Errori strani all'avvio del pc

[Girasole80]

Ciao a tutti, avrei bisogno di un consiglio ma non so se questa sia la sezione adatta al mio problema, per cui se non lo è chiedo scusa in anticipo.

Da ieri, all'improvviso, il mio pc ha iniziato a darmi tutta una serie di problemi.... ma comincio dall'inizio.

Avevo il browser aperto (Avant Browser), contemporaneamente a EMule, Winamp e Photoshop. Ad un certo punto mentre navigavo mi compare la finestra di 'segnalazione errori', ho cliccato su 'non inviare', e ovviamente mi ha chiuso il browser. Senza che io provassi a riaprirlo, questa finestra è ricomparsa da sola a raffica per 3 o 4 volte, ho cliccato di nuovo su non inviare e poi ho riprovato ad aprire il browser, ma non si apriva più. Allora ho aperto FireFox e ho cliccato sull'icona di una cartella che volevo aprire all'interno dei documenti, ma mi si è bloccato Explorer! Così sono tornata sul desktop e ho riaperto i documenti, ma anche stavolta mi si è bloccato tutto... tramite la task ho chiuso le 2 finestre bloccate, e allora mi è comparsa un'altra finestra di errore, stavolta del programma Realtek HD Audio Control Panel. A quel punto ho chiuso tutto ed ho riavviato il pc.... e sono successe ancora altre cose: durante il riavvio, il pc è riuscito a caricare il desktop, ma solo per 2-3 secondi, poi è comparsa una videata blu che diceva che windows è stato bloccato per ragioni di sicurezza a causa dell'errore di un programma, mi suggeriva di fare uno scan disk e altre cose che, purtroppo, non ricordo! Cmq, per uscire da quella videata ho dovuto riavviare il pc con i tasti alt-ctrl-canc, e da allora, al caricamento del desktop, compaiono anche queste finestre di errore: Segnalazione errori per Realtek HD Audio ed errore di SmpSys.exe. Poi a raffica, come se il pc si fosse incantato, si riproduce il tipico 'suono' d'errore di windows, 3 o 4 volte. Uso Avg antivirus free edition, sempre aggiornato, ho provato a scansionare il sistema ma non ha trovato virus. Ho fatto anche uno scan disk, ma risulta tutto a posto. Però i problemi continuano: compaiono sempre quelle finestre di errore all'avvio, riguardanti sempre programmi diversi (Realtek, oppure TuneUp e vari) oppure l'errore compare se provo ad aprirli, oppure l'errore me lo da Avant Browser mentre navigo, all'improvviso, e si chiude.

Vi do i dati del pc: è un notebook con Intel centrino duo, windows xp media center service pack 2, 1 giga di ram e 1.73ghz cpu, utilizzo avg free come antivirus, Avant Browser.

Cosa potrà essere successo??

[ste_95]

scarica hijackthis, link nella mia firma e fai la scansione e poi dacci il log... me è strano... è successo dopo che hai fatto qualcosa di particolare?

[Girasole80]

avevo emule aperto, ma a parte quello, non ricordo di aver fatto qualcosa in particolare.... cmq sto scaricando il programma, poi posto il log...

[ste_95]

va bene io aspetto.....

[Girasole80]

Fatto.... riporto il file log....

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\QuickTime\qttask.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\PROGRA~1\AVANTB~1\avant.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\AVANTB~1\avant.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\AVANTB~1\avant.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\TuneUp Utilities 2006\Integrator.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\APPS\SMP\PCSetup.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Documents and Settings\PETRA VESELOVSKA\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Starware Toolbar di Ricette - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programmi\Starware356\bin\Starware356.dll
O3 - Toolbar: Starware Oroscopi - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programmi\Horoscopes IT\bin\Horoscopes_IT.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DriveIcons] C:\Programmi\Realtek\Card Reader Software\DriveIcon\DriveIcon.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [90fa1bfd] rundll32.exe "C:\WINDOWS\system32\acnahcia.dll",sitypnow
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?04254f3ddfda49c8b7bc298cc9855a6e
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?04254f3ddfda49c8b7bc298cc9855a6e
O8 - Extra context menu item: Read RSS Channel - C:\Programmi\YeahReader\getlink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programmi\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programmi\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D852E554-71DE-4B22-80A5-F5A402C2D22A}: NameServer = 193.70.152.15,193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe


scusate per la lunghezza del file..... dimenticavo di dire che quando spengo il pc, invece c'è questo RTHDCPL.exe che non si chiude, nemmeno dalla task...

[ste_95]

strano, è un dirver della scheda audio, carica il file su virus total e poi dacci anche il responso finale...

[Girasole80]

ehm...come devo fare?

[ste_95]

Soluzione

Per eliminare questo trojan, dal momento che si è sostituito a eseguibili perfettamente normali, è necessario riassociare agli eseguibili infetti i programmi corretti, e non più il trojan. Per fare questo dobbiamo andare in ogni directory infetta a cercare la cartella bak che contiene il file .exe pulito. Esiste un software, si tratta di >>FindAWF<<, che farà questo al posto nostro.
Una volta scaricato il software, avviatelo e si aprirà un finestra dos che vi chiederà di schiacciare un tasto qualunque, anche Invio puo' andare bene.

Al termine, FindAWF vi proporrà un report di cui riportiamo una parte:


CITAZIONE
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 00C2-1D75

Directory di C:\WINDOWS\SYSTEM32\BAK

05/06/2003 04.53 114.688 hkcmd.exe
05/06/2003 04.53 155.648 igfxtray.exe
09/07/2001 10.50 155.648 NeroCheck.exe
3 File 425.984 byte
2 Directory 3.434.151.936 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 00C2-1D75

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23564 15 Feb 2007 "C:\WINDOWS\system32\igfxtray.exe"
155648 5 Jun 2003 "C:\WINDOWS\system32\bak\igfxtray.exe"

capito?

[Girasole80]

Ok..... fatto: ho scaricato il programma ed il risultato è questo:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[ste_95]

strano,

fai così:

Lanci deldomains con un click con il tasto dx del mouse e scegliendo Installa (fa tutto da sé)