Ecco fatto.
Allego i file .txt di HijackThis e ComboFix. Ci sono alche gli screenshot di msconfig/avvio (wireless ed antivirus) e l'utilizzo della ram.
In modalità provvisoria l'avvio è sempre lentissimo ed anche l'apertura dei file.
Ancora grazie
Ecco fatto.
Allego i file .txt di HijackThis e ComboFix. Ci sono alche gli screenshot di msconfig/avvio (wireless ed antivirus) e l'utilizzo della ram.
In modalità provvisoria l'avvio è sempre lentissimo ed anche l'apertura dei file.
Ancora grazie
hai eseguito combofix per ben quattro volte, il log di combofix e' pulito come pure il log di hijackthis, dagli screen allegati, veramente inutili perche' molto parziali, non hai problemi di sovraccarico RAM. prova a disinstallare chrome(ti apre, dal log di hijackthis, circa 15 processi in avvio....) e verifica se la cosa e' risolta. comunque non continuare in questa discussione perche' il pc non e' infetto , al limite cerca o apri una discussione in sistemi operativi... grazie.
Grazie a te, molto gentile.
Dopo avere disinstallato Chrome e non aver trovato apprezzabili cambiamenti, ho aperto il notebook e pulito le ventole dalla polvere accumulata, per un estremo tentativo prima di voler procedere a reinstallare tutto.
Al riavvio tutto era veloce come prima del problema segnalato. Pura fortuna ? Casualità ? Evento imprevedibile ? Non lo so, so che la somma delle cose che ho trovato qui e l'aiuto ricevuto mi hanno risolto un problema, e mi fa piacere ringraziare ed apprezzare la qualità che rendete disponibile in tutto il forum.
Ultima modifica di giocappellotto; 09-07-2010 alle 16.59.05 Motivo: Problema risolto e doverosi ringraziamenti
Buongiorno a tutti,
anch'io da un paio di giorni ho il computer che utilizza quasi constantemente la cpu al 100%, con conseguente rallentamento di tutta la macchina.
Ieri ho eseguito combofix, di cui allego il report.
Oggi ho: disinstallato AGV, installato Avira ed eseguito hijackthis di cui allego il report.
Potete dirmi se ho un virus o cos'altro?
Grazie
@Tribblino
Il pc è molto infetto.
Con hijackthis fixa queste voci.Sono superflue all'avvio.
Codice:R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://ftp.globalservicefe.com/anon_ftp/pub/SIFA/ O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [tro] C:\WINDOWS\system32\tro.exe \u O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
Scarica il file in allegato e salvalo sul desktop.Trascinalo poi sull'icona di combofix per una nuova scansione e posta il risultato di scansione.
Poi una volta fatto questo dobbiamo eliminare un pericoloso rootkit che ha infettato una importante chiave di registro.Per fare questo mi serve un'altra scansione con malwarebytes.
• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Free software downloads and software reviews - CNET Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").
Ultima modifica di dubo; 10-07-2010 alle 23.47.02
probabilmente sei infetto da W32.RANDEX.DFJ o RANDEX.GEN
questo removal se il worm non ha subito variazioni, dovrebbe aiutarti
-«“Viviamo in un mondo in cui ci nascondiamo per fare l’amore, mentre la violenza e l’odio si diffondono alla luce del sole. John Lennon”.» -
-Il Saggio- # Le 5 regole d'oro della Netiquette # blogspot
Scusa Darnota ma non è infetto da quel virus ma da altro.
Il file acotray.exe non è situato in C:\Windows\System32\Acrotray.exe(in questo caso è responsabile del virus da te citato) ma è un file legittimo che in quella posizione appartiene ad acrobat.Ciao
e chi lo mette in dubbio ma non è solo per il acrotray.exe è semmai poteva essere facilmente visibile perchè il worm è acrotay
La famiglia Randex è un gruppo di worm di rete-aware che viene distribuito attraverso i canali IRC.
Gli ho dato quel removal perchè si diffonde specialmente attraverso IRC servers come la vecchia variante Mydoom (che dovrebbe essere roba del 2000) ormai evoluto a sufficienza e
quel removal è stato testato anche per il Koobface W32 e relativa famigliola
ps
il removal preso da stopzilla è ancora valido come generico anche se stopzilla si è ormai sputtanato, tra l'altro come tanti a.v o antispyware, e Daniel A. Scaduto amministratore dovrebbe essere da indiscrezioni sotto indagine ma questo è un'altro discorso
Ultima modifica di darnota; 10-07-2010 alle 09.56.30
-«“Viviamo in un mondo in cui ci nascondiamo per fare l’amore, mentre la violenza e l’odio si diffondono alla luce del sole. John Lennon”.» -
-Il Saggio- # Le 5 regole d'oro della Netiquette # blogspot
Il file infetto si chiama proprio acotray.exe e pensavo che fossi stato tratto in inganno da questo .
Facendo cosi'(usando il removal per W32.RANDEX.DFJ) pero' è la mia modesta opinione si tira ad indovinare non sapendo esattamente se è quella l'infezione.
In questo caso l'infezione è evidente e può essere rimossa con lo script.Inoltre c'è una infezione sulla chiave di registro relativa al file userinit ed usare dei tool non appropriati c'è il rischio di portare via tutta la chiave rendendo inavviabile il sistema.
Vorrei fare un saluto a tutto il forum e in special modo a Dubo perchè da domani vado in vacanza.Buon proseguimento a tutti.Ciao
Buone vacanze a te ma vedi di tornare presto che un aiuto competente a dubo non può che far piacere
IMPORTANTE: LEGGERE PRIMA DI POSTARE - - -L'importanza dei titoli nelle discussioni
La durezza di alcuni è preferibile alla delicatezza di altri
se credi che ci si affida a quei inutili siti (IMHO) sei fuori strada, scopiazzando da siti ben più validi. spesso e volentieri mettono tutto in un calderone e tutto diventa un'infezione
di contro ritengo che global.ahnlab sia più attendibile è da per quel removal un successo per
Win32/IRCBot.worm.43520
Win32/IRCBot.worm.68096.B
Win32/Randex.worm.73728
personalmente se l'utente non inserisce dovutamente gli script può avere ben più gravi problemi mentre non ho mai sentito di un removal crearne a limite avvisa che il sistema non è infetto quindi lo elimini
comunque evitiamo di andare troppo avanti nell'ot rispetto al thread iniziale
buone vacanze
-«“Viviamo in un mondo in cui ci nascondiamo per fare l’amore, mentre la violenza e l’odio si diffondono alla luce del sole. John Lennon”.» -
-Il Saggio- # Le 5 regole d'oro della Netiquette # blogspot
il punto e' che si sta parlando di due infezioni completamente diverse, il fatto che ci sia quel file (acotray.exe) non presuppone affato la presenza di di un IRCbot, oltretutto si tratta di un'infezione di piu' di cinque anni fa.... infatti dal log di combofix si vede benissimo che si tratta di un'infezione sul netservices(NTSVCS).
si procede bene con combofix, lo script di Vicky e' corretto.
p.s. http://www.megalab.it/3542/attenzion...la-antispyware
http://www.mywot.com/it/scorecard/stopzilla.com
Ultima modifica di dubo; 11-07-2010 alle 00.00.06
ciao Tribblino, sembra tutto in ordine. dal log di combofix sembrava ci fosse ancora un'infezione, ma dal log di malwarebytes, successivo a combofix, e' evidente la rimozione del problema( C:\WINDOWS\svchost32.exe e relative entrata nel registro...)elimina pure combofix, elimina la sua cartella backup C:\qoobox, svuota il cestino e pulisci il sistema con CCleaner o simili.
Grazie di nuovo a tutti
Segnalibri