\Frozen\Documenti\scaricati\NetworkActivPIAFCTMv1.5.exe rilevati: Riskware.NetTool.Win32.Piafctm.152

C:\Documents and Settings\Frozen\Documenti\scaricati\upx120w.zip/upx.exe rilevati: Backdoor.Win32.Ptakks.dr

C:\Programmi\Teleport Ultra\scheduler.exe rilevati: Heuristic.Dialer

H:\MP3\Boilsoft-Avi To Vcd Svcd Dvd Converter v3.01-Cracked-Winiso.rar/setup.exe rilevati: Trojan-Dropper.Win32.Agent.pt

Non so cosa siano i primi due ma il prog mi permetteva di cancellarli e l'ho fatto (con la speranza di non aver combinato qualche guaio)... gli altri due invece invece provengono da Teleport e Avi to Svcd... due software che uso da una vita... quindi credo che possa lasciarli stare.

Ora sto facendo la scansione con il link che mi hai dato. Ti farò sapere non appena sarà finito.

Per concludere, spero di non illudermi, ma per fare la scansione di cui ti ho parlato ho lasciato il pc acceso tutta la notte, connesso ad internet e con emule aperto... e non si è disconnesso... cosa che faceva da tre giorni. Che si sia risolto tutto? Beh ti farò sapere quando avrò completato i test che mi hai suggerito...

Grazie mille per la tua disponibilità

[padalecki]

Volevo farti sapere che ho completato la scansione con il link che mi hai dato e mi ha trovato solo coockies che ho eliminato e le stesse voci che ti ho segnato prima... quella di teleport e avi to svcd...

Ora mi trovo un attimino in difficoltà ed approfitto ancora della tua disponibilità... Come faccio a fissare C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE... ??? Manualmente non lo trovo e mi appare solo nel log di hijackthis ma non nella finestra del programma dove c'è solo C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe... Se chiudo l'icona di "alice ti aiuta" sulla barra delle applicazioni dal task manager scompare il processo MOTIVE~1.EXE e resta solo MotiveSB.exe... Quindi proprio non so come fare, e se me lo potresti spiegare te ne sarei molto grato. Grazie in anticipo

[$angelique!?]

Ciao padalecki,

benvenuto...

per quanto riguarda il log fai in questo modo:

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

C:\WINDOWS\TEMP\blotda.exe

O4 - HKLM\..\Run: [blotda.exe] C:\WINDOWS\TEMP\blotda.exe

Torna in modalità normale...

Dai una ripulita a cookie,cache e prefetch con Ccleaner

(Quando lo installi ricordati che se lasci le spunte di default ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

* Scarica ATF Cleaner

- Avvialo con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni).

Fai anche uno scan online Kaspersky in questo modo

e posta il risultato.

Inoltre per essere sicuri che le tue disconnessioni non siano causati da dialers potresti controllare il file rasphone.pbk in questo modo:

1. Click Start, --> Search.
   
2. nel nome del file da cercare digita::
   rasphone.pbk
   
3. Click su opzioni di ricerca. e spunta Ricerca Avanzata
   
4. Spunta su Cerca nelle cartelle di sistema.
   
5. Spunta su Cerca nelle sottocartelle.
   
6. Click CERCA.
   
7. quando trovato rasphone.pbk file, click destro suk file, e seleziona Apri con.
   
8. Deseleziona la casella Usa sempre questo programma.
   
9. quindi seleziona Notepad. (il blocco note)
   
10. una volta aperto, elimina tutte le righe incluse nella sezione:
    i-Dialer
    
11. Chiudi il blocco note e conferma il salvataggio
    

___________

Nota il file rasphone.pbk dovrebbe trovarsi in questo percorso:

...\Documents and Setting\All Users\Datiapplicazioni\Microsoft\Network\Connections\Pbk

MA è in una cartella nascosta di sistema, pertanto se ci vai direttamente (senza usare la ricerca) prima devi abilitare la visualizzazione:

Strumenti , Opzioni cartella... , Visualizzazione --> Visualizza cartelle e file nascosti.

È consigliato, una volta eliminato il dialer, per preservare il file da future manipolazioni impostarlo a sola lettura:

Click Proprietà quindi attivate la casella Sola lettura. Confermate premendo il pulsante OK.

(però se dovrete creare nuove connessioni o apportare qualsiasi modifica alle opzioni inerenti la connessione a internet dovrete ricordarvi di togliere l’attributo di Sola Lettura e ripristinarlo successivamente.)

[padalecki]

Ciao,

grazie mille per tutte queste informazioni che provvederò ad eseguire domani perchè purtroppo oggi proprio non posso. Comunque dopo la ripulita di ieri e di questa mattina sembra tornato tutto in ordine. Ho lasciato il pc connesso tutta la notte ed è andato avanti come sempre... senza disconnettersi. Ho provato il test per la velocità di alice sia questa mattina che pochi minuti fa e l'upload è perfetto come al solito e i problemi con il download sembrano risolti ora mi segnala una media tra i 3.8 ed i 4.2 mb. Quindi tutto normale... Non essendo a casa nel pomeriggio lo lascerò accesso per vedere se al mio ritorno lo trovo disconnesso (spero di no)... Ad ogni modo domani eseguirò i controlli che mi hai detto, giusto per essere più sicuri.

Grazie ancora per tutto l'aiuto che mi hai dato...

[$angelique!?]

Grazie ancora per tutto l'aiuto che mi hai dato...

Per noi è un piacere...se avessi bisogno di un consiglio sai dove trovarci. ;-)

[padalecki]

Ciao di nuovo,

come ti avevo detto questa mattina ho provato a lasciare il pc accesso per vedere se era tutto ok visto che da ieri sembrava essere tornato tutto alla normalità... ma oggi verso le 17 si è disconnesso di nuovo... ho riprovato il test di velocità di download ed ancora una volta la velocità era di molto al di sotto della media. Ho rifatto lo scan con hijackthis e mi ha trovato un nuovo file anomalo dello stesso tipo di blotda.exe... l'ho eliminato ma stupidamente non ho preso nota del nome del file... Entrambi i files avevano una bocca rossa come icona (ma questo non credo che possa essere d'aiuto).

Ad ogni modo ho seguito tutti i tuoi consigli passo per passo. Ho rifatto la scansione con hijackthis in modalità provvisoria ma non mi ha segnalato nulla di anomalo. Ripulito con i due programmi che mi hai consigliato e fatto una scansione online con kaspersky. Quest'antivirus mi ha rivelato due trojans ed una ventina di files infetti. Ovviamente non posso ripulirli visto che l'antivirus mi permette solo di fare la scansione. La cosa strana però è che si trovano tutti nella cartella ESET che praticamente è quella del NOD32, cioè l'antivirus... A questo punto non so che fare se ripulirli o meno. Ti allego comunque il rapporto come mi hai chiesto:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Saturday, March 03, 2007 10:52:41 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 3/03/2007

Kaspersky Anti-Virus database records: 260084

-------------------------------------------------------------------------------

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

Scan Target - Folders:

C:\

Scan Statistics:

Total number of scanned objects: 85548

Number of viruses found: 2

Number of infected objects: 27 / 0

Number of suspicious objects: 0

Duration of the scan process: 01:00:08

Infected Object Name / Virus Name / Last Action

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\csrmodpg.exe Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Frozen\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Frozen\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Frozen\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Frozen\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Frozen\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Frozen\Dati applicazioni\Mozilla\Profiles\default\vxclk4pt.slt\parent.lock Object is locked skipped

C:\Documents and Settings\Frozen\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Frozen\NTUSER.DAT Object is locked skipped

C:\Programmi\Eset\logs\virlog.dat Object is locked skipped

C:\Programmi\Eset\logs\warnlog.dat Object is locked skipped

C:\Programmi\Eset\cache\CACHE.NDB Object is locked skipped

C:\Programmi\Eset\infected\IHIQ0MDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\5ICJSPCA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\ZABW1PAA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\VFJ2PXCA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\VXJ0CJBA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\QM155LDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\AXTFPVCA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\YUGS1EDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\PJVPOFDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF/data0002 Infected: Trojan.Win32.VB.amd skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF NSIS: infected - 1 skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF UPX: infected - 1 skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF PE_Patch.UPX: infected - 1 skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF PE_Patch: infected - 1 skipped

C:\Programmi\Eset\infected\HNTERYBA.NQF PE-Crypt.XorPE: infected - 1 skipped

C:\Programmi\Eset\infected\PE5XSRDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\453LRNAA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\PCLUZUAA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\AF0SE2DA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\J4TMVTAA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\0JKVHYCA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\BFPA34CA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\LV3BQVDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\X3UHM1CA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\YBQCVRDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\OGIMMNCA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Eset\infected\ALMAQKDA.NQF Infected: Trojan-Downloader.Win32.Agent.awf skipped

C:\Programmi\Netscape\Netscape\component.reg Object is locked skipped

C:\Programmi\DAP\DAP_REPORT.LOG Object is locked skipped

C:\Programmi\Alice ti aiuta\log\mad.log Object is locked skipped

C:\Programmi\Alice ti aiuta\log\mpbtn.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\SmartBridge.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\AlertFilter.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\log\httpclient.log Object is locked skipped

C:\Programmi\Motive\AsstCommon\log\MotiveDirectory.log Object is locked skipped

C:\System Volume Information\_restore{B53611A8-B669-4B92-9B7F-3DCAFEE8FF71}\RP5\change.log Object is locked skipped

Scan process completed.

Infine ho controllato il file rasphone.pbk... e non presenta nessuna voce i-Dialer... ma non ci capisco niente in questo file e quindi, visto che non so se posso postarlo qui, se non ti dispiace te ne allego una copia con un pm... magari se ci dai un'occhiata mi puoi dire se ti sembra tutto ok.

A questo punto non ho assolutamente idea di quale possa essere la causa di queste disconnessioni ma quel che è certo è che sono legate alla bassa velocità di upload. Visto che ieri sembrava essere tornato tutto ok con la velocità non ci sono state disconnessioni per una ventina di ore e poi oggi la velocità è crollata improvvisamente e si è disconnesso. Sto cominciando sempre di più a credere che il problema non dipenda da me ma semplicemente dalla telecom anche se mi assicurano che per loro è tutto ok.

A questo punto credo che non mi resti che aspettare qualche altro giorno per vedere come vanno le cose e nel dubbio mi vedo costretto a formattare... anche se credo sia tutto inutile...

Grazie ancora per il tuo aiuto

[Kuma]

Ciao...

... Entrambi i files avevano una bocca rossa come icona (ma questo non credo che possa essere d'aiuto)

Ti sbagli... invece può aiutarci nel capire di cosa si tratta

Se è quello che sospetto, da hijack non lo possiamo vedere... dovrebbe trattarsi di un Rootkit (Rustook B), il file lzx32.sys, (Il driver del RustockB) è infatti nascosto negli Alternate Data Streams della cartella c:\windows\system32...

Removal

Download RegRun Reanimator (3Mb)

Decomprimilo in una cartella sul desktop

1. apri reanimator.exe.
   
2. Click su "Remove Rustock Rootkit".
   
3. Sarai avvisato che stai per usare la "RootkitNO" utility.
   
4. Avviala!
   
5. Sarai avvisato di riavviare il computer.
   
6. Dopo il riavvio, Rustock sarà stato rimosso usando Partizan.
   

Finita la procedura di pulizia, puoi rimuovere Partizan dall'avvio di Windows .

Click su "UnInstall Partizan" .

Puoi anche eliminare (se vuoi) la cartella "RootkitNo" dal disco dove hai installato Windows.

_____________________________

Se il TOOL sopra fallisce, qui ce nè un altro: http://www.uploads.ejvindh.net/rustbfix.exe

Altre info (in inglese)

[padalecki]

Ciao...

Ti sbagli... invece può aiutarci nel capire di cosa si tratta

Se è quello che sospetto, da hijack non lo possiamo vedere... dovrebbe trattarsi di un Rootkit (Rustook B), il file lzx32.sys, (Il driver del RustockB) è infatti nascosto negli Alternate Data Streams della cartella c:\windows\system32...

Ciao, innanzi tutto grazie per queste ulteriori info. Premetto che ieri dopo la disconnessione delle 17:00 e la conseguente diminuzione della velocità, in serata è tornato tutto normale... come in questo momento (sta cosa mi sta facendo impazzire)...

Tornando a quello che mi hai suggerito ho fatto tutto con Reanimator ma visto che non ci capisco nulla non so se realmente abbia fatto qualcosa perchè quando mi ha chiesto di riavviare, dopo tutta la normale procedura è apparsa un messaggio in blu (tipo scandisk) molto veloce in cui sono riuscito a leggere qualcosa relativa al file lzx32 che finiva con un messaggio di errore 0xc000033... che ovviamente non so cosa significhi. Inoltre nel menu di windows non c'è nessuna voce relativa a Partizan ed alla sua rimozione... ma ho notato che in Reanimator una delle opzioni è proprio quella "remove partizan" ed ho usato quella.

Dato questo messaggio iniziale che mi sembra di errore, mi suggerisci di utilizzare anche l'altro programma che mi hai consigliato?

[Steve75]

Ciao ,

per sicurezza prova a fare uno scan con AVG Antirootkit

[Kuma]

Ciao... intendevo in Reanimator

Dovresti essere a posto, ma fai comunque il controllo suggerito da Steve

[$angelique!?]

Ciao padalecki,

ho ricevuto il tuo MP...

nel file rasphone.pbk non c'è la presenza di Dialers, puoi anche lasciarlo così com'è.

Dal report di Kaspersky risultano solo i virus nella quarantena del NOD32 (infected) io direi di svuotarla.(Quarantena> selezioni il file>tasto destro >cancella).

Anche il log di Hijackthis che mi hai inviato risulta pulito.

Ho solo un dubbio su questo programma C:\Programmi\DAP\DAPBHO.dll

So di che programma si tratta, ma non vorrei che fosse veicolo di spyware.

Potresti fare analizzare il file in rosso su VirusTotal.

VIRUS TOTAL (istruzioni)

Poi nella pagina che si apre, in alto a destra clicca su SFOGLIA

cerca il file sul tuo computer e quindi clicca su SEND e attendi il termine del controllo.

***Ovviamente segui anche il consiglio di Steve75.

[padalecki]

Ciao di nuovo. Da stamattina sto testando il pc e non ho riscontrato problemi fino alle 19:30 quando c'è stato un calo della velocità e la conseguente disconnessione. Ho riavviato e provato a riconnettermi e si è disconnesso dopo due secondi. Riconnesso e rifatto il test della velocità con alice ti aiuta e il download risulta appena a 174 kb. Ho rifatto uno scan con hijackthis e mi ha trovato un altro di quegli eseguibili con una bocca come icona

O4 - HKLM\..\Run: [xnhqcb.exe] C:\WINDOWS\TEMP\xnhqcb.exe

fissato e rimosso

ora il dubbio è grande... visto che da questa mattina ho lasciato il pc connesso con solo emule in esecuzione senza zip o eseguibili da scaricare da dove è saltato fuori questo xnhqcb.exe? Unico e solo file presente nella cartella windows/temp

Un'altra cosa che ho notato è che quando ho fatto la connessione non mi ha più dato il messaggio di errore che mi dava quando ho messo il file rasphone.pbk in sola lettura... che è ancora in sola lettura.

Ad ogni modo ho fatto la scansione con AVG Antirootkit come suggerito da Steve (a proposito, grazie del consiglio) e non ha rilevato nulla.

Ho svuotato la quarantena del NOD e fatto uno scan del file dapbho.dll con VirusTotal e non ha segnalato nulla

AntiVir7.3.1.3803.04.2007 no virus foundAuthentium4.93.803.04.2007 no virus foundAvast4.7.936.003.03.2007 no virus foundAVG7.5.0.44703.04.2007 no virus foundBitDefender7.203.04.2007 no virus foundCAT-QuickHeal9.0003.02.2007 no virus foundClamAVdevel-2006042603.04.2007 no virus foundDrWeb4.3303.04.2007 no virus foundeSafe7.0.14.003.04.2007 no virus foundeTrust-Vet30.6.344903.03.2007 no virus foundEwido4.003.04.2007 no virus foundFileAdvisor103.04.2007 Not analyzed yetFortinet2.85.0.003.04.2007 no virus foundF-Prot4.3.1.4503.04.2007 no virus foundF-Secure6.70.13030.003.03.2007 no virus foundIkarusT3.1.1.303.04.2007 no virus foundKaspersky4.0.2.2403.04.2007 no virus foundMcAfee497503.02.2007 no virus foundMicrosoft1.220403.04.2007 no virus foundNOD32v2209403.04.2007 no virus foundNorman5.80.0203.02.2007 no virus foundPanda9.0.0.403.04.2007 no virus foundPrevx1V203.04.2007 no virus foundSophos4.14.003.03.2007 no virus foundSunbelt2.2.907.003.01.2007 no virus foundSymantec1003.04.2007 no virus foundTheHacker6.1.6.06703.01.2007 no virus foundUNA1.8303.02.2007 no virus foundVBA323.11.203.03.2007 no virus foundVirusBuster4.3.19:903.04.2007 no virus found

Ora se non è un problema relativo a Telecom mi viene da pensare che la causa di questi rallentamenti e disconnessioni possa essere causata da questi eseguibili con una bocca come icona... ma quello che non capisco è da dove provengano. Soprattutto oggi che non ho aperto nessuna pagina web... a meno che non abbia qualcosa di molto nascosto sul mio pc che li crea e che i vari antivirus e tools che ho provato non riescono a rilevare. L'unica cosa che so è che fino ad una decina di giorni fa era tutto in ordine... ma ovviamente non posso ripristinare nulla visto che i punti sono scomparsi.

A questo punto non so più che pensare e fare... quindi se qualcuno si è fatto un'idea di quello che sta succedendo sul mio PC... ulteriori suggerimenti sono graditi. Grazie

PS Una volta rimosso questo eseguibile e riavviato è riapparso il messaggio di errore prima della connessione e qui tutto normale ma la velocità di download non è tornata normale... ora è appena a 417 kb ben lontana dalla media di 3.8 mb... sarà realmente colpa di questi programmini ???

Modificato March 4, 2007 da padalecki

[$angelique!?]

allora padalecki...passiamo alle maniere forti...

Fai uno scan con l'ultima versione di Virit ovviamente dopo averla aggiornata.

( se non dovessi riuscire a scaricarla preleva da un computer pulito (o dal link alternativo) la versione 6.1.57 di VirIT.

Dopo averla installata/aggiornata esegui il file c:\vexplite\gotgsoft.bat e segui le indicazioni a video)

* Scarica questo Gromozon Rootkit Removal Tool

- Avvialo con un doppio click

- Clicca su Scan

- Rispondi YES alla richiesta di riavvio

- Dopo il riavvio il tool terminerà la procedura

Posta il log che verrà creato in C:\gromozon_removal.txt

* Scarica quest'altro Trojan.Linkoptimizer Removal Tool

- Avvia il sistema in modalità provvisoria

- Disattivato il ripristino per XP / ME

- avvia il tool con un doppio click

- Accetta il contratto di licenza

- Clicca su Start per avviare lo scan

- Rispondi Yes all'avviso e attendi la fine

Posta il contenuto del log FixLinkopt.txt

Link alternativo per i due tool

Il N1 è il tool gromozon , e il N2 quello symantec

Da Start\Esegui digita: Control Userpasswords2

e riporta qui le utenze...

Da Start\Esegui digita: regedit

Portarti alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT

e riporta qui i valori presenti (per il momento non eliminare nulla, la chiave è molto delicata)

posta i log dei due tool e di Virit.

[padalecki]

Grazie! Lo farò immediatamente e posterò i log qui. Speriamo che sia la volta buona

[$angelique!?]

PS Una volta rimosso questo eseguibile e riavviato è riapparso il messaggio di errore prima della connessione e qui tutto normale ma la velocità di download non è tornata normale... ora è appena a 417 kb ben lontana dalla media di 3.8 mb... sarà realmente colpa di questi programmini ???

Anche se elimini il file incriminato nei temp, riavviando si riforma sotto un'altro nome.

Dobbiamo trovare la causa...per ora segui i passaggi che ti ho indicato.

[padalecki]

allora padalecki...passiamo alle maniere forti...

e riporta qui i valori presenti (per il momento non eliminare nulla, la chiave è molto delicata)

posta i log dei due tool e di Virit.

Ciao di nuovo... ho fatto tutto quello che mi hai consigliato e ti posto qui di seguito tutti i log e valori

VIRIT

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

04/03/2007 - 21:17:22

[sCANSIONE DEL REGISTRO]

{03F998B2-0E00-11D3-A498-00104B6EB52E} Infetto da Spyware.ViewPoint.A

* * * RIMOSSO * * *

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\System Volume Information\_restore{B53611A8-B669-4B92-9B7F-3DCAFEE8FF71}\RP5\A0004196.exe Infetto da Trojan.Win32.Dialer.IH

* * * RIMOSSO * * *

C:\System Volume Information\_restore{B53611A8-B669-4B92-9B7F-3DCAFEE8FF71}\RP5\A0004197.exe Infetto da Trojan.Win32.Dialer.IH

* * * RIMOSSO * * *

C:\Recycled\Dc1.exe Infetto da Trojan.Win32.Dialer.IH

* * * RIMOSSO * * *

C:\ulogin125.exe Infetto da Trojan.Win32.Agent.AMG

* * * RIMOSSO * * *

Chiavi Registro infette: 1.

Files Infetti: 4.

Files Sospetti: 0.

Files Analizzati: 97968.

Files Totali: 97968.

Chiavi Registro rimosse: 1.

Virus Rimossi: 4.

Gromozon Rootkit Removal Tool

Removal tool loaded into memory

Gromozon rootkit component not detected - searching for other components

Scanning: C:\WINDOWS

Scanning: C:\Programmi\File comuni

Trojan.Gromozon does not exist - your system is clean.

FixLinkopt

Qui c'è stato un problema mentre faceva la scansione di uno dei dischi di backup è mancata la corrente. Quando è ripartito tutto ho dato un'occhiata al file log e c'era un messaggio che diceva più o meno così: Mi avvertiva che non era stato trovato nulla ma che c'era stata un'interruzione da parte dell'utente e per esserne sicuri era necessario fare la scansione di tutti i files.

Anche se la scansione del disco C era già stata fatta ho pensato di rifarla (8 ore... l'ho lasciato a lavorare tutta la notte ) ed ora nel file log non mi segnala nulla... semplicemente:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Ne se ha trovato qualcosa e ne se non ha trovato nulla... Mi consigli di rifare la scansione?

Da Control Userpasswords2 le utenze sono soltanto il mio user e l'administrator (che sarei sempre io)... Nessun altro usa il mio PC... quindi presumo che qui sia tutto normale

Infine nel registro questo è il valore che c'è accanto alla voce userinit... spero di aver riportato la cosa giusta:

userinit REG_SZ C:\WINDOWS\system32\userinit.exe,

Questo tutto. Resto in attesa di una tua risposta e grazie ancora per il tempo che mi stai dedicando

[$angelique!?]

Ciao padalecki,

il problema lo abbiamo individuato Trojan.Win32.Dialer.IH

Se non l'hai già fatto Disattiva il ripristino configurazione di sistema e fai una nuova scansione in modalità provvisoria con Virit.

Nel caso avessi ancora problemi procederemo con la ricerca di eventuali Rootkit sul tuo pc.

(Vediamo cosa ne pensa il nostro esperto Luke57).

[padalecki]

Ciao padalecki,

il problema lo abbiamo individuato Trojan.Win32.Dialer.IH

Ciao di nuovo... beh speriamo che sia la volta buona e definitiva perchè ci stavo impazzendo

Prima che mi dimentichi volevo dirti una cosa. Ieri ho disinstallato Virit essendo un trial e quindi per fare un'ulteriore prova come mi hai appena suggerrito, l'ho scaricato di nuovo... solo che per fare prima ho usato il link alternativo che mi avevi dato e come ci ho clikkato su, il NOD mi è impazzito, ha cominciato ad aprirmi finestre a catena con segnalazione di trojan su vari files che ha rimosso. Forse è solo il NOD che quando vuole sa essere iper protettivo... ma se così non fosse ti suggerirei di controllare quel link.

Ad ogni modo ho rifatto la scansione con Virit e qualcosa l'ha trovato e rimosso... te ne allego il log

VirIT eXplorer Lite Log

[sCANSIONE DELLA MEMORIA]

OK

[sCANSIONE DELLA MEMORIA]

OK

--------------------------------------------------------

05/03/2007 - 11:46:57

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Documents and Settings\Frozen\Impostazioni locali\Temporary Internet Files\Content.IE5\U5J8X4RI\package[1] Infetto da Trojan.Win32.Agent.AMG

* * * RIMOSSO * * *

Chiavi Registro infette: 0.

Files Infetti: 1.

Files Sospetti: 0.

Files Analizzati: 108414.

Files Totali: 108414.

Chiavi Registro rimosse: 0.

Virus Rimossi: 1.

Stamattina ho provato il test della velocità ed era tutto nella norma, idem per quello fatto dopo la scansione... Sembrerebbe che ora sia tutto ok... Quindi che posso dire... GRAZIE di tutto l'aiuto che mi avete dato... è stato molto prezioso.

Oggi lascerò di nuovo il PC connesso tutto il giorno per provare se ci saranno ulteriori disconnessioni ed eventualmente ti farò sapere.

Posso riabilitare il ripristino configurazione di sistema... vero?

Grazie ancora di tutto

[$angelique!?]

'ho scaricato di nuovo... solo che per fare prima ho usato il link alternativo che mi avevi dato e come ci ho clikkato su, il NOD mi è impazzito, ha cominciato ad aprirmi finestre a catena con segnalazione di trojan su vari files che ha rimosso. Forse è solo il NOD che quando vuole sa essere iper protettivo... ma se così non fosse ti suggerirei di controllare quel link.

Ho controllato ora...a me non segnala nulla ed anch'io uso il Nod32.

la scansione l'hai fatta in modalità provvisoria???

Posso riabilitare il ripristino configurazione di sistema... vero?

Si, certo... e facci sapere se ci sono ulteriori sviluppi.

[padalecki]

la scansione l'hai fatta in modalità provvisoria???

Ciao di nuovo. Per la scansione ti riferisci a Virit, vero? Si l'ho eseguita in modalità provvisoria.

Per il nod mi è bastato solo cliccare sul link (non in provvisoria) e mi ha aperto una decina di finestre... ma su questo non so che dirti

Grazie ancora di tutto ed ovviamente farò sapere qualcosa in entrambi i casi... sia se ci saranno nuove disconnessioni che no... spero di no... hehehe!!!

Ancora grazie! :up1:

[padalecki]

19:37 disconnesso di nuovo

Ciao di nuovo... ancora lo stesso problema... mi sa che l'ho ribeccato di nuovo o non è stato rimosso

O4 - HKLM\..\Run: [mdbuwa.exe] C:\WINDOWS\TEMP\mdbuwa.exe

stessa bocca come icona

Mi consigli di ripetere tutto quello che abbiamo fatto in questi due giorni?

[Steve75]

Ciao ,

* Fai uno scan con PREVX1

* Scarica e decomprimi GMER sul desktop

- con un doppio click avvia il file gmer.exe

- Portati nel tab Rootkit e clicca su "Scan"

- A fine scansione clicca su "Copy", apri il block notes di windows,e mediante il tasto destro del mouse seleziona incolla..

- A questo punto salva il log dove meglio ritieni

-Torna a gmer,portati nel tab Autostart questa volta ,spunta la casella "Show All" e clicca di nuovo su Scan

- Al termine della scansione clicca su Copy , e ripeti le stesse operazioni di prima per salvarlo

* Allega i due log in un post di risposta...

PS__A quanto pare lo scan con Virit lo hai fatto solo dalla modalità provvisoria , falla anche da normale

PS1__Queste operazioni falle tutte completamente disconnesso da Internet (Modem spento o cavetto tirato)