ancora virus

[magixonda]

salve ragazzi ho dei problemi con dei presunti virus che mi rallentano di un sacco il pc all avvio e allo spegnimento .
i processi sospetti sono

lsass.exe
csrss.exe
smss.exe da quando ci sono il pc è rallentato adesso vi metto il log di hijack this e mi dite se c'è qualcosa che non va grazie 1000

Logfile of HijackThis v1.99.1
Scan saved at 8.48.37, on 02/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\eMule\emule.exe
C:\Documents and Settings\Petrucci\Desktop\mauro\incoming\hijackthi s\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fornito da Yahoo! Italia
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://petruc1991.spaces.live.com//P...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1158306255890
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/pro...nner371180.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab53083.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AEC31E-0215-4608-889F-124ADD83C297}: NameServer = 85.37.17.6 85.38.28.89
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

questa è la 1.9 di hijack

[COOLNESS]

Ciao magixonda,allora....analizzando il log ho notato solo questa voce da eliminare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

ps:la voce in questione è sicuramente uno spyware!!

[magixonda]

Quote:

COOLNESS

Ciao magixonda,allora....analizzando il log ho notato solo questa voce da eliminare:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

ps:la voce in questione è sicuramente uno spyware!!

ma non è i driver audio?

[COOLNESS]

Si,è un eseguibile del driver della tua scheda audio (realtek).
E' un monitor la cui attività è quella di trasferisce informazioni alla Realtek.
Cmq puoi tenerlo se vuoi,anche se secondo me sono risorse buttate al vento oltre che un'invasione inappropriata della privacy.

[magixonda]

Quote:

COOLNESS

Si,è un eseguibile del driver della tua scheda audio (realtek).
E' un monitor la cui attività è quella di trasferisce informazioni alla Realtek.
Cmq puoi tenerlo se vuoi,anche se secondo me sono risorse buttate al vento oltre che un'invasione inappropriata della privacy.

ho trovato la stessa frase su un altro forum

[COOLNESS]

infatti ho preso spunto qui:"http://www.p2pforum.it/forum/showthread.php?t=150524"

[magixonda]

Quote:

COOLNESS

infatti ho preso spunto qui:"http://www.p2pforum.it/forum/showthread.php?t=150524"

si cervavo là in attesa di risposta

ma comunque il problema anche se lo tolgo rimarrebbe c'è qualcosa che rallenta il pc soprattutto durante il download è molto rallentato

[COOLNESS]

hai già visto qst guida?

[magixonda]

Quote:

COOLNESS

hai già visto qst guida?

si l 'ho vista comunque il mio antivirus rileva un virus che si chiama rqrpmki.dll però ogni volta che riavvio è sempre là il mio antivirus la cancella ma riappare

[COOLNESS]

hai provato a disabilitare il ripristino config.di sistema e ad andare in modalità provvisoria e riprovare con la scansione?

[magixonda]

Quote:

COOLNESS

hai provato a disabilitare il ripristino config.di sistema e ad andare in modalità provvisoria e riprovare con la scansione?

si ma se faccio la scansione non lo trova

[COOLNESS]

Prima ho analizzato troppo superficialmente il log che hai postato e di questo chiedo scusa.
Analizzandolo meglio mi sono accorto che innanzitutto la voce

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

è uno spyware,che potresti fixare ma ciò potrebbe causare problemi d'audio.

Poi ho trovato le seguenti voci che andrebbero fixate:

- O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
- O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
- O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
- O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

ciao e fammi sapere!

[magixonda]

Quote:

COOLNESS

Prima ho analizzato troppo superficialmente il log che hai postato e di questo chiedo scusa.
Analizzandolo meglio mi sono accorto che innanzitutto la voce

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

è uno spyware,che potresti fixare ma ciò potrebbe causare problemi d'audio.

Poi ho trovato le seguenti voci che andrebbero fixate:

- O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
- O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
- O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
- O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

ciao e fammi sapere!

le ho tolte ma non sono questi i problemi

[COOLNESS]

Dal log di non c'è altro oltre alle voci che ti ho fatto fixare.

[Smith]

Per quanto riguarda questi processi:

lsass.exe
csrss.exe
smss.exe

Spesso vengono riconosciuti e molti pensano che siano processi maligni, io stesso tempo fa ho scaricato la colpa dei tanti problemi che avevo, su questi eseguibili. Alla fine ho capito che non erano maligni bensi' processi di Windows. Mi preoccupava anche il fatto che "svchost.exe" si ripetesse numerose volte, anche qui' io non ho trovato informazioni concrete, che indichino questi processi come Virus, o altre diavolerie.