hiJackthis - chiedo aiuto

[michel1978]

Ragazzi, sono nuovo del forum che consulto spesso per consigli finora tutti utilissimi. Spero sia questo il modo di postare un topic. Ho letto le regole del forum ed anche l'articolo postato dalla redazione per curare al meglio il proprio PC. Ma purtroppo non sono risucito a risolvere il mio problema.

Vi scrivo perchè da circa una decina di giorni la cpu del mio pc (un vecchio celeron 466mhz con 128mb di ram) sistema operativo win2000 non appena mi connetto ad internet la cpu scatta al 100%.

Le ho provate tutte, adware, spyware search & destroy, zone alarm, avast, autoruns, ma mi da sempre lo stesso problema. Ho reinstallato scheda madre e drivers ma sempre lo stesso problema.

Nel taskmanager vedo che c'è un processo EXPLORE.EXE (in stampatello) che mi suca un sacco di risorse. Anche terminandolo la cpu resta però al 100%.

Vi riporto qui di seguito il logfile di HijackThis con la speranza che qualcuno, che ringrazio anticipatamente, possa aiutarmi. Chiedo scusa alla redazione se ho postato il topic in una sezione non adatta.
saluti Michele


Logfile of HijackThis v1.99.1
Scan saved at 15.09.17, on 31/03/2006
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\ntfs.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\lssas.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
C:\WINNT\System32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ADCD30FF-0119-4906-8A8B-D52D1EED044B} - C:\WINNT\System32\rqrrs.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\System32\lssas.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Microsoft (R) File Indexing Service] C:\WINNT\System32\ntfs.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Rain.lnk = C:\Rain\Rain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/down...derActiveX.cab
O20 - Winlogon Notify: AutorunsDisabled - C:\WINNT\
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\ir80l5lm1.dll (file missing)
O20 - Winlogon Notify: rqrrs - C:\WINNT\SYSTEM32\rqrrs.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINNT\system32\guard.tmp (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows File Indexing Service (FIS) - Unknown owner - C:\WINNT\System32\ntfs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

[Stev-O]

O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe
O4 - HKLM\..\Run: [Microsoft (R) File Indexing Service] C:\WINNT\System32\ntfs.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINNT\
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\ir80l5lm1.dll (file missing)
O20 - Winlogon Notify: rqrrs - C:\WINNT\SYSTEM32\rqrrs.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINNT\system32\guard.tmp (file missing)

Rain.exe lo conosci???

scansionalo su www.virustotal.com ed eventualmente fixa
O4 - Startup: Rain.lnk = C:\Rain\Rain.exe

[juninho85]

thread ufficiale di HJT

[michel1978]

O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe

ti ringrazio per la tua risposta veloce, caro amico..
Questi 3 virus, seppur li elimino ogni volta al riavvio riappaiono in C
oltre a ricrearsi, creano una cartella "windows" con altri .exe dentro..
Come posso rimuoverli una volta x sempre? Anche con il regedit /
alla voce run li rimuovo, ma ad ogni riavvio si vanno a riscrivere.

Grazie mille

[andorra24]

Fixa:

C:\WINNT\System32\lssas.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {ADCD30FF-0119-4906-8A8B-D52D1EED044B} - C:\WINNT\System32\rqrrs.dll
O4 - HKLM\..\Run: [newname] C:\windows\newname5.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad5.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard5.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\System32\lssas.exe
O20 - Winlogon Notify: AutorunsDisabled - C:\WINNT\
O20 - Winlogon Notify: IPConfMSP - C:\WINNT\system32\ir80l5lm1.dll (file missing)
O20 - Winlogon Notify: rqrrs - C:\WINNT\SYSTEM32\rqrrs.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINNT\system32\guard.tmp (file missing)

Controlla anche questa voce ntfs.exe su www.virustotal.com e se dovesse risultare infetta devi eliminare queste 2 :

C:\WINNT\System32\ntfs.exe
O23 - Service: Windows File Indexing Service (FIS) - Unknown owner - C:\WINNT\System32\ntfs.exe

[Stev-O]

ho aggiunto altre cose

dovresti prima chiudere il processo con il task manager e poi fixare
se non riesci riavvia in modalità provvisoria e riprova

altrimenti prova con killbox

[Stev-O]

ntfs potrebbe facilmente essere un virus mentre rain mi sa strano su nt: è una istruzione che c'e' già nel so di solito...
cmq è tutta roba che veniva via facendo subito una scansione con ewido
www.ewido.net che ti suggerisco di fare

[michel1978]

grazie mille ragazzi per i vostri utilissimi consigli..
rain.exe l'ho installato io è un software che serve per raffreddare la cpu..

[andorra24]

Quote:

Originariamente inviato da Stev-O

ntfs potrebbe facilmente essere un virus mentre rain mi sa strano su nt: è una istruzione che c'e' già nel so di solito...

rain ho letto che e' un tool per raffreddare la cpu.

[Stev-O]

Quote:

Originariamente inviato da andorra24

rain ho letto che e' un tool per raffreddare la cpu.

si ma su windows 2000 c'e' già di suo.. cmq tranquillo se ce l'hai 2 volte non è pericoloso

[andorra24]

Comunque oltre a fixare tutte le voci del log di hijackthis e' consigliabile anche una bella passata con ewido.

[Stev-O]

Quote:

Originariamente inviato da andorra24

Comunque oltre a fixare tutte le voci del log di hijackthis e' consigliabile anche una bella passata con ewido.

come dissi sopra, infatti andrebbe sempre fatta prima di postare il log: si semplificano molto le analisi: alcuni di quelli erano palesi

[michel1978]

grazie mille ragazzi per i vs utilissimi consigli...
farò una scansione con ewido.net che non conoscevo..
quindi voi dite che risolti questi problemi la cpu tornerà ai suoi livelli di sempre?

[Stev-O]

facilmente

pero' spiegami ... il rain perchè???
l'hai messo dopo????
è una istruzione di winnt... già inclusa...

[michel1978]

si ragazzi l'ho aggiunto dopo pensando che servizze x raffreddare il processore e rendere il pc più veloce...mi sbagliavo...
cmq ragazzi torno a casa ed eseguo tutte le vs istruzioni che ho stampato.
vi ringrazio tantissimo per il prezioso aiuto.
riporterò in questo topic l'esito

[Stev-O]

bene

[andorra24]

Quote:

Originariamente inviato da michel1978

vi ringrazio tantissimo per il prezioso aiuto.
riporterò in questo topic l'esito

Bene, facci sapere

[michel1978]

ragazzi, rieccomi...vi ringrazio per gli utilissimi consigli..
il programma che mi ha risolto gran parte dei problemi è ewido..
poi ho fixato tutte le voci che mi avete detto e la percentuale di cpu impiegata è scesa al 50% ed anche meno...
l'ultimo problema che mi è rimasto..è un certo IEXPLORE.EXE che parte ogni volta che apro il browser di internet explorer..Nel task managere compaiono le voci: explorer ed IEXPLORE.EXE (quest'ultimo mi suca diverse risorse)..
Se faccio ctrl-alt-canc lo termino ma ad ogni riavvio del browser lo stesso riparte...
come posso farlo x eliminarlo?
grazie mille ragazzi

[juninho85]

il file iexplore fa riferimento al browser...se ti colleghi a internet e vuoi andare a visitare qualche sito devi utilizzare tale file(leggitimo dunque)....explorer è il file che ti carica l'interfaccia di windows....ossia icone,cartelle,impostazioni varie,giusto per dirtelo terra terra,leggittimo anch'esso

[andorra24]

Quote:

Originariamente inviato da michel1978

.è un certo IEXPLORE.EXE che parte ogni volta che apro il browser di internet explorer..
come posso farlo x eliminarlo?

Non devi eliminarlo altrimenti non puoi utilizzare Internet Explorer.