PC incredibilmente lento.

[joker75]

Ciao a tutti è da pochi giorni che il mio Pc si comporta in modo strano.
Il computer è lento anche nell'aprire una semplice cartella. Anche le icone di file o cartelle si caricano lentamente. Molte volte è come se non recepisce gli imput. Quando cerco di aprire una applicazione compare la clessidra, dopo un po scompare ma non succede niente. Così mi succede spesso quando cerco di aprire Internet Explorer.
Solo dopo una lunga attesa e facendo attenzione a non avviare nessun altro processo riesco ad avviare IE. Dopo averlo avviato però la connessione è molto lenta e nella maggior parte dei casi l'applicazione si blocca e non risponde, quindi sono costretto a chiuderla usando il Task manager.

Ho fatto le scanzioni con i programmi antivirus a mia disposizione ( Spy Bot, Ad aware, AVG antirootkit, norton Antivirus 2003, Sargui, CWshredder) ma nessuno di questi ha rilevato niente.

Invece facendo un a scanzione on line con Panda, questi mi segnalava la presenza di due rootkit, ed allo stesso tempo però si blocca e non riesce a completare la scnzione.
Ho provato anche ad effettuare una scanzione online con Norton Security..ma anche in questo caso la scanzione non è stata completata e si è bloccata.
ùCosa Sta succedendo al mio PC? E' possibile che sia infettatto da qualche virus?

Qui di seguito posto il log di Hijakthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.11.05, on 08/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
c:\Programmi\Norton Personal Firewall\NISUM.EXE
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\Programmi\Norton Personal Firewall\ccPxySvc.exe
c:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
c:\Programmi\Norton AntiVirus\SAVScan.exe
C:\PROGRA~2\UpsPilot\Winpower.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\ PCHButton.exe
C:\PROGRA~2\UpsPilot\hello21.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Proprietario\Documenti\ProgManGuiddownloa d\Programmi Manuali scaricati\Hijacthi 2.0\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-it10.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-it10.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-it10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [ccRegVfy] "c:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Programmi\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\ PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59C1B3F4-BEEF-4038-983E-9DAC6532E043}: NameServer = 85.37.17.51 85.38.28.97
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\Browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\Browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Programmi\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Programmi\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe

--
End of file - 8031 bytes

[OYS]

Log pulito

Fai una scansione con systemscan.
Una volta eseguita la scansione portati in C:\suspectfile e carica il file report.txt su www.sendmefile.com e scrivi il link per poterlo scaricare

[ste-95]

scarica GMER da qui http://www.gmer.net/gmer.zip e vedi se trovi dei porcessi nascosti (**hidden**), se si segnalali.

[OYS]

Originariamente inviato da ste-95
scarica GMER da qui http://www.gmer.net/gmer.zip e vedi se trovi dei porcessi nascosti (**hidden**), se si segnalali.

Non serve. Il log din systemscan racchiude in se anche quello di gmer.

[Habanero]

per favore come da regolamento, scegliamo bene i titoli.

joker75 nell'ottenere qualsiasi tipo di log da programmi di sicurezza, è bene attenersi a poche semplici regole indicate nel punto [4] della discussione sulla rimozione del malware posta in rilievo. In particolare è buona norma chiudere TUTTI i programmi e tutte le finestre. Questo per due motivi:

1) se alcuni programmi sono attivi durante il "fix" (mi riferisco soprattutto al browser) la rimozione delle voci può non andare a buone fine

2) I log possono per loro natura non essere particolarmente brevi. Eliminare il superfluo aiuta chi deve analizzare il log a districarsi tra un numero di voci inferiore.

[joker75]

Innanzitutto grazie a tutti voi per le indicazioni che mi avete dato.

Habanero le tue precisazioni sono sempre preziose, ero al corrente di quanto mi hai scritto a proposito del log, purtroppo visto i capricci che fa il mio Pc, essendo uno dei rari momenti in cui non faceva i capricci ho preferito non chiudere la connessione. Cmq la prossima volta starò più attento.

Ho seguito alla lettera quanto detto da OYS, ecco il link:

http://www.sendmefile.com/00531146

[OYS]

La scansione si è stoppata a "Alternate Data Sreams", quindi vuol dire che qualcosa l'ha bloccata.
Fai la scansione selezionando solo gli ultimi 4:


-Encrypted Files
-Hidden objects --> (questo dovrebbe essere gmer)
-Suspicious Files
-Include hijackthis.log

[joker75]

Ok. Ho fatto una nuova scanzione eseguendo gli ultimi 4 processi, ecco il link:

http://www.sendmefile.com/00531640


Scusatemi se non rispondo subito ma tutto dipende dai turni di lavoro. Ciao

[OYS]

Nei log di systemscan non ho visto niente di speciale. Gmer (integrato in systemscan) non ha trovato rootkit.

Fai una scansione con RootkitRevealer (in fondo c'è il download) e posta il log.

Poi fai la scansione co questi:
sophos antirootkit
Avg antirootkit
blacklight



P.S. Come puoi vedere, non è un caso che la scansione si sia bloccata sugli "Alternate Data Sreams", è stato il rootkit a bloccarlo:


http://sicurezza.html.it/articoli/le...-difendersi/2/


Se riesci, prova a fare in modalità provvisoria una scansione selezionando solo "Alternate Data Sreams".

[OYS]

Originariamente inviato da joker75
Scusatemi se non rispondo subito ma tutto dipende dai turni di lavoro. Ciao

Prendi tutto il tempo che vuoi, sono sempre qua