pokerface

Agrsmmsg.exe Rthdcpl.exe Alcmtr.exe Comparsi Sul Desktop Senza Ragio

6 messaggi in questa discussione

Ciao, spero che qualcuno mi possa aiutare.

Accendendo il computer mi sono improvvisamente apparse sul desktop tre icone standard di applicazioni relative rispettivamente a: AGRSMMSG.EXE RTHDCPL.EXE ALCMTR.EXE

Non so da dove siano arrivate, ma da quel momento il computer ha iniziato ad avere comportamenti strani.

Ho provato subito a fare un ripristino di sistema ad un punto precedente ma non ce n'era nessuno disponibile (?!?) allora ho eliminato i file dal desktop ed ho provato più volte ad eliminarli dal sistema tramite il pulsante Fix Checked di Hijack This, ma restano sempre lì.

Adesso all'avvio mi chiede ogni volta d'installare il cd-rom per l'assistenza prodotti Hp: io lo faccio, ma la volta successiva me lo chiede di nuovo (non era mai successo).

Quando mi collego ad Internet cade quasi subito la linea, e quando provo a ricollegarmi un messaggio di errore mi notifica che la periferica è già in uso o che il modem non è configurato correttamente. Per ritentare di collegarmi devo per forza riavviare il computer ogni volta che cade la linea.

Lavasoft Ad-watch all'avvio mi dice che c'è stata una modifica di un oggetto protetto Valore:provider Dati: gogl Radice: HKEY CURRENT USER- software - Microsfot - Internet Explorer - SearchURL.

A distanza di alcuni giorni dalla data di creazione delle icone sul desktop ho fatto un ripristino a quella stessa data (primo punto di ripristino disponibile) per cercare di risolvere qualcosa... ovviamente sono riapparse le applicazioni sul desktop e continua a cadere la linea. Non ho risolto niente.

È possibile che si tratti di virus o di tentativi di violazione del mio computer? Un anno e mezzo fa avevo già beccato un gromozon, su un altro computer, che mi aveva installato cavalli di tr**a più un'identità nascosta che agiva come amministratore... ho dovuto riformattare tutto. Questa volta pensavo di avere la copertura giusta, tra firewall, antivirus e compagnia bella... allego il log di Hijack This e spero che qualcuno mi possa aiutare a venirne fuori. Grazie mille anticipate!!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11.06.20, on 10/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Intel\Wireless\Bin\EvtEng.exe

C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe

C:\Programmi\File comuni\LightScribe\LSSrvc.exe

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe

C:\Programmi\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Acer\Acer Arcade\PCMService.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Programmi\Ahead\Nero BackItUp\NBKeyScan.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe

C:\Programmi\GetRight\getright.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programmi\HP\Digital Imaging\Bin\hpqSTE08.exe

C:\WINDOWS\system32\mmc.exe

C:\Programmi\Microsoft Office\Office10\WINWORD.EXE

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sanremonews.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1

O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe

O4 - HKLM\..\Run: [boot] C:\Acer\Empowering Technology\ePower\Boot.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe

O4 - HKLM\..\Run: [imageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Ahead\Nero BackItUp\NBKeyScan.exe" /devicetype:philips

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HPHUPD08] C:\Programmi\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [updateMgr] "c:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acer Empowering Technology.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe

--

End of file - 10747 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[ben]pokerface[/ben]

logokdinoeo3.jpg

calma e ...sangue freddo !! :P

purtroppo hai equivocato sulla natura di quei componenti che non sono malware....

Rispettivamente riguardano l'audio integrato (il primo e l'ulimo...) e il modem.

Probabilmente è successo qualcosa nei driver che ha spinto il sistema al riavvio successivo ad installarli di nuovo (forse è per questo che ti sei ritrovato le icone sul desktop..)

Ti consiglio di andare in gestione periferiche e reinstallare i driver dell'audio integrato e del modem... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie mille!!!! Ci proverò e spero di non combinare casini...!!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie Dinop, ho fatto come hai detto e sono andata a vedere su Gestione Periferiche:

i drivers però erano già caricati correttamente, si vede che dopo il ripristino e un paio di riavvii ci ha pensato il computer... (?!?) infatti la linea non cadeva già più.

Anche l’audio funziona correttamente, però quando alzo/abbasso/disattivo/riattivo il volume, non compaiono più le tacche verdi o il simbolo del volume on/off sulla schermata, anche se in effetti esegue il comando. Come ripristino questa funzione?

Ho anche spostato i famosi files dal desktop a C:Windows... in realtà c’erano già i files originali delle applicazioni con gli stessi nomi: l’unica differenza stava nelle dimensioni, infatti quelli che ho spostato erano tutti e tre da 15kb, mentre gli altri erano più grandi (87kb 68kb e 15.630kb quello della Realtek)... come mai ci sono files .exe con lo stesso nome ma con dimensioni così diverse? Devo tenere lo stesso i tre da 15kb che sono stati creati per ultimi? E come mai Windows mi permette di tenere nella stessa cartella files con lo stesso nome senza chiedere se invece voglio sostituire la versione più vecchia con quella più recente...?

Ancora una cosa... ad ogni avvio Windows Installer mi chiede d’inserire il CD della HP per installare il Product Assistant... PERCHÉ il file viene cancellato dopo ogni spegnimento del computer e mi tocca reinstallarlo tutte le volte? Mi viene un dubbio... dopo che sono comparse quelle tre icone sul desktop ho fatto girare ad-Aware SE Professional (che praticamente non usavo mai) e adesso ho un tracking cookie in quarantena: obj[0]=IECache Entry : C:\Documents and Settings\(nome utente)\Cookies\(nome utente) @brightcove.112.2o7[1].txt Non è che magari c’entra proprio con la HP ...?

Grazie per la pazienza...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Anche l’audio funziona correttamente, però quando alzo/abbasso/disattivo/riattivo il volume, non compaiono più le tacche verdi o il simbolo del volume on/off sulla schermata, anche se in effetti esegue il comando. Come ripristino questa funzione?

quella non è una funzione dei drivers ma del sw che normalmente accompagna questi componenti hw, dovresti recuperarlo da CD, ... e reinstallarlo..

Ho anche spostato i famosi files dal desktop a C:Windows... in realtà c’erano già i files originali delle applicazioni con gli stessi nomi: l’unica differenza stava nelle dimensioni, infatti quelli che ho spostato erano tutti e tre da 15kb, mentre gli altri erano più grandi (87kb 68kb e 15.630kb quello della Realtek)... come mai ci sono files .exe con lo stesso nome ma con dimensioni così diverse?

cara "faccia da poker" :P:P:P , alla luce di quanto dici riconsidero un attimo la situazione....queste differenze non vanno molto bene..

Devo tenere lo stesso i tre da 15kb che sono stati creati per ultimi? E come mai Windows mi permette di tenere nella stessa cartella files con lo stesso nome senza chiedere se invece voglio sostituire la versione più vecchia con quella più recente...?

intanto non è possibile avere oggetti con lo stesso nome presenti nella stessa cartella, il che vuol dire che gli oggetti non si chiamano "uguali" oppure non sono nella stessa cartella... verifica e dammi riscontro. Proporrei però nel sistemare provvisoriamente i 3 "incriminati" in una cartella a parte (chiamala "sospetti" così te ne ricordi... :P:P ) e poi visita il sito di Virit per far analizzare uno alla olta i 3 oggetti e riporta le conclusioni...

Ancora una cosa... ad ogni avvio Windows Installer mi chiede d’inserire il CD della HP per installare il Product Assistant... PERCHÉ il file viene cancellato dopo ogni spegnimento del computer e mi tocca reinstallarlo tutte le volte?

forse perchè non è installato correttamente, vale lo stesso principio dei sw di controllo dell'audio integrato e del modem (a proposito ma è un modem interno analogico che usi oppure no ? se no disabilitalo dal BIOS così ti togli il pensiero...), reinstalla !

Mi viene un dubbio... dopo che sono comparse quelle tre icone sul desktop ho fatto girare ad-Aware SE Professional (che praticamente non usavo mai) e adesso ho un tracking cookie in quarantena: obj[0]=IECache Entry : C:\Documents and Settings\(nome utente)\Cookies\(nome utente) @brightcove.112.2o7[1].txt Non è che magari c’entra proprio con la HP ...?

no, lascia perdere non c'entra.... (B)

Ciao, Dinop... :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie Dinop... torno adesso da un paio di settimane di vacanza in cui non ho potuto collegarmi, per questo non avevo più controllato il sito. Appena avrò un po' di tempo controllerò tutto come mi hai detto. Il modem è interno, in quanto lavoro con un laptop, ma adesso non mi ha più dato problemi: persiste quello della visulizzazione delle tacche del volume, ma non credo che sia collegato al modem (o no...?)

I files "sospetti" invece confermo che hanno esattamente lo stesso nome di quelli che erano già presenti, l'unica differenza consiste in uno spazio prima del dot (= .exe) Provvederò a spostarli come hai detto.

Ciao! :up1:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora