cpu piena e pc lento

[mibe]

E' veloce o lento Combofix? Perchè mi pare non stia facendo niente. Il Firewall non so cosa sia quindi non ho fatto nulla al riguardo.

[mibe]

E' lento Combofix? Perchè mi sembra non stia facendo nulla.

Riguardo al Firewall non ho fatto nulla (perchè ho solo una vaga idea di cosa sia).

[mibe]

Ho detto "esegui" a Combofix e poi mi ha detto di accettare la licenza ed è partita una (tipo scansione). Ma poi non ho più visto niente.
Sta lavorando o lo devo rilanciare? (Avira l'ho disattivato).

[FrancescoFDAC]

Ciao se c'è una finestra blu che lavoro non toccare nulla, attieniti alle indicazioni date.
Francesco

[mibe]

Mi ha rilevato avira attivo, ma io la spunta da attiva antivir guard l'avevo tolta.

[mibe]

Ora mi è apparsa una finestra "Installazione della console di ripristino di emergenza"
Si prega di fare cliccare su sì ... (EULA).

[FrancescoFDAC]

Clicca no.
Ma scusa, segui queste indicazioni no?

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
● disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
● disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
● senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
● sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
● ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

[mibe]

Scusa Francesco ...
Ho detto no, ma poi mi pè apparsa un'altra finestra che mi diceva (se non ricordo male) di inserire i dischi di Microsoft ed ho detto no...
A questo punto Francesco, se disponibile a continuare in assitenza remota vista la mia inettitudine?

[mibe]

Francesco attendo tue disposizioni su come procedere.

[FrancescoFDAC]

Ciao Mibe ti ho scritto via messaggio privato e Email.
Francesco

[mibe]

Ecco:

ComboFix 11-12-12.02 - Mio 12/12/2011 22.34.00.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1738 [GMT 1:00]
Eseguito da: c:\documents and settings\Mio\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Mio\Dati applicazioni\PriceGong
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\1.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\a.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\b.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\c.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\d.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\e.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\f.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\g.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\h.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\i.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\J.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\k.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\l.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\m.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\mru.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\n.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\o.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\p.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\q.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\r.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\s.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\t.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\u.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\v.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\w.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\x.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\y.xml
c:\documents and settings\Mio\Dati applicazioni\PriceGong\Data\z.xml
c:\documents and settings\Mio\WINDOWS
c:\windows\$NtUninstallKB35630$
c:\windows\$NtUninstallKB35630$\2527337866\@
c:\windows\$NtUninstallKB35630$\2527337866\bckfg.tmp
c:\windows\$NtUninstallKB35630$\2527337866\cfg.ini
c:\windows\$NtUninstallKB35630$\2527337866\Desktop.ini
c:\windows\$NtUninstallKB35630$\2527337866\kwrd.dll
c:\windows\$NtUninstallKB35630$\2527337866\L\scdxfiex
c:\windows\$NtUninstallKB35630$\2527337866\U\00000001.@
c:\windows\$NtUninstallKB35630$\2527337866\U\00000002.@
c:\windows\$NtUninstallKB35630$\2527337866\U\00000004.@
c:\windows\$NtUninstallKB35630$\2527337866\U\80000000.@
c:\windows\$NtUninstallKB35630$\2527337866\U\80000004.@
c:\windows\$NtUninstallKB35630$\2527337866\U\80000032.@
c:\windows\$NtUninstallKB35630$\3504255461
C:\WinLogon
c:\winlogon\7817BAD801BC398
.
.
((((((((((((((((((((((((( Files Creati Da 2011-11-12 al 2011-12-12 )))))))))))))))))))))))))))))))))))
.
.
2011-12-08 14:03 . 2011-12-08 14:03 -------- d-----w- C:\found.000
2011-12-05 21:53 . 2011-12-05 21:53 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-12-05 21:53 . 2011-12-05 21:53 -------- d-----w- c:\programmi\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-08 12:57 . 2011-12-08 12:57 162816 ----a-w- c:\windows\system32\drivers\netbt.sys.org
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-02-04 14:50 1197448 ----a-w- c:\programmi\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-02-04 1197448]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2011-01-26 15026056]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-03-12 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="c:\programmi\Thomson\SpeedTouch USB\Dragdiag.exe" [2003-09-05 878080]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
LUMIX Simple Viewer.lnk - c:\programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2010-5-1 57344]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
.
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 17.30.57 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 17.30.57 136176]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-12-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2011-12-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2011-12-12 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programmi\Ask.com\UpdateTask.exe [2010-02-04 14:50]
.
2011-12-12 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-12 22:43
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(2168)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programmi\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programmi\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programmi\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ita.nlr
c:\programmi\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\RunDll32.exe
c:\programmi\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programmi\PC Connectivity Solution\ServiceLayer.exe
c:\programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\windows\system32\dwwin.exe
.
**************************************************************************
.
Ora fine scansione: 2011-12-12 22:48:32 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2011-12-12 21:48
.
Pre-Run: 23.527.518.208 byte disponibili
Post-Run: 23.831.977.984 byte disponibili
.
- - End Of File - - 8E540C0484ABB63A9946AA70B8106294

[FrancescoFDAC]

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Codice: Seleziona tutto

Folder::
c:\programmi\Ask.com

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

http://img155.imageshack.us/img155/4837/cfscriptop0.gif

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi

[mibe]

Ho iniziato a fare quanto comunicato, ma ad un certo punto un messaggio mi dice che ha trovato "antivir desktop".

Io Avira l'avevo disinstallato in precedenza (e disabilitato il Firewall). Ho letto però in rete che diverse persone hanno avuto problemi a rimuovere completamente Avira. Ho provato con la soluzione prospettata qui http://www.aiutocomputer.org/come-disin ... ra-antivir ma il software ad un certo punto dice che non riesce a trovare qualcosa e non si può procedere.

C'è qualche sistema per eliminare completamente le chiavi di Avira prima di riprovare a procedere con la procedura che hai indicato, Francesco?

[FrancescoFDAC]

Ciao Mibe, vai con lo script, senza preoccuparti di Avira.

Francesco

[mibe]

Ecco:


ComboFix 11-12-12.02 - Mio 14/12/2011 22.21.28.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1629 [GMT 1:00]
Eseguito da: c:\documents and settings\Mio\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Mio\Desktop\CFScript.txt
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programmi\Ask.com
c:\programmi\Ask.com\cobrand.ico
c:\programmi\Ask.com\config.xml
c:\programmi\Ask.com\favicon.ico
c:\programmi\Ask.com\GenericAskToolbar.dll
c:\programmi\Ask.com\mupcfg.xml
c:\programmi\Ask.com\SaUpdate.exe
c:\programmi\Ask.com\UpdateTask.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2011-11-14 al 2011-12-14 )))))))))))))))))))))))))))))))))))
.
.
2011-12-13 22:25 . 2011-12-13 22:25 -------- d-----w- c:\documents and settings\Mio\Impostazioni locali\Dati applicazioni\PackageAware
2011-12-08 14:03 . 2011-12-08 14:03 -------- d-----w- C:\found.000
2011-12-05 21:53 . 2011-12-05 21:53 388096 ----a-r- c:\documents and settings\Mio\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-12-05 21:53 . 2011-12-05 21:53 -------- d-----w- c:\programmi\Trend Micro
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-08 12:57 . 2011-12-08 12:57 162816 ----a-w- c:\windows\system32\drivers\netbt.sys.org
.
.
((((((((((((((((((((((((((((( SnapShot@2011-12-12_21.43.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-12-14 20:23 . 2011-12-14 20:23 16384 c:\windows\Temp\Perflib_Perfdata_5cc.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"Skype"="c:\programmi\Skype\Phone\Skype.exe" [2011-01-26 15026056]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2011-03-12 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="c:\programmi\Thomson\SpeedTouch USB\Dragdiag.exe" [2003-09-05 878080]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
LUMIX Simple Viewer.lnk - c:\programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2010-5-1 57344]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
.
S2 gupdate;Servizio di Google Update (gupdate);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 17.30.57 136176]
S3 gupdatem;Servizio Google Update (gupdatem);c:\programmi\Google\Update\GoogleUpdate.exe [12/03/2011 17.30.57 136176]
.
Contenuto della cartella 'Scheduled Tasks'
.
2011-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2011-12-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2011-03-12 16:30]
.
2011-12-14 c:\windows\Tasks\User_Feed_Synchronization-{473C26CF-B79E-45BC-9062-6242FF8C858B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 85.37.17.56 85.38.28.98
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-14 22:25
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2011-12-14 22:27:20
ComboFix-quarantined-files.txt 2011-12-14 21:27
ComboFix2.txt 2011-12-12 21:48
.
Pre-Run: 23.787.241.472 byte disponibili
Post-Run: 23.819.509.760 byte disponibili
.
- - End Of File - - B24B19EC2C0F45EF041522A0861B6BE0

[mibe]

Come devo procedere?

[FrancescoFDAC]

Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Che problemi riscontri al momento?

Francesco

[mibe]

I problemi sono:
-il pc rispetto a tempo fa è più lento
-la cpu è quasi sempre al 100% (completamente verde)
-inoltre prima di lanciare la scansione con Combo Fix due - tre giorni fa, ho lanciato una scansione con Avira che mi ha trovato nuovamente il cavallo di troia TR/Drop.Sirefef.byk, quindi presumo che non sia stato ancora eliminato. Poi ho disinstallato Avira e lanciato Combo Fix.

[FrancescoFDAC]

Scarica ed installa HitmanPro: http://www.surfright.nl/en/downloads
● scegli la versione adatta al tuo Sistema Operativo (32Bit o 64Bit)
● una volta lanciato, nella finestra principale clicca su Impostazioni
● clicca su Licenza ed attiva la licenza
● clicca su scansione di default (consigliato)
● al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato che dovrai allegare

Vediamo se rileva qualcosa.. e fai pure questa scan:
Scarica MBRCheck: http://ad13.geekstogo.com/MBRCheck.exe
● salva il file scaricato sul Desktop
● avvia il programma con un doppio click
● attendi pazientemente il termine della scansione
● se appare questa dicitura in verde:
Windows xp MBR code detected
● se invece appare questa scritta, è probabile che l'MBR sia infetto:
Found non-standard or infected MBR

[mibe]

Chiedo venia ... (sembro rimba). Ho lanciato come richiesto HitmanPro, ma alla fine non ho visto in basso l'export result ...
La scansione aveva comunque trovato un elemento che mi ha chiesto se volevo rimuovere e ho dato l'ok.
Ho ripetuto la scansione e non ha trovato nulla ( e solo allora ho individuato export result bis).

Poi ho fatto la scansione con MBRCkeck ed è apparsa la dicitura in verde:
Windows xp MBR code detected.

Mi piacerebbe riprovare una scansione con Avira freee per vedere se rileva ancora il cavallo di t.
Ho provato a vedere di installarlo nuovamente, ma all'indirizzo http://www.avira.com/it/avira-free-antivirus poi, si apre la pagina di HTML.it dove si pre successivamente una pagina dove inserire la propria mail per ricevere la newsletter di HTML (di cui non me ne importa una cippa ...), ma non sono riuscito a scaricare Avira Free.

The never ending story ...