Chiedo aiuto, in task manager ho notato che il processo spoolsv.exe mi utilizza interamente la CPU a intervalli regolari bloccandomi il computer. Ho eseguito una scansione ma AVG non mi trova niente e Kaspersky Online scanner nemmeno. Cosa faccio? Allego il LOG di HiJackThis.

Scusatemi sono un utente inesperto!

ciao,

dal log, tranne alcuna voce inutile, nn emerge nulla di sospetto

segui la guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737), esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

NB: il ripristino va tenuto disattivato, è fondamentale
questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure

precisazioni sui programmi della guida (che devono essere lasciati lavorare in pace, nn fare nulla al pc nel frattempo) :

1-riguardo ESET ADS REVEALER, nn ti preoccupare dei nomi che compaiono a fine scansione, cancella tutte le voci, nn elimini alcuni file,ok?

2- ASQUARED è un ottimo programma antispyware, installalo, lo aggiorni, e poi fai la scansione in deep scan, ci impiegherà un bel po di tempo, ma è importante, e posta qui il log(il rapporto di scansione)

3-PREVX CSI è un tool di rilevamento malware, ma nn rimuove nulla, a fine scansione nn devi scaricare la versione a pagamento x la rimozione, nn chiudere il programma, e vai su options e poi save log x poter poi pubblicare qui il log

4-come scansione online fai quella con bitdefender (l'unica che rimuove i virus insieme a quella di f-secure):
http://www.bitdefender.com/scan8/ie.html

5-hijackthis, lo devi "installare" in una sua cartella che puoi creare anche sul desktop, poi a fine scansione,salva in formato .txt il log che ti apparirà e poi lo alleghi qui

5-gmer una volta avviato, lo lasci lavorare in pace (questo vale x tutti i programmi) e a fine scansione clicca sul pulsante copy e poi apri il blocco note e gli dici incolli, cosi salvi il file in formato .txt e lo posti qui

stai attento a come posti i log, guarda qui:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

attendiamo tutti i log :)

Ciao ragazzi, ho disattivato il ripristino configurazione di sistema riavviato in modalità provvisoria e eseguito tutti i procedimenti che mi avete indicato.
Le scansioni a parte qualche cookies non hanno trovato nulla.

Allego i log.

Prevx CSI report:
http://www.fileup.itadib.com/download.php?id=pl2HHibJb3T79QMvhvND


Grazie

rifai la scansione di a-squared mettendo gli oggetti in quarantena! :)
manca il log di prevxCSI e la scansione online e/o di Dr.Web CureIT.

Con a2 avevo già messo in quarantena degli elementi, quasi tutti tracking cookie liv basso oltre a:

Value: HKEY_LOCAL_MACHINE\SOFT\Trace.Registry.MySee Alert
Value: HKEY_LOCAL_MACHINE\SOFT\Trace.Registry.MySee Alert
liv medio.

Prevx CSI avevo linkato il file:

http://www.fileup.itadib.com/download.php?id=pl2HHibJb3T79QMvhvND

non è questo quello che mi chiedi?

Allego anche esito di scansione con Bitdefender.

bitdefender ha eliminato qualkosa...sarebbe stato meglio se avessi salvato il report in html, cosi si vedevano anche i percorsi

ho visto i log precedenti: rifai hijackthis in modalità normale

hai ancora problemi al pc?

Ciao scusate se non rispondo velocemente ma purtroppo devo utilizzare i ritagli di tempo.
Ho rifatto hijackthis in modalità normale, allego log.
Purtroppo il problema persiste.

Cosa posso fare?

Intanto grazie.

nella guida sono indicati 2 programmini: DR.WEB CureIT e Vir.IT explorer LITE

usali e posta qui i log di entrambi...

Ho recuperato l' HTML di Bitdefender che mi avevi chiesto in formato txt da qui dovresti vedere i percorsi dei file eliminati... lo allego e intanto uso gli altri programmi che mi hai indicato.

Grazie

poi fa anche cosi:
svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

Ciao allego i report di DrWeb e VirIt.
Nel frattempo ho svuotato anche la cache di Sunjava ma il processo continua a imperversare!
Sono spacciato?:confused:

nuovo log d hijackthis

Eccolo!

Ragazzi mi dite se è proprio una causa persa la mia?

cosa mi rimane da fare?

procediamo così:
1) imposta i dns di www.opendns.com così blocchiamo eventuali connessioni a siti malevoli.

2) vai al sito http://secunia.com/software_inspector/ e fai la scnasione online del pc, ti indicherà tutti i software obsoleti che sono critici per la salute del pc.
aggiorna tutti quelli che ti dice, ricordati di disinstallare la precedente versione di JavaVM :)

3) vai nelle connessioni di rete e disattiva la scheda di rete, poi riavvia il pc. riesegui HiJackThis e controlla che queste due voci non abbiano più la voce "(file missing)":

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

se persistesse la situazione reinstalla i driver della connessione wi-fi


4) riesegui HiJackThis e finista la scansione il tasto "scan" si tramuta in "Fix IT", quindi sele ziona le voci:

O14 - IERESET.INF: START_PAGE_URL=http://www.supereva.it/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab


che applicazione è?
O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe


5) riavvia il pc

Ho qualche problemino:

Su opendns non capisco bene cosa devo fare di preciso. Ho copiato i DNS 208.67.222.222 e 208.67.220.220 sul computer nella connessione ADSL e sulla rete Wi Fi domestica.


Come faccio a disinstallare la precedente versione di JavaVM? devo farlo prima di lanciare la scansione SECUNIA?

Allego quello che ho trovato su GTDetect, penso sia qualcosa che ha a che fare con la Connect Card.

Ah, dimenticavo, su Opendns devo anche crearmi l'account ecc....?

Grazie

se possiedi un router con dhcp-server attivo allora i dns li puoi impostare nel router così in automatico proteggi tutta la lan.

creare l'account è gratuito e viene utile per impostare i collegamenti brevi, ossia puoi creare combinazioni per caricare velocemente i siti che frequenti quotidianamente per esempio:
rep -> www.repubblica.it

hw -> www.hwupgrade.it

ecc...


per la Java basta che vai in pannello di controllo -> installa applicazioni e vedi quante Java sono presenti. Una sola deve esserci :)

Molto banalmente ho un router Alice... non so...

poi ho una PCMCIA D-Link con cui comunico wireless con una stampante HP e con un altro portatile condividendo la connessione a internet.

in pannello di controllo/installazione applicazioni ho:

una serie di J2SE Runtime Environment 5.0 Update 2, 4, 6, 8, 10, 11

poi Java2 Runtime Environment, SE v 1.4.2_03

poi Java (TM) 6 Update 2

Java(TM) SE Runtime Environment 6 Update 1

Cosa rimuovo?

rimuovi tutte le java, riavvii e installi quella che vai a scaricare da:
http://www.java.com/it/download/

procediamo così:
1) imposta i dns di www.opendns.com così blocchiamo eventuali connessioni a siti malevoli.

2) vai al sito http://secunia.com/software_inspector/ e fai la scnasione online del pc, ti indicherà tutti i software obsoleti che sono critici per la salute del pc.
aggiorna tutti quelli che ti dice, ricordati di disinstallare la precedente versione di JavaVM :)

3) vai nelle connessioni di rete e disattiva la scheda di rete, poi riavvia il pc. riesegui HiJackThis e controlla che queste due voci non abbiano più la voce "(file missing)":

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

se persistesse la situazione reinstalla i driver della connessione wi-fi


4) riesegui HiJackThis e finista la scansione il tasto "scan" si tramuta in "Fix IT", quindi sele ziona le voci:

O14 - IERESET.INF: START_PAGE_URL=http://www.supereva.it/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab


che applicazione è?
O23 - Service: GT Detect (GtDetectSc) - OptionNV - C:\WINDOWS\system32\GtDetectSc.exe


5) riavvia il pc
Ho fato lo scan di Secunia e ho aggiornato qualche programma che mi ha indicato.
Poi ho disattivato le sche de di rete:
- 1394 Net Adapter
- D-Link AirPlus DWL-G650 Wireless Cardbus Adapter (rev. C)
- Realtek RTL8139/810x Family Fast Ethernet NIC
ho riavviato il computer e lanciato Hijack di cui allego log.
I file missing rimangono.
Ho fatto il fix it per gli altri.

Cosa intendi per reinstallare la connessione wireless?

Ho letto qualcosa sullo spooler e il resource kit di Windows, secondo te può servire?

Help!!!!

allora fixa:

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.supereva.it/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

poi disattivi le connessioni di rete, riavii e inserisci il cd dei driver scheda-wi-fi e li reinstalli :)
già che ci sei reinstalla anche avg ;)

Ho fatto come da te indicato. Ho disinstallato e reinstallato la scheda wireless e AVG. Ho anche disinstallato la Vodafone Connect Card. Ho fatto un Ccleaner ma spoolsv è sempre lì...

Ti allego il log di Hijack prima e dopo aver reinstallato.

Boh....

fixa

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 4.00\AMVConverter\grab.html
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)



in hijackthis quel spoolsv.exe non compare quindi lancia Dr.WEB CUreIT :)

Prova ad aprire la cartella delle stampanti e vedi se cìè qualche stampante virtuale. Se il riscontro è positivo: disattivale.

Ho scaricato il Resource kit tools di windows e tramite l'applicazione cleanspl.exe ho ripulito lo spooler di stampa da quasi tutti i driver. Il sistema è tornato regolare ma ho dovuto reinstallare un pò di drivers. Adesso seppur di tanto in tanto il problema ritorni in maniera meno invadente, la situazione è sostenibile.

Grazie ciao