virus? o.....troyan?

[aviaria2006]

strano mi si spegne il pc dopo 5 minuti, lo fa ogni 5 minuti ho XP HOME antivirus KASPERSKY se qualche persona gentile mi puo' aiutare ad analizzare qui' la ringrazio:Logfile of HijackThis v1.99.1
Scan saved at 17.33.09, on 20/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\acer\KnobService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\mHotMon.exe
C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
C:\acer\KnobMonitor.exe
C:\ACER\MPS.EXE
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\Programmi\Winamp\winampa.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\MSMSGS.EXE
D:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
D:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\mHotkey.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\- VECCHIO PC\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service.pandasoftware.com/rol
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: ALTAVISTA - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [SSER] sser.exe
O4 - HKLM\..\Run: [mHotmon] mHotMon.exe
O4 - HKLM\..\Run: [Aspire Schedule] C:\Program Files\Aspire\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [KnobMonitor] C:\acer\KnobMonitor.exe
O4 - HKLM\..\Run: [MPS] C:\ACER\MPS.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Spamihilator] "d:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [neubit] C:\WINDOWS\system32\neubit.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: AltaVista Search - file://C:\Programmi\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate - file://C:\Programmi\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (ALTAVISTA) - http://toolbar.altavista.com/static/...b?r=1147800999
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E9BEED4-CF48-4F52-9E30-3636797DF77E}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Knob Service (KNOBSERV) - Acer Inc. - c:\acer\KnobService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe

[manganese]

Il motivo per cui si spegne non lo sò.
dal log posso dirti che hai sicuramente questo spy
C:\WINDOWS\mHotMon.exe
termina il processo con task manager e fissa la voce
O4 - HKLM\..\Run: [mHotmon] mHotMon.exe

se non sai cosa è fissa pure questa
O4 - HKCU\..\Run: [neubit] C:\WINDOWS\system32\neubit.exe

Alcune considerazioni:
-per un uso sicuro di HJT (soprattutto per il recupero) mettilo in una cartella con radice C:
-hai 2 antivirus (panda+Kaspersky)
-certo che di "ammennicoli" toolbar ecc ne hai installate....

[aviaria2006]

uno l'ho tolto di antivirus PANDA l'avevo cancellato in maniera poco precisa e allora ho cancellato le tracce.

[aviaria2006]

dopo che ho cancellato il residuo del PANDA ora ho KASPERSKY mi funziona normalmente almeno spero altrimenti dovrei reinstallarlo non credo formattare il pc x questo solo .Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe

[aviaria2006]

UNA CURIOSITA' ho eliminato dal disco "C" su programmi in "FILE COMUNI " la cartella del PANDA e facendo un'analisi con HIJACKTHISO23 trovo ancora la voce:"- Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe cosa dovrei fare?

[manganese]

Cancellare le cartelle dei programmi per disinstallarli non è molto funzionale.

Per quello che riguarda il servizio puoi tranquillamente fissare la voce con HJT.
Cè anche un comando apposito da esegui, ma ti consiglio il primo metodo.

Anche se dubito che risolva il problema dello spegnimento.

Cmq, fissato tutto, rifai il log.

[aviaria2006]

spiegati meglio:Cancellare le cartelle dei programmi per disinstallarli non è molto funzionale

[manganese]

Quote:

Originariamente inviato da aviaria2006

UNA CURIOSITA' ho eliminato dal disco "C" su programmi in "FILE COMUNI " la cartella del PANDA e facendo un'analisi con HIJACKTHISO23 trovo ancora la voce:"- Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe cosa dovrei fare?

Mi riferisco a questa manovra,
Se vuoi disinstallare un programma e l'uninstall non funziona (succede spesso con il norton antivirus) bisogna andare a cercare "a mano" tutti i file in giro per tutto il computer e tutte le chiavi nel registro di configurazione che fanno riferimento a quel programma.
Cancellare una cartella con il nome-programma fà più danno che altro.
P.S.
Cmq non perderti in questi dettagli ...ormai hai fatto...cerca di ottenere un log "pulito"

[0sc0rpi0n0]

Credo che manganese voleva dire che sarebbe meglio disinstallare i programmi da installazione\applicazioni , diciamo che quella è la procedura corretta .Con il tuo metodo rimangono sicuramente molti residui nel sistema operativo , principalmente chiavi di registro . Quindi credo che sia opportuno passare almeno un buon pulitore del registro se si procede come hai fatto te .

Ops , non mi ero accorto che avevi già risposto

[aviaria2006]

SALVE!! sono riuscito a sistemare la faccenda andando su"PANNELLO DI CONTROLLO poi PRESTAZIONI E MANUTENZIONI segue STRUMENTI DI AMMINISTRAZIONE infine SERVIZIsono andato alla voce PANDA cliccando con il destro del tasto del mause su PROPRIETA' e ho disistallato . Poi sono andato su HIJACKTHIS per cancellare la voce PANDA e era gia' sparita .pero' devo fidarmi del KASPERSKY che ho gia' in funzione? vedo che va tranquillamente.

[manganese]

Quote:

Originariamente inviato da manganese

Cmq non perderti in questi dettagli ...ormai hai fatto...cerca di ottenere un log "pulito"

repetita

[marcocappe]

Quote:

Originariamente inviato da aviaria2006

SALVE!! sono riuscito a sistemare la faccenda andando su"PANNELLO DI CONTROLLO poi PRESTAZIONI E MANUTENZIONI segue STRUMENTI DI AMMINISTRAZIONE infine SERVIZIsono andato alla voce PANDA cliccando con il destro del tasto del mause su PROPRIETA' e ho disistallato . Poi sono andato su HIJACKTHIS per cancellare la voce PANDA e era gia' sparita .pero' devo fidarmi del KASPERSKY che ho gia' in funzione? vedo che va tranquillamente.

Non hai disinstallato proprio niente, hai solo disattivato il servizio. Chissà quanti file e chiavi di registro relative a Panda hai ancora sul pc. Un corso su come funziona windows non ti farebbe male.
Aviaria tu non eri quello che sosteneva qualche settimana fa che Bitdefender era il top del top? Già cambiato idea?

[aviaria2006]

MARCOCAPPE non facciamo dell'ironia se ho dovuto cambiare il BIT DEFENDER c'e' stato un perche' ,ora ho KASPERSKY e poi ho formattato tutto da quella volta che usavo BIT DEFENDER . nel registro del sistema non c'e' traccia del PANDA ho verificato fin dall'inizio e neppure nell'hard disck . Ora non ho problemi.

[aviaria2006]

Ringrazio MANGANESE per la sua collaborazione prestata e saluto tutti.

[mazzoni]

il problema dello spegnimento l'ho potuto constatare su alcuni pc di clienti
si manifesta al verificarsi simultaneo di queste condizioni:
1) aggiornamento di moduli programma di kaspersky
2) OS windows XP
3) connessione tramite scheda di rete (no problem con modem adsl usb)

soluzione del problema:
partire in modalita provvisoria
disinstallare kaspersky
passare ad antivir

[Cobain]

quando si spegne da solo che fai il pc ? esce un messaggio di errore del tipo tendina dos?
non credo ad errori software suppongo che sia instabilità della ram che si vericfica solo in determinate condizioni