Quando accendo msn mi si riavvia il pc [Aiutatemi! Perfavore!]

[kekkocj]

seguendo la vostra guida posto qst:

Ragazzi sono giorni ke giro per i forum in cerca di un'aiuto...
ma niente...

Il mio problema è questo:
Premetto che non sono un Asso del pc, cmq il mio pc quando accendo msn mi si riavvia... ma il problema non è legato ad msn in se, credo, ma al fatto che la cpu sale alle stelle... ( e nella mia ignoranza, credo che surriscaldandosi, per proteggersi riavvia il pc) questo l'ho notato aprendo il task, il problema e che il processo che si "succhia" più CPU non è msn, ma il ciclo di sistema... che non ha un numero fisso... ma viaggia dai 50 ai 99 salendo è scendendo...

vedendo nei forum che le persone che chiedevano aiuto postavano dei log ( o cose del genere ) seguendo la vostra guida l'ho fatto anke io...

ed ecco il mio (dato ke nn me lo faceva postare , xke troppo lungo lo uppato):

http://rapidshare.de/files/41208455/hijackthis.log.html


Grazie mille!

P.S.
Il computer è anke lentissimo, e ci mette tempo ad aprirsi( troppo tempo!)

Lo butto?

[kekkocj]

Grazie per avermi cambiato il titolo alla discussione... anke se non l'ho messo io quel titolo, xkè credo ke il problema non sia proprio msn....

cmq inseguito alla scansione con Malwarebytes Anti-Malware
ho avuto questi riscontri :
Malwarebytes' Anti-Malware 1.31
Versione del database: 1544
Windows 5.1.2600 Service Pack 3

25/12/2008 16.08.23
mbam-log-2008-12-25 (16-08-23).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 57088
Tempo trascorso: 18 minute(s), 20 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 47
Valori di registro infetti: 7
Elementi dato del registro infetti: 0
Cartelle infette: 6
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.htmlmenu.2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutt on (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswatterbarbutt on.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswattersetting scontrol (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\funwebproducts.popswattersetting scontrol.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07b18eaa-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07b18eac-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1093995a-ba37-41d2-836e-091067c4ad17} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{120927bf-1700-43bc-810f-fab92549b390} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{247a115f-06c2-4fb3-967d-2d62d3cf4f0a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e3537fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e1656ed-f60e-4597-b6aa-b6a58e171495} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e53e2cb-86db-4a4a-8bd9-ffeb7a64df82} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63d0ed2b-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63d0ed2d-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6e74766c-4d93-4cc0-96d1-47b8e07ff9ca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7473d291-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{90449521-d834-4703-bb4e-d3aa44042ff8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{991aac62-b100-47ce-8b75-253965244f69} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bbabdc90-f3d5-4801-863a-ee6ae529862d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d6ff3684-ad3b-48eb-bbb4-b9e6c5a355c1} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{de38c398-b328-4f4c-a3ad-1b5e4ed93477} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{eb9e5c1c-b1f9-4c2b-be8a-27d6446fdaf8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a4730ebe-43a6-443e-9776-36915d323ad3} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07b18ea0-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8ca01f0e-987c-49c3-b852-2f1ac4a7094c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\MyWebSearch Email Plugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\MyWebSearch Email Plugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\My Web Search Bar Search Scope Monitor (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\User Agent\Post Platform\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Programmi\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\bar (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\SrchAstt (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\SrchAstt\1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.

File infetti:
C:\Programmi\MyWebSearch\bar\1.bin\MWSBAR.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\bar\1.bin\F3HTMLMU.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\bar\History\search2 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.D LL (Adware.MyWebSearch) -> Quarantined and deleted successfully.



in più aggiungo uno script del mio task... cioè dell'andamento della CPU...



( in pratica sto cercando di darvi quante più info e possibile, ma vedo ke nessuno risponde! uff )

[Deifobe]

scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".

Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.

[Deifobe]

- systemscan eseguilo come indicato
- ho messo il titolo basandomi su quello che avevi scritto nel primo post
- nessuno ha risposto ma nessuno vive appiccicato al forum..... può capitare che passi qualche ora...
- evita di scrivere contemporaneamente su più forum. personalmente, abbandonerei la discussione.

[kekkocj]

Grazie...
Cmq ho fatto la "scansione"
mi si è creata una cartella sul desktop...
dentro ci sono 2 file:
report.txt
25_12_2008_18_12_report.zip


se clicco sul Savefile ... mi rindirizza su savefile.com ( che non si apre )

ho usato un'altro sito x uppare file:

http://www.mediafire.com/?sharekey=a...db6fb9a8902bda

va bene lo stesso?

[Deifobe]

allora, il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto qualcosa.. purtroppo io da systemscan vedo solo:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\^ ^ %% ^^^%%% %%%% % ^% ^%%^%%.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare , guardala bene (devi eliminare solo quella, intesi? )

Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina tutto lasciando solo

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)


ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!

Chiudi il registro, e postami i nomi dei due file trovati

se qualcosa non ti è chiaro non toccare nulla e chiedi.

Poi, analizza il file C:\WINDOWS\system32\Smab0.dll su Virustotal e posta il link dell'analisi.


eliina la cartella C:\Programmi\MyWebSearch

[kekkocj]

allora

1) tu hai scritto : tutto quello scritto in rosso lo devi eliminare...

beh io credo intendessi che dovevo andare nel percorso : C\WINDOWS\system32\ e cancellare il file: ^ ^ %% ^^^%%% %%%% % ^% ^%%^%%.exe,

Questo file l'ho cercato in tutti i modi ( visualizzando i file nascosti, con cerca , vedendo i file ad uno ad uno)
Niente scomparso non c'è!

Allora sono passato al secondo passo ed ho fatto:
doppio clic su "userinit" e ho eliminato tutto lasciando solo

c:\windows\system32\userinit.exe,

2) chiudi il registro e postami i nomi dei 2 file trovati...

mmm non capisco quali file?

3) analizza il file Smab0.dll

Il file Smab0.dll nella cartella system32 non esiste , c'è solo un file che si chiama Smab.dll

ed ho analizzato quello

http://www.virustotal.com/it/analisi...395113dac3c648

4)elimina la cartella C:\Programmi\MyWebSearch

Possibile che non c'è neanke questa????

Scusatemi per il tempo che vi faccio perdere...

[Deifobe]

Originariamente inviato da kekkocj
allora

1) tu hai scritto : tutto quello scritto in rosso lo devi eliminare...

beh io credo intendessi che dovevo andare nel percorso : C\WINDOWS\system32\ e cancellare il file: ^ ^ %% ^^^%%% %%%% % ^% ^%%^%%.exe,

Questo file l'ho cercato in tutti i modi ( visualizzando i file nascosti, con cerca , vedendo i file ad uno ad uno)
Niente scomparso non c'è!

Allora sono passato al secondo passo ed ho fatto:
doppio clic su "userinit" e ho eliminato tutto lasciando solo

c:\windows\system32\userinit.exe,

forse non è stata chiara la proceduura, quella stringa, se vedi, era quella che seguiva c:\windows\system32\userinit.exe, solo che io la vedevo nascosta... con tutti ^ e %..

ossia, erano i file a cui ti riferivi quando hai scritto

Allora sono passato al secondo passo ed ho fatto:
doppio clic su "userinit" e ho eliminato tutto lasciando solo

c:\windows\system32\userinit.exe,

appunto.. e cosa c'era scritto dopo c:\windows\system32\userinit.exe, ???

Poi...

2) chiudi il registro e postami i nomi dei 2 file trovati...

mmm non capisco quali file?

erano i file (o il file) che erano indicati dopo c:\windows\system32\userinit.exe,
li ricordi?

3

) analizza il file Smab0.dll

Il file Smab0.dll nella cartella system32 non esiste , c'è solo un file che si chiama Smab.dll

ed ho analizzato quello

non è lo stesso file, sembrerebbe sia comunque infetto....
però ho controllato ed trovato questo...
Library for read info about media files
MediaInfo.dll
MediaInfoLib - Dll - MSVC 2005

non eliminarlo, vedo prima cos'è più esattamente

4)elimina la cartella C:\Programmi\MyWebSearch

Possibile che non c'è neanke questa????

ok, non fa nulla, meglio così

[Deifobe]

Originariamente inviato da Deifobe
allora, il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto qualcosa.. purtroppo io da systemscan vedo solo:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\^ ^ %% ^^^%%% %%%% % ^% ^%%^%%.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare , guardala bene (devi eliminare solo quella, intesi? )

comunque sei tu che non hai letto bene la procedura....
non ti ho mai scritto di cercare in windows C:\WINDOWS\system32\^ ^ %% ^^^%%% %%%% % ^% ^%%^%%.exe,
ma di eliminarla da userinit...

[kekkocj]

beh allora ho fatto bene...
dovevo solo modificare i dati valore...

e per il resto?

cmq lei mi hai detto di chiedere se non capivo...
cosa ho fatto di male?