HiJackThis - Analisi Log - leggere Regole di Sezione

[ligar]

Ciao a tutti. Se ho capito bene in questa sezione del forum si possono postare i log di hjackthis per farli controllare vero? Sareste così gentili da dare un'occhiata al mio?
Il mio problema è questo: ho un notebook hp6735s che da un po' di tempo da dei problemi di rallentamento all'avvio. In particolare il SO si avvia velocemente, posso lavorare su word dopo pochissimo, però ad esempio l'avvio della scheda di rete con le relative applicazioni per avviare la connessione si avviano dopo un'eternità. L'unica cosa da fare per velocizzare il tutto è disattivare la scheda di rete appena il SO si avvia e dopo poco riavviarla (sul notebook c'è un comodissimo tastino che permette questo). Da cosa può dipendere? Non ho istallato niente di nuovo, il notebook ha pochi mesi di vita e l'hard disk è praticamente vuoto....mi aiutate?
Ecco il mio log

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.03.00, on 01/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\AccelerometerSt.Exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ActivIdentity\ActivClient\accrdsub.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\ActivIdentity\ActivClient\acevents.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\ActivIdentity\ActivClient\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Programmi\Hewlett-Packard\Shared\HpqToaster.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.Exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [accrdsub] "C:\Programmi\ActivIdentity\ActivClient\accrdsub.exe"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4669A5FC-ABB5-4C4A-A66C-EA2A1BAD0252}: NameServer = 85.37.17.9 85.38.28.75
O20 - Winlogon Notify: ackpbsc - C:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - C:\Programmi\ActivIdentity\ActivClient\acunlock.dll
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Programmi\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--
End of file - 8273 bytes

Grazie mille

[Chill-Out]

@ligar

Dal log di HJT non emerge nulla di particolare, aggiorna il SO al SP3 noterai notevoli miglioramenti.

[ligar]

Quote:

Originariamente inviato da Chill-Out

@ligar

Dal log di HJT non emerge nulla di particolare, aggiorna il SO al SP3 noterai notevoli miglioramenti.

Anzitutto grazie per aver controllato il log. Avrei voluto aggiornare a SP3 (anche perchè così il SO mi riconosce solo 2.74gb di ram su 4) ma ho letto che potrebbe dare dei problemi con il mio notebook ed ho un po' paura di fare guai...

[Chill-Out]

Quote:

Originariamente inviato da ligar

Anzitutto grazie per aver controllato il log. Avrei voluto aggiornare a SP3 (anche perchè così il SO mi riconosce solo 2.74gb di ram su 4) ma ho letto che potrebbe dare dei problemi con il mio notebook ed ho un po' paura di fare guai...

E' necessario aggiornare per ovvi motivi ed a distanza di mesi dall'uscita non si sono registrati particolari problemi

[ligar]

Quote:

Originariamente inviato da Chill-Out

E' necessario aggiornare per ovvi motivi ed a distanza di mesi dall'uscita non si sono registrati particolari problemi

non per abusare della tua pasienza...ma leggi qua http://news.wintricks.it/web/dal-web...i-con-cpu-amd/
Che ne pensi?

[Chill-Out]

Quote:

Originariamente inviato da ligar

non per abusare della tua pasienza...ma leggi qua http://news.wintricks.it/web/dal-web...i-con-cpu-amd/
Che ne pensi?

Che da 1 anno a questa parte il problema è stato risolto ed inoltre riguardava in misura minima PC con CPU AMD su sistemi OEM

[ligar]

Quindi sul mio notebook non dovrei avere problemi. Ma giusto per curiosità, come è stato risolto? E' stato modificato il SP3?
Approposito....stiamo andando fuori tema :-) Sicuramente domani metterò il SP3 ma non credo che la cosa abbia una correlazione col fatto che improvvisamente i tempi di avvio della scheda di rete si sono dilatati così tanto, visto che inizalmente con il SP2 il problema non c'era....hai un'idea in merito?
Comunque grazie mille per il supporto

[Chill-Out]

Quote:

Originariamente inviato da ligar

Quindi sul mio notebook non dovrei avere problemi. Ma giusto per curiosità, come è stato risolto? E' stato modificato il SP3?
Approposito....stiamo andando fuori tema :-) Sicuramente domani metterò il SP3 ma non credo che la cosa abbia una correlazione col fatto che improvvisamente i tempi di avvio della scheda di rete si sono dilatati così tanto, visto che inizalmente con il SP2 il problema non c'era....hai un'idea in merito?
Comunque grazie mille per il supporto

Con gli elementi a disposizione faccio fatica a formulare una ipotesi

[ligar]

Dimmi cosa ti può essere utile sapere (ah cmq se la prossima risposta sarà un Vaffa*** ti capirò )

[Chill-Out]

Quote:

Originariamente inviato da ligar

Dimmi cosa ti può essere utile sapere (ah cmq se la prossima risposta sarà un Vaffa*** ti capirò )

Per problemi alla scheda puoi chiedere nella sezione idonea ovvero http://www.hwupgrade.it/forum/forumdisplay.php?f=18

[Polpo75]

Non riesco a rimuovere un malware. Ho provato a fixarlo ma si ripresenta continuamente. Non riesco ad accedere al sito microsoft e ad innumerevoli siti di antivirus. Ho installati Malwarebytes, Superantispyware, Spyware terminator, Antivir, Combofix. Suggerimenti?

O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)

http://www.mediafire.com/?sharekey=6...4e75f6e8ebb871

[arnyreny]

Quote:

Originariamente inviato da Polpo75

Non riesco a rimuovere un malware. Ho provato a fixarlo ma si ripresenta continuamente. Non riesco ad accedere al sito microsoft e ad innumerevoli siti di antivirus. Ho installati Malwarebytes, Superantispyware, Spyware terminator, Antivir, Combofix. Suggerimenti?

O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)

http://www.mediafire.com/?sharekey=6...4e75f6e8ebb871

e' una brutta bestia...
fai tutti i passaggi http://www.hwupgrade.it/forum/showthread.php?t=1599737

[Polpo75]

Quote:

Originariamente inviato da arnyreny

e' una brutta bestia...
fai tutti i passaggi http://www.hwupgrade.it/forum/showthread.php?t=1599737

1. Malwarebytes Anti-Malware
2. A-Squared Free v4.x
3. F-Secure OnLine
4. Kaspersky Virus Removal Tool
5. Dr.Web CureIT
6. ESET SysInspector
7. HiJackThis
8. Gmer
9. Prevx 3.0

Sono riuscito ad eseguire una scansione completa con Malwarebytes aggiornato, ma non ha rilevato nulla.

A-Squared: non riuscivo a scaricare gli aggiornamenti. Ho fatto comunque una scansione ma anche qui nulla di che.

F-secure-Kaspersky-Dr.Web-SysInspector-Prevx 3.0: non sono riuscito ad attivarli/scaricarli.

Gmer: mi ha trovato 3 processi pericolosi nascosti: li ho cancellati ed ora posso tornare a navigare sui siti precedentemente bloccati.

HiJackThis: L'animale è ancora presente:

O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)

Ho aggiornato A-squared ed eseguito una scansione. Nessun file sospetto.
Ho finito di scaricare Kaspersky removal tool. Faccio una scansione e poi aggiorno la situazione.

[arnyreny]

Quote:

Originariamente inviato da Polpo75

1. Malwarebytes Anti-Malware
2. A-Squared Free v4.x
3. F-Secure OnLine
4. Kaspersky Virus Removal Tool
5. Dr.Web CureIT
6. ESET SysInspector
7. HiJackThis
8. Gmer
9. Prevx 3.0

Sono riuscito ad eseguire una scansione completa con Malwarebytes aggiornato, ma non ha rilevato nulla.

A-Squared: non riuscivo a scaricare gli aggiornamenti. Ho fatto comunque una scansione ma anche qui nulla di che.

F-secure-Kaspersky-Dr.Web-SysInspector-Prevx 3.0: non sono riuscito ad attivarli/scaricarli.

Gmer: mi ha trovato 3 processi pericolosi nascosti: li ho cancellati ed ora posso tornare a navigare sui siti precedentemente bloccati.

HiJackThis: L'animale è ancora presente:

O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)

Ho aggiornato A-squared ed eseguito una scansione. Nessun file sospetto.
Ho finito di scaricare Kaspersky removal tool. Faccio una scansione e poi aggiorno la situazione.

RIPETI NELL'ORDINE ...PERO CON TUTTI I SOFT AGGIORNATI

[Polpo75]

Quote:

Originariamente inviato da arnyreny

RIPETI NELL'ORDINE ...PERO CON TUTTI I SOFT AGGIORNATI

Nel precedente post forse non si è capito ma stavo già ripetendo la procedura. Gmer mi ha consentito di scaricare i programmi che non avevo e quindi ho rifatto le scansioni seguendo l'ordine indicato.

Malwarebytes e a-squared non hanno individuato nulla di pericoloso.

Kaspersky mi ha rimosso Kido.ih e un paio di trojan.

Con Dr. Web ho rimosso mixit.exe e varianti.

Sysinspector ha individuato come pericoloso questo:
"File" = "c:\winnt\system32\drivers\sp_rsdrv2.sys" ( 6: Unknown ) ;
Nella descrizione in Drivers fa riferimento a Spyware terminator driver 2.

HiJackThis continua a riportarmi la solita stringa.

Gmer ora non trova nulla di sospetto.

Prevx mi trova "c:\winnt\vfind.exe". Come lo rimuovo?

http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

[arnyreny]

Quote:

Originariamente inviato da Polpo75

Nel precedente post forse non si è capito ma stavo già ripetendo la procedura. Gmer mi ha consentito di scaricare i programmi che non avevo e quindi ho rifatto le scansioni seguendo l'ordine indicato.

Malwarebytes e a-squared non hanno individuato nulla di pericoloso.

Kaspersky mi ha rimosso Kido.ih e un paio di trojan.

Con Dr. Web ho rimosso mixit.exe e varianti.

Sysinspector ha individuato come pericoloso questo:
"File" = "c:\winnt\system32\drivers\sp_rsdrv2.sys" ( 6: Unknown ) ;
Nella descrizione in Drivers fa riferimento a Spyware terminator driver 2.

HiJackThis continua a riportarmi la solita stringa.

Gmer ora non trova nulla di sospetto.

Prevx mi trova "c:\winnt\vfind.exe". Come lo rimuovo?

http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

in modalita' provvisoria
oppure in malwarebytes c'e' una funzione fileassasin fissalo con quello
hjack fallo girare in modalita' provvissoria

[Chill-Out]

Quote:

Originariamente inviato da Polpo75

Nel precedente post forse non si è capito ma stavo già ripetendo la procedura. Gmer mi ha consentito di scaricare i programmi che non avevo e quindi ho rifatto le scansioni seguendo l'ordine indicato.

Malwarebytes e a-squared non hanno individuato nulla di pericoloso.

Kaspersky mi ha rimosso Kido.ih e un paio di trojan.

Con Dr. Web ho rimosso mixit.exe e varianti.

Sysinspector ha individuato come pericoloso questo:
"File" = "c:\winnt\system32\drivers\sp_rsdrv2.sys" ( 6: Unknown ) ;
Nella descrizione in Drivers fa riferimento a Spyware terminator driver 2.

HiJackThis continua a riportarmi la solita stringa.

Gmer ora non trova nulla di sospetto.

Prevx mi trova "c:\winnt\vfind.exe". Come lo rimuovo?

http://www.mediafire.com/?sharekey=4...4e75f6e8ebb871

Il 3D è dedicato solo ed esclusivamente al controllo del log di HJT, se hai seguito la Guida alla disinfezione apri un nuovo 3D in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=125 ed allega tutti i log per il controllo

[Polpo75]

Quote:

Originariamente inviato da Chill-Out

Il 3D è dedicato solo ed esclusivamente al controllo del log di HJT, se hai seguito la Guida alla disinfezione apri un nuovo 3D in Sezione dedicata http://www.hwupgrade.it/forum/forumdisplay.php?f=125 ed allega tutti i log per il controllo

Hai ragione. Credevo di fare crossposting e ho continuato a scrivere qui. Seguo il consiglio di arnyreny e se non risolvo apro un 3d apposito.

[Chill-Out]

Quote:

Originariamente inviato da Polpo75

Hai ragione. Credevo di fare crossposting e ho continuato a scrivere qui. Seguo il consiglio di arnyreny e se non risolvo apro un 3d apposito.

Come preferisci, comunque il file che non riesci a cancellare è relativo a SDFix

[arnyreny]

Quote:

Originariamente inviato da Chill-Out

Come preferisci, comunque il file che non riesci a cancellare è relativo a SDFix

quindi un falso positivo...