www.MegaLab.it

da **Fez** » lun ago 27, 2007 9:07 pm

Ciao ragazzi, un amico mi ha introdotto a questo sito e spero che possiate aiutarmi. Ho già condotto una ricerca con "cerca" ma non ho trovato niente che assomigliasse al mio caso. Premetto che sono un neofita assoluto del PC, lo possiedo da 6 mesi, non capisco gran parte dei termini comunemente utilizzati, e spesso mi rivolgo ad amici per installare o disinstallare programmi senza commettere errori madornali. Premesso questo vi illustro il problema: quando accendo il PC è lentissimo, la CPU risulta occupata in modo abnorme (50% o più), principalmente dal ciclo idle del sistema. Lancio uno scan con AVG 7.5 (lentissimo) e mi trova sempre varie famiglie di spyware dai nomi Tracking Cookies Yieldmanager, Euroclick, Doubleclick, Fastclick, Tradedoubler, Tribalfusion, Adrevolver (circa 10-20 a scansione). Da lì in poi il computer funziona quasi normalmente, l'utilizzo di CPU ritorna a valori normali, 2-4% o giù di lì, sempre con ciclo idle alto (ma immagino sia normale, no?). Riesco più o meno a sentire e vedere senza grossi problemi o quasi i file audio o video (che sono poi praticamente il motivo per cui possiedo il computer). Quando poi vado a riaccendere il computer siamo di nuovo al punto di partenza e mi si ripresentano i soliti problemi pari pari. Suppongo che ci sia qualcosa di nascosto che l'antivirus non individua e che causa l'anormale funzionamento.
Spero di essere stato chiaro ed esaustivo. C'è qualcuno che può aiutarmi?
Grazie mille in anticipo!!

da **Riverside** » mar ago 28, 2007 1:15 am

Disabilita il ripristino configurazione di sistema, poi scarica (per comodità salvali sul Desktop), i seguenti Software e Tool:

● CCLEANER: clicca qui per il download

● PANDA ANTIROOTKIT: clicca qui per il download

● ASQUARED FREE: clicca qui per il download

● HIJACKTHIS v.2.0.2: clicca qui per il download

NOTE:
● gli unici, tra questi, che richiedono l’installazione sono, CCLEANER e ASQUARED;
● PANDA ANTIROOTKIT, crea una icona di Startup sul Desktop.

Provvedi a svuotare del suo contenuto la cartella PREFETCH procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella).

Installa CCLEANER:
clicca sulla icona cona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Installa PANDA ANTIROOTKIT:
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool (che aggiornerà, automaticamente, da Server, la sua black list) ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C.

Installa ASQUARED FREE:
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato.

Installa HIJACKTHIS v.2.0.2:
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log

A questo punto, pubblica, il log di HijackThis (lo alleghi alla discussione, utilizzando la funzione Carica un file) sul Forum per farlo controllare ed attendi la risposta.

da **Fez** » mar ago 28, 2007 7:06 pm

Grazie per la sollecita risposta!! Ora ci provo (spero di non combinare casini!) e ti faccio sapere!!!

da **Fez** » mar ago 28, 2007 11:10 pm

Grazie Riverside, ho fatto tutto e mi sembra addirittura di averlo fatto bene. Ora allego il log, sperando di non fare errori

da **Fez** » mar ago 28, 2007 11:12 pm

OK ora ci riprovo1

da **Fez** » mar ago 28, 2007 11:19 pm

Aiuto... io gli dico di caricare il file del log ma lui si ostina a non caricarlo. Che succede?

da **Fez** » mar ago 28, 2007 11:21 pm

Ah, usando hjiackthis gli ho dato il comando scan e save log, invece di fare le cose separatamente. Ho fatto male?

da **Riverside** » mar ago 28, 2007 11:25 pm

Fez ha scritto:Ah, usando hjiackthis gli ho dato il comando scan e save log, invece di fare le cose separatamente. Ho fatto male?

Una volta che hai fatto lo scan (terminato di caricare i dati nella finestra centrale) clicca su SAVE LOG, lo salvi sul deskop, chiudi Hthis ed il log, e poi lo alleghi qui, usando la funzione carica file.

da **Fez** » mar ago 28, 2007 11:41 pm

Boh, non so che succede! Ho il log salvato sul desktop ma non riesco a caricarlo!! C'è una via laternativa?

da **Fez** » mar ago 28, 2007 11:50 pm

ok ho capito, l'estensione log non è consentita. E' un file di testo (txt). E ora che faccio?

da **Riverside** » mer ago 29, 2007 12:38 am

Fez ha scritto:ok ho capito, l'estensione log non è consentita. E' un file di testo (txt). E ora che faccio?

Fai una cosa molto semplice: copia ed incolla il contenuto del log, qui.

da **Fez** » mer ago 29, 2007 5:58 am

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.05.08, on 29/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\APPS\Powercinema\PCMService.exe
C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\paolo\Desktop\Hthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/APPS/IE/offline/it.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\it.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Programmi\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBDC006-1B2C-4B4A-9C64-8EB900D49A6D}: NameServer = 85.37.17.5 85.38.28.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBDC006-1B2C-4B4A-9C64-8EB900D49A6D}: NameServer = 85.37.17.5 85.38.28.77
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

--
End of file - 7812 bytes

Grazie Riverside!!

da **Riverside** » mer ago 29, 2007 5:19 pm

@ Fez, rilancia Hthis e fixa questo:

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-A0E8-EB65B685FA7D} - (no file)

Il resto del log è a posto.
In ogni caso, non hai ancora detto se hai risolto, o meno, il problema che hai segnalato.

da **Fez** » mer ago 29, 2007 5:55 pm

Ciao Riverside (lo sapevi che è il titolo di una canzone dei Beat Farmers, gruppo americano degli anni 80?).
Non avevo detto niente perché non avevo risolto.
Ho fatto come mi hai detto, lanciato Hthis e fixato quell'elemento. Poi ho spento il pc, e alla riaccensione solita solfa. Quindi ora posso dirti con certezza che non ho risolto. Che posso fare? Vabè che c'è l'extrema ratio della formattazione, ma se fosse possibile evitarla....
Nella mia profonda ignoranza la cosa che mi stupisce è che se accendo il pc, aspetto i 10 min che ci vogliono per avere il desktop pronto e lancio lo scan con AVG questo mi trova svariati oggetti infetti e poi il pc funziona quasi bene. Ma quando lo riaccendo siamo punto e capo.
Hai qualcosa da suggerirmi? Hai bisogno di ulteriori informazioni?
Fammi sapere.
E grazie di nuovo!!

da **Fez** » mer ago 29, 2007 5:58 pm

Ah, le cose mi vengono in mente a puntate: ho ancora disattivato il ripristino configurazione di sistema. va bene o devo riattivarlo?
Grazie

da **crazy.cat** » mer ago 29, 2007 6:05 pm

Fez ha scritto:con AVG questo mi trova svariati oggetti infetti e poi il pc funziona quasi bene.

Nomi dei virus e dei file infetti che trova?

Oppure fai una scansione online sul sito della kaspersky e salvati il log finale della scansione e lo posti qui
http://www.kaspersky.com/virusscanner

Lascia disattivato il ripristino sino alla fine.

da **Fez** » mer ago 29, 2007 11:48 pm

Allora, i virus sono tutti del tipo Tracking Cookie:
Tracking Cookie. Yieldmanager
Tracking Cookie. Tradedoubler
Tracking Cookie. Euroclick
Tracking Cookie. Fastclick
Tracking Cookie. Adrevolver
Tracking Cookie.2o7
Tracking Cookie Paypal
Tracking Cookie. Tribalfusion

Principalmente dei primi 5 tipi, i 2o7 sono 2 e uno ciascuno degli ultimi 2.
Il percorso è sempre il seguente:
C:\Documents and settings\paolo\Dati applicazioni\Mozilla\Firefox\Profiles\chppsdxv.default\cookies.txt e il nome del file è appunto cookies.txt

Solo in un caso il percorso è diverso (per un cookie 2o7) ed è:
C:\Documents and settings\paolo\Cookies\paolo@pandasoftware.112.2o7[1].txt ed il file è paolo@pandasoftware.112.2o7[1].txt

Grazie per l'interessamento!!

da **crazy.cat** » gio ago 30, 2007 7:07 am

sono solo dei cookie, appena navighi su qualsiasi sito si riformano per forza.
Se sono solo quelli non è niente di pericoloso.

da **Fez** » gio ago 30, 2007 3:24 pm

Innanzitutto grazie per la risposta. Se non sono pericolosi meglio così, ma io sono convinto che c'è qualcos'altro che si annida nel software o solo Dio sa dove. Ho fatto una prova che conferma quello che mi hai detto (non che non mi fidassi, eh): ho fatto due scan a distanza di tempo senza connettermi a internet fra l'uno e l'altro e al secondo scan non sono stati rilevati oggetti infetti. Peraltro il pc continua ad avere gli stessi problemi di accensione lenta, problemi di audio (con gracchiare di sottofondo) e si mantiene comunque piuttosto lento nell'eseguire le varie operazioni in genere. E poi mi sorge una domanda (forse stupida, non so): navigando in internet si prendono varie cookies e questo va bene, ma finora non mi era mai capitato che fossero infetti. Avevo preso un paio di virus tempo fa (dei Trojan, ora non mi ricordo i dettagli), ma una volta rimossi il pc andava benissimo. Ora invece anche rimuovendo i cookies vari il pc continua ad avere qualche problema. E' questo che mi fa sospettare che ci sia "qualcosa sotto", però chissà cosa. O mi arrendo alla formattazione.. oppure, boh?!?! Accetto qualunque suggerimento e/o consiglio e ringrazio tutta la comunità di MegaLab!!

da **crazy.cat** » gio ago 30, 2007 3:32 pm

I cookies non rallenatano e non sono infetti, servono solo a dire ad un sito che lo hai già visitato, o che hai già inserito una password e di lasciarti entrare subito.

Se pensi a qualche virus, fai uno scan online
http://www.kaspersky.com/virusscanner
e posta qui il risultato.

Per l'audio è magari solo un problema di driver o scheda audio/casse difettose.
Prova un aggiornamento dei driver.

www.MegaLab.it

CPU occupata, spyware, e chissà cos'altro!

CPU occupata, spyware, e chissà cos'altro!

Chi c’è in linea