[log]virus, ripetuti messaggi di errore che lo bloccano

Matteo Grandi

Nuovo Utente
5
0
CPU
Intel Core duo 2
Scheda Madre
?
HDD
400GB
RAM
?
GPU
?
Audio
?
Monitor
?
PSU
?
Case
?
OS
Windows vista
Salve, mi sono appena iscritto. Ho seguito le istruzioni ( spero correttamente) e invio il file log Hijakthis. Il computer è invaso da virus, ci sono ripetuti messaggi di errore che lo bloccano, spero nel vostro aiuto, grazie
Matteo Grandi
Codice:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9.43.21, on 18/03/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8080.16413)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\Motorola\MotoConnectService\MotoConnect.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Packard Bell\FIJI\ABoard.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Bit4id\Bit4id - CSP PKCS11 Oberthur\bit4pin.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Packard Bell\FIJI\AOSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PERSEOE\Mirfak.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\PERSEOE\Farmaci.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://www.google.it/"]Google[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL="http://go.microsoft.com/fwlink/?LinkId=69157"]MSN : Hotmail, Messenger, Bing, Actualité et Sport[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL="http://go.microsoft.com/fwlink/?LinkId=54896"]Bing[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL="http://go.microsoft.com/fwlink/?LinkId=54896"]Bing[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL="http://go.microsoft.com/fwlink/?LinkId=69157"]MSN : Hotmail, Messenger, Bing, Actualité et Sport[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Softonic-IT - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Program Files\Softonic-IT\tbSoft.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [ACTIVBOARD] C:\Program Files\Packard Bell\FIJI\aboard.exe
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [mumservice] C:\Program Files\Motorola\Software Update\mumservice.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [bit4id csp store register (M)] "RUNDLL32.EXE" "C:\Windows\system32\bit4upki-store.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [RegUse] C:\Program Files\RegUse\RegUse.exe
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Bit4id - Smart Card Manager.lnk = C:\Program Files\Bit4id\Bit4id - CSP PKCS11 Oberthur\bit4pin.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {15BE8BEE-4105-4A79-B385-25068AA967DB} (VBIRDPlayer.Player) - [URL]http://de1.iradiopop.com/IRD/pages/VBIMDPlayer.CAB[/URL]
O17 - HKLM\System\CCS\Services\Tcpip\..\{8995C51A-D631-4FE9-B86D-F36A2BD24EB1}: NameServer = 151.99.250.2,151.99.125.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL, C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MotoConnect Service - Unknown owner - C:\Program Files\Motorola\MotoConnectService\MotoConnectService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8987 bytes
 
Ultima modifica da un moderatore:

pegifr

Bannato a Vita
491
84
Ciao Matteo,

questo log non mostra l’invasione di cui parli ma se sai di essere infetto segui la guida in evidenza di JeanGrey su come ripulire un pc infetto.

Riesegui HJT e fixa queste voci:
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll

Poi disinstalla ConduitEngine da Programmi e funzionalità nel Pannello di controllo, se c’è.
 
  • Mi piace
Reazioni: Matteo Grandi

Matteo Grandi

Nuovo Utente
5
0
CPU
Intel Core duo 2
Scheda Madre
?
HDD
400GB
RAM
?
GPU
?
Audio
?
Monitor
?
PSU
?
Case
?
OS
Windows vista
Grazie Francesco, ho fixato i log e poi ho tentato di disinstallare Conduit Engine da Programmi e funzionalità dove compare effettivamente ma per qualche motivo non si avvia la disinstallazione.
 

FDAC

Utente Attivo
1,335
194
Ciao matteo e pegi.
Procedi con le altre indicazioni (segui la guida alla disinfezione).

:)
 

Matteo Grandi

Nuovo Utente
5
0
CPU
Intel Core duo 2
Scheda Madre
?
HDD
400GB
RAM
?
GPU
?
Audio
?
Monitor
?
PSU
?
Case
?
OS
Windows vista
Sono riuscito a eliminare il problema seguendo le indicazioni della guida. Ora riposto una nuova sessione come suggerito nella guida e allego i file di combo fixx e i log.
MAtteo Grandi
 

Matteo Grandi

Nuovo Utente
5
0
CPU
Intel Core duo 2
Scheda Madre
?
HDD
400GB
RAM
?
GPU
?
Audio
?
Monitor
?
PSU
?
Case
?
OS
Windows vista
messaggi di errore a ripetizione, problema risolto

Avevo il computer letteralmente bloccato da una serie interminabile di messaggi di errore tutti uguali nel testo e nell'intestazione, ( col simbolo x bianca in tondino rosso ) in cui variava solo l'inizio dell'intestazione, per esempio:
ArtBloker.exe - Immagine non valida
"C:\PROGR1\GOOGLE3\GOEC621Dll.exe non è destinato all'utilizzo in windowso contiene un errore. Provare a reinstallare il programma dal supporto di installazione originale o rivolgersi all'amministratore di sistema o al fornitore del softwewe"
Se davo l'ok il messaggio restava e cambiava solo l'inizio dell'intestazione. lo stesso succedeva se chiudevo la finestrella. All'inizio pochi poi progressivamente si aprivano sempre più messaggi, anche spontaneamente, inoltre ogni nuovo programma che tentavo di aprire provocava una nuova serie di messaggi che cominciava proprio con l'intestazione di quel programma. Strano vero? Ancora più strano il comportamento quando ho lanciato comboFix: una mitragliata interminabile di messaggi impediva di fatto l'apertura del programma. Mi sono messo a cliccare la chiusura della finestra e contemporaneamente ho tenuto pigiato il tasto invio, e finalmente è partito comboFix e l'anomalia è cessata. Ho poi fatto girare antimalwere e poi Ccleaner come dice la guida senza però trovare virus. ora tento allegare il file di ComboFix. Grazie
Matteo Grandi
P.S. Non sono ancora riuscito a disinstallare Conduit Engine
 

pegifr

Bannato a Vita
491
84
Ciao Matteo,

il problema era dovuto a Quad Registry Cleaner che è un falso programma di manutenzione del sistema.

Comunque metti Combofix sul desktop.
Apri un file di testo sul desktop ed incollaci il codice sottostante. Rinominalo CFScript e trascinalo sull’icona di Combofix. Partirà un nuova scansione, allega il nuovo log.

KillAll::
Firefox::
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - prefs.js: browser.search.selectedEngine - AVG Secure Search
FF - prefs.js: keyword.URL - hxxp://search.avg.com/route/?d=4cd41e45&v=6.010.023.001&i=23&tp=ab&iy=&ychte=it&lng=it&q=
Driver::
esgiguard
MpKslbe804ec6
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1182645316-622446420-642227269-1002]
"EnableNotificationsRef"=-
RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}]
Folder::
c:\program files\Conduit
c:\program files\ConduitEngine
c:\programdata\McAfee
c:\users\roby\AppData\Roaming\f-secure
c:\programdata\F-Secure

Col UAC disattivato, immagino tu ne sia a conoscenza, dovresti installare quantomeno un antivirus. Ti consiglio Avira > http://www.avira.com/it/avira-free-antivirus
 
Ultima modifica:
  • Mi piace
Reazioni: Matteo Grandi

Matteo Grandi

Nuovo Utente
5
0
CPU
Intel Core duo 2
Scheda Madre
?
HDD
400GB
RAM
?
GPU
?
Audio
?
Monitor
?
PSU
?
Case
?
OS
Windows vista
Ho seguito le istruzioni di pegifr, spero correttamente non essendo affatto un esperto: ho trascinato le istruzioni copiate su un documento di open office sull'icona di combofix e il programma si è avviato, al termine il programma Conduit Engine era sparito dal pannello di funzionalità, ma ho dovuto constatare l'impossibilità a conettermi ad internet e non sapendo come fare ho fatto un ripristino configurazione di sistema che ha riportato le cose al punto attuale. Ora apparentemente funziona tutto regolarmente, lo scan del mio antivirus ( microsoft security essential) è negativo (almeno lo scan veloce, ora ho avviato l'analisi completa). Allego il file di combofix relativo all'ultima azione. Grazie ancora
Matteo Grandi
 

pegifr

Bannato a Vita
491
84
Ciao Matteo,

fai anche una scansione con Malwarebytes' Anti-Malware seguendo la medesima guida di JeanGrey e posta il log in caso di positività.
 

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!