MegaLab.it

Salve ragazzi ho un problema con il mio pc...
Ho disinstallato kasprsky Internet Security che era scaduto e ho cercato d installare un altro antivirus free ma nn si installano.
Ho provato vari antivirus: AVG, avast, avira...ma niente.
Sicuramente sara x colpa d qualche virus,quindi ho provato a seguire questa guida http://www.MegaLab.it/6303/7/pc-infetto ... ntervenire ma anche in modProvvisoria nn m si installa Avira
Ho comunque fatto il mio file LOG x farvelo vedere cs m dite cosa fare
Grazie!

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.37.28, on 23/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
D:\Programmi\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
D:\Programmi\File comuni\Native Instruments\Hardware\NIHardwareService.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Hamlet\Adsl\dslstat.exe
D:\Program Files\Hamlet\Adsl\dslagent.exe
D:\WINDOWS\PixArt\PAC207\Monitor.exe
D:\Programmi\Samsung\Samsung Battery Manager\BatteryManager.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\DNA\btdna.exe
D:\Programmi\Samsung\Easy Display Manager\dmhkcore.exe
D:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Programmi\Alwil Software\Avast5\AvastSvc.exe
D:\Programmi\AVG\AVG10\avgchsvx.exe
D:\Programmi\AVG\AVG10\avgrsx.exe
D:\Programmi\AVG\AVG10\avgcsrvx.exe
D:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
D:\Programmi\AVG\AVG10\avgwdsvc.exe
D:\Programmi\AVG\AVG10\avgnsx.exe
D:\Programmi\AVG\AVG10\avgemcx.exe
D:\Programmi\AVG\AVG10\avgtray.exe
D:\Programmi\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
D:\Programmi\AVG\AVG10\avgui.exe
D:\Programmi\AVG\AVG10\avgscanx.exe
D:\Programmi\AVG\AVG10\avgcsrvx.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\Programmi\Mozilla Firefox\plugin-container.exe
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovarapido.com/?t=Q090822882&s=h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programmi\AVG\AVG10\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] D:\Program Files\Hamlet\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] D:\Program Files\Hamlet\Adsl\dslagent.exe
O4 - HKLM\..\Run: [PAC207_Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [StartCCC] D:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [BatteryManager] D:\Programmi\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [DMHotKey] D:\Programmi\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVG_TRAY] D:\Programmi\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "D:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programmi\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Aggiungi ad Anti-Banner - D:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6884071-86C6-42E4-A496-05D75931D1D9}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programmi\AVG\AVG10\avgpp.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - D:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - D:\Programmi\AVG\AVG10\avgwdsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate1c9d0bbe146dff0) (gupdate1c9d0bbe146dff0) - Google Inc. - D:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Programmi\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - D:\Programmi\File comuni\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8582 bytes

il log presenta qualche defezione
04 - HKLM\..\Run: [Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

ma mentre installi gli antivirus ti danno qualche errore ??

CRY >< PAX ha scritto:il log presenta qualche defezione
04 - HKLM\..\Run: [Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

ma mentre installi gli antivirus ti danno qualche errore ??

Questa voce è sicura:

Codice: Seleziona tutto

04 - HKLM\..\Run: [Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe

Si ho provato a installare Avira personal ma mi da errore all inizio (Impossibile creare la directory temporanea....)
Avast invece si installa ma nn si connette ad internet (ho dial up e ho anche provato a impostare...) quindi nn scarica gli aggiornamenti e mi blocca la connessione a internet.
AVG sono riuscito a installarlo e ad aggiornarlo ma nn trova nessun virus (nn m sembra un granchè...)
Ho appena disinstallato KIS perché è scaduta la licenza e gia mi manca! :(

CRY >< PAX ha scritto:il log presenta qualche defezione
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)

Anche questa è sicura (anche se superflua)

Berga95 ha scritto:

CRY >< PAX ha scritto:il log presenta qualche defezione
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)

Anche questa è sicura (anche se superflua)

Teoricamente anche questa:

Codice: Seleziona tutto

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Appartiene a messenger ma considerando che riporta (no file) può essere tranquillamente fixata.
Per quanto riguarda il problema dell'antivirus scarica hitman pro, eseguilo e guarda questo video esplicativo:

Al termine della scansione attiva la licenza di prova per 30 giorni, rimuovi tutte le minacce e posta il log.
Se hitman pro non riesce a connettersi ad internet esegui la scansione "Early warning Scoring":

Oppure potresti provare ad installare comodo antivirus, che essendo poco diffuso quasi certamente non viene bloccato da bagle:
Scarichi comodo antivirus tramite un altro computer da qui (devi scaricare External Mirror 1 - x86):
http://www.softpedia.com/get/Antivirus/Comodo-AntiVirus.shtml
Lo metti su una penna usb, lo copi sul computer infetto, lo installi.
Poi scarichi sempre da un altro computer il database aggiornato di comodo:
http://download.comodo.com/av/updates50/sigs/bases/bases.cav
Lo metti sulla penna usb, lo copi sul computer infetto:

Installi comodo antivirus

• Riavvi in modalità provvisoria
• Apri explorer e vai su C:\Program files\comodo\comodo internet security\scanners
• Rinomina il file esistente bases.cav con bases.old e copia il file bases.cav scaricato nella cartella
• Riavvia il tuo computer normalmente
• Esegui una scansione completa con comodo e rimuovi tutte le minacce che individua

Complimenti per i video, hashcat!
Sono davvero comodissimi!

Ale2695 ha scritto:Complimenti per i video, hashcat!
Sono davvero comodissimi!

Stra-quoto!

Prima di passare alla scansione con hitman pro, disabilita il ripristino configurazione sistema, poi fixa con HJT le seguenti voci


Poi disabilita, digitando, in esegui, msconfig e vai al flag servizi e togli la spunta ai seguenti servizi


Termina dal task manager il processo D:\WINDOWS\system32\PnkBstrA.exe ed esegui la scansione con hitman pro e con comodo come già proposto. Se non ci sono risultati apprezzabili il consiglio è utilizzare combofix

Uomo_Senza_Sonno ha scritto:Termina dal task manager il processo D:\WINDOWS\system32\PnkBstrA.exe ed esegui la scansione con hitman pro e con comodo come già proposto. Se non ci sono risultati apprezzabili il consiglio è utilizzare combofix

Il processo PnkBstrA.exe noto anche come punk buster viene avviato come servizio quindi se terminato dal task manager al riavvio del computer sarà nuovamente presente, si tratta di un sistema anti cheat per vari giochi:
http://www.file.net/it/processo/pnkbstra.exe.html

Ma che diamine state facendo?
Togliere Ctfmon e AVG dall'esecuzione automatica, senza precauzione alcuna, mi sembra una emerita cavolata.

Rilancia Hijackthis:
● Do a System Scan Only
● spunta la casellina fianco di ogni singola voce che ti indicherò sotto
● una volta spuntate le voci:
● chiudi tutte le applicazioni aperte
● chiudi tutte le pagine del browser aperte
● in Hijackthis fixa le voci cliccando su Fix checked

Queste le voci da fixare:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O4 - HKLM\..\Run: [PAC207_Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [Monitor] D:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "D:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programmi\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount
O4 - Global Startup: BTTray.lnk = ?
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

Poi:
Esegui la scansione proposta con HITMAN PRO e posta qui il log. Ciao e buon lavoro

hashcat ha scritto:

Uomo_Senza_Sonno ha scritto:Termina dal task manager il processo D:\WINDOWS\system32\PnkBstrA.exe ed esegui la scansione con hitman pro e con comodo come già proposto. Se non ci sono risultati apprezzabili il consiglio è utilizzare combofix

Il processo PnkBstrA.exe noto anche come punk buster viene avviato come servizio quindi se terminato dal task manager al riavvio del computer sarà nuovamente presente, si tratta di un sistema anti cheat per vari giochi:
http://www.file.net/it/processo/pnkbstra.exe.html

Hai perfettamente ragione, motivo per cui nei servizi da disabilitare nel mio post precedente è inserita anche questa voce

FDAC ha scritto:Ma che diamine state facendo?
Togliere Ctfmon e AVG dall'esecuzione automatica, senza precauzione alcuna, mi sembra una emerita cavolata.

Basta leggere qui per capire la motivazione di queste scelte. Troppi antivirus si ostacolano tra loro, e se è presente un virus come bagle, una delle soluzioni da proporre senza far fare troppi giri a chi chiede aiuto è proprio utilizzare l'antivirus di comodo in quanto si è dimostrato in grado di affrontare e eliminare il problema senza intoppi. Prima però è meglio disabilitare eventuali servizi rimasti attivi di precedenti antivirus.
Cftmon ha a che fare con il pacchetto office, c'è anche un articolo a riguardo su come disabilitarlo senza problemi dall'avvio qua su MLI.

Capito Uomo. Pero' Ctfmon non si disabilita cosi', su due piedi, con un Click con HJT. Esistono programmi appositi (Ctfmon Remover) che svolgono tale funzione.
Comunque, ti auguro, senza rancore, buone feste :)

io vedo anche la presenza di piu antivirus o sbaglio ?
vedo sia avast che avg

gabe182 ha scritto:D:\Programmi\Alwil Software\Avast5\AvastSvc.exe
D:\Programmi\AVG\AVG10\avgchsvx.exe
D:\Programmi\AVG\AVG10\avgrsx.exe
D:\Programmi\AVG\AVG10\avgcsrvx.exe

secondo me non dovresti tenerne solo uno

FDAC ha scritto:Capito Uomo. Pero' Ctfmon non si disabilita cosi', su due piedi, con un Click con HJT. Esistono programmi appositi (Ctfmon Remover) che svolgono tale funzione.

Sul fatto che non si elimina con un click da HJT non si discute, ma a volte non capisco perché ricorrere a software su software quando esiste una procedura che non ne necessita l'impiego. Ad esempio, come spiegato qua, il processo ctfmon.exe si rimuove senza l'ausilio di tools specifici.

Buone feste a te e a tutti