probabile spyware maledetto

[Arkantos2]

Salve,
ho un problema ke mi assilla da tempo. Allo spegnimento (start+spegni computer) con winxp, il mio pc si riavvia invece di spegnersi. All'inizio pensavo fosse problema di hardware ma invece è un maledetto spyware o malware o kikkessia ke nn riesco maledettamente ad individuare.
Ho fatto scansioni con norton, avg, ad-ware, hijack this, ho eliminato cookie, file temporanei, e a volte son riuscito ad eliminare il problema (cioè il computer si spegneva regolarmente). Ma invece il problema si è ripresentato. Ora, voi illuminati conoscete il rimedio che vada al di là della formattazione? Se potete consigliatemi qualsiasi cosa da fare dato che le ho provate tutte o quasi. Ho pensato di mettere mani al regedit, ma nn sono molto esperto, magari dietro istruzioni posso provarci. Grazie e scusate per il romanzo.

[Mirko1986]

Quote:

Originariamente inviato da Arkantos2

Salve,
ho un problema ke mi assilla da tempo. Allo spegnimento (start+spegni computer) con winxp, il mio pc si riavvia invece di spegnersi. All'inizio pensavo fosse problema di hardware ma invece è un maledetto spyware o malware o kikkessia ke nn riesco maledettamente ad individuare.
Ho fatto scansioni con norton, avg, ad-ware, hijack this, ho eliminato cookie, file temporanei, e a volte son riuscito ad eliminare il problema (cioè il computer si spegneva regolarmente). Ma invece il problema si è ripresentato. Ora, voi illuminati conoscete il rimedio che vada al di là della formattazione? Se potete consigliatemi qualsiasi cosa da fare dato che le ho provate tutte o quasi. Ho pensato di mettere mani al regedit, ma nn sono molto esperto, magari dietro istruzioni posso provarci. Grazie e scusate per il romanzo.

Ciao, sai se quando hai eliminato il problema era attivato il ripristino della configurazione di sistema?

[Arkantos2]

no, nn era attivato

[Mirko1986]

Quote:

Originariamente inviato da Arkantos2

no, nn era attivato

Secondo me è qualche processo che ha problemi in chiusura... prova a postare un log di Hijackthis nell'apposita sezione, se nel log non ci sarà niente di strano se ne riparla

[Marco P.]

Io proverei a fare una scansione on-line nel sito della Kaspersky o bitdefender perchè, i prodotti da te utilizzati per la scansione antivirale non sono il massimo(poi norton fa proprio pena per non dire di peggio).Poi, io mi trovo molto bene con il programma anti-spyware:spybot search & destroy.Un'altra cosa ti consiglio: F-Secure BlackLight Beta.Questo programma è capace di rilevare i temibili rootkit, programmi che nascondono i malware così che l'antivirus non possa rilevarli in alcun modo.


Sito Kaspersky:http://www.kaspersky.it/virusscanner.html
Sito spybot search & destroy:http://www.safer-networking.org/it/download/index.html
Sito F-Secure BlackLight Beta:http://www.f-secure.com/blacklight/
Sito bitdefender:http://www.bitdefender.com/scan8/ie.html

[Arkantos2]

ciao, grazie marco P., credo di aver risolto il problema (almeno spero),ho fatto le scansioni ke mi hai consigliato, nn ho trovato nessun rootkit ma ho eliminato un paio di trojan grazie a bit defender presenti nella cartella downlòoaded program files di windows. Ora si spegne tranquillamente, spero ke il problema nn si ripresenti +. Grazie infinitamente

[Marco P.]

Spero che siano stati quei 2 tojan a crearti quel problema!!! Sono contento di averti aiutato. ciao

[Arkantos2]

ciao, scusatemi di nuovo, ma il problema si è ripresentato, sono disperato!!!
Inoltre mi sono accorto, ma nn so se è la sezione giusta, ke mi è diminuita la frequenza del processore. Cioè da pannello di controllo, sistema, mi sono accorto di avere un Amd Athlon di 1.250 Mhz invece dei soliti 2000+. Cosa può essere? Ragazzi nn so + cosa fare.

[juninho85]

a questo punto il problema è hardware

[Arkantos2]

ciao, allora ho risolto il problema dei mhz del processore (un bus nel bios era sui 100mhz, l'ho portato a 133) ed il processore è tronato alla velocità normale. Per quanto riguarda il problema dello spegnimento, facendo una scansione con kapersky ho trovato un trojan nel file c:\windows\system32\cmd.ftp. Siccome credo il kapersky nn me l'abbia ripulito, ke faccio posso cancellarlo? Grazie

[juninho85]

Quote:

Originariamente inviato da Arkantos2

ciao, allora ho risolto il problema dei mhz del processore (un bus nel bios era sui 100mhz, l'ho portato a 133) ed il processore è tronato alla velocità normale. Per quanto riguarda il problema dello spegnimento, facendo una scansione con kapersky ho trovato un trojan nel file c:\windows\system32\cmd.ftp. Siccome credo il kapersky nn me l'abbia ripulito, ke faccio posso cancellarlo? Grazie

accedi in modalità provvisoria(F8 all'avvio)e riesegui kaspesky da li

[Arkantos2]

ciao, allora ho eliminato il cmd.ftp ma il problema nn si è risolto: ora mi kiedevo, è normale avere l' alg.exe tra i processi nel task manager nonostante avessi il firewall di windows disinstallato? Vi prego aiutatemi, inoltre credo nn riesca ad installare gli aggiornamenti di windows xkè mi compare l'icona in basso a destra del download ma rimane allo 0% ma poi scompare, grazie

Il riavvio invece dello spegnimento *potrebbe* essere dovuto ad un crash del sistema che si verica in fase di spegnimento... quando Windows XP va in crash di default il sistema viene riavviato.

Prova a fare così:

Pannello di controllo > Sistema > Avanzate > Impostazioni (quello di "Avvio e ripristino") togli la spunta a "Riavvia automaticamente" e fai OK.

Guarda se il problema persiste o se invece del riavvio compare un BSOD (la schermata blu di errore) ed in tal caso segnati cosa compare scritto e dimmelo.

[Arkantos2]

ciao, grazie per l'aiuto ma è stata una delle prime soluzioni ke ho provato. Purtroppo nn ho nessun errore xkè avevo già tolta la spunta di riavvio automatico. Grazie

[juninho85]

Quote:

Originariamente inviato da Arkantos2

ciao, allora ho eliminato il cmd.ftp ma il problema nn si è risolto: ora mi kiedevo, è normale avere l' alg.exe tra i processi nel task manager nonostante avessi il firewall di windows disinstallato? Vi prego aiutatemi, inoltre credo nn riesca ad installare gli aggiornamenti di windows xkè mi compare l'icona in basso a destra del download ma rimane allo 0% ma poi scompare, grazie

alg non c'entra

[Arkantos2]

aiutatemi le sto provando tutte. Credo sia un trojuan xkè ho letto da una parte ke se è attivo il processo di alg.exe come servizio locale, nonostante abbia il firewall di windows disattivato (xkè ho quello di norton), vi è la forte probabilità di presenza di un trojan. ma come posso individuarlo? aiutatemi, grazie

[svetonio]

Quote:

Originariamente inviato da juninho85

accedi in modalità provvisoria(F8 all'avvio)e riesegui kaspesky da li

quoto

[Arkantos2]

ma come faccio a fare una scansione online con kapersky in modalità provvisoria, dato ke nn si può accedere ad internet in mod. provvisoria? ho anche un processo attivo di svchost.exe in servizio locale, è strano? Grazie

[Arkantos2]

Ciao ragazzi, ma nn riesco ancora a risolvere il problema. Vi chiedo una cortesia, voi ke siete esperti, vi posto il log di hijack this, vorrei sapere se x voi c'è qualke voce strana.

Logfile of HijackThis v1.99.1
Scan saved at 20.31.20, on 29/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Luca\Desktop\Applicazioni\Applicazioni spy\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ADAB2B2-CB54-4977-9A17-51555D56196D}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPxySvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programmi\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe






Grazie mi sareste di molto aiuto.

[juninho85]

tutto ok