[HELP] Windows Update!

[caesar4warez]

Ciao gente, da qualche giorno, non so per quale motivo poiche non ho installato nulla di nuovo, compare questa finestra di Windows 7, riguardante un file "Windows Update", all'avio del sistema.


Non so da cosa dipenda, questi sono i programmi che ho in avvio automatico:


sapreste dirmi che succede?
Tra l'altro ho avuto modo di notare che Windows Update funziona correttamente, e quando ci sono Update Importanti (non facoltativi) mi chiede se voglio installarli come sempre.

aspetto risposte!
Carlo

[Eress]

Scusa ma non riesco a capire il collegamento tra quella finestra che ti si apre all'avvio e WU a parte la scritta in alto
Posta un log di HiajckThis

[caesar4warez]

Quote:

Originariamente inviato da Eress

Scusa ma non riesco a capire il collegamento tra quella finestra che ti si apre all'avvio e WU a parte la scritta in alto
Posta un log di HiajckThis

Neanche io la capisco a dire il vero (ed è proprio per questo che ho postato!)
La cosa mi ha insospettito è proprio che esce il nome "Windows Update" e che windows tenta di aprirlo con qualche programma, quindi penso sia qualcosa che dovrebbe avviarsi con il sistema, ma non ho idea di cosa..

grazie per la risposta,
carlo

ecco il log:

Codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:37:26, on 15/01/2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\EVGA Precision\EVGAPrecision.exe
C:\Fraps\fraps.exe
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundMAX.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\NCSoft\Launcher\NCLauncher.exe
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\MagicTune Premium\GammaTray.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\EVGA Precision\Bundle\OSDServer\RTSS.exe
C:\Program Files (x86)\NCSoft\Launcher\YGAionUpdater.exe
C:\Program Files (x86)\NCSoft\Aion\bin32\aion.bin
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Easly\AppData\Local\Google\Chrome\Application\chrome.exe
F:\My Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.googl.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files (x86)\Microsoft LifeCam\LifeExp.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NCsoft Launcher] C:\Program Files (x86)\NCSoft\Launcher\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Samsung.PCSync] "C:\Program Files (x86)\Samsung\Samsung PC Studio 7\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Samsung.PCSync] "C:\Program Files (x86)\Samsung\Samsung PC Studio 7\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: GammaTray.lnk = ?
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files (x86)\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{879C59B4-B228-48C6-A951-3137A0A134E2}: NameServer = 85.37.17.5,85.37.17.8
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\httpd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service:  Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files (x86)\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MySQL - MySQL AB - C:\xampp\mysql\bin\mysqld.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo64 Service(CRVS) (RichVideo64) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo64.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12188 bytes

[Eress]

Scarichi HijackThis che non va installatopoi lo lanci come amminisitaratore, puoi impostarlo direttamente nelle proprietà del programma scehda compatibilità, oppure con click destro, esegui ecc..
Lanci la scansione da Do a system scan and save a log file quindi posti il file .txt qui come allegato

[caesar4warez]

Quote:

Originariamente inviato da Eress

Scarichi HijackThis che non va installatopoi lo lanci come amminisitaratore, puoi impostarlo direttamente nelle proprietà del programma scehda compatibilità, oppure con click destro, esegui ecc..
Lanci la scansione da Do a system scan and save a log file quindi posti il file .txt qui come allegato

gia fatto, nel posto prima del tuo :P
ho fatto una ricerc con google e ho subito postato il log :P

[Eress]

C'è da capire che roba sia questo:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www googl com
da fixare

Poi queste assolutamente sospette

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update

O4 - Global Startup: GammaTray.lnk = ?

Elimina tutte le toolbar aggiunte.
Fai una scansione con MalwareBytes aggiornandolo prima, magari meglio in provvisioria e rimuovi tutto quello che dovesse trovare. Ripeti la scansione e prova il pc, se il problema dovesse perdurare credo proprio che ti convenga trasferirti qui
http://www.hwupgrade.it/forum/showthread.php?t=1599737

[caesar4warez]

Quote:

Originariamente inviato da Eress

C'è da capire che roba sia questo:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www googl com
da fixare

Poi queste assolutamente sospette

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update

O4 - Global Startup: GammaTray.lnk = ?

Elimina tutte le toolbar aggiunte.
Fai una scansione con MalwareBytes aggiornandolo prima, magari meglio in provvisioria e rimuovi tutto quello che dovesse trovare. Ripeti la scansione e prova il pc, se il problema dovesse perdurare credo proprio che ti convenga trasferirti qui
http://www.hwupgrade.it/forum/showthread.php?t=1599737

GammaTry è un programma di Samsung (per lo schermo :P)
ho corretto l'errorino su internet explorer :P

ed ho eliminato la chiave di registro riguardante O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update

ora provo un riavvio e controllo come si comporta il pc, se va tutto ok oppure no ti faccio sapere

grazie per l'aiuto!
carlo

[gyonny]

Per sicurezza ci sarebbe anche da fare una bella scansione antimalware con HitmanPro.

Ho controllato quel log hijackthis on-line ed è stato rilevato qualche elemento sospetto.
Poi c'è anche quella voce d'avvio di Microsoft Security Essential che è diversa da quella che ho io che è "Microsoft Security Client" invece la tua è "Microsoft Security essential": posto uno screenshot per chiarezza, questa è la mia voce di avvio di MSE:



Hai aggiornato all'ultima vesrsione Di MSE? Sicuro che quella copia di MSE sia originale e non fasulla?
Non voglio creare falsi allarmismi ma dico questo perchè qualche giorno fa sono stato vittima di phishing e ho scaricato involontariamente una copia non aggiornata di MSE e sono convinto che era una copia fasulla perchè dopo un po si è infettato il PC, ma fortunatamente non è successo nulla perchè ero all'interno di una macchina virtuale ...e la voce di avvio era proprio uguale a quella tua postata nello screenshot!
Assicurati che MSE sia aggiornato all'ultima versione ma prima di tutto consiglierei una scansione con HitmanPro, la versione completa si puo utilizzare per 30 giorni di prova . ciao

[Eress]

Quote:

Originariamente inviato da gyonny

Per sicurezza ci sarebbe anche da fare una bella scansione antimalware con HitmanPro.

Ho controllato quel log hijackthis on-line ed è stato rilevato qualche elemento sospetto.
Poi c'è anche quella voce d'avvio di Microsoft Security Essential che è diversa da quella che ho io che è "Microsoft Security Client" invece la tua è "Microsoft Security essential": posto uno screenshot per chiarezza, questa è la mia voce di avvio di MSE:



Hai aggiornato all'ultima vesrsione Di MSE? Sicuro che quella copia di MSE sia originale e non fasulla?

Credo proprio che quel processo sia collegato alla strana finestra Windows Update e di conseguenza al malware

[caesar4warez]

rieccomi,
dopo aver eliminato la chiave di registro ed aver riavviato tutto funziona alla grande

non penso dipenda da msse altrimenti al primo avvio sarebbe ricomparsa quella schermata :P.. cmq per adesso lascio cosi, nel caso dovessi avere altri problemi provero ad usare quel programmino che mi avete consigliato per trovare i malware

ancora grazie per l'aiuto
carlo

PS si puo chiudere!