www.MegaLab.it

[AsRock]

Salve ragazzi di MegaLab.it , il mio pc impovvisamente ha iniziato a rallentare ; prima era più veloce e con il task manager per chiudere i programmi ci voleva un attimo ora invece sembra sia piu lento .....
Guardate il log di HijackThis , a me sembra pulito ; noto solo troppi porgrammi attivi all'accensione e qualche toolbar
grazie dell'aiuto.

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Users\xxxxxx\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\xxxxxx\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

Se trovate xxxxx è il nome dell'amministratore sulla cartella , che preferisco non specificare

[FDAC]

Scarica ed installa MalwareBytes:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione aggiornalo -clicca su Aggiornamento in alto-
Esegui una scansione completa del sistema.
Elimina tutto ciò che trova.
Invia il log.

[AsRock]

Già fatta , nessun malware attivo !

[Uomo_Senza_Sonno]

Per me il rallentamento è imputato, come hai osservato, ai programmi in avvio che potresti disabilitare tranquillamente, e qualche servizio relativo ai programmi in esecuzione automatica. Prova a snellire l'avvio e poi verifica se c'è una sostanziale differenza.

[AsRock]

Forse sarà stata una mia impressione ......
Comunque mi sapete dare delle descrizioni sui seguenti file (in pratica a cosa servono? )
1)NMIndexStoreSvr.exe
2)NeroCheck.exe
3)NBKeyScan.exe
4)GrooveMonitor.exe
5)AdobeARM.exe
6)Reader_sl.exe
7)xInsIDE.exe

[FDAC]

Googlando

nmindexstoresvr.exe fa parte di Nero Scout che viene con Nero CD/DVD che brucia 7. esploratore di Nero che è un programma della base di dati che cataloga tutti archivi di media sul vostro calcolatore e che mette a disposizione questa base di dati di altri programmi nel pacchetto del prodotto di Nero 7. Questo processo può essere rimosso per liberare le risorse di sistema.

nerocheck.exe è un processo ha associato con il software CD di scrittura di Nero. È usato per installare o gestire l'applicazione del driver nerocd2k.sys di Nero. Questo processo non dovrebbe essere rimosso mentre usando il software di scrittura CD di Nero.

nbkeyscan.exe è un Nero BackItUp appartenendo a Nero BackItUp da Nero AG

GrooveMonitor.exe è un servizio di utilità creato dalla Microsoft appartenente al software GrooveMonitor Utility, associato a Microsoft Office Enterprise 2007.
Nello specifico, Microsoft Office Groove 2007 è uno strumento di collaborazione di Microsoft Office System che consente ai team di collaborare in modo dinamico, efficace e con protezione avanzata, anche quando i membri dello stesso team lavorano per diverse organizzazioni, si trovano in una sede remota o non sono in linea.

AdobeARM.exe è un processo legato ad Adobe ARM.

Reader_sl.exe è un processo legato ad Adobe Reader.

[b]xInsIDE.exe secondo prevx è una infezione.[/b]

Fai, come ti ho detto, una scansione COMPLETA con Malwarebytes.
Ciao

[Uomo_Senza_Sonno]

Domanda: hai per caso un disco RAID? Se prevx lo rileva come infezione, carica il file su http://www.virustotal.com e verifica se è un falso positivo o meno.
41 antivirus sono meglio di 1

Se poi è quello che penso non ha assolutamente senso fare una scansione con mbam, perché tanto non ti rileverà nulla.

[AsRock]

Li faccio partire all'avvio i programmi che ti ho descritto oppure li spunto da msconfig ? Comunque xInsIDE.exe né Avira né Malwarebytes lo rilevano come minaccia e neanche spybot . Un ultima cosa :quei resti di google toolbar che facciamo li fixiamo ? Ah dimenticavo dai un'occhiata all'ultima riga di SpyBot .

[AsRock]

VirusTotal non rileva niente , e neanche prevx .....

[Uomo_Senza_Sonno]

Dai un'occhiata a questo articolo. Verifica che il tool indicato nell'articolo legga l'mbr correttamente.

[AsRock]

Di quale tool si tratta ? Gmer? Comunque penso non si tratti di un bootkit non mi vengono finestre popup , blocchi improvvisi qualche volta ma crash mai .
Dimmi come devo procedere ....

[AsRock]

Ma mbr.exe , è compatibile con Windows 7 32bit ?

[Uomo_Senza_Sonno]

1. si mbr.exe è compatibile, crea problemi nei sistemi x64;
2. il tool che ti volevo indicare è remover.exe, ed è utile anche per un controllo; per utilizzarlo devi semplicemente scaricarlo e salvarlo in C:\, poi lo lanci e verifichi che c'è scritto nello status dell'mbr. Probabilmente è tutto ok e ti rileverà l'mbr dei sistemi windows

[AsRock]

Uomo_Senza_Sonno ho fatto il test con mbr.exe e legge il MBR con successo : NON CI SONO BOOTKIT
Potresti dirmi se posso disabilitare all'avvio questi programmi:
1)NMIndexStoreSvr.exe
2)NeroCheck.exe
3)NBKeyScan.exe
4)GrooveMonitor.exe
5)AdobeARM.exe
6)Reader_sl.exe

[Uomo_Senza_Sonno]

Potresti dirmi se posso disabilitare all'avvio questi programmi:
1)NMIndexStoreSvr.exe
2)NeroCheck.exe
3)NBKeyScan.exe
4)GrooveMonitor.exe
5)AdobeARM.exe
6)Reader_sl.exe

Certo, non ti comporta nessun problema, anzi il pc in avvio sarà più rapido. Adesso dopo tutti i controlli puoi stare tranquillo, hai un pc in salute

[AsRock]

Ciao Uomo_Senza_Sonno ti ringrazio dell'aiuto e mi complimento con te per l'articolo sul BOOTKIT .
Un'ultima cosa , che mi consigli di fare riguardo questa righe ? :
1)O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
Una cartella è presente di Google però la cartella GoogleToolbar non c'è , trovo solo GoogleToolbarNotifier e altre 2 cartelle con dei file e una dll ( con il simbolo del sotto )
2)SpyBot va in conflitto con Avira ?
3)Che comando do su CMD oppure su ESEGUI per aprire direttamente "Opzione cartella" ( vado off-topic)

[Uomo_Senza_Sonno]

Figurati, ma il mio articolo non è nulla di particolare, in confronto a tutti quelli pubblicati su MLI.
Per il resto, rispondo velocemente:

1. puoi fixarla direttamente con HJT;
2. no, non va in conflitto, almeno così ho letto. Comunque, ti segnalo quest'ottimo articolo, per fugare qualsiasi dubbio;
3. sinceramente non lo so, ma cercando su google una soluzione si trova.

[AsRock]

Senti Uomo_Senza_Sonno ma " Fix checked " in che consiste (io conosco il significato di Fixare ) . Cioè cosa fa HJT quando dai l'opzioni Fix Checked?
Ultima domanda.....

[The Doctor]

Correggetemi se sbaglio: dovrebbe eliminare le relative chiavi dal registro di sistema.

[crazy.cat]

Correggetemi se sbaglio: dovrebbe eliminare le relative chiavi dal registro di sistema.

Non sbagli.