Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Probabile infezione

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Probabile infezione

Messaggioda ssjx » mar gen 13, 2009 2:53 pm

Salve a tutti

era da parecchio mi pare che non postavo in questa sezione... per fortuna ho prestato il notebook a mio cugino che mi ha prontamente permesso di rimediare...

Andiamo al dunque: è da ieri che il portatile è diventato in generale un po' più lento (anche se non molto) e soprattutto pare avere seri problemi con i file multimediali. Basta semplicemente tentare di aprire un video per impallare totalmente il sistema (Vista Home Premium) al punto che non risponde nemmeno al Ctrl+Alt+Canc e l'unica cosa da fare è staccare la batteria visto che non funziona nemmeno il tasto di spegnimento

Il problema è indipendente dal player usato (WMP, Media Player Classic, ecc...) e si presenta sempre... ho provato a fare un po' di pulizia con CCleaner e scansioni con Antivir e Spybot S&D ma il risultato è stato deludente... ecco i log

Antivir

AntiVir/Win32-Console Version 7.6.0.59, (Jan 29 2008, 18:11:09)
Copyright(c) 2007 Avira GmbH

Report created on 01/13/2009 12:20:57

Command line: -allhard -alltypes -s -z -r1 -rs -rfC:\Users\AMMINI~1\AppData\Local\Temp\minivir.log
-heuristic:2 -defext -del -qua-copy C:\quarantena

AVPack-Version: 7.6.1.12
VDF version: 7.1.1.100 - FUP(0), created 01/12/2009

AVCLS license: 1103153519 for xxx xxx

Drives:
C: Harddisk
D: Harddisk
E: CDROM

checking the master boot record of drive 80h
ERROR (131): cannot read record

checking the boot record of drive C:
checking the boot record of drive D:
checking drive/path (list): C:\
C:\hiberfil.sys
Date: 13.01.2009 Time: 11:15:52 Size: 3212042240
ERROR: could not open file for read access
file was not scanned at all!

C:\pagefile.sys
Date: 13.01.2009 Time: 11:15:52 Size: 3525967872
ERROR: could not open file for read access
file was not scanned at all!

C:\Users\Amministratore\NTUSER.DAT
Date: 13.01.2009 Time: 11:20:30 Size: 4718592
ERROR: could not open file for read access
file was not scanned at all!

C:\Users\Amministratore\AppData\Local\Microsoft\Windows\UsrClass.dat
Date: 13.01.2009 Time: 11:20:20 Size: 2359296
ERROR: could not open file for read access
file was not scanned at all!

C:\Windows\bthservsdp.dat
Date: 11.01.2009 Time: 23:25:26 Size: 12
ERROR: could not open file for read access
file was not scanned at all!

C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
Date: 13.01.2009 Time: 11:18:14 Size: 262144
ERROR: could not open file for read access
file was not scanned at all!

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Date: 13.01.2009 Time: 11:16:02 Size: 2048
ERROR: could not open file for read access
file was not scanned at all!

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
Date: 13.01.2009 Time: 11:16:02 Size: 2048
ERROR: could not open file for read access
file was not scanned at all!

C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
Date: 13.01.2009 Time: 11:18:10 Size: 262144
ERROR: could not open file for read access
file was not scanned at all!


checking drive/path (list): D:\

----- scan results -----
directories: 16073
files: 138530
alerts: 0
suspicious: 0
scan time: 00:19:39
--------------------------
Thank you for using AntiVir


MBR

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.53.33, on 13/01/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16757)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
D:\Programmi\Grafica\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
D:\Programmi\Utility\RocketDock\RocketDock.exe
D:\Programmi\Internet\Browser\Opera\Opera 9.6\opera.exe
C:\Windows\explorer.exe
D:\Programmi\Sicurezza\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKLM\..\Run: [Corel File Shell Monitor] D:\Programmi\Grafica\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Babylon Client] D:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://D:\Programmi\Babylon\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SICURE~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 5758 bytes


Cosa c'è che non va?
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Probabile infezione

Messaggioda ste_95 » mar gen 13, 2009 3:18 pm

ssjx ha scritto:Cosa c'è che non va?

Una bella domanda, visto che i log che hai postato sono puliti...

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e postastiamo sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Probabile infezione

Messaggioda dario-vr » mar gen 13, 2009 3:31 pm

Il problema è indipendente dal player usato (WMP, Media Player Classic, ecc...) e si presenta sempre... ho provato a fare un po' di pulizia con CCleaner e scansioni con Antivir e Spybot S&D ma il risultato è stato deludente... ecco i



Ciao, non so se può essere un caso simile al mio.
Ti racconto la mia esperienza:
dopo un aggiornamento di programma (firewall) ogni volta che cercavo di aprire dei file con Vlc (anzi anche solo aprendo il programma) il computer (windows XP) mi si bloccava e dovevo staccare brutalmente alimentazione.
Dopo varie prove ho scoperto che era il firewall che non accettava più Vlc!!
Come ho fatto? necessariamente e prudentemente staccato da internet ho provato ad escludere i vari programmi che si caricano all'avvio (firewall antivirus anti spy ware) fino a scoprire cheera il firewall!
Risoluzione: rimossione e nuova installazione di firewall e Vlc.
Ora è tutto a posto.

Magari risolvi facilmente anche tu [:)]
Si impara dagli errori degli altri: non si può vivere cosi' a lungo per farli tutti.
Avatar utente
dario-vr
Senior Member
Senior Member
 
Messaggi: 160
Iscritto il: gio gen 08, 2009 9:59 am
Località: Verona


Re: Probabile infezione

Messaggioda ssjx » mar gen 13, 2009 4:56 pm

Uhmm... allora mi sa che si sarà incasinato qualcosaltro sul sistema... vabbè intanto ora provo con Gmer a fare le scansioni ed una volta esclusi virus e affini passo ad altro
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Probabile infezione

Messaggioda andreosky » mar gen 13, 2009 4:57 pm

Vuoi sapere qual è il problema? Te lo dico subito. La prima cosa da fare è disinstallare CCleaner che NON è ASSOLUTAMENTE un buon programma di pulitura. Io ho dovuto formattare il pc ben 4 volte e tutte a causa di CCleaner. Una volta perché non riuscivo più a disinstallare nessun programma, l'altra perché non partiva nessun file multimediale, l'altra ancora per problemi sempre più seri. Fidati il danno è già fatto, non ti rimane che formattare. Forse la soluzione al tuo problema c'è e non è questa, ma comuqnue questo è un OTTIMO consiglio. Se devi fare pulizia del PC fai come me: Uniblue SpeedUpMyPc 2009(interessante soprattutto per i suoi tweaks!), TuneUpUtilities 2009, Advanced Uninstaller PRO, DriverMax e (specifico per il registro migliore in assoluto, AVS RegistryEditor. La AVSmedia propone tantissimi software per masterizzazione ed editing audio e video migliori sul mercato, sfrutta le migliori tecnologie dell momento e prestena una facilità d'uso, una modernità ed una professionalità impressionanti. Io l'ho comprato l'altroieri ed ho tolto subito Nero 9. La cosa bella di AVS è che tu pagando un software, puoi scaricare tutti gli altri che vuoi. Informati di software sono esperto.
Avatar utente
andreosky
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun gen 12, 2009 7:34 pm

Re: Probabile infezione

Messaggioda dario-vr » mar gen 13, 2009 6:06 pm

ssjx ha scritto:Uhmm... allora mi sa che si sarà incasinato qualcosaltro sul sistema... vabbè intanto ora provo con Gmer a fare le scansioni ed una volta esclusi virus e affini passo ad altro


Ciao che firewall stai usando?
In ogni caso fai la prova che ti ho suggerito , mi raccomando senza internet collegato! eh!? [:)]
Ccleaner è un buon programma, è necessario prestare un po di attenzione quando si tocca il registro.
Però dovrebbe averti fatto il back up delle rimozioni eventualmente. [:)]
Si impara dagli errori degli altri: non si può vivere cosi' a lungo per farli tutti.
Avatar utente
dario-vr
Senior Member
Senior Member
 
Messaggi: 160
Iscritto il: gio gen 08, 2009 9:59 am
Località: Verona

Re: Probabile infezione

Messaggioda ste_95 » mar gen 13, 2009 6:34 pm

Dai ragazzi, anche fosse stata colpa di CCleaner - che è un ottimo programma, che non ha mai danneggiato il computer a nessuno -, non lo potrebbe essere, perché suo cugino di certo non l'avrà usato e di certo non dà problemi come la lentezza. [acc2]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Probabile infezione

Messaggioda ssjx » mar gen 13, 2009 7:09 pm

Intanto posto i log di gmer... poi mi leggo la discussione

Autostart
Rootkit

A ste la parola [:)]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Probabile infezione

Messaggioda dario-vr » mar gen 13, 2009 7:20 pm

ste_95 ha scritto:Dai ragazzi, anche fosse stata colpa di CCleaner - che è un ottimo programma, che non ha mai danneggiato il computer a nessuno -, non lo potrebbe essere, perché suo cugino di certo non l'avrà usato e di certo non dà problemi come la lentezza. [acc2]


Infatti. Ccleaner lo uso regolarmente senza mai aver avuto problemi [:)]

Resto dell'idea di qualche conflitto tra software però [XX(]
La prova che ho proposto è molto semplice da farsi e non rischia nulla in fondo. [:)]
Si impara dagli errori degli altri: non si può vivere cosi' a lungo per farli tutti.
Avatar utente
dario-vr
Senior Member
Senior Member
 
Messaggi: 160
Iscritto il: gio gen 08, 2009 9:59 am
Località: Verona

Re: Probabile infezione

Messaggioda ste_95 » mar gen 13, 2009 7:25 pm

I log sono puliti, quindi il problema non è probabilmente da ricercarsi in ambito virale. [^]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Probabile infezione

Messaggioda ssjx » mar gen 13, 2009 7:38 pm

OK allora comincerò a smanettare altrove ... grazie a tutti per l'aiuto [;)]


PS
1 - CCleaner non è decisamente il colpevole visto che l'ho usato dopo e che comunque controllo sempre cosa cancella [;)]
2 - Questione FW... semplicemente uso quello di windows (e giusto per scrupolo) visto che il portatile si connette attraverso un PC che fa da server e filtra già lui le varie schifezze con Kaspersky
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona

Re: Probabile infezione

Messaggioda ssjx » ven gen 16, 2009 9:46 pm

Giusto per far sapere come è andata... in effetti non si trattava di infezione ma di un qualche incasinamento di Windows e/o software

Ho quindi disinstallato totalmente il k-lite mega codec pack, fatto una bella pulizia del registro, e reinstallato il tutto... e adesso è tutto OK [:)]
Usavo IE e mi lamentavo... usavo Mozilla e mi lamentavo, decisamente meno ma mi lamentavo, ... poi ho trovato Opera e fu amore a prima vista
Avatar utente
ssjx
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5756
Iscritto il: ven nov 26, 2004 3:37 pm
Località: Barcellona


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising