www.MegaLab.it

[esa]

eccolo quà, però adesso c'è un doppione l'ho postato ieri nella sezione sicurezza con lo stesso titolo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.58.41, on 11/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgfws8.exe
C:\WINDOWS\OCSCryptolib_Server.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\OcsCertSynchronizer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Mauro\IMPOST~1\Temp\Rar$EX00.607\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Certificate Synchronizer] C:\WINDOWS\OcsCertSynchronizer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {A026B70E-9873-4EFD-BB33-2540A34C4893} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73AF789E-790A-4587-90A8-A117DC36C7F8}: NameServer = 85.37.17.14 85.38.28.78
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Unknown owner - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Oberthur Cryptolib Service (OCSCryptolibService) - Oberthur Card Systems - C:\WINDOWS\OCSCryptolib_Server.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7392 bytes

ancora grazie per l'aiuto

[Fred]

Vediamo di capirci qualche cosa perché da questo punto in poi non ci ho più capito nulla.

http://www.safer-networking.org/it/faq/33.html
Visto che tea timer è quanto sopra potrebbe aver bloccato qualche processo importante e quindi, una volta disattivato, tutto è tornato alla normalità.

aiuto non è cambiato nulla anzi è peggiorato, ho scoperto che mia figlia ignorava i messaggi di pericolo dell'antivirus, però le scansioni successive non hanno dato esiti, adesso sono in emmergenza terminando processi ( dubbi) a caso in tasck manager. al prossimo avvio prenderò nota e proverò a postarli

In che senso è peggiorato? Poi inizi così e dopo poco asserisci di non avere problemi di sicurezza, . Poi noto con disappunto che è stato riattivato tea timer che dai post precedenti è emerso fare errori ed occupare molta memoria . Il log, ad un primo sguardo, non mi sembra esattamente pulito ma ora sono un po' indaffarato quindi non lo posso controllare con più attenzione. Tanto per cominciare scarica Malwarebyte's e fai una scansione, poi posta il log seguendo le regole (e già che ci sei adegua al regolamento anche il log di hijackthis). Restiamo in attesa di risposte.

[esa]

allora, appena disattivato tea timer si è subito velocizzato il sistema e sembrava funzionare ma dopo una decina di minuti ha iniziato a bloccarsi a ripetizione per cui ho riattivato la protezione, Malwarebyte's l'ho scaricato e fatto fare due scansioni consecutive con il responso "nulla da segnalare tutto nella norma", questa sera SUPERantispyware ha trovato qualcosa ( ho postato nella sezione sicurezza in coda al risultato di hijakthis) fatto il riavvio come prima solo che si blocca dopo qualche istante di inattività mentre prima a prescindere, la scansione con l'AVG 8.5 non sono riuscito a farla perché si continua a bloccare se non muovi almeno il mouse ( mi stavo addormentando e ho rinunciato) la farò domani, non ne posso più, ancora

[Fred]

Fra un po' controllo quello che hai scritto nella sezione sicurezza ma, d'ora in avanti, posta tutto qui perché quando ti ho detto di postare nella sezione sicurezza l'ho detto perché sembrava che ci fosse un virus e quindi pensavo di ricominciare lì la discussione. A questo punto, però, visto che il fulcro della discussione è qui, penso sia meglio non portare avanti la stessa discussione in due sezioni diverse dato che risulta complicato anche per chi la segue.

[esa]

comunque oggi sono riuscito a fare la scansione con AVG e ha trovato altri 5 troian, e il sistema si èbloccato solo 2 /3 volte non ci capisco più niente, un antivirus nuovo prima non trova niente e poi 2 troian e un rootkit, quello vecchio che non trovava nulla all'improvviso mi trova 5 troian, o è qualcosa che continua a nascondersi oppure ho una falla grande come una casa

[Fred]

eccomi quà, mi sono spostato come mi hai chiesto e questo è il responso di hjiachthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.58.41, on 11/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgfws8.exe
C:\WINDOWS\OCSCryptolib_Server.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\OcsCertSynchronizer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Mauro\IMPOST~1\Temp\Rar$EX00.607\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSof1.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Certificate Synchronizer] C:\WINDOWS\OcsCertSynchronizer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {A026B70E-9873-4EFD-BB33-2540A34C4893} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73AF789E-790A-4587-90A8-A117DC36C7F8}: NameServer = 85.37.17.14 85.38.28.78
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Unknown owner - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: Oberthur Cryptolib Service (OCSCryptolibService) - Oberthur Card Systems - C:\WINDOWS\OCSCryptolib_Server.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7392 bytes

spero possa essere utile, non ce la faccio più o l'aggiustiamo o mi tocca spaccarlo, ancora grazie

ecco anche quello di superantispyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/15/2009 at 09:29 PM

Application Version : 4.26.1000

Core Rules Database Version : 3844
Trace Rules Database Version: 1799

Scan type : Complete Scan
Total Scan Time : 01:02:20

Memory items scanned : 394
Memory threats detected : 0
Registry items scanned : 5847
Registry threats detected : 0
File items scanned : 19316
File threats detected : 11

Adware.Tracking Cookie
C:\Documents and Settings\Mauro\Cookies\mauro@edmaster.adbureau[1].txt
C:\Documents and Settings\Mauro\Cookies\mauro@www.etracker[1].txt
C:\Documents and Settings\Chiara\Cookies\chiara@adserving.favorit-network[1].txt
C:\Documents and Settings\Chiara\Cookies\chiara@bs.serving-sys[2].txt
C:\Documents and Settings\Chiara\Cookies\chiara@ads.netlog[2].txt
C:\Documents and Settings\Chiara\Cookies\chiara@www.etracker[2].txt
C:\Documents and Settings\Chiara\Cookies\chiara@serving-sys[2].txt
C:\Documents and Settings\Chiara\Cookies\chiara@ads.ads.netlog[1].txt

Trojan.Agent/Gen-AppLocal
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D50A74D8-CE03-4C95-8B68-D747F102DEE6}\RP350\A0066949.EXE

Trojan.Agent/Gen-AppX
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D50A74D8-CE03-4C95-8B68-D747F102DEE6}\RP396\A0074252.EXE

Rootkit.Agent/Gen-Local
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D50A74D8-CE03-4C95-8B68-D747F102DEE6}\RP405\A0081764.EXE

[Fred]

comunque oggi sono riuscito a fare la scansione con AVG e ha trovato altri 5 troian, e il sistema si èbloccato solo 2 /3 volte non ci capisco più niente, un antivirus nuovo prima non trova niente e poi 2 troian e un rootkit, quello vecchio che non trovava nulla all'improvviso mi trova 5 troian, o è qualcosa che continua a nascondersi oppure ho una falla grande come una casa

Probabili entrambe le cose. Cominciamo con il rimuovere le varie infezioni poi vediamo cosa possiamo fare per il tuo PC in termini di sicurezza.
In primo luogo disabilita i punti di ripristino di win (da qualche parte sul sito o sul forum dovrebbe esserci una buona guida, cercala). Poi, e lo ripeto, scarica malwarebyte's, fai una scansione e posta il log qui seguendo le regole.

[esa]

rieccoci, allora per i punti di ripristino ho fatto "cerca" ed è uscito come unico risultato il tuo messaggio, in ricerca avanzata quasi 2000 ma è difficile trovare l'attinenza, se hai un modo per farmi capire meglio (avrei imparato una cosa nuova) te ne sarei grato infinitamente.
ed ecco il responso di malwarebyte's
Malwarebytes' Anti-Malware 1.36
Versione del database: 1993
Windows 5.1.2600 Service Pack 3

17/04/2009 18.35.47
mbam-log-2009-04-17 (18-35-47).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 138778
Tempo trascorso: 1 hour(s), 2 minute(s), 18 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
e come ti avevo detto non ha trovato niente
pero devo dirti che per oggi, o almeno per il momento funziona tutto benissimo (...manca l'emoticon della toccata di p....le)

[Fred]

Qui terzo risultato. La cosa che mi sta facendo uscire pazzo è che i virus vengono rilevati una volta si ed una no. A questo punto facciamo così:
1) Scansione online con kaspersky e posta il log secondo le regole(!).
2) Scansione con il programma che aveva trovato i troian e posta il log secondo le regole(!).
3) Log di hijackthis postato secondo le regole(!).
N.B.: Secondo le regole significa inserito fra i tag log in questa maniera

Codice: Seleziona tutto

[log] testo del log [/log]

E adesso vediamo se se ne viene a capo

[esa]

rieccomi, ho tardato un po' perché ho avuto modo di chiudere almeno le porte: ho disinstallato messenger con tutti i suoi componenti e con grande stupore ho trovato spuntata, e immediatamente eliminata, la casella che consentiva di accedere al pc per assistenza remota.
poi ho continuato a fare le scansioni alternando i programmi e AVG ha trovato altri 2 troian NaviPromo AA / AF e spybot alcuni
cookie di tracciamento,
malwarebyte's e Superantispyware continuano a non trovare niente e per cui mi sembra inutile postare i log, mi conviene disinstallarli o continuo a farli girare di tanto in tanto? comunque il pc è diventato una scheggia e si blocca molto raramente, oggi ancora no ( manca sempre l'emoticon di riferimento) possiamo fare ancora qualcosa per finire la pulizia e l'eventuale correzione di errori ?

[Fred]

Allora vediamo, io i due programmi li terrei istallati e aggiornati (non si sa mai). Venendo al dunque. Se è ancora in promozione (cerca bene sul sito) scarica TuneUp Utilies e sistema tutto quello che puoi sistemare. In ogni caso scarica anche CCleaner, è un valido pulitore di registro e file temporanei. Per quanto riguarda la sicurezza scaricati ed avvia un piccolo programma che dovresti trovare nella sezione download del sito, si chiama WWDC, è intuitivo da usare e non ha bisogno di spiegazioni.

[esa]

ottimo, sta andando tutto a meraviglia, ho installato CCleaner e mi ha fatto un bel po' di pulizia,TuneUp 2009 ha ottimizzato il sistema correggendo alcuni problemi anche nella sicurezza del sistema, veramente ottimo , invece riguardo WWDC bisogna stare un po' attenti nell'uso perché tende a chiudere alcune funzionalità abbastanza importanti ( ho dovuto fare il ripristino della configurazione di sistema a due gg. fà)
per il resto tutto OK da ancora grazie ci sentiamo per i prossimi (e mettetela l'emoticon giusta) problemi. ciao