PDA

Visualizza versione completa : pc lento ...Sarà un virus ????


sputnik
22-03-2009, 09.48.57
ciao a tutti, poichè ho il pc lentissimo - sia in fase di apertura sistema che in internet - chiedo se qualcuno ha voglia di dare un'occhiata al mio log...
grazie.

Perusar
22-03-2009, 10.10.02
In attesa del log di hijackthis puoi dirci

- sistema operativo
- antivirus utilizzato
- eventuali antispyware installati

:)

cascavel
22-03-2009, 10.10.33
allega il log altrimenti come si fa a vederlo?

sputnik
22-03-2009, 11.21.52
scusate pensavo di averlo allegato :wall:
Uso un pentium 4 CPU 1.70 GHz con s.o. Win XP sp 2
l'antivirus è il Kaspersky 2009
ho installato Malwarebytes' Anti-Malware che a volte lancio per il controllo
Stesso discorso per SuperAntispyware Free edition

Ancora grazie.

ciaooooo

cascavel
22-03-2009, 11.49.23
dal log non sono visibili infezioni, disattiva il controllo in real time del tuo antivirus, scarica ed esegui combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
disconnesso dalla rete, accetta il disclaimer con le condizioni di utilizzo del software, rifiuta l'installazione della console di ripristino microsoft, durante l'esecuzione della scansione non fare nulla con il pc. al termine della scansione il pc si dovrebbe riavviare, e mostrarti il log C:\combofix.txt, allegalo al prossimo post.

leofelix
22-03-2009, 12.25.43
scusate se mi intrometto:
io non credo che il tuo sistema sia infetto, usi il Kaspersky AV 2009 che ha un notevole impatto sulle risorse di sistema, per quanto sia stato alleggerito hai pur sempre un P IV 1,7 Ghz che non è esattamente un processore di ultima generazione.
Hai effettuato quindi scansioni anche con MalwareBytes' AntiMalware e SAS free.


Se questi 3 programmi non hanno trovato nulla ritengo sia difficile che il sistema sia infetto, ma tutto è possibile.

Noto che hai installato Acronis True Image che installa 3 servizi in esecuzione automatica.
Noto anche che utilizzi il CDBurnerXP, che versione?
Ci sono alcune delle recenti versioni di CDBurnerXP che impegnano sensibilmente la CPU.

Quanta RAM hai installata?
Da quanto tempo non deframmenti il sistema e non effettui pulizie di files superflui.
E soprattutto da quando si verificano i rallentamenti che lamenti?

[EDIT] Mi era sfuggito questo particolare dal tuo log

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

a questo punto, il tuo sistema potrebbe non essere stato aggiornato quanto meno a questa patch

http://support.microsoft.com/kb/923980

confronta:

http://www.pchell.com/support/nwprovau_dll_file.shtml

Quindi, altra domanda: a parte il SP 3 assente, il tuo sistema è aggiornato alle più recenti patch microsoft?
Kaspersky AV 2009 ha un sistema di scansione delle vulnerabilità, dovrebbe averti avvisato in merito, a meno che tu non abbia disattivato questa funzione.

Se il sistema non è aggiornato allora può essere facile preda di qualsiasi minaccia informatica.

Fallo comunque girare il ComboFix che ti ha suggerito cascavel, mi raccomando

sputnik
22-03-2009, 19.43.38
ok , come richiesto allego il file di scansione di ComboFix.txt ed aspetto le Vostre conclusioni...
A presto.
ciaoooo

leofelix
22-03-2009, 20.53.09
mm l'infezione mi pare che c'era eccome

2008-09-13 19:52 24,912 ----a-w c:\documents and settings\Utente Windows\qwgprvho.exe
2008-09-13 19:51 24,912 ----a-w c:\documents and settings\Utente Windows\kuikhoyo.exe

mi faresti vedere il file
ComboFix-quarantined-files.txt ?

sputnik
22-03-2009, 21.47.22
ok LeoFelix, mi confermi quindi che avevo un virus ?
Ad ogni modo, come da tua richiesta, ti allego il file "ComboFix-quarantined-files".
Aspetto tue info.
A presto e grazie.
ciaoooo

leofelix
22-03-2009, 22.13.18
già sembra proprio di sì.
Dovresti ora effettuare al più presto Windows Update e aggiornare il sistema alle patch più recenti, SP 3 incluso.
Quindi per scrupolo scarica questo tool gratuito:

http://download.f-secure.com/estore/fseasyclean.exe (6 MB circa)

ed eseguilo, ha bisogno dell'accesso a internet.
Ci impiegherà pochi minuti per controllare se il sistema è ancora infetto di virus, trojans, spyware e rootkit

ciao

sputnik
22-03-2009, 22.41.17
ciao Leofelix, ho eseguito la scansione come mi hai detto . All'inizio il bottone era giallo, alla fine verde ed il rapporto mi ha detto che non c'erano problemi.
Quindi sto tranquillo per i virus ?
Alla fine esiste un modo per velocizzare questa benedetta macchina ?
Posso fare un file di immagine con il True Image che ho installato ?
Boh, se non chiedo molto aspetto tue info...
Ancora tantissime grazie per la cortesia...
ciaooooo
:)

leofelix
22-03-2009, 23.34.09
bene,
allora
1) esegui una deframmentazione del sistema
2) esegui anche uno scandisk
3) forse dovresti disattivare qualche servizio (magari usando XP-antispy http://www.sicurezzainrete.com/XpAntispy.htm ) e programma di troppo dalla esecuzione automatica
4) esegui gli aggiornamenti critici di sistema (Windows Update) al più presto
5) temo anche che tu debba aumentare la RAM

quindi controlla se il sistema reagisce più rapidamente.

Ecco ora una volta effettuate queste operazioni: penso che tu possa farti una bella immagine del sistema;)
ciao

sputnik
23-03-2009, 22.49.06
grazie Leofix, sono rientrato ora e solo ora leggo il tuo messaggio.
Per scelta non ho ancora installato SP3 perchè in tanti dicono crei problemi.
Ad ogni modo spero domani di poter fare quanto mi dici nel tuo ultimo post...dile immagine compreso.
Molte grazie davvero.
A presto.
ciaooooooo
;)

leofelix
24-03-2009, 09.32.01
bene,
allora quando ripassi qui nota che è stata rilasciata una nuova versione di CD Burner XP

http://forum.wintricks.it/showpost.php?p=1593211&postcount=1

spero che abbiano risolti i problemi che ho riscontrato sull'impegno della CPU
ciao:)

P.S il SP 3 per XP poteva dare problemi con certi modem NETGEAR e mi sembra qualche driver grafico, ma nulla di irrisolvibile

sputnik
24-03-2009, 18.55.39
ciao Leofix,
io speravo di aver risolto il problema...invece no !!!
Ora le icone che compaiono nella barra di ricerca in alto sono tutte sbaliate...
Ad esempio questo forum presenta l'iconcina di wind...
Inoltre non riesco più a eseguire combo fix...
Ho provato a riscaricarlo ma il risultato è sempre negativo...
Boh, non so proprio che pensare...
Mi puoi aiutare???
Grazie.
ciaoooo

sputnik
24-03-2009, 19.01.25
Leofix, ti aggiungo una cosa scoperta ora ora :
i files riscontrati ieri tramite la scansione fatta con ComboFix:
2008-09-13 19:52 24,912 ----a-w c:\documents and settings\Utente Windows\qwgprvho.exe
2008-09-13 19:51 24,912 ----a-w c:\documents and settings\Utente Windows\kuikhoyo.exe
sono nuovamente presenti...
Questo mi fa pensare che si ricreino ad ogni accensione del pc...
Può essere ?
Cosa posso fare per evitare il problema?
Aspetto tue info...
ciaooooo

Giorgius
24-03-2009, 21.05.25
Se si tratta di un trojan/rootkit bisogna usare un mix di tool per essere sicuri di aver eliminato definitivamente il problema.

In sequenza:

1- Kaspersky AVP Tool - http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

2- Malwarebytes' Anti-Malware 1.34 - http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

3- SmitFraudFix (mod provvisoria, tasto 2) - http://siri.urz.free.fr/Fix/SmitfraudFix.exe

4- FixIEDef - http://downloads.malwareteks.com/FixIEDef.exe

5 (Opzionale) - Dr.Web CureIt!® Utility v.5.0 - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

leofelix
24-03-2009, 21.25.09
Leofix, ti aggiungo una cosa scoperta ora ora :
i files riscontrati ieri tramite la scansione fatta con ComboFix:
2008-09-13 19:52 24,912 ----a-w c:\documents and settings\Utente Windows\qwgprvho.exe
2008-09-13 19:51 24,912 ----a-w c:\documents and settings\Utente Windows\kuikhoyo.exe
sono nuovamente presenti...
Questo mi fa pensare che si ricreino ad ogni accensione del pc...
Può essere ?
Cosa posso fare per evitare il problema?
Aspetto tue info...
ciaooooo

leofelix, il mio nick è leofelix (dal latino e significa gatto:))
dunque scarica The Avenger sul desktop, è un archivio zip

http://swandog46.geekstogo.com/avenger2/download.php (Download diretto)
Ora decomprimilo, quindi clicca sull'eseguibile, si aprirà una finestra (nel caso non riuscissi ad eseguirlo rinominalo con abcd.exe)

all'interno ove è scritto "input script here" copia le seguenti stringhe:

Files to delete:
c:\documents and settings\Utente Windows\qwgprvho.exe
c:\documents and settings\Utente Windows\kuikhoyo.exe

ora clicca sul pulsante in basso con scritto EXECUTE.

Appena terminata la procedura riavvia il sistema.

Come ti ha fatto notare nel post precedente il moderatore si tratta di una rootkit (un programma che si nasconde)..

Una volta riavviato, scarica i tools che ti ha suggerito Giorgius ed eseguili.
Se hai ancora problemi, non esitare a comunicarlo

sputnik
24-03-2009, 23.08.25
Scusa Leofelix per il nick sbagliato...
Allora ho scaricato il prg che mi hai detto ma , una volta inserite le righe da cancellare e cliccato su EXECUTE mi si è aperta la finestra di kaspersky come se AVENGER stesso fosse un virus...
Come da consiglio ho stoppato il tutto e così si è chiuso....
Che fare ?
:crying:

Giorgius
25-03-2009, 10.04.17
L'antivirus va "sempre" disabilitato quando usi tool secondari per il rilevamento/rimozione di Trojan/Rrootkit ;)

sputnik
25-03-2009, 19.48.57
:mad: :mad: :mad:
ops...certo che ne so proprio poco....
bene ho fatto le scansioni e tutto è ok...
Grazie !!!
ciaooooo
:)

leofelix
25-03-2009, 19.49.46
Scusa Leofelix per il nick sbagliato...
Allora ho scaricato il prg che mi hai detto ma , una volta inserite le righe da cancellare e cliccato su EXECUTE mi si è aperta la finestra di kaspersky come se AVENGER stesso fosse un virus...
Come da consiglio ho stoppato il tutto e così si è chiuso....
Che fare ?
:crying:

Per il nick scritto in modo errato non preoccuparti..
capita;)
in quanto alla rilevazione dell'antivirus è naturale che lo identifichi come malware o sospetto: un antivirus non è dotato di intelligenza, non sa distinguere se un programma che riesce ad eliminare dei processi attivi lo fa a fin di bene o meno:)

Ma Giorgius vedo che ti ha già risposto in merito

http://forum.wintricks.it/showpost.php?p=1593485&postcount=20

Quindi ignora tranquillamente l'avviso e procedi con l'eliminazione dei files infetti tramite The Avenger come da procedura indicata

sputnik
25-03-2009, 22.21.47
ciao leofelix,
piacere di leggerti ancora e grazie a te ed a giorgius che mi avete ben introttinato.
Ho fatto i controlli che mi dicevi di fare ed ora riconosco che la macchina va decisamente meglio...
Adesso una cosa devo ancora risolvere: quando accendo il pc mi si presenta una videata nera tipo dos con la possibilità di scelta di 2 sistemi ...: uno è xp e l'altro è un recovery di xp
Il tutto è ben farcito da un countdown che parte da 30 ed arriva a 0 dopodichè parte la normale videata di xp...
C'è modo di poter togliere questa videata ?
Ciaoooo

leofelix
26-03-2009, 01.40.41
ma per caso hai lasciato nel lettore CD/DVD il CD di XP?

Giorgius
26-03-2009, 09.31.26
Strano, il recovery XP sembra il solito monnezzone finto programma utility che solitamente SmitFraudFix elimina tranquillamente.

cascavel
26-03-2009, 22.12.53
Strano, il recovery XP sembra il solito monnezzone finto programma utility che solitamente SmitFraudFix elimina tranquillamente.
la consolle di ripristino di XP e' stata installata da combofix perche' il tool e' stato eseguito con la connessione internet attiva... nessun monnezzone :x: , io http://www.wintricks.it/forum/showpost.php?p=1592800&postcount=5 gli avevo detto di non concedere l'installazione e di utilizzare il tool disconnesso dalla rete.... cosi' http://support.microsoft.com/kb/555032/it si rimuove tranquillamente.

Giorgius
27-03-2009, 09.50.27
ok ;)

sputnik
29-03-2009, 23.27.10
Beh, posso dire che sono davvero un pasticcione ...
Ad ogni modo ora - grazie ai vostri consigli l'ho tolta ma non riesco a togliere la cartella c:\cmdcons perchè non me lo permette, neppure in modalità provvisoria...
Ad ogni modo - come prima - l'avvio presenta sempre una videata nera che dura circa 30 secondi...
Boh...
Scusatemi ancora.
Tra parentesi solo ora riesco a leggervi.
A presto.

leofelix
30-03-2009, 14.49.24
prova a usare Unlocker per eliminare la cartella

http://ccollomb.free.fr/unlocker/#description

sputnik
30-03-2009, 16.53.46
si leofelix, ho scaricato quanto mi dici ma non funge...
Boh, sarà perchè sbaglio qualcosa ma non so cosa...
Can you help me ???
:crying:
ciaoo

leofelix
31-03-2009, 05.35.12
allora scarica il FileAssassin
http://www.malwarebytes.org/fileassassin.php
è gratuito c'è una versione in inglese e una in spagnolo e una portable che non richiede installazione.

Oppure usa The Avenger (che hai già) e inserisci questo script:

folders to delete
C:\cmdcons

Kurtferro
31-03-2009, 16.44.50
fileassasin è gia presente in malwarebyte nel menu altri strumenti, per il boot fai cosi dalle proprietà delle risorse del computer vai in avanzate li ce startup e recovery (io ho xp in inglese non sò perfettamente come sia tradotto in italiano) setting -> li ce un modifica ti si atre il file boot.ini col notepad copia tutto il testo e riportalo qui.

sputnik
31-03-2009, 23.16.36
ciao Kurtferro,
eccoti quanto richiesto in allegato (formato txt ma è il boot.ini )
Attendo tue info.
ciaoooo

sputnik
31-03-2009, 23.19.26
sorry....
Ho dimenticato di dire che la cartella c:\cmdcons alla fine l'avevo tolta...
Ora sto tentando di velocizzare l'avvio che mi lascia circa 30 secondi di nero...
ciaoooooo