www.MegaLab.it

[Fez]

Grazie, provo a fare così, ma ho bisogno di un'altra informazione (ho già specificato che sono un incapace totale!): ho visitato il sito Kaspersky, ho premuto il pulsante per lo scan on line ma poi la finestra che mi appare mi da alcune informazioni, del tipo che se è la prima volta che lo uso devo "run with Administrator privileges" per downloadare e installare. Ora, io non ho la più pallida idea nè di cosa significhi nè di cosa debba fare. Puoi gettare un po' di luce nel pozzo buio della mia ignoranza informatica?

Grazie di nuovo!!!

[crazy.cat]

Intanto devi andarci solo con Internet explorer su quel sito.

ti dice che devi essere amministratore del tuo pc per installare il programma, siccome dovresti già esserlo, premi download e scarica.

[Fez]

Eccolo
KASPERSKY ONLINE SCANNER REPORT
Thursday, August 30, 2007 10:22:29 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.0
Kaspersky Anti-Virus database last update: 30/08/2007
Kaspersky Anti-Virus database records: 400121


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
C:\
D:\

Scan Statistics
Total number of scanned objects 54943
Number of viruses found 0
Number of infected objects 0
Number of suspicious objects 0
Duration of the scan process 02:23:27

Infected Object Name Virus Name Last Action
C:\APPS\Powercinema\Kernel\CLML_NTService\CLML_MAIN\CLML.db Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Avg7\Log\emc.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\AvgFwLog.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\AvgFwLog.log.lck Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\paolo\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\paolo\Dati applicazioni\Thunderbird\Profiles\r2830xna.default\cert8.db Object is locked skipped

C:\Documents and Settings\paolo\Dati applicazioni\Thunderbird\Profiles\r2830xna.default\key3.db Object is locked skipped

C:\Documents and Settings\paolo\Dati applicazioni\Thunderbird\Profiles\r2830xna.default\Mail\Local Folders\Inbox.msf Object is locked skipped

C:\Documents and Settings\paolo\Dati applicazioni\Thunderbird\Profiles\r2830xna.default\panacea.dat Object is locked skipped

C:\Documents and Settings\paolo\Dati applicazioni\Thunderbird\Profiles\r2830xna.default\parent.lock Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Cronologia\History.IE5\MSHist012007083020070831\index.dat Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Temp\~ROMFN_00000098 Object is locked skipped

C:\Documents and Settings\paolo\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\paolo\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\paolo\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\CLML_AGENT_LOG1.txt Object is locked skipped

C:\WINDOWS\Temp\sqlite_tWUkJBqGCG8q9m5 Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Però io non ci capisco niente!!
Ah, per quanto riguarda l'audio ho controllato e ricontrollato i driver e disinstallato e reinstallato i programmi, senza cambiamenti. Continuo a pensare che sia dovuto al problema più generale che stiamo cercando di individuare.
Sono nelle tue mani!

[crazy.cat]

Non è un virus.

[Fez]

Peccato!! Almeno avrei avuto a che fare con qualcosa di "conosciuto"! Adesso non so proprio dove mettere le mani, mi sa che formatterò tutto e amen!! Ai fini statistici direi dunque di rubricare il problema come "non risolto". Ringrazio comunque tantissimo tutti voi che mi avete dato indicazioni e consigli, dato che in questo modo ho avuto modo di conoscere nuovi programmi e nuove tecniche.
Grazie di nuovo!!!

[crazy.cat]

Se vuoi provare ancora prima del format, potresti provare a disabilitare alcuni processi all'avvio.

Questi li usa office per utilizzare le lingue asiatiche (o straniere in genere) se non ne hai bisogno li puoi togliere.
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

questi sono processi che puoi disabilitare senza troppi rimpianti
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[Riverside]

Innanzitutto grazie per la risposta. Se non sono pericolosi meglio così, ma io sono convinto che c'è qualcos'altro che si annida nel software o solo Dio sa dove.

E’ una tua convinzione ma non c’è nulla che dimostri che il P.C. sia infetto.

Ho fatto una prova che conferma quello che mi hai detto (non che non mi fidassi, eh): ho fatto due scan a distanza di tempo senza connettermi a internet fra l'uno e l'altro e al secondo scan non sono stati rilevati oggetti infetti.

Ripeti la scansione e , pubblica qui, uno screenshot dei presunti “oggetti” infetti.

Peraltro il pc continua ad avere gli stessi problemi di accensione lenta, problemi di audio (con gracchiare di sottofondo) e si mantiene comunque piuttosto lento nell'eseguire le varie operazioni in genere.

Da quanto tempo, sul quel P.C. non viene eseguito uno scandisk ed un defrag?????

E poi mi sorge una domanda (forse stupida, non so): navigando in internet si prendono varie cookies e questo va bene, ma finora non mi era mai capitato che fossero infetti.

Ca***te, i cookies non posso essere infetti.
In ogni caso:
1) svuota, completamente la cartella Prefetch;
2) svuota la cache di Java;
3) fai un pulizia con Ccleaner (in diversi post, ho spiegato come deve essere configurato).

Avevo preso un paio di virus tempo fa (dei Trojan, ora non mi ricordo i dettagli), ma una volta rimossi il pc andava benissimo. Ora invece anche rimuovendo i cookies vari il pc continua ad avere qualche problema.

Ti ho appena spiegato che i cookies non sono infezioni …. i troiani, si.

E' questo che mi fa sospettare che ci sia "qualcosa sotto", però chissà cosa.

Sotto non c’è nulla se non il fatto che non sai distinguere un virus da un cookie.

O mi arrendo alla formattazione.. oppure ……

Oppure, per la ragione che ti ho appena esposto, continuerai ad avere gli stessi problemi, anche dopo aver formattato.

[Fez]

Ok! Sono convinto che il computer non è infetto! Scusate se ho insistito, forse è dovuto al fatto che nella mia crassa ignoranza non riesco a vedere difetti che vadano più in là di un virus, ammesso che lo sappia riconoscere. Ora però ho bisogno di essere condotto per mano passo per passo come un bambino.
1) Come si fa a disinstallare (oppure rimuovere?) i processi indicati da crazy.cat? Scansione con HThis e poi dare fix checked o si fa in altro modo?
2) Cosa è uno screenshot e come si pubblica?
3) Lo scan disk non lo eseguo da un mese ca., la deframmentazione da qualche giorno, quando ho iniziato ad avere problemi. Peraltro lo spazio occupato sull'hard disk è ca. il 10% di quello disponibile. Devo comunque farli di nuovo?
4) Ok per la cartella prefetch e la pulizia con cccleaner. Queste operazioni le ho già fatte una volta e so come muovermi. Ma la cache di java per me è praticamente arabo! Cioè, cosa è e dove si trova? Inoltre, svuotarla significa, come per la cartella prefetch, svuotarla senza eliminarla giusto?
Grazie tantissimo per la pazienza finora dimostrata nei miei confronti!!

[crazy.cat]

1) si
2) http://www.MegaLab.it/2995
http://www.MegaLab.it/2995/2
4) Pannello di controllo - Java - generale - elimina file temporanei

[Fez]

Allora. Ho fatto tutto: lanciato hthis e rimossi i programmi indicati. Poi ho fatto la scansione con AVG che ha rilevato alcune minacce. Immagine1 è la schermata spyware rilevati e immagine2 è la quarantena.


Puoi ho svuotato la casella prefetch, la cache di java e fatto pulizia con ccCleaner: ho notato che dopo aver rtovato e riparato i problemi ho eseguito ancora l'operazione e ne ha trovati altri. Un terzo lancio non ha trovato problemi. Ho spento il pc. L'ho riacceso. Al solito, avvio lento(6-7 minuti). Utilizzo CPU alto con 51 processi. Avvio thunderbird e i processi diventano 50 (è normale?) e l'utilizzo CPU ritorna a valori bassi. Ascolto un file audio (la mia cartina di tornasole): per quasi tutto il brano l'utilizzo CPU rimane basso e il file procede regolare, in un paio di punti l'utilizzo CPU sale verso il 10-15% e odo i soliti scricchiolii e rumori strani di sottofondo. Questo è lo stato della situazione ad ora. Che ne pensate?

[Riverside]

Allora, dagli screenshot che hai pubblicato (e lo noterebbe anche un bambino) si evidenzia come tutti i tuoi problemi (ovvero tutta la porcheria che viene rilevata) faccia riferimento a Mozilla Firefox.
Mi appare evidente, che per qualche ragione che non conosco, Firefox possa essere infettato.
Quindi procedi in questo modo:
● disinstalla Mozilla Firefox (comprese tutti gli eventuali add-on od estensioni che hai installato);
● poi rimuovi tutti i riferimenti a Mozilla e Firefox (Start – Cerca – nella finestra di dialogo digita Mozilla e rimuovi tutto quello che viene eventualmente trovato; ripeti, poi, la stessa operazione, digitando, Firefox) ed al termine, provvedi a svuotare il cestino.
● svuota, nuovamente, la cartella Prefetch;
● dsabilita il ripristino configurazione di sistema, e rifai tutte le scansioni con:
● Ccleaner
● Panda Antirootkit
● Asquared
● AVG
Al termine, ripubblica un log di HIJACKTHIS

P.S.:

…… ho già specificato che sono un incapace totale! …..

Non è questione di essere, o meno, capaci ma, una cosa è certa: sei distratto.
Perché il problema lo avevi, chiaramente, sotto il naso: ti sarebbe bastato controllare il report di AVG (che è quella roba che hai pubblicato) per individuarlo da solo.
Altra cosa: la prossima volta che pubblichi degli screenshot, per cortesia, ridimensionali.

@ Crazy, puoi, per favore, rimuovere i due screenshot, in maniera che il thread torni ad essere leggibile???? (grazie).

[Fez]

Eccolo!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.50.35, on 01/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\APPS\Powercinema\PCMService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\StartupMonitor.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\CTsvcCDA.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\programs\notepad2\Notepad2.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\paolo\Desktop\Hthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/APPS/IE/offline/it.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBDC006-1B2C-4B4A-9C64-8EB900D49A6D}: NameServer = 85.37.17.5 85.38.28.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBDC006-1B2C-4B4A-9C64-8EB900D49A6D}: NameServer = 85.37.17.5 85.38.28.77
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 6938 bytes

[Riverside]

Eccolo!

Allora, il log è pulito; ora non ti resta che verificare se hai risolto il tuo problema.
Non reinstallare Firefox prima di esserti accertato che tutto sia a posto.

[Fez]

Ciao Riverside, allora, purtroppo e contrariamente ai miei convincimenti, il problema non è risolto. Ti faccio un po' di cronologia, spero possa esserti utile. Ho eseguito tutte le operazioni che mi avevi indicato, ccCleaner ha fatto un po' di pulizia, Antirootkit non ha rilevato niente e nemmeno Asquared e AVG. Poi ho postato il log di Hthis. Ho visto la tua risposta e ho spento il pc. Alla riaccensione, soliti problemi, forse anche peggio. Ho ricontrollato se avevo tolto tutto ciò che faceva riferimento a Mozilla o Firefox e infatti la ricerca non ha trovato niente. Ho lanciato uno scan di AVG così tanto per fare e invece ha trovato di nuovo 4 elementi infetti assolutamente nuovi. Il percorso è uguale per tutti:
C:\Documents and Settings\paolo\Cookies\paolo@ad.yieldmanager[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@adopt.euroclick[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@adrevolver[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@atdmt[2].txt

Una volta quarantinati questi oggetti l'utilizzo CPU è tornato normale e il funzionamento del pc quasi.
Che succede? Il virus si è espanso ad altri settori? Ma allora perché è riapparso solo dopo aver riavviato il pc? O sono domande stupide?
Grazie di nuovo per tutto

[Riverside]

Ho lanciato uno scan di AVG così tanto per fare e invece ha trovato di nuovo 4 elementi infetti assolutamente nuovi. Il percorso è uguale per tutti:
C:\Documents and Settings\paolo\Cookies\paolo@ad.yieldmanager[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@adopt.euroclick[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@adrevolver[2].txt
C:\Documents and Settings\paolo\Cookies\paolo@atdmt[2].txt
Che succede? Il virus si è espanso ad altri settori?

Ma la miseria, come ti devo dire che non è un virus? in arabo?.
Fai in questo modo:
● Risorse del Computer
● Disco locale C:
● apri la cartella Documents and Settings
● apri la cartella paolo
● apri la cartella Cookies
e rimuovi, manualmente, sta roba:

paolo@ad.yieldmanager[2].txt
paolo@adopt.euroclick[2].txt
paolo@adrevolver[2].txt
paolo@atdmt[2].txt

Sono tutte porcherie legate, in qualche maniera, a Firefox.

Poi scarica ed installa Ad Aware: qui per il download, scarica l'aggiornamento delle definizioni, esegui una scansione completa e rimuovi tutto quello che trova.
Al termine, riavvia il sistema e rifai una scansione con AVG.

[Fez]

Allora: ho eliminato i cookies, fatto la scansione con Ad-aware che ha rilevato 11 infezioni. Rimosse. Riavviato il pc AVG non rileva niente. Riavviato di nuovo, visitati vari siti internet, scansione con AVG rileva 4 minacce dello stesso tipo, ad.yieldmanager[2].txt, adopt.euroclick[1].txt, doubleclick[1].txt e tradedoubler[2].txt. Rimossi i files. Scansione con Ad-aware, 3 infezioni, rimosse. Riavviato, AVG non rileva minacce. Riavviato, AVG non rileva minacce. Spento. Riacceso, AVG rileva 1 minaccia, solito percorso, doubleclick[1].txt, rimosso.
Note:
1) In tutto questo tempo il malfunzionamento del pc, fra alti e bassi, è continuato sempre: avvio lentissimo e impossibilità di far andare 2-3 programmi in contemporanea
2) I cookies sono stati eliminati non dalla cartella ma dalla quarantena di AVG: AVG, una volta rilevati, li quarantena automaticamente togliendoli dalla cartella.
3) Durante tutto questo periodo il ripristino della configurazione di sistema è sempre rimasto disattivato.
Il pc continua a non funzionare bene (vedi nota 1).
E adesso?

[Riverside]

Credo sia inutile continuare; non hai preso nessun virus ed il P.C., a mio parere non è infettato.
I problemi che riscontri possono dipendere da un problema hardware, oppure no.
Qui non abbiamo la bacchetta magica e, neppure la sfera di cristallo, purtroppo.
Rivolgiti ad un tecnico e comincia a prendere in seria considerazione l'opzione "formattazione".

[Fez]

Ok, farò come mi hai suggerito (tecnico ed eventuale formattazione). Anche senza sfera di cristallo e/o bacchetta magica comunque mi siete stati molto di aiuto per capirne un po' di più; per questo vi ringrazio sentitamente. Prometto anche di comunicare quale era il problema (ammesso che venga trovato) e la sua eventuale (spero) risoluzione!
Grazie di nuovo!!!!!!!
Fez

[Riverside]

Ok, farò come mi hai suggerito (tecnico ed eventuale formattazione). Anche senza sfera di cristallo e/o bacchetta magica comunque mi siete stati molto di aiuto per capirne un po' di più; per questo vi ringrazio sentitamente. Prometto anche di comunicare quale era il problema (ammesso che venga trovato) e la sua eventuale (spero) risoluzione!

Noi ci abbiamo provato ed anche tu ci hai provato.
Credimi, non hai idea di quanto mi faccia girare le scatole suggerire, a qualcuno, di ricorrere ad un tecnico (soldi buttati al vento, sono tutti dei "pirati") o alla formattazione e darla vinta ad una macchina che, in fondo, non sa fare altro che 10101010101010.
Ma come ti avevo già detto nel mio primo reply, il tuo P.C. non è infetto e tutti i problemi che riscontri derivano da altro.
Facci sapere come finisce.

[Amantide]

Allora, dagli screenshot che hai pubblicato (e lo noterebbe anche un bambino) si evidenzia come tutti i tuoi problemi (ovvero tutta la porcheria che viene rilevata) faccia riferimento a Mozilla Firefox.
Mi appare evidente, che per qualche ragione che non conosco, Firefox possa essere infettato.
Quindi procedi in questo modo:
● disinstalla Mozilla Firefox (comprese tutti gli eventuali add-on od estensioni che hai installato);

Certo che l'eresia del genere mi capita raramente di leggere
Usando il Firefox per la navigazione internet è normalissimo che i cookie vengono salvati nel profilo personale di questo, cos' come è normale che i miei cookie vengono salvati nel mio profilo di Opera, visto che uso questo browser per la navigazione, cos' come è normale che dopo la disinstallazione del Firefox i cookie sono "migrati" in questa posizione C:\Documents and Settings\[nome utente]\Cookies, visto che dopo è stato usato Internet Explorer come il browser.
E siccome nel log di AVG gli unici oggetti incriminati erano proprio i cookie, non vedo che colpa ha avuto il Firefox per essere disinstallato.