Ciao, sono Maria, ho molte volte consultato il forum in cerca di aiuto, ma questa è la prima volta che vi scrivo. Uno dei PC di casa da un po' non si spegne - resta fermo su "chiusura di Windows in corso", ora sta diventando sempre più lento, compaiono messaggi di errore strani tipo "SRV#001 CLED error", Avast mi ha trovato tracce di un trojan... insomma, un disastro!
Vi posto il log odierno di Hijack, confido nel vostro aiuto e ringrazio anticipatamente tutti!

Ecco il log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.18.32, on 23/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\syss_.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Roland\VSC32\vsc32cnf.exe
C:\Programmi\Roland\VSC32\vscvol.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\Fra\IMPOST~1\Temp\Rar$EX01.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series -] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P28 "EPSON Stylus CX3600 Series -" /O5 "LPT1:" /M "Stylus CX3600"
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [vsc32cnf.exe] C:\Programmi\Roland\VSC32\vsc32cnf.exe
O4 - HKLM\..\Run: [vscvol.exe] C:\Programmi\Roland\VSC32\vscvol.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKLM\..\Policies\Explorer\Run: [7X29C2X78Y] C:\WINDOWS\syss_.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\Sptisrv.exe

--
End of file - 7009 bytes

N. B.
Al PC sono collegate due stampanti, un router (che al momento ho staccato perchè all'accensione immediatamente l'antivirus mi diceva che aveva bloccato il download di un trojan ...), un cellulare Sony e la macchina fotografica digitale.

Sono ancora io... ora l'antivirus mi segnala che C\WINDOWS\Svcr32.dll è infetto da Trojan H Generic8 TEC...
Che faccio, formatto?
Giacchè ci sono, ringrazio i forumisti, l'ideatore, tutti coloro che collaborano ad Aiutamici per la risorsa grandiosa che questo sito rappresenta.
Smack!

No, Athena: tranquilla. Non ti risponde nessuno perché ci vuole un po' di tempo per studiare a fondo un LOG.
Innanzitutto, vedi di installare quanto prima il Service Pack 2 e di aggiornare il tuo IE.
Da qui, puoi scaricare il Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=it
Qui, invece, trovi spiegato perché è così importante installare il Service Pack 2:
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=160&SH=N
Il file <font color=red>syss_.exe</font id=red> mi sa tanto che è un bel virus... es è strettamente correlato al trojan che t'ha infettato il <i>C\WINDOWS\Svcr32.dll</i>...
Di conseguenza, io, "fixerei" la voce sottostante:
<font color=red>O4 - HKLM\..\Policies\Explorer\Run: [7X29C2X78Y] C:\WINDOWS\syss_.exe</font id=red>
Puoi fixare anche la voce sottostante (non rappresenta un pericolo, ma par che non sia necessario averla all'avvio, essendo collegata al Bluetooth)
<font color=orange>O4 - Global Startup: BlueSoleil.lnk = ?</font id=orange>
Naturalmente, è da eradicar completamente anche il file "incriminato" <font color=red>C:\WINDOWS\syss_.exe</font id=red>
Non t'assicuro affatto che -fatto questo. avrai risolto i tuoi problemi. Per cui ti suggerisco CALDAMENTE (dopo aver installato il Service Pack 2 e fatto i necessari "aggiornamenti prioritari" con Windows Update) di andar sul sito Housecall TrendMicro e fare una bella scansione online (clicca, poi, eventualmente, per eliminare qualsivoglia malware ti venga rilevato).
http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php
Dopo di che, prova a fare un nuovo LOG e vienilo a postare.
Tieni presente (ma -al momento- si tratta solo di un mio vago [e ingiustificato] sospetto) che potresti anche aver contratto il LinkOptimizer...
E ora -dato che io, coi LOG, non son gran che- aspettiamo il giudizio di qualcuno bravo per davvero (Pidue o, forse, Alfonso)...

Edited by - monsee on 11/26/2007 01:18:59

Piacere di conoscerti, Maria!
Ma sappi che il computer te lo dovrai salvar da te! (noi ti aiutiamo certo, ovviamente!)...
Difatti, se non installi in Service Pack 2 -ammesso e non concesso che stavolta te la sfanghi- ti troverai ancora nei guai entro tre giorni...
Insomma, il tuo Sistema Operativo è abbastanza obsoleto (ossia, presenta numerose "falle", le quali permettono ai virus e alle altre schifezze di passar tranquillamente senza pagar pegno).
Consentimi, poi, un discorso circa gli antivirus: aver due antivirus "residenti" installati è una PESSIMA IDEA, perché i due faranno a pugni fra di loro e si dimenticheranno di contrastare i virus.
Tu devi scegliere UN antivirus solo (AVG 7.5 free è ottimo, ma anche Avast! free non è malaccio: qual che conta è che "ne resti solamente uno" [un po' come gli Highlanders "immortali" del famoso film]).
Inoltre, DEVI (sia io che il tuo computer te lo chiediamo in ginocchio) installare un valido FIREWALL. Se non hai un buon Firewall a difenderti, credimi sulla parola, qua non ne veniam fuori...

Edited by - monsee on 11/26/2007 01:10:22

Ciao,

il log risulta pulito da spyware

esegui queste operazioni

Elimina i file inutili del sistema utilizzando questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1223

Utilizza questi due programmi per eliminare eventuali spyware
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1639
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=831

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

Nel sistema non é presente un Firewall, installa questo programma se non ne utilizzi già uno
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1644

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041

Installa questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1472

---

alfonso_aiutamici@hotmail.it