Tastiera USB - non funziona in Xp malware?

[p!gro]

Ciao a tutti,

Mi rivolgo a voi perchè ogni volta riuscite a trovare una soluzione .. (in pratica ne sapete a sacchi )

Da qualche giorno non mi funziona più la tastiera usb su windows xp...

Operazioni svolte:
- riattaccata e cambiata la presa ... si accendono i led
- re installati i driver usb2.0 della mobo
- ricercati ed installati i drivers della tastiera ed installati - ora mi funzionano i tasti multimediali ....
- disinstallato un bricopack di vista ispirant

- eseguita scansione con avg antispyware e anti - rootkit (c'erano solo biscottini di internet)
- eseguita analisi con hijackthis ho trovato solo due processi che non conoscevo (ma non erano legati al sistema) ed ho eliminato
- pulito il registro di sistema nella sezione run
- scansionato il pc con cureit (non ha trovato nulla)
- scansionato il pc con avast home (nulla)
- scansionato il pc con a2squared (nulla)
- eliminata la spazzatura con atf cleaner

Qualcuno dirà ... sarà rotta la tastiera .. cambiala costano poco.

No! la tastiera su bios funziona! percui sicuramente è qualcosa che non va su winzoz e dato che esistono malware che ti impediscono persino di bere il caffè suppongo che ci sia qualche rimedio

Sapreste darmi delle dritte????

[xcdegasp]

sarebbe di moltissima utilità avere i log delle scansioni che hai eseguito per avere appunto uno screenning completo della situazione

[p!gro]

ragione ...

Codice:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmi\VisualTooltip\VisualToolTip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\LClock\LClock.exe
C:\Programmi\Vista Sidebar\sidebar.exe
C:\Programmi\ViStart\ViStart.exe
C:\Programmi\ViOrb\ViOrb.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\Creative\AudioCS\CTAudCS.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.piercearrows.com/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programmi\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [VisualTooltip] C:\Programmi\VisualTooltip\VisualToolTip.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Programmi\LClock\LClock.exe
O4 - HKCU\..\Run: [Vista Sidebar] C:\Programmi\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Programmi\ViStart\ViStart.exe
O4 - HKCU\..\Run: [ViOrb] C:\Programmi\ViOrb\ViOrb.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Append to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programmi\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--

la stringa in rosso appartiene ad un programma che non ho installato di mia volontà, ho tolto l' eseguibile e il file dall' avvio tramite comando msconfig ....

alcuni eseguibili sono legati al "vista" pack che ho rimesso poco fà (dato che non era quello il problema)

[murack83pa]

ciao
dovresti modificare il log di hijackthis come prevedono le regole di sezione, di cui è obbligatoria la lettura
quindi clicca su modifica e cancelli il log nel precedente post e posta il log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
l3)caricare il log su un server come www.zshare.net, copiando qui i link x il download

grazie della collaborazione
ciao

edit: ho visto che hai utilizzato vari programmi, qquindi posta gentilmente tutti i log dei programmi che hai eseguito secondo le regole di sezione

[p!gro]

Sorry, è giusto come ho fatto per il post del log di hijackthis?

Questo è il log dell' anti spyware (che utilità hanno per voi dei logs vuoti?)

Codice:

---------------------------------------------------------
AVG Anti-Spyware - Rapporto scansione
---------------------------------------------------------

 + Creato alle:	11.19.41 29/12/2007

 + Risultato scansione:	



	Nessun oggetto rilevato.



::Fine rapporto

grazie dell' attenzione :P

[p!gro]

(sto eseguendo le altre scansioni per recuperare dei logs)

ho trovato una discussione su un altro forum (non so se posso postare il link)
riguardante l'applicazione di cui non mi fido moltissimo .... sembra essere un bel problema, prendo spunto da posts del thread.

Spoiler:

scritto da ennius: esiste un problema estremamente pericoloso che attualmente pochi conoscono o identificano: C:\Programmi\Bonjour\mdnsnsp.dll e il file correlato mdNSResponder.exe posto nella stessa cartella Bonjiour. Nel Logfile di HijackThis hai appunto la libreria in questione, e la leggi alla riga: O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll Cartella e file vengono installati durante l'installazioni di altri programmi, come ad esempio i programmi della nuova suite di Adobe CS3, liberamente scaricabili dal sito Adobe, previa libera registrazione, nelle versioni complete ma di prova con scadenza. Oppure con il programma iTunes di Apple. Io purtroppo l'ho ricevuto il Bonjour installando Adobe Photoshop CS3 in italiano. il problema è che Bonjour modifica il Winsock, che è il file che gestisce i protocolli di connessione ad internet, e se si cerca di eliminare cartella, i due files, e le registrazioni nel RegFile, non si riesce e ripristinare il Winsock

Spoiler:

scritto da ennius: vedi, hai ragione: gli antivirus e antispyware non rilevano i due files come maligni, ma questo non vuol dire niente, comunque ad ogni avvio del S.O. e periodicamente durante l'esercizio giornaliero, il mio firewall (l'ottimo sygate) mi segnala la richiesta di connessione ad internet da parte di Bonjour: dove starebbe andando, e a fare cosa? Perchè mi devo ritrovare sul computer un programma che io definisco "spia", dato che nessuno mi ha avvisato nè chiesto il permesso di installare, quando invece so di avere installato un'altro programma? Confesso che non sono andato sul sito Adobe per cercare soluzioni alla rimozione dei due file inamovibili, nè tantomeno a cercare soluzioni con altri programmi, dato che dopo il mio intervento (tradizionale peraltro, agendo nel registro) mi è stata impossibile ogni e qualsiasi azione sul computer; spiego: 1) ho cercato ed eliminato dal file di registro ogni voce che fosse relativa alla parola mdNSResponder.exe e alla libreria mdnsNSP.dll (da notare che nessuna di queste chiavi nel registro è associata al winsock) 2) ho riavviato in modalità protetta (F8) ed ho eliminato i due file, che si sono lasciati cancellare. 3) ho riavviato il S.O. : dopo lunga e pensierosa attesa, si è visualizzata la schermata desktop, ma senza icone e senza rispondere a nessun comando da tastiera o da mouse: tutto bloccato. questo comportamento è stato lo stesso che mi ritrovai a suo tempo con la tentata disinstallazione di NewDotNet, con la conseguenza che ho dovuto ripristinare il file immagiine che mi ero salvato un pò di tempo prima, ma perdendo tutte le cose che nel frattempo erano successe nel mio computer.

Spoiler:

scritto da duhast: Anch'io ho trovato difficoltà con i due files di bounjour ed ho dovuto riformattare il mio pc perche non potevo piu' utilizzarlo. Avevo installato Adobe CS3 scaricata regolarmente dal sito del produttore , e non sapevo della vigliaccata di installare un programma che mi spia la mia navigazione in internat. Se io non avessi avuto il buon zonealarm che mi avvisava che un certo programma bounjour se ne andava a spasso in internet in mia insaputa , con il cavolo che avrei saputo della sua esistenza. Mi dichiaro pertanto daccordo con ennius che non e' giusto ritrovarsi programmi non richiesti sul pc proprio. Trovo strano che Adobe utilizzi programmi del genere .

pare sia un problemone :|

[wizard1993]

prova con questo
http://www.snapfiles.com/get/winsockxpfix.html
prima però scaricati acronis true image; fai un immagine e creati un disco di avvio per ripristianre il tutto se no ndovesse funzionare

[murack83pa]

il log di hijackthis è incompleto

edit: ho letto solo ora che avevi vista pack...
segui il suggerimento di wizard
ciao

[p!gro]

Con a2squared ho trovato un oggettino simpatico .....

riporto:

Codice:

C:\WINDOWS\system32\pskill.exe 	rilevati: Riskware.RiskTool.Win32.PsKill.e

tirato via ma il problema persiste (anche perchè prima non c'era questo file)

sto facendo l' immagine su una partizione apposita ... sperem ^^

[p!gro]

done ...

problema non risolto

posso eliminare l'immagine creata? ( mi ciuccia 50 giga di harddisk .. non sono molto favorevole )

[Riverside]

Quote:

Originariamente inviato da p!gro

Da qualche giorno non mi funziona più la tastiera usb su windows xp ...... Qualcuno dirà ... sarà rotta la tastiera .. cambiala costano poco ....... No! la tastiera su bios funziona! percui sicuramente è qualcosa che non va su winzoz e dato che esistono malware che ti impediscono persino di bere il caffè suppongo che ci sia qualche rimedio

Vero: ed a volte quei malware si chiamano utenti

Quote:

Originariamente inviato da p!gro

la stringa in rosso appartiene ad un programma che non ho installato di mia volontà, ho tolto l' eseguibile e il file dall' avvio tramite comando msconfig ....

Una domanda: il problema alla tastiera è nato dopo aver tolto quell'eseguibile ed il relativo file di avvio da msconfig?.
Non per altro sai: Zero Configuration Networking (ovvero il componente Bonjour di Windows), tra le diverse cose, abilita automaticamente la ricerca di computer, periferiche e servizi su networks IP.

[p!gro]

sono un malware? rotfl ...
comunque no, il problema è nato prima, mi son accorto di quella stringa solo dopo aver eseguito l'analisi con hijackthis

[murack83pa]

ciao
ricominciamo: segui passo dopo passo(rsipettando l'ordine) la guida alla disinfezione e posta qui tutti i log richiesti

hai detto che asquared ha trovato un oggetto simpatico(xò nel primo post hai detto che nn rilevano nulla): il log? in che modalità hai eseguito la scansione?
a noi i log servono x capire quale specifica minaccia ha trovato, nn c interessa (almeno nn sempre) quale singolo file era infetto....
quindi, ricapitolando, segui la guida sopra indicata e con un po di pasienza riusciremo a risolvere il problema
grazie
ciao ciao

[wizard1993]

Quote:

Originariamente inviato da p!gro

posso eliminare l'immagine creata? ( mi ciuccia 50 giga di harddisk .. non sono molto favorevole )

se ne l caso ti si sputtani il computer vuoi formattare buttala; altrimenti tiella

[p!gro]

fyi,

ho risolto il problema formattando, avevo formattato un mese fa (nuovo hdd sata ) tutti i dati importanti erano sul hdd esterno inoltre avevo il pc sporcato ormai da quelle porcherie di vista pack,mi è schizzato così, grazie lo stesso....



grazie per il vostro supporto

[xcdegasp]

facendo esperienza del passato spero di rivederti qui come collaboratore ad aiutare gli infetti