Mi scatta il mouse, e altri problemi...?

[VdW]

Ciao, non so se sono nella sezione giusta perche' non ho ben capito che tipo di problema abbia, ma ho pensato di iniziare da qui: oggi ho installato un programma per The Sims 2 che esegue delle scansioni su cartelle per rilevare il materiale aggiuntivo e capire se crea conflitti. Ad un certo punto gli ho dato da scansionare una cartella enorme e dopo un po' visto che non aveva finito l'ho arrestato.

Non sono sicuro sia iniziato li' il problema, ma comunque adesso la freccia del mouse diventa scattosissima SOLO usando gestione risorse/esplora risorse e aprendo un menu' a tendina su un file, quindi se faccio clic destro su una cartella va tutto bene, se lo faccio su un file inizia a scattare. Sui file sul desktop non lo fa, e nemmeno esplorando le varie cartella usando il browse di un qualunque programma...
L'altra cosa che ho notato e' che a volte avviando firefox si blocca, e non me l'aveva MAI fatto prima...

E' abbastanza fastidioso, ma non so se sia un virus o qualcosa del genere... nel dubbio ho fatto una scansione con AVG aggiornato a oggi e con Avast e non hanno trovato niente.... Questo invece e' il log di Hjackthis.
Non so se c'entri qualcosa, altrimenti se potreste consigliarmi una sezione piu' adatta... Grazie! ciao


[edit: ho tolto il log di hijackthis che tanto ho allegato nell'ultimo post e qui rompeva solo occupando spazio]

[security!!!]

Ci sono dei virus nel tuo computer!!!

Prova per intanto a fare una scan con kaspersky!!!

[xcdegasp]

@ VdW:
segui la procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti rispettando le Regole di Sezione.


@ security!!!:
esiste una procedura standard da cui partire per poter avere sotto mano più dati possibile sulla salute di quel pc

[VdW]

ok scusate, l'avevo letta in fretta e pensavo bastasse avg+hjhackthis

[Franz.]

Consiglierei ad entrambi di leggere le *** REGOLE di SEZIONE - obbligatoria la lettura!! ***; a VdW come già gli ha consigliato il nostro caro xcdegasp, consiglio di seguire attentamente le indicazioni riportate nella GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura

Inoltre, tieni sempre in considerazione anche le modalità di pubblicazione dei log richiesti. Ti riporto lo schema:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download


Comunque, ti consiglio di evitare di utilizzare quel pc per le cose importanti o personali (anche per la lettura delle email) almeno finchè non avrai appurato almeno se sia infetto; in tal caso sarà bonificato.

Ciao

[VdW]

Allora, allego i vari log, grazie della disponibilita'

Scansione online con Kaspersky
HiJackThis
Prevx CSI
A-Squared
Gmer

ps: quando kaspersky mi dice "Infected: not-a-virus" vuol dire che non e' un virus ma e' un malware?
ppss: non c'entra niente, ma perche' il log in html di kaspersky che ho provato a uppare (mi sembrava piu' leggibile del txt e volevo allegare quello...) sul mio pc si vede bene, e invece online si vede in ideogrammi?? --> http://digilander.libero.it/bmaga/kaspersky%20log2.html

ancora grazie

Ah non ho uppato i file con FileUP ma usando dello spazio che mi da libero, cosi' tra l'altro si possono leggere direttamente online senza doverseli scaricare, mi sembrava piu' comodo

[Franz.]

Quasi quasi mi sa che ti converrebbe dargli una spianata.... c'hai un abella collezione di schifezze.... aspettiamo i cosnsigli degli esperti, ok? Intanto ti consiglio di non usare quel pc per attività importanti e riservate, neanche per leggerti la posta.

[security!!!]

Quote:

Originariamente inviato da Franz.

Intanto ti consiglio di non usare quel pc per attività importanti e riservate, neanche per leggerti la posta.

Ti do ragione!!!

Allora VdW ciò che kaspersky ha trovato è tutto giusto dunque ti consiglio di installare kaspersky in prova fai una scan ed elimina ciò che trova!!!

Consigli:

Non scaricare più quel cavolo di win fixer (falso AV)come i suoi cugini:

virus blaster
win antispyware
win antivirus
drive claner.....

ps.C' e l' hai un AV?

[xcdegasp]

Quote:

Originariamente inviato da VdW

Allora, allego i vari log, grazie della disponibilita'

Scansione online con Kaspersky
HiJackThis
Prevx CSI
A-Squared
Gmer

ps: quando kaspersky mi dice "Infected: not-a-virus" vuol dire che non e' un virus ma e' un malware?
ppss: non c'entra niente, ma perche' il log in html di kaspersky che ho provato a uppare (mi sembrava piu' leggibile del txt e volevo allegare quello...) sul mio pc si vede bene, e invece online si vede in ideogrammi?? --> http://digilander.libero.it/bmaga/kaspersky%20log2.html

ancora grazie

Ah non ho uppato i file con FileUP ma usando dello spazio che mi da libero, cosi' tra l'altro si possono leggere direttamente online senza doverseli scaricare, mi sembrava piu' comodo

tutto cio che trova a-squared va messo in quarantena, visto che l'azione non compare nel log è meglio che tu lo faccia qunto prima.


per prevx CSI:

Codice:

C:\Programmi\TGTSoft\StyleXP\Logon\CurrentLogon.EXE	InMem: 0	Det [u]	PX5: 6B3184960083D65DEA0B3261A13410003FBBCDA0
	REGWINLOG - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - UIHost [C:\Programmi\TGTSoft\StyleXP\Logon\CurrentLogon.EXE]


C:\Programmi\File comuni\onOne Software Shared\lt_lib_gf_iconShellEx.dll	InMem: 0	Det [u]	MD5: DF7EAD25A5CFFEBAD0E3491CA3A7BC92	PX5: 181AC61000939D5060F00A7E9693490014F3E9DC
	REGSHELLEXT - \REGISTRY\Machine\Software\Classes\CLSID\{EE337094-9F50-4B8C-9B53-C00F52A3289B}\InprocServer32 - {EE337094-9F50-4B8C-9B53-C00F52A3289B} [C:\Programmi\File comuni\onOne Software Shared\lt_lib_gf_iconShe]


D:\Giochi\Puzzle Quest Challenge of the Warlords\Puzzle Quest.exe	InMem: 0	Det [u]	MD5: 46F95017076B85DE646C108B8613A5E9	PX5: 8E19BE9F98D1C1D68EAA2AF44688FC0061200699 


C:\WINDOWS\system32\drivers\PnkBstrK.sys	InMem: 0	Det [u]	MD5: 5AABA5388B4F72B8BF72EA922D1CBD38	PX5: 43BA37D038A243B0572F00B68055B8001325EE5E


C:\WINDOWS\system32\BASSMOD.dll	InMem: 0	Det [u]	MD5: 0248D4DB9EDE8482E78D03D8B4786F88	PX5: 9C960FB300483C01261800C5B0F67800CB6D10FE


C:\Documents and Settings\Roland\Desktop\a2FreeSetup.exe.part	InMem: 0	Det [u]	PX5: 14A6205A834CA6052765BF49C763F100F402A781 


D:\Giochi\web\Little Shop Of Treasures\LittleShopOfTreasures.exe	InMem: 0	Det [u]	MD5: A7873FA84E4573A43078E956336B889B	PX5: 301C197300BBC6BDD0840A4F6EE7B7003106C4CD


C:\Documents and Settings\Roland\Desktop\Sims2PackInstaller_v151.exe	InMem: 0	Det [u]	MD5: 10EDE35696BD154B279C1B4D61F4C863	PX5: 980D9C0F90ECB2525437040FDA631100A5323313


D:\Giochi\web\Sunset Studio Deluxe\SunsetStudio.exe	InMem: 0	Det [u]	MD5: 2EC4DFF29884F8C26E138B84908042F9	PX5: 9479A8EE00BEFBDAE07E17997FFA0E00724979CC


C:\Documents and Settings\Roland\Impostazioni locali\Temp\aax9C.tmp.exe	InMem: 0	Det [u]	PX5: 269B34F5B0084952C78103097FAD6801884AA4FB


C:\Documents and Settings\Roland\Impostazioni locali\Temp\drm_dyndata_7350008.dll	InMem: 0	Det [u]	MD5: 7014290E1DF324444023C3EE75D54630	PX5: F89B91A10008442C30C5035205410A00B8B36F39


C:\Documents and Settings\Roland\Impostazioni locali\Temp\Setup_7200.exe	InMem: 0	Det [u]	PX5: 6ED7655E50D717ADC1B448C0F48CAE00AA07B040


C:\Documents and Settings\Roland\Impostazioni locali\Temp\tn3kfmna.exe	InMem: 0	Det [u]	MD5: 0F7BEF7F7C42C6D6185F691C995DF9BD	PX5: 0F7BEF7FEC7C42C683D600185F691C00995DF9BD


C:\Documents and Settings\Roland\Impostazioni locali\Temp\ubi18A.tmp.exe	InMem: 0	Det [u]	MD5: 4F499E63A6F1BCF68C3831B766D20487	PX5: 666CA4FD581F866B4D8625EC9CB9A3006ED8DF47


D:\Giochi\web\Cradle of Rome Deluxe\cradleofrome.exe	InMem: 0	Det [UP]	MD5: 19AD76C4521D7D94534353B7AC031D20	PX5: B78F4354007B989850EA0C9336559600B921094C


D:\Giochi\web\The Magicians Handbook Cursed Valley\The Magicians Handbook Cursed Valley.exe	InMem: 0	Det [UP]	MD5: DCB46E557EF6C384112072BA2A87892D	PX5: BB554A160004666BD430050FFD47C400D2707E77


C:\WINDOWS\system32\drivers\AnyDVD.sys.bak	InMem: 0	Det [b]	MD5: 58E7392F29023D53153AACA1EFF2604F	PX5: 5AA4CB10408BABFB86C0019D15E75300E3B26780	Malware Group: BACKDOOR.DIMPY.WIN32VBSY.Q


C:\Documents and Settings\Roland\Impostazioni locali\Temp\jar_cache53209.tmp	InMem: 0	Det [BP]	MD5: 653AD3D3CDA8ED26938749E164C99C05	PX5: F0DD447E007630C228C6008AE72D4600D75EEEA6	Malware Group: Trojan.DoS.Win32.Opdos


Summary:
C:\WINDOWS\system32\drivers\AnyDVD.sys.bak - [b] >> BACKDOOR.DIMPY.WIN32VBSY.Q
C:\Documents and Settings\Roland\Impostazioni locali\Temp\jar_cache53209.tmp - [b] >> Trojan.DoS.Win32.Opdos
Note: Some of the above entries may be from previous scans or cleaned infections.

c'è un ordine preciso da seguire nelle scansioni altrimenti avrei scritto fate i log a minchiam


il ripristino di sistema va disabilitato e cancellati tutti i punti di ripristino precedenti!


per quanto riguarda HiJackThis:
rifai la scansione scegliendo la voce "Scan Only" a fine scansione in tasto sinistro in basso si chiamerà "Fix This", quindis elezionare le voci desiderate e premere questo tasto.
Fixa:

Codice:

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - C:\WINDOWS\System32\byxvvts.dll (file missing)
O2 - BHO: (no name) - {F6AD0DC6-B297-4661-B396-90BCD04CDA4D} - C:\WINDOWS\System32\jkkli.dll (file missing)
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175514426093
O20 - Winlogon Notify: byxvvts - byxvvts.dll (file missing)
O20 - Winlogon Notify: jkkli - C:\WINDOWS\System32\jkkli.dll (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

[VdW]

Okey, allora la roba trovata da a-squared l'avevo messa in quarantena, adesso ho disattivato il ripristino (che credevo fosse gia' disattivato...) e ho rifatto il tutto.

Ho fatto una scansione con KasperSky Trial e ho eliminato tutto quello che trovava (tranne alcuni zip con adaware dei quali ero a conoscenza).

Ho fixato con hjackthis le cose che mi hai detto (tranne alcune che sono programmi che uso...).

Asquared adesso non trova piu' niente.

Questo e' il log di PrevxCSI che adesso trova solo piu' 2 file.

Kaspersky dopo 5 ore di scan completo non trova piu' niente.

Questo il log di HiJackThis.

Ho fatto i vari log rispettando l'ordine della guida, e usando kaspersky trial al posto di quello online.

Pero' ho ancora i problemi di prima.







Le cose che ho tenuto sono:

Codice:

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

Supporto per ideogrammi.

Codice:

O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd

File delle cuffie 5.1

Codice:

O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe

StyleXp, e' un programma per moddare XP

[security!!!]

Ok va tutto bene puoi vivere tranquillo!!!

[Franz.]

Quote:

Originariamente inviato da security!!!

Ok va tutto bene puoi vivere tranquillo!!!

Quote:

Originariamente inviato da VdW

---cut---
Pero' ho ancora i problemi di prima.
---cut---

@security!!! immagino che non abbia letto attentamente il messaggio di VdW vero?

[VdW]

Veramente...

Quote:

Originariamente inviato da VdW

Pero' ho ancora i problemi di prima.

Lol Franz, post contemporaneo

Forse devo cercare la fonte dei miei problemi altrove e non nei virus...?

[Franz.]

VdW hai fatto una scansione online? prova con quella di Kaspersky: http://www.kaspersky.com/virusscanner

[security!!!]

Quote:

Originariamente inviato da Franz.

@security!!! immagino che non abbia letto attentamente il messaggio di VdW vero?

Esattamente ero attento a guardare i log!!!

[VdW]

Quote:

Originariamente inviato da Franz.

VdW hai fatto una scansione online? prova con quella di Kaspersky: http://www.kaspersky.com/virusscanner

ok provo ancora quello, per curiosità che differenze ci sono fra quella online e quella fatta dal trial di kaspersky?

Ah, un altra cosa, non riesco a togliere prevxCSI dall'esecuzione automatica... mi parte sempre e comunque all'avvio anche se nelle impostazioni ho tolto la casella relativa a questa funzione. Come si fa??


Ah, un altra cosa ancora , tutta la roba messa in quarantena da Asquared posso cancellarla?

[Franz.]

Hanno un diverso approccio al sistema. Che in alcuni casi può avvantaggiare l'utente. Un conto è la solita classica installazione, ed un conto è l'esecuzione di un processo tramite controllo esterno.

Comunque stavo riguardandomi l'ultimo log che hai allegato di hijackthis, vedi se le voci che t'ho aggiunto sotto sono da te volute, ovvero se fanno parte di programmi che hai installato, eventualmente fixale. Quelle con no file puoi fixarle in ogni caso.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

[VdW]

Quote:

Originariamente inviato da Franz.

Hanno un diverso approccio al sistema. Che in alcuni casi può avvantaggiare l'utente. Un conto è la solita classica installazione, ed un conto è l'esecuzione di un processo tramite controllo esterno.

Comunque stavo riguardandomi l'ultimo log che hai allegato di hijackthis, vedi se le voci che t'ho aggiunto sotto sono da te volute, ovvero se fanno parte di programmi che hai installato, eventualmente fixale. Quelle con no file puoi fixarle in ogni caso.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Non so proprio cosa sia....fixo.

Quote:

O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe

Questa è una barra stile Mac, comoda

Quote:

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

L'ho fixata dopo aver fatto quel log

Quote:

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

mhhh... cercando questo dovrebbe essere un programma di quei giochi che scarichi e hanno un timer perchè sono versioni prova... però non credo sia giusto stia in system32... fixo.

[security!!!]

Se c'è qualche file che ti è un po' insicuro mettilo su www.virustotal.com/it

[xcdegasp]

questa:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
è normale e si riferisce a msn

objectdock fa parte di una barra d'utilità o qualcosa del genere, mentre crypserv.exe tratta la licenza.. non sono programmi essenziali quindi possono essere arrestati