PDA

Visualizza versione completa : Virus? Oppure cosa?


fisiologohifi
08-12-2007, 00.20.55
Salve ragazzi, ultimamente ho notato sul mio pc fortissimi rallentamenti durante la navigazione, pagine che si bloccano....scroll che non funziona...etc etc....con il task manager, l'applicazione iexplorer.exe prendeva oltre il 50% della cpu :x: ed in più ho notato una "bcd2kcpan.exe" che secondo una rapida ricerca su google dovrebbe essere un visitatore indesiderato
Qualcuno ha qualche idea? Lo elimino ( perlomeno tento)?
Grazie a tutti :)

leofelix
08-12-2007, 03.05.55
ciao,
prova a inviare su www.virustotal.com il file "bcd2kcpan.exe" , nel caso l'antivirus e l'antispyware che utilizzi non abbiano segnalato nulla di anomalo.

in questa pagina della PREVX (http://fileinfo.prevx.com/spyware/qqfd2821747578-BCD216775103/BCD2KCPAN.EXE.html) che risale al 2006 leggo che quel file pur non essendo riconosciuto come malware 'richiama delle DLL' e modifica il file HOSTS.

Quindi se puoi posta qui un log con HijackThis 2.0.2

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

potrebbe essere un file legittimo, anche se mi suona sospetto vista l'analisi della PREVX;)

fisiologohifi
08-12-2007, 10.18.43
oddio non ho piu' spazio...come elimino i file pubblicati per ricrearmi nuovo spazio? :mm:

Sfigato
08-12-2007, 15.12.04
oddio non ho piu' spazio...come elimino i file pubblicati per ricrearmi nuovo spazio? :mm:


In alto scritta bianca sfondo azzurro Pannello utente,nella nuova schermata voce Gestione allegati (è l'ultima nella colonna di sinistra),ci clicchi e se non è capitato come al sottoscritto,ti appaiono tutti gli allegati,lo spazio che occupano,il 3d dove li hai messi,la data ecc...All'estrema destra dovrebbe esserci il quadratino da spuntare e la voce Elimina!Good Luck :p

fisiologohifi
08-12-2007, 17.24.30
In alto scritta bianca sfondo azzurro Pannello utente,nella nuova schermata voce Gestione allegati (è l'ultima nella colonna di sinistra),ci clicchi e se non è capitato come al sottoscritto,ti appaiono tutti gli allegati,lo spazio che occupano,il 3d dove li hai messi,la data ecc...All'estrema destra dovrebbe esserci il quadratino da spuntare e la voce Elimina!Good Luck :p
non trovo dove devo spuntare ed ordinare "elimina" :wall:

Sfigato
08-12-2007, 21.23.06
non trovo dove devo spuntare ed ordinare "elimina" :wall:
Come immaginavo...Sia a me che a te che a cipicco (credo anche qualcun altro ma non se n'è ancora accorto),capita lo stesso problema.Non possiamo cancellare gli allegati seguendo la procedura da me indicata.Non so cosa possa essere ho già chiesto al boss ma anche lui non mi ha saputo dare risposta nè soluzione o meglio,mi ha cancellato lui gli allegati piu' vecchi a mano :) Penso che ci sarà da lavorare sul forum per capire dov'è l'inghippo ehehe!

leofelix
08-12-2007, 21.59.39
ho anche io da giorni il problema con gli allegati
anche cancellando quel poco che sono riuscito a fare il problema persiste




per il resto non puoi fare un copia e incolla del log di HiJackThis?

fisiologohifi
08-12-2007, 22.34.54
questo è il mio log


Logfile of HijackThis v1.99.1
Scan saved at 10.10.24, on 08/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\bellodenonna\Desktop\Accesso rapido\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programmi\HP\Smart Web Printing\SmartWebPrinting.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BCD2000] %SystemRoot%\system32\bcd2kcpan.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 6.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

cippico
09-12-2007, 15.30.13
Come immaginavo...Sia a me che a te che a cipicco (credo anche qualcun altro ma non se n'è ancora accorto),capita lo stesso problema.Non possiamo cancellare gli allegati seguendo la procedura da me indicata.Non so cosa possa essere ho già chiesto al boss ma anche lui non mi ha saputo dare risposta nè soluzione o meglio,mi ha cancellato lui gli allegati piu' vecchi a mano :) Penso che ci sarà da lavorare sul forum per capire dov'è l'inghippo ehehe!

ci sara' qualcosa in comune che non ci fa apparire il tasto x eliminare gli allegati?

chissa'...ho provato in vari modi...ma nulla...nemmeno usando explorer...ho attivato cookies,activex,tolto file hosts...ma niente da fare...

forse dovro' scomodare qualce boss x farmi fare un po' di pulizia...magari i files piu' vecchi...

ciaooo

Sfigato
09-12-2007, 22.28.16
forse dovro' scomodare qualce boss x farmi fare un po' di pulizia...magari i files piu' vecchi...ciaooo




biiiiiiiiiiiiiiiiiiiiiiiiilllllllllllloooooooooooo owwwww :lol: Ci serve aiutooooooooooooooooooo dove seiiiiiiiiiiiiiiiiiii??????? :x: Mo ci urla dietro :crying: Caro Billow Natale,quest'anno come regalo vorrei...Che risolvessi il c@sin0 con gli allegati che alcuni di noi non riescono a eliminare dal pannello utente :lol:

leofelix
10-12-2007, 16.48.11
dunque,
ho dato una occhiata al tuo log

sei sicuro che ti servano queste applicazioni in avvio automatico?

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: %SystemRoot%\system32\bcd2kcpan.exe

la prima è a discrezione dell'utente e succhia un bel po' di risorse, io la toglierei

la seconda è relativa a quel file che indichi come sospetto, ma che da quanto ho capito fa parte del software di cui si parla Qui (http://bcd2000.blogspot.com/)

Certo toglierei anche Windows Live Messenger dalla esecuzione automatica (lo puoi fare direttamente dalle opzioni e richiamarlo quando ti occorre)

Già in questo modo affaticheresti di meno il sistema e avresti meno processi che vanno a interagire con la shell di Windows;)

In secondo luogo vedo che utilizzi Internet Explorer 6.0 SP2 per XP..
Non sarà il caso di passare a Windows Internet Explorer 7.0?
E' più sicuro come browser di IE 6.0, come leggerezza mi pare di guadagni e anche per la stabilità del sistema sarebbe un guadagno IMHO (e chi ti scrive usa da anni Firefox come navigatore predefinito)

qui trovi il nuovo installer (e anche privo del WGA control, ultima news della Microsoft)

http://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx


Inoltre - poiché almeno io - non vedo nulla di particolarmente strano nel log che hai inviato, hai provato a controllare il sistema con dei [B]free removal tool come ad esempio
il DrWeb CureIT (http://forum.wintricks.it/showpost.php?p=1395343&postcount=1)

e magari anche con lo Stinger (http://download.nai.com/products/mcafee-avert/stinger.exe)

e poi giusto per pignoleria anche con l'ottimo SUPERAntispyware free 3.9 (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)


Nota bene che gli ultimi due link portano al download diretto, e uno di questi è un programma completo oltre che freeware:)

attendo notizie spero positive da parte tua:)

fisiologohifi
10-12-2007, 20.17.09
dunque,
ho dato una occhiata al tuo log

sei sicuro che ti servano queste applicazioni in avvio automatico?

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: %SystemRoot%\system32\bcd2kcpan.exe

la prima è a discrezione dell'utente e succhia un bel po' di risorse, io la toglierei

la seconda è relativa a quel file che indichi come sospetto, ma che da quanto ho capito fa parte del software di cui si parla Qui (http://bcd2000.blogspot.com/)

Certo toglierei anche Windows Live Messenger dalla esecuzione automatica (lo puoi fare direttamente dalle opzioni e richiamarlo quando ti occorre)

Già in questo modo affaticheresti di meno il sistema e avresti meno processi che vanno a interagire con la shell di Windows;)

In secondo luogo vedo che utilizzi Internet Explorer 6.0 SP2 per XP..
Non sarà il caso di passare a Windows Internet Explorer 7.0?
E' più sicuro come browser di IE 6.0, come leggerezza mi pare di guadagni e anche per la stabilità del sistema sarebbe un guadagno IMHO (e chi ti scrive usa da anni Firefox come navigatore predefinito)

qui trovi il nuovo installer (e anche privo del WGA control, ultima news della Microsoft)

http://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx


Inoltre - poiché almeno io - non vedo nulla di particolarmente strano nel log che hai inviato, hai provato a controllare il sistema con dei [B]free removal tool come ad esempio
il DrWeb CureIT (http://forum.wintricks.it/showpost.php?p=1395343&postcount=1)

e magari anche con lo Stinger (http://download.nai.com/products/mcafee-avert/stinger.exe)

e poi giusto per pignoleria anche con l'ottimo SUPERAntispyware free 3.9 (http://downloads2.superantispyware.com/downloads/SUPERAntiSpyware.exe)


Nota bene che gli ultimi due link portano al download diretto, e uno di questi è un programma completo oltre che freeware:)

attendo notizie spero positive da parte tua:)
Porca vacca, è vero, ho montato per un periodo di tempo quel mixer, ma ora non lo ho più :timid: ....come posso procedere e soprattutto come tolgo l'avvio automatico a quei programmi che mi hai consigliato tu?
Se non servono ( e penso che non mi servono così spesso) posso tranquillamente metterli in un angoletto.... :)

einemass
10-12-2007, 21.05.19
comincia col togliere questo
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
che è uno spyware della realtek
poi IMHO e sottolineo IMHO
toglierei tutto ciò che riguarda la stampante, nero burning rom e anchq questo
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

senza contare che toglierei pure dall'avvio la "roba" Nvidia.
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

per toglierli, basta deselezionarli usando l'utilità che sta all'interno di spybot, così se dopo qualche gg funge ancora tutto li puoi proprio eliminare ( non i file ma i riferimenti)

leofelix
10-12-2007, 22.46.03
Porca vacca, è vero, ho montato per un periodo di tempo quel mixer, ma ora non lo ho più :timid: ....come posso procedere e soprattutto come tolgo l'avvio automatico a quei programmi che mi hai consigliato tu?
Se non servono ( e penso che non mi servono così spesso) posso tranquillamente metterli in un angoletto.... :)

oltre al consiglio di einemass (cui non sfugge nulla specie nei log di HiJackThis) di utilizzare lo Spybot Search & Destroy per rimuovere provvisoriamente alcune voci dalla esecuzione automatica, e se non si verificano problemi in seguito puoi tranquillamente eliminarle..

potresti usare questo strumento gratuito che non necessita di installazione, è lo StartUpLite 1.0.6 (http://malwarebytes.org/startuplite.php) (c'è la pagina di riferimento nel link).. una volta eseguito ti indicherà le voci di troppo in esecuzione automatica e ti chiederà se vuoi disabilitarle, rimuoverle o non compiere alcuna azione in merito, il tutto è reversibile in qualsiasi momento;)

Sui programmini della RealTek è vero sono dichiarate come spyware (anche se non è poi così dannoso).. mentre ci andrei cauto con le utilities in avvio della nVidia IMHO.. per averle disabilitate mi sono trovato il monitor completamente oscurato una volta.

Attendo notizie spero positive da parte tua :inn:

fisiologohifi
15-12-2007, 22.55.51
:act:
m
i
t
i
c
i
:act:

leofelix
16-12-2007, 19.42.36
(Y)