Buon giorno,

da un paio di giorni purtroppo sento il computer che è come se continuasse a lavorare, a fare qualcosa, si sente continuamente l'hard disk in lavorazione anche se non si fa niente, è come se fosse rallentato.

Non capisco cosa sia.

Ho fatto una scansione completa con Malwarebytes ma non ha trovato nulla. Cosa posso fare?

potresti proseguire con le restanti scansioni della Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

Grazie molte.

Ho fatto le scansioni con diversi dei software che elenca la guida ma senza risultati. Solo uno, prevx 3.0 dice di aver trovato un file infetto in c:/windows/appPatch/aclayers.dll ma non lo elimina perchè è una versione di prova.
Ho fatto esaminare lo stesso file da altri scannr online ma non lo giudicano pericoloso.

Non so cosa fare, intanto il pc continua a macinare....chissà cosa poi.

Questo è il log di hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:13:40, on 24/04/2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16839)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\FreePOPs\freepopsd.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office14\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\Windows\system32\PxSecure.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [D-Link Network USB Utility] C:\Program Files\D-Link\SharePort\SharePort Network USB Utility.exe -mini
O4 - HKLM\..\Run: [D-Link SharePort] C:\Program Files\D-Link\SharePort\SharePort.exe -mini
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - Startup: FreePOPs.lnk = C:\Program Files\FreePOPs\freepopsd.exe
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NitroPDFDriverCreatorReadSpool (NitroDriverReadSpool) - Nitro PDF Software - C:\Program Files\Nitro PDF\Professional\NitroPDFDriverService.exe
O23 - Service: NLS Service (nlsX86cc) - Nalpeiron Ltd. - C:\Windows\system32\NLSSRV32.EXE

--
End of file - 3347 bytes

Non capisco come mai sia in funzione il disco C, dato che il sistema operativo è in D

Non capisco come mai sia in funzione il disco C, dato che il sistema operativo è in D

Leggere le Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) inoltre HJT è al Punto 7 delle Guida precedentemte linkata

PS: non mi sembra che il SO sia in D:\

Ciao xcdegasp e Bionda,

mi inserisco xchè ho un problema simile.

Ho Notebook Qosmio g20-128

SO [WinXP] sp 3

RAM 2 GB

HDD 1 500 GB (SO)

HDD 2 500 GB (Pagefile)

Anch'io noto da un pezzo che anche se non ho processi con cui sto lavorando il led dell'hard disk mi indica attività che non dovrebbe esserci. In realtà credo di poter dire che che c'è lutilizzo dell'hard disk xchè se provo ad usare un programma ho una risposta lenta come se stessi usando più programmi contemporaneamente.

inoltre casualmente ho notato che se cerca di aprire delle cartelle il notebook mi si impalla e process explorer mi indica che "EXPLORER" di Windows mi va ad un CPU usage di 98-99%, impallandomi di fatto il pc e se riesco a riavviare "EXPLORER" il problema si risolve, ma non devo cercare di aprire cartelle ed esporarle xchè si impalla di nuovo. non so se i due sintomi sono collegati.

Ho proceduto alla scansione con Malwarebytes Anti-Malware
http://wikisend.com/download/413694/mbam-log-2012-04-23 (23-29-32).txt

Ora provo con Emisoft ma il 6.0 mi permette solo la scansione e mi sa che ci vorrà tutta la notte

Mesi fa avevo lo stesso problema, non ero mai riuscita a risolvere e allora avevo creato un alta partizione D con un altro sistema operativo. Ho sempre usato quello poi dall'epoca e non ho più avuto problemi fino a qualche giorno fa, dove sembra che si stia ripetendo la stessa cosa di un tempo.

In attesa che emisoft mi dia il suo responso, volevo aggiungere un dato.

Usando process Explorer ho cercato di capire qualcosina dell'impallamento di "C:\WINDOWS\explorer.exe" sembra che il il sovraccarico di CPU sia dovuto al thread "ntdll.dll!RtlAllocateHeap+0x18c".

Naturalmente x me è un dato che non posso comprendere, ma forse x chi è + competente di me può essere importante.

Ecco l'esito della scansione con Emsisoft Anti-Malware 6.x

http://wikisend.com/download/807948/a2scan_120424-110600.txt

Ecco il responso di eset

http://wikisend.com/download/197608/ESET 24042012 2326.txt

ma gli oggetti identificati da malwarebytes e emsisoft li hai messi in quarantena? hai il pc infetto proprio per tutta quella spazzatura che hai scaricato e utilizzato (crack, keygen, warez in genere)
prima di proseguire nuovamente con la guida fai anche la scansione con F-Secure OnLine

Grazie cd, ma avevo iniziato gia la scansione con dottor web, ecco il risultato.
ora provo con f-secure, ma avevo gia tentato e qualcosa non funziona cmq ora riprovo

http://wikisend.com/download/296632/DrWeb 27042012.txt

ok scansione con F-secure iniziata.

il problema era che avendo mozilla sandboxato anche java lo era e quindi la scansione non andava.

Per quanto riguarda emisoft non me li fa mettere in quarantena, mi funge solo da scanner.

inpossibile che non ti lasci mettere gli oggetti in quarantena, a fine scansione hai il pulsantino "elimina" che è appunto spostare in quarantena

per quanto riguarda firefox basta che lo usi per una volta senza sandboxe, non mi sembra sia un problema insormontabile, trascurando il fatto che è ridicolo recintarsi con la sandboxe e poi scaricare materiale pirata :)

Scusate ho sbagliato

Per Emisoft riproverò ma se non ricordo male avevo il problema che la mia versione era un upgrade, per cui la licenza era scaduta e non mi permetteva l'eliminazione. (Molto probabilmente, però non ho fatto caso al tasto elimina, come hai suggerito tu).

Intanto allego l'esito di F-secure, anche se non è riuscito ad eliminare i problemi riscontrati, e SysInspector e Hijack

http://wikisend.com/download/413488/F-Secure Online 27042012.txt

http://wikisend.com/download/126604/SysInspector-TOSHIBAPERFETTO-120427-2249.xml

http://wikisend.com/download/539920/hijackthis 27042012.txt

Allora GMER mi ha dato diversi problemi.

Avevo una versione non aggiornata di GMER. Ho provato a procedere alla scansione con quest'ultima versione, ma per ben 3 volte quando avviavo dopo un po' il sistema andava in crash, con schermata blu e si riavviava.

Ho provveduto a scaricare l'ultima versione, il sistema non è crashato, mi ha fatto la scansione ma al termine mi è conparsa una finestra in cui GMER mi informava che aveva riscontrato una modifica al sistema dovuta all'azione di un rootKit. Ho provato al salvare il log ma il computer sembrava come se stesse utilizzando tutta la RAM e non ne avesse più disponibile, ma mi sembrava di essere riuscito cmq a salvarlo e di fatto sul desktop mi era comprato il file txt, x scrupolo ho provato ad aprirlo e il sistema mi è crashato con schermata blu e al riavvio il file txt non c'era più.

Prima di procedere con la guida alla disinfezione a questo punto, credo sia meglio aspettare da voi istruzioni.

Vorrei aggiungere una cosa , prima di rivolgermi a voi, pensando di avere u problema con l'hard disk avevo fatto uno scan disk il cui esito mi aveva dato dei cluster danneggiati che non era possibile riparare. alla successiva SCANDISK non mi è apparso più niente.

Scansione con Prevx

http://wikisend.com/download/247148/Prevx28042012.txt

Provata ulteriore scansione con Emisoft Anti-MAlware, ecco il risultato

http://wikisend.com/download/312106/a2scan_120428-203951.txt

come consigliatomi sto provando a metterli in quarantena. il tasto è presente, ma è dalle 1430 che lavora x mettere in quarantena e ancora non sembra finire

aspettiamo che finisca.. il loog va salvato dopo aver messo in quarantena perchè solo così posso vedere se l'oggetto è stato spostato o se non fa fatto nulla.

hijackthis è obsoleto!

dr. web cureit che fine ha fatto?

DR Web me lo ero dimenticato a postarlo,

http://wikisend.com/download/697522/DrWeb 27042012.txt

Emisoft è ancora che cerca di mettere in quarantena dalle 1430 che faccio lo lascio continuare a lavorare, il computer me lo porta a picchi di 95% CPU usage, ma tra un picco e un altro posso usarlo.

prova a stoparlo, rtiavvia il pc in modalità provvisoria senza rete e rifai la scansione con emsisoft. poi metti tutti gli oggetti in quarantena e infine salvi il log che poi pubblicherai :)

OK procedo

Anche in modalità provvisoria il problema rimane.

Però credo che nella precedente scansione in modalità normale qualche file lo abbia messo in quarantena ti propongo il log della scansione in modalità provvisoria e dopo ti ripropongo quello della scansione in modalità normale

http://wikisend.com/download/442148/a2scan_120429-195042.txt

http://wikisend.com/download/312106/a2scan_120428-203951.txt

ho provato di nuovo con GMER niente da fare il computer l'ho trovato riavviato.

Volevo provare con Combofix, ma preferirei aspettare il vostro consiglio

:help: :help: :help:

per cancellare i keygen non hai bisogno di emsisoft, quindi fai un abella pulizia di tutto il materiale pirata che possiedi, prova a disinstallare normalmente casinò, poi fai una nuova scansione di emsisoft che salverai e pubblicherai.

non è presente il file di disinstallazione , nemmeno revo uninstaller riesce a disinstallare. su internet diversi siti dicono che questi file "casino.exe" devono disinstallarsi con combofix.

i keygen/crack li hai eliminati?

Piccola domandina per cominciare a scindere qualcosa:
Questo lavorio dell'HD avviene sempre o se non sei connesso a internet cessa?

Tutti i Keygen individuati, da tutti i programmi di scansione indicati nella guida alla disinfezione da infetti, sono stati sono stati eliminati o messi in quarantena da rispettivi programmi di scansione, tranne quelli relativi al CASINO.exe individuati solo da emisoft, ma che già in precedenza erano stati individuati solo da emisoft e sui quali lo stesso non è riuscito mai ad operare mentre su tutti gli altri problemi individuati ha proceduto regolarmente.

Per quanto riguarda la possibilità di un comportamento diverso a seconda di una connessione attiva o meno, il problema lo presenta comunque sia che sia connesso sia che non lo sia.

Probabilmente allora è questo "casino.exe" che crea guai. Io, fortunatamente, non avendo vizi di gioco sto alla larga proprio perchè so che ti infognano cose nel pc dure da eliminare.
Potresti provare con linux-ubuntu. Se non l'hai già (male :D ) puoi scaricarti il cd dal sito e poi farlo partire senza bisogno di installarlo (anche se io lo consiglio:cool: ). Questo SO riesce a vederti tutti i file in windows e magari puoi eliminare dato che win non è avviato.

La semplice rimozione fisica dei file, anche se il software da te indicato riuscisse, non risolverebbe il problema delle chiavi infette nel registro di sistema o in qualche altra parte nascosta. Credo che devo trovare un sistema più radicale e approfondito. Grazie cmq

Allora credo di aver preso qualche variante dell' MBR rootkit.
Infatti GMER mi dava delle modifiche al sistema dovute ad un rootkit ma non riusciva a lasciarmi il log della scansione e mi riavviava il computer.
Trattandosi di un rootkit ho proceduto alla scansione con tdssKiller.exe il quale ha trovato l'mbr infetto ma non credo che sia riuscito a risolvere il problema.

Nelsito vi è una guida guida x l'MBR ROOTKit

http://www.hwupgrade.it/forum/showthread.php?t=1715546

http://www.hwupgrade.it/forum/showthread.php?t=1715546&page=175

Sto rifacendo la scansione con norman SinovalMBR cleaner.

La precedente si è interrotta stranamente e infatti ho allegato il log della scansione interrotta.
Vorrei segnalare che come Norman SinovalMBR cleaner, anche GMER si interrompe stranamente e anche TDSSKiller, che mi ha segnalato per primo il problema all'MBR, quando ho scelto di "CURARE" il problema si è riavviato, ma al riavvio si è impallato e poi al successivo riavvio il pc è partito ma col problema non risolto , tanto che Stealth MBR ha riscontrato il problema come da log allegato. Ho provato pure una scansione con aswMBR.exe ma anche questo programma si è interrotto e mi è partita la segnalazione di errore di Windows.

Allora Norman SinovalMBR cleaner mi ha dato il suo responso allego sia il risultato della prima ( interrotta stranamente ) che della seconda scansione. Nella prima ha trovato qualcosa nei sector , nella seconda no.

http://wikisend.com/download/517956/NFix_2012-05-08_13-32-17.txt

http://wikisend.com/download/313588/NFix_2012-05-08_17-07-07.txt

Anche l'ulteriore scansione con TDSSKiller non ha dato niente, pur tuttavia l'apertura delle cartelle dopo un pò mi impalla in notebbok e mi disinpalla se chiudo la finestra della cartella aperta.

Ora provo a fare una scansiuone con GMER che non sono mai riuscito a fare

Piccola domandina per cominciare a scindere qualcosa:
Questo lavorio dell'HD avviene sempre o se non sei connesso a internet cessa?

Mi inserisco in questa discussione perché ho lo stesso problema e mi riproponevo di seguire la guida per la disinfezione prima e poi allegare tutti i "file log" richiesti. Chiedo lumi per un altro motivo che mi ha "impaurito": ho scaricto dal mulo alcuni film di Manfredi, Sordi ecc. ecc. (vi assicuro che non scaricavo niente di porno) e più volte con lo stesso titolo. Quando ieri sera sono andato a verificare la qualità dei film ho visto che nel titolo di uno di questi compariva un mio video riguardante le lezioni di guida per la patente per condurre la moto. Mi sono sorpreso e vi chiedo: è possibile che qualcuno si appropri di file residenti nel pc? Quando ho installato il mulo ho messo in condivisione i file che scaricavo ma mi sono guardato bene dal mettere in condivisione file o cartelle private. Cosa che ho controllato di nuovo quando ho trovato nascosto in un film di Sordi il mio filmato. Qualcuno può darmi spiegazioni ed aiuto? Eventualmente (a meno che non sia un mio errore) si può perseguire penalmente, qualora si riuscisse a risalire all'autore del "furto". Grazie in anticipo

GMER ennesimo tentativo concluso col computer riavviato e l'apertura delle cartelle fa impallare sempre il notebook.

Ciao mlabruzzo,

Ti consiglio di seguire la guida, e poi postare i risultati.

Per quanto riguarda il problema da te esposto è una cosa inusuale che non avevo ancora sentito, credo che quello che vorresti fare tu in teoria è fattibile, ma in pratica è sicuramente molto difficile.

In bocca al lupo x la tua scansione.

Tutti i Keygen individuati, da tutti i programmi di scansione indicati nella guida alla disinfezione da infetti, sono stati sono stati eliminati o messi in quarantena da rispettivi programmi di scansione, tranne quelli relativi al CASINO.exe individuati solo da emisoft, ma che già in precedenza erano stati individuati solo da emisoft e sui quali lo stesso non è riuscito mai ad operare mentre su tutti gli altri problemi individuati ha proceduto regolarmente.

Per quanto riguarda la possibilità di un comportamento diverso a seconda di una connessione attiva o meno, il problema lo presenta comunque sia che sia connesso sia che non lo sia.

per tutto il materiale pirata intendo tutto quello che possiedi quindi anche quelli che non fossero individuati e ovviamente anchhe la disinstallazione di programmi di cui non si possiede regolare licenza.

Mi inserisco in questa discussione perché ho lo stesso problema e mi riproponevo di seguire la guida per la disinfezione prima e poi allegare tutti i "file log" richiesti. Chiedo lumi per un altro motivo che mi ha "impaurito": ho scaricto dal mulo alcuni film di Manfredi, Sordi ecc. ecc. (vi assicuro che non scaricavo niente di porno) e più volte con lo stesso titolo. Quando ieri sera sono andato a verificare la qualità dei film ho visto che nel titolo di uno di questi compariva un mio video riguardante le lezioni di guida per la patente per condurre la moto. Mi sono sorpreso e vi chiedo: è possibile che qualcuno si appropri di file residenti nel pc? Quando ho installato il mulo ho messo in condivisione i file che scaricavo ma mi sono guardato bene dal mettere in condivisione file o cartelle private. Cosa che ho controllato di nuovo quando ho trovato nascosto in un film di Sordi il mio filmato. Qualcuno può darmi spiegazioni ed aiuto? Eventualmente (a meno che non sia un mio errore) si può perseguire penalmente, qualora si riuscisse a risalire all'autore del "furto". Grazie in anticipo

emule non mi sembra per nulla la causa della condivisione semmai ne è stato il vettore. credo tu sappia a chi hai dato quel filmato o chi lo abbia potuto vedere e l'eventuali indagini avranno sicuramente una cerchia ristretta rispetto al mondo intero quindi si la denuncia è fattibilissima

Per quanti avessero riscontrato un problema simile al mio , espongo la soluzione del mio problema casomai dovesse servirgli. Utilizzando ASW.mbr ho eliminato un infezione all'MBR del notebook , sicuramente beccata nella navigazione internet , poi con OTL ho eliminato un altra infezione beccata non so come . Naturalmente consiglio di usare questi software solo sotto la supervisione di utenti superesperti come Vicky-Gatsu-Husky (nel caso mio), xcdegasp, Chill-Out. Risolti questi problemi virali poi sempre sotto il consiglio degli esperti ho fatto uno scandisk il cui esito è stato che c'erano dei cluster danneggiati.
Ho comprato nuovo Hard Disk da 1 Tera. Ho provato a copiare tutti i file del vecchio HDD nel nuovo ma la prima prova fatta con Norton non è andata a buon fine per ben 2 volte , nella clonazione si è fermato al 27 % dopo più di un giorno che lavorava , molto lento. il vecchio HDD era davvero arrivato
e forse avrei fatto molto meglio a seguire senza perdere tempo i consigli degli esperti e oltre a commissionare l'HDD avrei dovuto usare il vecchio
sempre meno, infatti registravo ogni momento che passava un peggioramento nelle prestazioni. Ciò non di meno , mi sono preso di coraggio ed ho iniziato
la copiatura di tutti i file , stavolta usando TeraCopy e invece di usare i due HDD ( il nuovo ed il vecchio ) come esterni, ho inserito il nuovo HDD
sul notebook in oggetto e il vecchio l'Ho lasciato esterno. Sarò un pò lungo ma forse può servire a qualcun altro. Lavorando cartella dopo cartella,
mi si verificava che magari teracopy mi indicasse che 1 file o alcuni, su tutti quelli presenti nella cartella, non era riuscito a copiarlo/i. Allora
andavo sul file incriminato nell'HDD vecchio e provavo a copiarlo/i singolarmente nel nuovo HDD nella directory omonima, sembrerà strano ma così riusciva a copiarlo/i. Insomma con tanta pasienza e con Teracopy (ma spinto dalla paura che il vecchio HDD cedesse da un momento all'altro e
dal terrore di non poter copiare tutti i file , anni di lavoro ) sono riuscito a ricopiare con successo tutti i file tranne 1. ( Direi che su 274 GB
e circa 93.000 file mi posso dire soddisfatto!!!) Ora con il nuovo HDD è più di 20 giorni che ci lavoro e che lo stresso in tutti i modi ma il computer mi va che sembra una ferrari. Explorer non mi si impalla più nemmeno se apro la famosa cartella che mi dava problemi e nemmeno se ci metto
grossi file video che con la loro anteprima dovrebbero stressare il sistema ,led dell'hard disk non mi indica attività quando non dovrebbe esserci.
Tutto ormai (dopo più di un mese) ok . Spero che nessuno abbia bisogno di queste informazione, in caso contrario in bocca al lupo e spero di essere stato utile. Ciao a tutti