Ciao, non so se sono nella sezione giusta perche' non ho ben capito che tipo di problema abbia, ma ho pensato di iniziare da qui: oggi ho installato un programma per The Sims 2 che esegue delle scansioni su cartelle per rilevare il materiale aggiuntivo e capire se crea conflitti. Ad un certo punto gli ho dato da scansionare una cartella enorme e dopo un po' visto che non aveva finito l'ho arrestato.

Non sono sicuro sia iniziato li' il problema, ma comunque adesso la freccia del mouse diventa scattosissima SOLO usando gestione risorse/esplora risorse e aprendo un menu' a tendina su un file, quindi se faccio clic destro su una cartella va tutto bene, se lo faccio su un file inizia a scattare. Sui file sul desktop non lo fa, e nemmeno esplorando le varie cartella usando il browse di un qualunque programma...
L'altra cosa che ho notato e' che a volte avviando firefox si blocca, e non me l'aveva MAI fatto prima...

E' abbastanza fastidioso, ma non so se sia un virus o qualcosa del genere... nel dubbio ho fatto una scansione con AVG aggiornato a oggi e con Avast e non hanno trovato niente.... Questo invece e' il log di Hjackthis.
Non so se c'entri qualcosa, altrimenti se potreste consigliarmi una sezione piu' adatta... :) Grazie! ciao


[edit: ho tolto il log di hijackthis che tanto ho allegato nell'ultimo post e qui rompeva solo occupando spazio]

Ci sono dei virus nel tuo computer!!!:(

Prova per intanto a fare una scan con kaspersky!!!;)

@ VdW:
segui la procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti rispettando le Regole di Sezione.


@ security!!!:
esiste una procedura standard da cui partire per poter avere sotto mano più dati possibile sulla salute di quel pc :)

ok scusate, l'avevo letta in fretta e pensavo bastasse avg+hjhackthis

Consiglierei ad entrambi di leggere le *** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1589984); a VdW come già gli ha consigliato il nostro caro xcdegasp, consiglio di seguire attentamente le indicazioni riportate nella GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ;)

Inoltre, tieni sempre in considerazione anche le modalità di pubblicazione dei log richiesti. Ti riporto lo schema:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download


Comunque, ti consiglio di evitare di utilizzare quel pc per le cose importanti o personali (anche per la lettura delle email) almeno finchè non avrai appurato almeno se sia infetto; in tal caso sarà bonificato. ;)

Ciao

Allora, allego i vari log, grazie della disponibilita' :)

Scansione online con Kaspersky (http://digilander.libero.it/bmaga/kaspersky%20log.txt)
HiJackThis (http://digilander.libero.it/bmaga/hijackthis.txt)
Prevx CSI (http://digilander.libero.it/bmaga/csilog.txt)
A-Squared (http://digilander.libero.it/bmaga/a%20squared%20log.txt)
Gmer (http://digilander.libero.it/bmaga/gmerlog.txt)

ps: quando kaspersky mi dice "Infected: not-a-virus" vuol dire che non e' un virus ma e' un malware?
ppss: non c'entra niente, ma perche' il log in html di kaspersky che ho provato a uppare (mi sembrava piu' leggibile del txt e volevo allegare quello...) sul mio pc si vede bene, e invece online si vede in ideogrammi?? --> http://digilander.libero.it/bmaga/kaspersky%20log2.html

ancora grazie :)

Ah non ho uppato i file con FileUP ma usando dello spazio che mi da libero, cosi' tra l'altro si possono leggere direttamente online senza doverseli scaricare, mi sembrava piu' comodo :)

Quasi quasi mi sa che ti converrebbe dargli una spianata.... :rolleyes: c'hai un abella collezione di schifezze.... aspettiamo i cosnsigli degli esperti, ok? ;) Intanto ti consiglio di non usare quel pc per attività importanti e riservate, neanche per leggerti la posta. ;)

Intanto ti consiglio di non usare quel pc per attività importanti e riservate, neanche per leggerti la posta. ;)

Ti do ragione!!!

Allora VdW ciò che kaspersky ha trovato è tutto giusto dunque ti consiglio di installare kaspersky in prova fai una scan ed elimina ciò che trova!!!;)

Consigli:

Non scaricare più quel cavolo di win fixer (falso AV)come i suoi cugini:

virus blaster
win antispyware
win antivirus
drive claner.....

ps.C' e l' hai un AV?

Allora, allego i vari log, grazie della disponibilita' :)

Scansione online con Kaspersky (http://digilander.libero.it/bmaga/kaspersky%20log.txt)
HiJackThis (http://digilander.libero.it/bmaga/hijackthis.txt)
Prevx CSI (http://digilander.libero.it/bmaga/csilog.txt)
A-Squared (http://digilander.libero.it/bmaga/a%20squared%20log.txt)
Gmer (http://digilander.libero.it/bmaga/gmerlog.txt)

ps: quando kaspersky mi dice "Infected: not-a-virus" vuol dire che non e' un virus ma e' un malware?
ppss: non c'entra niente, ma perche' il log in html di kaspersky che ho provato a uppare (mi sembrava piu' leggibile del txt e volevo allegare quello...) sul mio pc si vede bene, e invece online si vede in ideogrammi?? --> http://digilander.libero.it/bmaga/kaspersky%20log2.html

ancora grazie :)

Ah non ho uppato i file con FileUP ma usando dello spazio che mi da libero, cosi' tra l'altro si possono leggere direttamente online senza doverseli scaricare, mi sembrava piu' comodo :)

tutto cio che trova a-squared va messo in quarantena, visto che l'azione non compare nel log è meglio che tu lo faccia qunto prima.


per prevx CSI:

C:\Programmi\TGTSoft\StyleXP\Logon\CurrentLogon.EXE InMem: 0 Det [U] PX5: 6B3184960083D65DEA0B3261A13410003FBBCDA0
REGWINLOG - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - UIHost [C:\Programmi\TGTSoft\StyleXP\Logon\CurrentLogon.EXE]


C:\Programmi\File comuni\onOne Software Shared\lt_lib_gf_iconShellEx.dll InMem: 0 Det [U] MD5: DF7EAD25A5CFFEBAD0E3491CA3A7BC92 PX5: 181AC61000939D5060F00A7E9693490014F3E9DC
REGSHELLEXT - \REGISTRY\Machine\Software\Classes\CLSID\{EE337094-9F50-4B8C-9B53-C00F52A3289B}\InprocServer32 - {EE337094-9F50-4B8C-9B53-C00F52A3289B} [C:\Programmi\File comuni\onOne Software Shared\lt_lib_gf_iconShe]


D:\Giochi\Puzzle Quest Challenge of the Warlords\Puzzle Quest.exe InMem: 0 Det [U] MD5: 46F95017076B85DE646C108B8613A5E9 PX5: 8E19BE9F98D1C1D68EAA2AF44688FC0061200699


C:\WINDOWS\system32\drivers\PnkBstrK.sys InMem: 0 Det [U] MD5: 5AABA5388B4F72B8BF72EA922D1CBD38 PX5: 43BA37D038A243B0572F00B68055B8001325EE5E


C:\WINDOWS\system32\BASSMOD.dll InMem: 0 Det [U] MD5: 0248D4DB9EDE8482E78D03D8B4786F88 PX5: 9C960FB300483C01261800C5B0F67800CB6D10FE


C:\Documents and Settings\Roland\Desktop\a2FreeSetup.exe.part InMem: 0 Det [U] PX5: 14A6205A834CA6052765BF49C763F100F402A781


D:\Giochi\web\Little Shop Of Treasures\LittleShopOfTreasures.exe InMem: 0 Det [U] MD5: A7873FA84E4573A43078E956336B889B PX5: 301C197300BBC6BDD0840A4F6EE7B7003106C4CD


C:\Documents and Settings\Roland\Desktop\Sims2PackInstaller_v151.exe InMem: 0 Det [U] MD5: 10EDE35696BD154B279C1B4D61F4C863 PX5: 980D9C0F90ECB2525437040FDA631100A5323313


D:\Giochi\web\Sunset Studio Deluxe\SunsetStudio.exe InMem: 0 Det [U] MD5: 2EC4DFF29884F8C26E138B84908042F9 PX5: 9479A8EE00BEFBDAE07E17997FFA0E00724979CC


C:\Documents and Settings\Roland\Impostazioni locali\Temp\aax9C.tmp.exe InMem: 0 Det [U] PX5: 269B34F5B0084952C78103097FAD6801884AA4FB


C:\Documents and Settings\Roland\Impostazioni locali\Temp\drm_dyndata_7350008.dll InMem: 0 Det [U] MD5: 7014290E1DF324444023C3EE75D54630 PX5: F89B91A10008442C30C5035205410A00B8B36F39


C:\Documents and Settings\Roland\Impostazioni locali\Temp\Setup_7200.exe InMem: 0 Det [U] PX5: 6ED7655E50D717ADC1B448C0F48CAE00AA07B040


C:\Documents and Settings\Roland\Impostazioni locali\Temp\tn3kfmna.exe InMem: 0 Det [U] MD5: 0F7BEF7F7C42C6D6185F691C995DF9BD PX5: 0F7BEF7FEC7C42C683D600185F691C00995DF9BD


C:\Documents and Settings\Roland\Impostazioni locali\Temp\ubi18A.tmp.exe InMem: 0 Det [U] MD5: 4F499E63A6F1BCF68C3831B766D20487 PX5: 666CA4FD581F866B4D8625EC9CB9A3006ED8DF47


D:\Giochi\web\Cradle of Rome Deluxe\cradleofrome.exe InMem: 0 Det [UP] MD5: 19AD76C4521D7D94534353B7AC031D20 PX5: B78F4354007B989850EA0C9336559600B921094C


D:\Giochi\web\The Magicians Handbook Cursed Valley\The Magicians Handbook Cursed Valley.exe InMem: 0 Det [UP] MD5: DCB46E557EF6C384112072BA2A87892D PX5: BB554A160004666BD430050FFD47C400D2707E77


C:\WINDOWS\system32\drivers\AnyDVD.sys.bak InMem: 0 Det [B] MD5: 58E7392F29023D53153AACA1EFF2604F PX5: 5AA4CB10408BABFB86C0019D15E75300E3B26780 Malware Group: BACKDOOR.DIMPY.WIN32VBSY.Q


C:\Documents and Settings\Roland\Impostazioni locali\Temp\jar_cache53209.tmp InMem: 0 Det [BP] MD5: 653AD3D3CDA8ED26938749E164C99C05 PX5: F0DD447E007630C228C6008AE72D4600D75EEEA6 Malware Group: Trojan.DoS.Win32.Opdos


Summary:
C:\WINDOWS\system32\drivers\AnyDVD.sys.bak - [B] >> BACKDOOR.DIMPY.WIN32VBSY.Q
C:\Documents and Settings\Roland\Impostazioni locali\Temp\jar_cache53209.tmp - [B] >> Trojan.DoS.Win32.Opdos
Note: Some of the above entries may be from previous scans or cleaned infections.

c'è un ordine preciso da seguire nelle scansioni altrimenti avrei scritto fate i log a minchiam :rolleyes:


il ripristino di sistema va disabilitato e cancellati tutti i punti di ripristino precedenti!


per quanto riguarda HiJackThis:
rifai la scansione scegliendo la voce "Scan Only" a fine scansione in tasto sinistro in basso si chiamerà "Fix This", quindis elezionare le voci desiderate e premere questo tasto.
Fixa:

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - C:\WINDOWS\System32\byxvvts.dll (file missing)
O2 - BHO: (no name) - {F6AD0DC6-B297-4661-B396-90BCD04CDA4D} - C:\WINDOWS\System32\jkkli.dll (file missing)
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175514426093
O20 - Winlogon Notify: byxvvts - byxvvts.dll (file missing)
O20 - Winlogon Notify: jkkli - C:\WINDOWS\System32\jkkli.dll (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

Okey, allora la roba trovata da a-squared l'avevo messa in quarantena, adesso ho disattivato il ripristino (che credevo fosse gia' disattivato...) e ho rifatto il tutto.

Ho fatto una scansione con KasperSky Trial e ho eliminato tutto quello che trovava (tranne alcuni zip con adaware dei quali ero a conoscenza).

Ho fixato con hjackthis le cose che mi hai detto (tranne alcune che sono programmi che uso...).

Asquared adesso non trova piu' niente.

Questo e' il log di PrevxCSI che adesso trova solo piu' 2 file. (http://digilander.libero.it/bmaga/csi2.txt)

Kaspersky dopo 5 ore di scan completo non trova piu' niente.

Questo il log di HiJackThis. (http://digilander.libero.it/bmaga/hi2.txt)

Ho fatto i vari log rispettando l'ordine della guida, e usando kaspersky trial al posto di quello online.

Pero' ho ancora i problemi di prima.







Le cose che ho tenuto sono:

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

Supporto per ideogrammi.


O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

File delle cuffie 5.1


O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
StyleXp, e' un programma per moddare XP

Ok va tutto bene puoi vivere tranquillo!!!:D

Ok va tutto bene puoi vivere tranquillo!!!:D


---cut---
Pero' ho ancora i problemi di prima.
---cut---


@security!!! immagino che non abbia letto attentamente il messaggio di VdW vero? :mbe: :D

Veramente...


Pero' ho ancora i problemi di prima.


Lol Franz, post contemporaneo :D

Forse devo cercare la fonte dei miei problemi altrove e non nei virus...?

VdW hai fatto una scansione online? prova con quella di Kaspersky: http://www.kaspersky.com/virusscanner

@security!!! immagino che non abbia letto attentamente il messaggio di VdW vero? :mbe: :D

Esattamente ero attento a guardare i log!!!;)

VdW hai fatto una scansione online? prova con quella di Kaspersky: http://www.kaspersky.com/virusscanner

ok provo ancora quello, per curiosità che differenze ci sono fra quella online e quella fatta dal trial di kaspersky?

Ah, un altra cosa, non riesco a togliere prevxCSI dall'esecuzione automatica... mi parte sempre e comunque all'avvio anche se nelle impostazioni ho tolto la casella relativa a questa funzione. Come si fa??


Ah, un altra cosa ancora :D, tutta la roba messa in quarantena da Asquared posso cancellarla?

Hanno un diverso approccio al sistema. ;) Che in alcuni casi può avvantaggiare l'utente. Un conto è la solita classica installazione, ed un conto è l'esecuzione di un processo tramite controllo esterno.

Comunque stavo riguardandomi l'ultimo log che hai allegato di hijackthis, vedi se le voci che t'ho aggiunto sotto sono da te volute, ovvero se fanno parte di programmi che hai installato, eventualmente fixale. ;) Quelle con no file puoi fixarle in ogni caso.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

Hanno un diverso approccio al sistema. ;) Che in alcuni casi può avvantaggiare l'utente. Un conto è la solita classica installazione, ed un conto è l'esecuzione di un processo tramite controllo esterno.

Comunque stavo riguardandomi l'ultimo log che hai allegato di hijackthis, vedi se le voci che t'ho aggiunto sotto sono da te volute, ovvero se fanno parte di programmi che hai installato, eventualmente fixale. ;) Quelle con no file puoi fixarle in ogni caso.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



Non so proprio cosa sia....fixo.


O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe

Questa è una barra stile Mac, comoda :D


O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

L'ho fixata dopo aver fatto quel log :D


O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

mhhh... cercando questo dovrebbe essere un programma di quei giochi che scarichi e hanno un timer perchè sono versioni prova... però non credo sia giusto stia in system32... fixo.

Se c'è qualche file che ti è un po' insicuro mettilo su www.virustotal.com/it

questa:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
è normale e si riferisce a msn :)

objectdock fa parte di una barra d'utilità o qualcosa del genere, mentre crypserv.exe tratta la licenza.. non sono programmi essenziali quindi possono essere arrestati :)

Ultimo scan di Kaspersky online (http://digilander.libero.it/bmaga/sky2.txt) (per comodita' ho cancellato i positivi che so cosa sono)

In hijack questa riga continua a tornare a ogni riavvio, continuo a fixarla ed e' sempre li'...

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

ok, alla fine era semplicemente il mouse che per qualche suo motivo e' partito... disinstallati i driver funziona bene ma se li reinstallo tornano... boh?

saranno i driver troppo vecchi e che creano incompatibilità con il sistema... o il mouse da pulire :p

beh e' strano che inizi a fare sto problema dal nulla pero'...

sicuramente qualcosa è cambiato rispetto a quando non ce lo avevi, basta anche un software aggiornato...