www.MegaLab.it

da **The Mailman** » lun feb 13, 2006 11:49 am

Da un po' di tempo sul mio PC durante il boot di XP compare tra le iconcine in basso a destra un'icona azzurrina. Il problema è che non so di cosa si tratta, un virus, spyware, malware o niente di tutto questo. Non lo so perché quando vado su di essa con il puntatore la maledetta SPARISCE all'istante senza che ci si possa cliccare sopra.
Se volete ho un ritaglio di screenshot in jpg dove si vede l'icona in questione ma non so come farlo vedere sul forum...
Inoltre sempre durante il boot si sente una, due o tre volte a seconda dell'umore del PC il calssico Windows XP Ding.wav e non saprei dire se le due cose sono collegate o no.
Grazie e ciao!

da **crazy.cat** » lun feb 13, 2006 1:12 pm

Fai una scansione di hijackthis e posta qui il risultato, che dice di più di una foto.

da **The Mailman** » lun feb 13, 2006 2:11 pm

Sarà fatto... domani, oggi non sono sul mio pc...

da **The Mailman** » mar feb 14, 2006 3:04 pm

Come promesso, ecco il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19.26.19, on 13/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmi\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Programmi\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: SATARaid.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

Che ne dite?

da **crazy.cat** » mar feb 14, 2006 6:19 pm

The Mailman ha scritto:Che ne dite?

Non molto, non si vede niente di pericoloso all'avvio.

Aggiornamento dei driver scheda video asus?
O4 - HKLM\..\Run: [LiveNote] livenote.exe
E questa è una Nvidia?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
E qui c'è una pinnacle?
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
Che scheda video hai?

Prendi lo screenshot e lo carichi su questo sito
http://www.imageshack.us/
ti restituiscono un indirizzo e pubblichi quello nella discussione.

da **The Mailman** » mer feb 15, 2006 3:12 pm

Scusa se faccio andare la discussione a rilento ma quando posto sul forum sono, mio malgrado, a 6 km dal mio pc e senza possibilità di fare avanti e indietro prima di sera...
Rispondo a quello che posso, se hai bisogno di più dettagli non esitare a chedere!

Sì, c'è una scheda video ASUS FX 5200;
Sì, c'è una Pinnacle PCTV Stereo con software aggiornato per win SP2;

Scheda madre ASUS A7N8X Deluxe (chipset nVidia, nForce2 se non ricordo male)

Ho caricato lo screenshot sul sito e mi ha dato più indirizzi:

Immagine

Grazie ancora dell'aiuto!

da **crazy.cat** » mer feb 15, 2006 5:54 pm

L'icona di cui stai parlando è quella a destra vicino all'orologio?
Io proverei a disabilitare un programma alla volta di quelli che si avviano con il pc, lo potresti fare sempre con hijackthis, rifai la scansione e metti il flag su una di queste righe e poi premi Fix.
Se non è quella giusta si può andare a recuperare dal backup che fa sempre il programma e poi ripristinarla.
Le righe più probabili sono queste, ma quella che mi ispira di più è quella segnata in rosso, se l'icona è quella che ti ho detto io.

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: SATARaid.lnk = ?

da **The Mailman** » mer feb 15, 2006 6:29 pm

L'icona in questione è quella indicata dalla freccina rossa (si vede che sono scarso col fotoritocco... non l'ha notata nessuno!).
Gadwin non può essere per due motivi e cioè:

l'icona in questione c'era già prima della sua installazione,

è proprio il programma che ho installato per fare la cattura dello screenshot... (la sua icona è quella macchinetta fotografica che si vede accanto a "<<" nello screenshot)

In ogni caso provo a fare come dici, così vediamo se lo becco!
Ciao!

da **The Mailman** » gio feb 16, 2006 6:53 pm

L'ho beccato!

Il colpevole (come ben aveva intuito crazy.cat) è LIVENOTE.EXE.
Le proprietà di questo esecutivo non dicono nulla riguardo al suo produttore ma l'icona corrisponde; poi c'era un suo "compare" di icona che tra le proprietà svela l'origine: ASUS, nella fattispecie la scheda video.

Mi chiedo comunque per quale motivo ASUS debba far comportare in modo così "sospetto" un suo software... mah.

Per chi fosse incuriosito informazioni in merito a LIVENOTE.EXE al seguente indirizzo:

http://www.auditmypc.com/process/livenote.asp

Ciao e grazie!

www.MegaLab.it

Icona sfuggevole...

Icona sfuggevole...

Chi c’è in linea