Ho un virus? o altro?

Aperto da Kiki, 12 Settembre 2006, 22:28:45

Discussione precedente - Discussione successiva

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

Italia 1

problema risolto: firewall disinstallato. non mi compare più nemmeno la connessione all'avvio del pc

PC wallet TR1950x-7970-16GB DDR4 2133 - PC soffitta Ryzen9 5950x-6900xt-32GB DDR4 3000 - PC camera Ryzen9 3900x-6900xt-32GB DDR4 3000

Kiki

Rispondo a Ninfea, che mi ha chiesto di mandare il file log .....dopo chiudi il programma e copi il contenuto del log, ovvero un piccolo documento con le informazioni della scansione ,qui nel forum in risposta a qsto msg.

Grazie ciao.
Logfile of HijackThis v1.99.1
Scan saved at 10.56.44, on 15/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Comodo\common\CAVASpy\cavasm.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Comodo\Comodo AntiVirus\CMain.exe
C:\Programmi\Comodo\LaunchPad\CLPTray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Comodo\Comodo AntiVirus\Cavaud.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Comodo\Comodo AntiVirus\cavemsrv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kiki due\Documenti\download strumento analisi malware\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cnfgCav] "C:\Programmi\Comodo\Comodo AntiVirus\CMain.exe"  " /login"
O4 - HKLM\..\Run: [Comodo Launch Pad Tray] C:\Programmi\Comodo\LaunchPad\CLPTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{686875F4-8303-41EC-A125-4A986E0F6B52}: NameServer = 85.37.17.8 85.38.28.73
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Programmi\Comodo\common\CAVASpy\cavasm.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

Non so se ho fatto le cose bene.....
Ninfea rispondimi se puoi!:o

Non è mai tardi!

Ninfea

Ciao kiki,si hai fatto le cose bene :D..
Allora il tuo log sembra apposto (nn sembra tu abbia dialers)pero' mi pare di aver capito che hai formattato hai ancora problemi di virus?
Fammi sapere Ciao ;)


Max_R

La formattazione dovrebbe avere eliminato le infezioni ;)
"Dall'altra parte dello schermo sembrava tutto cosa facile..."

Kiki

Cari Ninfea e Max,
grazie dei consigli, ma volevo precisare che i problemi esposti io li ho avuti dopo la formattazione, che, tra l'altro, avevo fatto per risolvere i problemi di surriscaldamento che mi facevano spegnere il PC.
Ora però, smanettando parecchio, ho scoperto alcune cose che passo ad elencare:

1) ho spedito il file log anche al sito indicatomi da Ninfea (www.hijackthis.de )e lì mi hanno fatto un'analisi dove mi chiedono:
 "Conoscete l'indirizzo IP o il Dominio '85.37.17.8 85.38.28.73'? Se no, eliminate questo oggetto"
Premesso che non lo conosco, (ma non capisco molto di indirizzi :o), ho individuato però il collegamento nel registro di sistema e porei anche toglierlo a meno che non sia l'indirizzo del mio provider. Bho!

2)adesso all'avvio non compare più la finestra di connessione, ma una finestra in tedesco che cito
"Winlogin
Eigenschaft Visible Kann in OnShow oder Onltide nicht veràndert werden."

e poi la finestra

"Pagina Web non disponibile in modalità non in linea
           connetti

3)Nel frattempo ho creato un altro account come amministratore e quando entro con questo secondo account tutti questi problemi non ci sono.

A questo punto non penso comunque di avere un dialer (anche perchè navigo con l'ADSL e se non sbaglio questi non sono attivi con questa connessione), ma che qualche altro programma "strano" possa aver cambiato "qualcosa" (impostazioni?)nel vecchio account.

Domande: se io elimino il vecchio account, elimino anche il problema (eventuali virus o altro) o lo lascio latente nel registro di sistema?

Ho pulito il registro con EasyCleaner, ma quando mi dice che ci sono delle voci eliminabili devo toglierle?
(certe cose non capisco neanche cosa sono)

Mi conviene eliminare la voce con l'indirizzo IP strano, e se sì, come faccio a sapere a cosa corrisponde? E cosa sto eliminando?

Grazie della comprensione e complimenti a tutti.
;)

Non è mai tardi!

Max_R

Easycleaner è abbastanza sicuro... Secondo me puoi fargli cancellare tutte le voci senza paura...
"Dall'altra parte dello schermo sembrava tutto cosa facile..."

Ninfea

Ciao kiki allora ti dico subito come fare per sapere se quell'indirizzo corrisponde al tuo server: clikki sull'icona di connessione e vai a dettagli ti usciranno diverse voci tra cui IP del server; se corrisponde alla chiave 017 allora la lasci stare, se invece é diversa eliminala!
Per quanto riguarda il chiarimento sull'account la risposta é no, se elimini il vecchio account non risolvi il problema dei virus in quanto un nuovo account si basa sempre sugli stessi file e processi del sistema operativo che hai installato,ed é lui (Sistema) che si infetta!
Se non sei sicura di easycleaner allora scarica CCleaner clikka su trova problemi ed aliminali ecco il link da dove poter scaricare sto piccolo ma ottimo programmino:
https://www.hwsetup.it/news/reader.php?objid=2876

p.s.
Non é detto che con l'ADSL non ti becchi i dialers bisogna sempre fare attenzione a cio' che si visita e si scarica; le minacce sono dappertutto!!!