Ciao a tutti

da 2 giorni a questa parte ho sicuramente le shared.dll infette.....

2 notti fa mentre navigavo mi si è autoinstallato KillAndCLean!.....
disconnetto...e disinstallo subito....faccio partire ad aware, spybot.....tutto ok.....

giorno dopo accendo il pc, tutto ok! mi collego, gioco....poi mi vien voglia di giocare a Fire Department2(gioco che ha la protezione Cdadillac se non sbaglio)....il programma controlla il cd e mi da errore, il file fire.exe potrebbe essere danneggiato o essere infetto......reinstallo ma niente.....
provo anche fire department 1....stesso problema.....
provo allora anche splinter cell choaos theory, anche lui mi dice che è infetto.....

faccio scansioni con bit defender, con panda, con trend micro MA NIENTE sistema pulito.....solo ma synmantec mi ha trovato 2/3 trojan ma non li toglie...
allora ho avuto l'idea di scaricarmi norton in prova per 15 giorni, installo......scan completo del sistema e mi trova 1 file infetto.....pulisco.....

ma niente!
ora il pc funziona, non mi da nessuno errore ma ho questi problemi

1- alcuni giochi come detto non partono
2- è più lento i alcune occasioni, tipo aprire risorse computer ecc ecc.....a volte esce addirittura la torcia!
3- Programmi di pulizia come CCcleaner, HDcleaner si bloccano quando puliscono il registro
4- Spybot va LENTISSIMO, ha 40666 file da controllare ma arrivato a 503 va a rilento,1 ogni 2/3 minuti!
5- ADaware si blocca quando controlla il registro

con regedit entro nel registro e anche questo programma si blocca quando provo ad andare a controllare le SHARED.DLL......ho quindi al 99% queste librerie infette......
MA COME LE PULISCO?????
ad si blocca....spy non trova nulla....norton anche......che fare?????

HDCleaner ha una sezione di pulizia dedicata proprio alle shared ed infatti non si avvia proprio!!

mi date qualche consiglio pls????? scarto il FORMAT...voglio prima provare a recuperare il sistema

Scaricati il programma hijackthis, fai una scansione, salvane il log e postalo in un messaggio qua sul forum, così diamo una prima occhiata al sistema per vedere se c'è ancora qualcosa di infetto..

Scan saved at 21.29.03, on 12/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmi\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\HIJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Class - {573EDE0A-778B-EF5C-61CF-421B8B558119} - (no file)
O2 - BHO: (no name) - {D98082DB-4FC4-DD9E-BFE7-DDC298B3DCBA} - (no file)
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmi\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programmi\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Overclock\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /S
O4 - HKLM\..\Run: [RCSystem] "C:\Programmi\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programmi\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O17 - HKLM\System\CCS\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{228A3D36-4109-4791-A1F9-D877BF58F781}: NameServer = 85.255.114.35 85.255.112.13
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



io non trovo nulla di anomalo...... :rolleyes: qualcosa superflua c'è pure ma non dannosa sicuramente....

oggi facendo numere prove, eliminato servizi ecc ecc.....mi è partito windows e non so come tra i processi non c'erano svghost....e il pc andava bene! infatti ho eseguito adaware e spy senza problemi :mbe: ma svghost non è primario per win?

Come dici tu il log sembra pulito.. L'unica cosa sono quei due Browser Helper Object (O2) che non sono riuscito a identificare, anche se c'è scritto no file.
Ti suggerisco due cose per adesso: una è di fare una scansione con il programma rootkitrevealer della sysinternals (freeware), tenendo conto che mentre la effettui dovresti chiudere tutte le applicazioni aperte e non fare niente con il pc, altrimenti si creano falsi positivi. Questo per vedere se ci fosse qualcosa in memoria.
In secondo luogo, darei un'occhiata nel visualizzatore eventi (pannello di controllo -> strumenti di amministrazione) per vedere se ci sono errori specifici che possano giustificare i rallentamenti e blocchi di cui parlavi.

avvio windowsi in modalità provvisoria? o magari lo imposto in modalità diagnostica da msconfig?

puoi eseguire rootkit revealer anche avviando windows normalmente, senza lanciare alcun programma, navigare, ecc.

ho scaricato il programma......avviato ma on succede nulla :\
sono andato sul sito ufficiale, magari avevo scaricato un file corrotto danneggiato...ma niente......avvio e non appare niente :-\ neanke tra i processi in esecuzione, una finestra un beep....NIENTE......xkè?

ho scaricato il programma......avviato ma on succede nulla :\
sono andato sul sito ufficiale, magari avevo scaricato un file corrotto danneggiato...ma niente......avvio e non appare niente :-\ neanke tra i processi in esecuzione, una finestra un beep....NIENTE......xkè?


L'account che stai usando ha i privilegi di amministratore? Altrimenti ci sono due possibilità: una è che un rootkit impedisca a rootkitrevealer di andare in esecuzione, e due che il sistema abbia qualcosa di danneggiato e che il programma non parta. Al limite prova a rinominare l'eseguibile, ma è un tentativo molto improbabile.. :(
Ah, controlla anche che il file eseguibile sia lungo 237.651 bytes e che abbia data 1/2/2006 17:02.

il pc lo uso solo io ed sono amministratore anche se da un pò di tempo quando modifico ad esempio ms config mi dice che non sono amministratore.....a volte anche PunkBuster nei giochi mi kikka dicendo che non sono amministratore......probabile che qualche 'virus' abbia modificato qualcosa.......
sono andato su strumenti di amministrazione e ho trovato qualche voce senza permesso.....ma onestamente non soda default come fosse...

anche con le voci cmq modificate root non parte.....il file è corretto in dimensioni e data