Aiuto!! Ho un virus

[FDAC]

Per il problema della schermata:
Cidaemon o cidaemon.exe
Servizio di indicizzazione: come disabilitare o disinstallare


Poi;
Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:

O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Programmi\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [TheaterMgr] "C:\Programmi\NotOnlyTV\TheaterMgr.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [STO Backup Service] C:\Programmi\SmarThru Office\BackUpSvr.exe
O4 - HKLM\..\Run: [STO Launcher Service] C:\Programmi\SmarThru Office\LegacyLauncher.exe /run
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [4x24 Scan2PC] "C:\WINDOWS\Twain_32\Samsung\SCX4x24\Scan2pc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [PAC7311_Monitor] C:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-220523388-1757981266-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-220523388-1757981266-725345543-1005\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Roberto\Dati applicazioni\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Windows Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Nota: per lanciare HiJackThis su Windows Vista e Windows 7, clicca con il tasto destro del mouse sulla icona di HiJackThis (rappresentata da un omino vestito di rosso con una lente di ingrandimento, nota il file eseguibile in grassetto sotto) e, dal menù contestuale, scegli la voce Esegui come Amministratore: conferma la richiesta proposta

Il percorso da seguire per trovare l'eseguibile del programma è: Start/ Computer/ Programmi/ Trend Micro/ HiJackThis/ HiJackThis.exe

 

[Buccolieri96]

Scusa se vuoi disabilitare Cidaemon o cidaemon.exe non basta andare nei servizi e disabilitarlo? Dopo di che non comparirà più...

 

[robertone]

Francesco, ho fatto tutto. Ho disabilitato il servizio di indicizzazione sia nel disco C che in Servizi. Poi ho eliminato le voci con HiJackThis. Tutto ok.
Ora nella try ho solo poche applicazioni e la memoria sembra più leggera. Però noto una velocità di internet molto bassa, hai dei suggerimenti?Devo fare ancora altro ?
Infine credo di aver commesso un guaio:
Sulla scheda Ripristino configurazione di sistema, credevo prima di iniziare con te a ripulire il sistema di avere messo la spunta su "Disattiva Ripristino configurazione di sistema su tutte le unità" e invece non l'ho fatto, o almeno ora la spunta non c'è. In pratica lo stato di monitoraggio delle unità è rimasto sempre in funzione. Ora cosa faccio? Dovrei creare ora un nuovo punto di ripristino? Come si fa?

Grazie mille per tutto!!!!!

 

[FDAC]

Strano che Internet non vada a dovere: potrebbe essere qualche momentaneo sovvraccarico del server che ospita la tua connessione, ti invito a riprovare.

Il tuo Ripristino del Sistema è attivato: i punti di ripristino, verranno scelti dal sistema stesso: non preoccuparti!

5. Svuota del suo contenuto la cartella Prefetch

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella Prefetch
● elimina tutte le voci conservate al suo interno, tranne il file Layout.ini: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Prefetch contiene i file che il sistema operativo esegue; un'operazione di prefetch consiste nel rendere immediatamente disponibili, nella memoria cache, i file utilizzati più spesso e quelli necessari per il processo di avvio del personal computer.
Il riavvio successivo sarà un po' lento, ma quelli seguenti saranno senza dubbio più veloci

******************************

6. Svuota del suo contenuto la cartella Download

Procedura per Windows XP:
● clicca sul pulsante Start
● clicca su Risorse del computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Procedura per Windows Vista e Windows Seven:
● clicca sul pulsante Start
● clicca su Computer
● apri il Disco locale C:
● individua ed apri la cartella Windows
● individua ed apri la cartella SoftwareDistribution
● individua ed apri la cartella Download
● elimina tutte le voci conservate al suo interno: fai attenzione però, a non eliminare la cartella

Nota - riguardo alla procedura:
● la cartella Download contiene i file di installazione degli aggiornamenti di Windows, che possono essere eliminati senza problemi per recuperare spazio su disco e risolvere fastidiosi problemi di aggiornamenti

8. Scarica ed installa CCleaner: CCleaner - Download
Nota - durante l'installazione: non consentire l'installazione di componenti aggiuntivi (Toolbar in particolare): non installarne alcuno, quindi togli la spunta alla relativa voce

Una volta installato ed avviato, esegui queste operazioni:
● nel menù di sinistra, clicca su Opzioni
● nella finestra successiva, clicca su Impostazioni
● spunta la voce Tipo cancellazione: Sicura (lenta) e nel menù a tendina seleziona la voce DOD 5220.22-M (3 passaggi)
● clicca su Avanzate
● togli la spunta alla voce Cancella file in Windows Temp solo se più vecchi di 24 ore e alla voce Chiedi se salvare un backup dei problemi del registro
● clicca, nel menù a sinistra, su Pulizia: nella sezione Avanzate, metti la spunta alle voci Vecchi dati Prefetch, Disinstallatori Aggiornamenti di Windows e File Log IIS
● apri, in alto, il tab Applicazioni: spunta tutte le voci presenti
● termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul bottone Analizza, per cercare i file temporanei
● clicca, in basso a destra, sul bottone Avvia Pulizia, per avviare la pulizia dei file temporanei
● nella finestra che compare, metti la spunta alla voce Non mostrare più questo messaggio, e conferma cliccando sul pulsante OK
● terminata la pulizia, nel menù a sinistra, clicca sulla voce Registro
● clicca sul bottone Trova Problemi, per avviare la ricerca delle voci di registro corrotte e danneggiate
● clicca sul bottone Ripara selezionati... e prosegui con la riparazione: la pulizia del registro ripetila più volte, fino a quando non verranno più rilevati problemi da correggere
● una volta terminate le operazioni, chiudi il programma

 

[robertone]

Francesco ho fatto tutto!
Per prima cosa sono andato su Prefetch ed era vuota, Allora sono andato in opzioni cartelle e ho spuntato col pallino la richiesta di vedere anche i files nascosti. Ho chiuso tutto sono riandato su Prefetch ed era ancora vuota. Ho poi svuotato la cartella download, c'era un po di roba. CCleaner lo avevo già ed avevo già settato il primo punto che mi hai suggerito ma non gli altri che ho completato secondo i tuoi suggerimenti. Ora ho due cose da chiederti:
1) Sulla try icon mi sono apparse due icone: la prima "Connessione locale lan" perchè tramite router ho una piccola rete locale (Veloc. 100 Mbps) costituita dal computer e da un portatile. La seconda (mai apparsa prima) "Connessione internet" con velocità molto più bassa 8.1 Mbps" che non so a quale altro computer si colleghi. Cliccando in impostazioni leggo che tra i servizi in esecuzione ci sono:
un gioco (che ho eliminato); Skype tcp AT 192.168.1.3:48913; Teredo (per ben 7 volte); transmission at 51413.
Ossia ben 9 servizi in esecuzione. Per ora l'ho disabilitata.
Come mia ipotesi potrebbe essere il collegamento alla mia TV smart di Samsung il cui modello si collega ad internet? Non lo so....
2) Ho provato ad andare su windows update ma mi chiede di installare il file per la convalida di window che non ho in originale. In passato avevo fatto tutta una procedura per convalidarlo tramite le tante spiegazioni presenti in rete ma dopo un po windows mi richiedeva di scaricare di nuovo il file per la convalida. Sai se c'è un rimedio definitivo?
Ultima cosa: in task maneger vedo ancora GoegleUpdate.exe e due iexplore.exe attivi: il primo di 34.660 kb, il secondo di 15.704, è normale?
Grazie ancora di tutto, sei una persona veramente speciale!

 

[FDAC]

Allega un log aggiornato di Hijackthis.

Il PC come funziona?

 

[robertone]

FRancesco, per ora funziona bene.
Allego Log:
2hijackthis.txt

Sulle altre questioni cosa ne pensi?

Ancora grazie e Buona Domenica!

 

[FDAC]

Fixa queste due voci:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

Poi, per togliere i servizi di GOOGLE UPDATE:
start esegui e digita nello spazio bianco:
sc delete gupdate
clicca invio

Poi;
start esegui e digita:
sc delete gupdatem
clicca invio

Riavvia il sistema


Francesco

 

[robertone]

Francesco, si ho fixato le due voci e avviato la procedura per eliminare google update e, effettivamente dopo il riavvio è sparito. Per sicurezza ho eliminato anche il browser google chrome.

Ecco il nuovo log:
3hijackthis.txt

Scusami se mi permetto ma noto che le due voci:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

ci sono ancora!

Inoltre dal noto sito online di analisi dei log HiJackThis! Log auto analyzer V2

si dice che potrebbero essere pericolose anche:

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll


O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

perchè potrebbero essere una variante di CWS, che io non so cosa sia.



Non saprei quanti grazie inviarti....!!

 

[FDAC]

Ciao. Le due voci sono piuttosto decise a rimanere sul sistema. Puoi eliminarle con Cclenaer (Aprilo, clicca su Strumenti, avvia e Disattiva o Cancella le 2 voci) oppure, per ctfmon, disabilitando la funzione servizi di testo avanzato nel Pannello di controllo/Opzioni internazionali e della lingua.

Hai un Messaggio privato.

Francesco ;)

 

[robertone]

Francesco, ancora grazie per le ulteriori dritte.
Ho provato come mi hai detto. Ccleaner non mi ha eliminato le due voci. Allora ho provato a disabilitarle, sempre con Ccleaner, ma non è andata in porto. Allora ho utilizzato il metodo che mi hai suggerito su ctfmon e l'ho disattivato. Rimane dunque la sola voce:

HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

che sembra ineliminabile. Credo che sia connessa con la mia scheda video Nvidia.
Comunque va pure bene così.
Ti ho lasciato un messaggio personale.

 

[FDAC]

Ciao Roberto. Quella voce si può disabilitare dal Pannello di Controllo, ma si può anche lasciare li!

Ci sentiamo. Francesco

 

[robertone]

Ringraziamenti

Volevo ringraziare pubblicamente FDAC, ossia Francesco, per la gentilezza e la grande competenza con la quale ha risolto tutti i miei problemi. E' stato un vero piacere conoscerti e spero che anche altri frequentatori del Forum con problemi simili al mio, possano incontrare sempre, per risolvere i problemi, persone gentili e competenti come Francesco.
Ancora grazie!
Robertone