Salve. Vorrei segnalarvi alcune anomalie che da un po' affliggono il mio pc.

Allora:
Quando accendo il Pc compaiono 5 finestre cmd.exe (C:\WINDOWS\System32\Cmd.exe)
Quando lo spengo appare una finestra che dice ceh non riesce a terminare Cmd.exe e devo cliccare su Termina Adesso.

Poi aggiungo anche che (penso che le siano collegati) poco prima di scrivere qua sentivo l'HD "friggere" (cioè che stava lavorando), non l'avevo mai sentito così, quindi ho aperto il Task Manager per scovare il colpevole e trovo un processo strano che mai avevo visto----> winhost.exe

Poi, un'altra cosa che penso sia collegata è il fatto che prima volendo scaricare un file da Megaupload non me lo faceva scaricare, perchè secondo il sito io o qualcuno stava scaricando già un file col mio IP.

vi posto anche il risultato di HijackThis v2.0.2

hijackthis.log (http://wikisend.com/download/552230/hijackthis.log)



PRIMA DI AVER FATTO la scansione con HijackThis v2.0.2 avevo riavviato il sistema, e winhost.exe non c'è più.

Spero possiate aiutarmi.
Grazie

direi infetto da bagle - credo che il tuo log verrà rimosso dal moderatore di sezione perchè lo hai postato senza seguire le indicazioni di sezione
se spulci sul forum trovi una guida per infetti da bagle ed una più generale per la disinfezione del computer
una volta risolta l'infezione aggiorna il sistema operativo al SP3

questi exe analizzali su vtolal qui (http://www.virustotal.com/it/)- e pubblica il risultato della analisi in maniera che chi ti aiuterà se ne faccia una idea se non la hanno già

c:\windows\system32\winhost.exe

O4 - HKLM\..\Run: [Microsoft InternetExplorer Update Check] C:\WINDOWS\iupdate.exe

ciao

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.

e comincerei a fixare queste voci:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.140.192.186:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 6.0\apdproxy.exe"
O4 - HKLM\..\Run: [Microsoft InternetExplorer Update Check] C:\WINDOWS\iupdate.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Privoxy.lnk = C:\Programmi\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: sito1.bat
O4 - Global Startup: sito2.bat
O4 - Global Startup: sito3.bat
O4 - Global Startup: sito4.bat
O4 - Global Startup: sito5.bat


:)

Ho fatto la scansione del file winhost.exe con VirSCAN.org (non ha trovato nulla)
Vtotal invece mi ha trovato solo un risultato:
Prevx1 - - Generic.Malware

Poi ecco i resoconti dei programmi:

mbam-log-08-20-2008 (14-07-56).txt (http://wikisend.com/download/586352/mbam-log-08-20-2008 (14-07-56).txt) (Malwarebytes Anti-Malware)

a2scan_080820-143936.txt (http://wikisend.com/download/429960/a2scan_080820-143936.txt) (A-Squared Free v3.x)
www.hwupgrade.helloweb.eu/ParserLog/log/output657530027.txt (Dr.Web CureIT)

SysInspector-NOME-KUH1EVX06W-080820-2307.xml (http://wikisend.com/download/497438/SysInspector-NOME-KUH1EVX06W-080820-2307.xml) (ESET SysInspector)

hijackthis.log (http://wikisend.com/download/563382/hijackthis.log) (hijackthis)

gmer.log (http://wikisend.com/download/961696/gmer.log) (Gmer)

PrevX.log (http://wikisend.com/download/363680/PrevX.log) (Log PrevxCSI)
PrevX.JPG (http://wikisend.com/download/470944/PrevX.JPG) (Screen PrevxCSI)

OK QUESTO E' TUTTO.
Spero possiate aiutarmi :D
Grazie!

rifai la scansione con malwarebytes perchènon gli hai dato nessun'azione quindi non ha rimosso nulla, stavolta dai il comando "elimina" :)

dubito seriamente che tu abbia fixato le voci che ti avevo detto di fixare, quindi ti chiedo di fare quella cosa.
non amo passare il tempo a guardare dei log gratuitamente :)


mi sai dire che applicazioni sono queste?
C:\WINDOWS\system32\blat.dll InMem: 0 Det [U] PX5: FECB3450009F5C5FE0460166DE8A8400536649C7

C:\WINDOWS\system32\blat.exe InMem: 0 Det [U] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1

C:\Documents and Settings\Proprietario\Desktop\blat.exe InMem: 0 Det [U] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1

C:\Documents and Settings\Proprietario\Desktop\msgXs.dll InMem: 0 Det [U] PX5: 45E6EA8C0014A49A903A00F5BB3C46006DBB92E5

C:\Documents and Settings\Proprietario\Desktop\msgXs.saved.exe InMem: 0 Det [U] PX5: 3E29333700323151C0CC0066174450003F399278

C:\Documents and Settings\Proprietario\Desktop\quickbfc.exe InMem: 0 Det [U] PX5: 14A6205A4A4CA6051E650F313D29DB00989B23BC

C:\Programmi\Quick Batch File Compiler\quickbfc.exe InMem: 0 Det [UP] PX5: 904095970012CEF74840080E6F103A00E18F8F8B

Veramente con malwarebytes avevo dato il comando elimina, solo che per sbaglio ti avevo allegato il log sbagliato. mbam-log-08-20-2008 (14-08-08).txt (http://wikisend.com/download/655332/mbam-log-08-20-2008 (14-08-08).txt) questo è quello giusto.

Ho fixato le voci che mi avevi detto con hijackthis.
Ho rifatto la scansione con malwarebytes e non ha trovato nulla.

Quei file non ho idea di cosa siano, me li ha passati un mio amico per msn e ora li ho cancellati.

rifai la scansione con malwarebytes perchènon gli hai dato nessun'azione quindi non ha rimosso nulla, stavolta dai il comando "elimina" :)

dubito seriamente che tu abbia fixato le voci che ti avevo detto di fixare, quindi ti chiedo di fare quella cosa.
non amo passare il tempo a guardare dei log gratuitamente :)


mi sai dire che applicazioni sono queste?
C:\WINDOWS\system32\blat.dll InMem: 0 Det [U] PX5: FECB3450009F5C5FE0460166DE8A8400536649C7

C:\WINDOWS\system32\blat.exe InMem: 0 Det [U] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1

C:\Documents and Settings\Proprietario\Desktop\blat.exe InMem: 0 Det [U] PX5: 63CE50DA00F0BDB0C25D01EA48A3960009E352E1

C:\Documents and Settings\Proprietario\Desktop\msgXs.dll InMem: 0 Det [U] PX5: 45E6EA8C0014A49A903A00F5BB3C46006DBB92E5

C:\Documents and Settings\Proprietario\Desktop\msgXs.saved.exe InMem: 0 Det [U] PX5: 3E29333700323151C0CC0066174450003F399278

C:\Documents and Settings\Proprietario\Desktop\quickbfc.exe InMem: 0 Det [U] PX5: 14A6205A4A4CA6051E650F313D29DB00989B23BC

C:\Programmi\Quick Batch File Compiler\quickbfc.exe InMem: 0 Det [UP] PX5: 904095970012CEF74840080E6F103A00E18F8F8B


servono per rubare la password in msn.....

questo "tuo amico" t ha infinocchiato.....

elimina quei file indicati sopra, modifica di corsa password e domanda segreta di msn ( e anche ti altri account hotmail) e manda a quel paese questo "tuo amico" :rolleyes:

EDIT: nn so se è il caso, ma farei qualke passata con qualke tool della guida dei virus di msn.....

Cavolo grazie mille!!!

li avevo già rimossi, fortunatamente non ci avevo ancora cliccato su.
Comunque farò tutte la scansioni del caso...grazie ancora...

Cavolo grazie mille!!!

li avevo già rimossi, fortunatamente non ci avevo ancora cliccato su.
Comunque farò tutte la scansioni del caso...grazie ancora...

è importante che rimuovi questi:

C:\WINDOWS\system32\blat.dll
C:\WINDOWS\system32\blat.exe

dovrebbe anche esserci un terzo file, sempre in system32, di nome blat.lib

nn so se hai completato la guida, ma ancora c'è da rimuovere (oltre quelli indicati sopra) i seguenti file:

c:\windows\system32\winhost.exe
C:\WINDOWS\iupdate.exe

ciao

grazie murack :)

ho cancellato manualmente i file winhost.exe e iupdate.exe perchè il programma che me li ha trovati infetti ha la pretesa che io abbia la copia non tryal per eliminarli -.- mah....


grazie a tutti, domani vi farò sapere quando riaccenderò il pc se tutto è a posto.. grazie ancora. :D