Hijackthis log: aiuto...

[Nico77]

Ciao, spero di essere nella sezione giusta del forum. Chi può aiutarmi a vedere se c'è qualcosa che non va ed eventualmente risolvere il problema? All'apertura Internet Explorer è lento e controllando in Task Manager c'è un svchost.exe che non mi piace... Se lo termino, il browser si sblocca subito.

Questo è il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.52.24, on 30/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C548639-B1D2-4FC2-8A65-B9C5D45C2C5E}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe

--
End of file - 5321 bytes

[crazy.cat]

svchost.exe è uno dei file principali di windows che gestisce un sacco di cose e di collegamenti in giro per il mondo, se lo termini è facile che ti cada qualcosa.

Prova a disattivare/disinstallare spybot e vedi se cambia qualcosa, con l'ultima versione in parecchi lamentano problemi di pesantezza e rallentamenti vari.

Fai un controllo con un altro antispyware come malwarebytes o superantispyware per vedere se hai dei problemi che non si vedono nel log di hijackthis.

[Nico77]

Ciao crazy.cat, grazie della tua gentile risposta.
Ma allora perché si parla male di alcuni svchost.exe?
Quando avvio internet explorer ci vuole un pò di tempo prima che si aprà la pagina iniziale (google) e, controllando in task manager, uno degli svchost.exe arriva fino a 98-99. Se chiudo e riapro il browser, non succede più. Se chiudo, pulisco con Ccleaner e riapro il browser, si ripresenta. Boh...
Ciao e grazie.

[crazy.cat]

Quota:

Inviato da Nico77

Ma allora perché si parla male di alcuni svchost.exe?

Perchè spesso e volentieri viene attaccato e usato dai malware.

Hai attivi gli aggiornamenti automatici di windows?
Prova a disattivarli, riavvia il pc e poi riavii il browser.

Poi fai le scansioni con i programmi che ti ho detto.

[leofelix]

crazy.cat ha visto giusto indubbiamente.

Hai aggiornato l'OS?

se è quello che penso io la minaccia che forse hai contratto è un vecchio exploit di Windows

[crazy.cat]

X Nico77
Se hai bisogno ne parliamo qui, niente skype, altrimenti a cosa serve il forum.

[Nico77]

Ciao crazy.cat, volevo bypassare il forum, per poi scrivere la soluzione al problema alla fine, giusto per interloquire più velocemente. Appena posso rispondo dettagliatamente alle tue domande precedenti. Ciao e grazie ancora della tua disponibilità.

[Nico77]

Ciao crazy.cat,
ho disattivato Spybot - Teatimer (o qualcosa del genere, che dovrebbe essere una sorta di filtro anti-phishing). Non ho mai avuto gli aggiornamenti attivati. Non ho ancora fatto le scansioni con i programmi che m'hai indicato ma le farò presto... Non è che si ingarbugli la situazione: tra spybot, avira antivir, etc.? Perdona la mia ignoranza.
L'svchost.exe sospettato è relativo (guardando in task manager) a SERVIZIO DI RETE e rallenta l'apertura della prima pagina (google) all'avvio del browser, ripeto, soltanto una volta. Se chiudo il browser e lo riavvio, non lo fa più a meno che non faccia un pò di pulizia con Ccleaner prima di riaprirlo. Poi non ho notato problemi particolari. Il fatto è che sono stato infettato da Virtumonde dopo aver installato un software che non reputavo sospetto. Ho dovuto formattare. Ho, però, tuttora il timore che mi vengano rubate le password e soprattutto quelle del conto corrente bancario... Sai... Non sarebbe bello ritrovarsi col conto prosciugato dopo i sacrifici che si fanno ogni giorno per guadagnarsi la pagnotta!
Facendo delle ricerche per trovare informazioni (mi sa che ormai stia diventando un'ossessione) su malwares, processi ambigui, etc. mi sono ritrovato sulle pagine di auditmypc e facendo il test del firewall sono state rilevate 2 porte aperte.
Ho eseguito anche Combofix ma non è successo nulla.
Grazie dell'attenzione e spero di non aver annoiato nessuno!
Ciao.

[crazy.cat]

se usi il firewall di windows è più o meno come lasciare la porta di casa aperta e sperare che nessun ladro entri.
Online armor o Comodo firewall e difficilmente qualcuno può passare, sicuramente sono un barriera più difficile da superare.

I due programmi che ti ho consigliato non fanno casino e stanno molto bene con avira, li uso anche io.

[Nico77]

Ciao crazy.cat,
allego il log di malwarebytes. Credo che sia tutto ok. Boh... Forse è solo una mia fissazione. Ho ancora quelle 2 porte aperte e ho delle remore ad usare Comodo firewall perché temo di non poterlo settare bene e quindi chiudere le comunicazioni necessarie al pc.
Ciao e grazie sempre.