Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

controllo log Opzioni
sfigato
Inviato: Thursday, March 17, 2016 9:03:23 AM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
mi controllate il log di hijack...???
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.01.23, on 17/03/2016
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe
C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe
C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\spdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\Launcher\Avira.ServiceHost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\DivX\DivX Update\DivXUpdate.exe
C:\Programmi\CyberLink\PowerDVD11\PDVD11Serv.exe
C:\Programmi\File comuni\Common Desktop Agent\CDASrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\Launcher\Avira.Systray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DAEMON Tools Pro\DTAgent.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\CCleaner\CCleaner.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
c:\programmi\avira\antivir desktop\avscan.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [RemoteControl11] C:\Programmi\CyberLink\PowerDVD11\PDVD11Serv.exe
O4 - HKLM\..\Run: [APSDaemon] "C:\Programmi\File comuni\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira SystrayStartTrigger] C:\Programmi\Avira\Launcher\Avira.SystrayStartTrigger.exe
O4 - HKLM\..\Run: [CDAServer] C:\Programmi\File comuni\Common Desktop Agent\CDASrv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}] "C:\Documents and Settings\All Users\Dati applicazioni\Package Cache\{3b87484e-d70b-4b4f-ad59-2ae89571e2cf}\Avira.OE.Setup.Bundle.exe" /quiet /norestart /burn.log.append "C:\WINDOWS\TEMP\Avira_Launcher_20160219102317.log" /install CALLER_PARTNER_ID=avira /burn.runonce
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programmi\DAEMON Tools Pro\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Programmi\CCleaner\CCleaner.exe" /MONITOR
O4 - HKCU\..\Run: [_njwr] C:\WINDOWS\SYSTEM32\CMD.EXE /C START C:\Documents and Settings\Utente\Documenti\btioex.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [_ebik] C:\WINDOWS\SYSTEM32\CMD.EXE /C START C:\Documents and Settings\Utente\Documenti\btioex.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.txt (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.txt (User '?')
O4 - S-1-5-18 Startup: RECOVERcnqiv.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.txt (User 'Default user')
O4 - Global Startup: RECOVERcnqiv.html
O4 - Global Startup: RECOVERcnqiv.png
O4 - Global Startup: RECOVERcnqiv.txt
O4 - Global Startup: RECOVERfukdm.html
O4 - Global Startup: RECOVERfukdm.png
O4 - Global Startup: RECOVERfukdm.txt
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira Service Host (Avira.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\Launcher\Avira.ServiceHost.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CLHNServiceForPowerDVD - Unknown owner - C:\Programmi\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe
O23 - Service: CyberLink PowerDVD 11.0 Monitor Service - CyberLink - C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe
O23 - Service: CyberLink PowerDVD 11.0 Service - CyberLink - C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programmi\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Samsung Printer Dianostics Service - Unknown owner - C:\WINDOWS\system32\\spdsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 11056 bytes
grazie mille..!!!
Sponsor
Inviato: Thursday, March 17, 2016 9:03:23 AM

 
sfigato
Inviato: Thursday, March 17, 2016 9:04:25 AM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
cos'è bioetix.exe....???
cbbusto
Inviato: Thursday, March 17, 2016 7:08:25 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
sfigato ha scritto:
cos'è bioetix.exe....???


Si tratta della conversione del numero d'identificazione (IDE) nel cantone di Ginevra.
Ci sentiamo questa sera e ti dico cosa fare.
Dimmi che problemi ha il pc. Speak to the hand
cbbusto
Inviato: Thursday, March 17, 2016 10:27:14 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Controllato, tu non hai bioetic.exe ma btioex.exe che è altra cosa ma non si capisce a cosa si riferisce, quindi segui il percorso ed elimina quello che trovi file e cartella:
C:\Documents and Settings\Utente\Documenti\btioex.exe

Il log non presenta infezioni ma hai una marea di programmi in avvio che non servono in particolare queste: Startup: RECOVERcnqiv.html (User 'SYSTEM') ve ne sono ben 30. Vanno eliminate, cioè disattivate, tutte tranne l'antivirus.
Vedo che hai ccleaner usa quello, lo apri vai in Strumenti>Avvio e su tutte le voci, tranne l'antivirus Avira, fai doppio clic nella parte sinistra su SI e diventa NO disattivata.
Poi fai queste scansioni:
Scarica ed installa MalwareBytes: clicca qui per il download: http://it.malwarebytes.org/
Clicca su: scarica la versione Gratuita alla destra, nella finestra che appare clic su Salva file,
poi per installarlo clic su: mbam-setup.exe, a completamento installazione togliere la spunta alla casella "Attiva la prova gratuita di Malwarebytes Pro" poi clic su fine.
Il programma è già in Italiano.
Nella parte alta cliccare sul menu Opzioni e nella sezione Rilevamento e protezione spuntare la casella Ricerca Rootkit
Prima di fare la scansione AGGIORNALO. (è molto importante)
Poi clic su SCANSIONE verrà fatta la ricerca di elementi nocivi., già selezionata di Default,.
Alla fine appariranno i risultati della ricerca, se ci sono elementi nocivi cliccare su Rimuovi selezionati che verranno messi in quarantena, poi clic su chiudi.
Durante le operazioni ignorare gli annunci che appaiono in basso, riguardano la vs Pro.
Posta il log. Malwarebytes lo dovresti già conoscere

Scarica Adwcleaner sul desktop: http://www.bleepingcomputer.com/download/adwcleaner/
Per il download cliccare su: Download now
Chiudi tutti i browser (è importante IE,Firefox Chrome ecc...)
Clicca sul pulsante "Analisi".
Finita la scansione clicca su "Pulizia"

Conferma con OK le varie finestre che ti compariranno.
Il pc si riavvierà, e uscirà il log con le eliminazioni.
Postalo qui.
ADW crea un backup dei files e delle impostazioni eliminati, si trova in "C:\AdwCleaner\Quarantine" in modo da consentire l'eventuale ripristino di dati erroneamente cancellati.
Per il ripristino, aprire il programma>Strumenti>Gestione quarantena>Ripristino.

Scarica Junkware Removal Tool sul desktop.
http://junkware-removal-tool.it.uptodown.com/download
Il download dovrebbe partire entro 5 secondi
Disattiva temporaneamente l'antivirus per evitare potenziali conflitti.
Doppio click su JRT
Lo strumento si aprirà e avvierà la scansione del sistema.
Devi avere pazienza in quanto questo tool può richiedere del tempo per completare la scansione .
Al termine, un log (JRT.txt) viene salvato sul desktop e si aprirà automaticamente.
Postalo qui.
Fai sapere come va il pc.


sfigato
Inviato: Wednesday, March 23, 2016 8:11:44 AM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
grazie...!!
tutte le operazione che mi hai consigliato le ho già eseguite..
oggi ti posto i log.
quello che mi preoccupa sono queste righe...

O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.txt (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.txt (User '?')
O4 - S-1-5-18 Startup: RECOVERcnqiv.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.txt (User 'Default user')
O4 - Global Startup: RECOVERcnqiv.html
O4 - Global Startup: RECOVERcnqiv.png
O4 - Global Startup: RECOVERcnqiv.txt
O4 - Global Startup: RECOVERfukdm.html
O4 - Global Startup: RECOVERfukdm.png
O4 - Global Startup: RECOVERfukdm.txt

di cosa si tratta...??? sarà un trojan tipo tesla crypt...????
cbbusto
Inviato: Wednesday, March 23, 2016 6:58:54 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
No niente cprytolooker sono tutti programmi in avvio automatico, che sinceramente non capisco a cosa si riferiscono, vanno eliminati tutti cioè disattivati ti avevo detto di usare ccleaner altrimenti puoi farlo con HJT così:
Chiudi tutti i programmi e disconnesso da internet,
Lancia HijackThis e clicca sul secondo pulsante Do a system scan only
inserisci il segno di spunta nel quadratino davanti alle righe sotto elencate, una volta seleziona clicca il tasto Fix checked per procedere all'eliminazione, comparirà una finestra clicca su SI per accettare e l'operazione è conclusa.

Ti preciso che eliminando le voci 04, i programmi non vengono toccati ma viene solo disattivato l'Avvio automatico, inutile......basterebbe solo l'antivirus.

Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata meglio sul desktop. Solo così Hijackthis creerà copie di backup di quello che viene eliminato prima di apportare modifiche, così in caso di inconvenienti si possono reinstallare.

O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERcnqiv.txt (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.html (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.png (User '?')
O4 - S-1-5-21-527237240-562591055-682003330-500-{637FE20B-9A5B-4F51-B1BE-D10045625B40}-0 Startup: RECOVERfukdm.txt (User '?')
O4 - S-1-5-18 Startup: RECOVERcnqiv.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.txt (User 'Default user')
O4 - Global Startup: RECOVERcnqiv.html
O4 - Global Startup: RECOVERcnqiv.png
O4 - Global Startup: RECOVERcnqiv.txt
O4 - Global Startup: RECOVERfukdm.html
O4 - Global Startup: RECOVERfukdm.png
O4 - Global Startup: RECOVERfukdm.txt

Fatto questo rifai una scansione con HJT e posta il nuovo log aggiornato, oltre a quelli delle scansioni precedenti.
Però non rispondermi fra 15 giorni e dimmi come va il pc. Ciao


sfigato
Inviato: Sunday, March 27, 2016 9:21:46 PM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
dunque ho rimosso con CCleaner tutti i programmi in esecuz automatica...
poi ho fixato le righe come mi hai consigliato... adesso ti posto il log.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.20.29, on 27/03/2016
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Dropbox\Client\Dropbox.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\CyberLink\PowerDVD11\PDVD11Serv.exe
C:\Programmi\File comuni\Common Desktop Agent\CDASrv.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe
C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe
C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\DAEMON Tools Pro\DTAgent.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\CCleaner\CCleaner.exe
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\spdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\Launcher\Avira.ServiceHost.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Avira SystrayStartTrigger] C:\Programmi\Avira\Launcher\Avira.SystrayStartTrigger.exe
O4 - S-1-5-18 Startup: RECOVERcnqiv.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.txt (User 'Default user')
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Mail Protection (AntiVirMailService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira Service Host (Avira.ServiceHost) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\Launcher\Avira.ServiceHost.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CLHNServiceForPowerDVD - Unknown owner - C:\Programmi\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceForPowerDVD.exe
O23 - Service: CyberLink PowerDVD 11.0 Monitor Service - CyberLink - C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSMonitorService.exe
O23 - Service: CyberLink PowerDVD 11.0 Service - CyberLink - C:\Programmi\CyberLink\PowerDVD11\Common\MediaServer\CLMSServerForPDVD11.exe
O23 - Service: Servizio Aggiornamento Dropbox (dbupdate) (dbupdate) - Dropbox, Inc. - C:\Programmi\Dropbox\Update\DropboxUpdate.exe
O23 - Service: Servizio Aggiornamento Dropbox (dbupdatem) (dbupdatem) - Dropbox, Inc. - C:\Programmi\Dropbox\Update\DropboxUpdate.exe
O23 - Service: MBAMScheduler - Malwarebytes - C:\Programmi\Malwarebytes Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes - C:\Programmi\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Samsung Printer Dianostics Service - Unknown owner - C:\WINDOWS\system32\\spdsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6938 bytes


come vedi...anche dopo pochi secondi tutto torna come prima.....!!!
sto impazzendo....il pc non mi apre più i file di word...mi dice che manca un file di decodifica...
cbbusto
Inviato: Sunday, March 27, 2016 10:18:12 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Non è vero che tutto è rimasto come prima, le voci 04 prima erano 58 ora ne sono rimaste 20, quello che riguarda word dipende da Office, ti avevo chiesto di dirmi come va il pc e non hai risposto, quindi io non so che problemi avesse prima quando hai postato il primo log, l'unica domanda che mi hai fatti si riferiva a bioetic.exe, mentre tu avevi btioex.exe, ora il log non presenta problemi, ci sono quelle voci 04 che si riferiscono a una Applicazione sconosciuta il resto è a posto, l'unica voce che riguarda Office c'è ancora. Manca un file di decodifica vuol dire che office non riesce a decifrare quel file, manca un decodificatore per riprodurre il testo in modo leggibile.
Reinstalla Office oppure completa l'installazione di Word, le decodifiche si trovano nel software, non so che Office hai dovresti avere il CD originale o una copia, questo lo sai tu
Quello che è stato tolto con le pulizie non riguarda Office.
Quando si posta un log di HJT si dovrebbe dire che problemi ci sono. Di più non so cosa dirti
solfami
Inviato: Monday, March 28, 2016 12:12:54 PM

Rank: AiutAmico

Iscritto dal : 11/14/2003
Posts: 2,269
Salve
Hai la versione vecchia di HJT.
Le scansioni di sicurezza si fanno disconnessi.
Cioè, se clicchi sulle icone dei browser(IE, Firefox) ti deve uscire:
Impossibile collegarsi alla pagina.
Vedi dove sono ubicati quei file con la funzione "cerca".
Benedetto figliolo, elenca i problemi che riscontri.
Saluti
sfigato
Inviato: Saturday, April 02, 2016 8:56:45 PM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
scusatemi, ragazzi...avete ragione...
in questo periodo sono un po' più incasinato del solito...
dunque provo ad essere più chiaro.
il problema riscontrato si verifica soprattutto con file di word.
nelle cartelle di file di word mi trovo i classici tre-quattro file del tipo che si aprono con il tesla cript....
ossia il file con il link per il "riscatto"...
poiché su un altro pc che uso in studio ho avuto il benedetto tesla cript 3.0....
appena ho riscontrato questo problema anche sul pc di casa ..ho iniziato a pensare male....
quando apro il file di word mi dice che manca un file di decodifica...
dunque.
1. ho provato a disinstallare office (ho il 2003)... ho reinstallato tutto...e niente... tutto come prima...
2. le varie scansioni mi danno tutto ok....ma...
3. ho provato a ripristinare il windows da un punto di ripristino...ma l'operazione fallisce sempre....
4. rifaccio tutte le scansioni...dovrò prima disattivare il ripristino...???
5. cerco di farvi capire meglio dove sono ubicati questi file....

grazie mille e spero di essere stato un po' più chiaro.
sfigato
Inviato: Saturday, April 02, 2016 8:59:26 PM
Rank: AiutAmico

Iscritto dal : 2/16/2005
Posts: 79
in sostanza il pc tutto sommato va bene...si connette ad internet e non è lento ...ma con i
file di word mi da problemi e noto la presenza di questi file dall'estensione strana
O4 - S-1-5-18 Startup: RECOVERcnqiv.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERcnqiv.txt (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.html (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.png (User 'SYSTEM')
O4 - S-1-5-18 Startup: RECOVERfukdm.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT Startup: RECOVERfukdm.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERcnqiv.txt (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.html (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.png (User 'Default user')
O4 - .DEFAULT User Startup: RECOVERfukdm.txt (User


grazie mille.
cbbusto
Inviato: Saturday, April 02, 2016 10:43:52 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Visto che il pc va bene e i problemi li hai solo aprendo i file word, perchè non installi libre Office una suite gratuira che lavora come Office e apre tutti i file di word e non solo,
la provi, apri Write che è l'equivalente di word e i file di word li dovrebbe aprire, tieni presente che puoi anche salvarli in .doc e volendi si possono salvare anche in PDF, lo trovi su aiutamici con la scheda qui: http://software.aiutamici.com/software?ID=20070.
L'inghippo penso proprio che diano quei file in Avvio, prova ad avviare il pc in modalità provvisoria, poi lanci HJT col secondo pulsante selezioni tutte le voci in avvio le fixi e vediamo se si riesce ad eliminarle, naturalmente disconnesso. Comunque prendi in considerazione Libre Office che è un ottimo programma. Speak to the hand
solfami
Inviato: Sunday, April 03, 2016 11:00:31 AM

Rank: AiutAmico

Iscritto dal : 11/14/2003
Posts: 2,269
cbbusto ha scritto:
Visto che il pc va bene e i problemi li hai solo aprendo i file word, perchè non installi libre Office una suite gratuira che lavora come Office e apre tutti i file di word e non solo,
la provi, apri Write che è l'equivalente di word e i file di word li dovrebbe aprire, tieni presente che puoi anche salvarli in .doc e volendi si possono salvare anche in PDF, lo trovi su aiutamici con la scheda qui: http://software.aiutamici.com/software?ID=20070.
L'inghippo penso proprio che diano quei file in Avvio, prova ad avviare il pc in modalità provvisoria, poi lanci HJT col secondo pulsante selezioni tutte le voci in avvio le fixi e vediamo se si riesce ad eliminarle, naturalmente disconnesso. Comunque prendi in considerazione Libre Office che è un ottimo programma. Speak to the hand


Salve
Confermo, lo uso.
Saluti
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.