Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » C:\WINDOWS\pop.htm ..... che fare?

C:\WINDOWS\pop.htm ..... che fare? Opzioni
Topic Precedente · Topic Sucessivo
tugoli
Inviato: Tuesday, January 20, 2009 11:09:57 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
Allora, il problema è questo: quando attivo la connessione internet, autonomamente e ripetutamente si apre una pagina di explorer che nella barra degli indirizzi ha C:\WINDOWS\pop.htm che a sua volta apre altre pagine, queste ultime con indirizzi diversi (da emule a ebay a casinò on line ecc)Brick wall .

In pochi minuti vengono aperte decine di pagine.d'oh! d'oh!

Ho usato HiJack dopo aver provato tutti gli altri programmi che conosco.

Di seguito riporto il log file.

Grazie per l'attenzione.Drool


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.53.54, on 20/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Hewlett-Packard\IAM\Bin\AsGHost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programmi\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programmi\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PrinterSecurityLayer] C:\WINDOWS\system32\LSHPRN.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Free Download Manager] "C:\Programmi\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://C:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: ackpbsc - C:\WINDOWS\system32\ackpbsc.dll
O20 - Winlogon Notify: acunlock - C:\Programmi\ActivIdentity\ActivClient\acunlock.dll
O20 - Winlogon Notify: OneCard - C:\Programmi\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Programmi\ActivIdentity\ActivClient\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: HP ProtectTools Service - Hewlett-Packard Development Company, L.P - C:\Programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Programmi\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8371 bytes
Torna in alto
 
Sponsor
Inviato: Tuesday, January 20, 2009 11:09:57 PM

 
Torna in alto
 
r16
Inviato: Tuesday, January 20, 2009 11:13:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e, una volta terminata la scansione,assicurati che tutti i files evidenziati, siano selezionati, e clicca Rimuovi Selezionati
Posta il log.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Torna in alto
 
simo95
Inviato: Wednesday, January 21, 2009 4:23:19 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
forse hai installato popcap per giocare su virgilio.it è un adware..
Torna in alto
 
tugoli
Inviato: Wednesday, January 21, 2009 7:53:25 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
Rieccomi. Ecco il log di Malwarebytes.

Se ho ben capito, prima di partire con combofix attendo tue indicazioni. Se può servire ti dico che le finestre di explorer indesiderate si aprono, a ondate, a intervalli di tempo di 3 minuti circa.

Grazie di tutto.

Tugoli


Malwarebytes' Anti-Malware 1.33
Versione del database: 1674
Windows 5.1.2600 Service Pack 3

21/01/2009 19.48.44
mbam-log-2009-01-21 (19-48-44).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 110992
Tempo trascorso: 34 minute(s), 26 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


r16 ha scritto:
Ciao.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e, una volta terminata la scansione,assicurati che tutti i files evidenziati, siano selezionati, e clicca Rimuovi Selezionati
Posta il log.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Torna in alto
 
tugoli
Inviato: Wednesday, January 21, 2009 8:37:27 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
Beh, mi sono anticipato con combofix. Ecco il log.

Le finestre di explorer continuano ad aprirsi e la cosa si verifica anche quando non sono connesso. In quest'ultimo caso le pagine restano ovviamente bianche......

ComboFix 09-01-21.01 - Utente 2009-01-21 20.23.25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1789.994 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Documenti\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090121-0] *On-access scanning disabled* (Updated)
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Utente\IMPOST~1\Temp\install_flash_player.exe
c:\documents and settings\Utente\Dati applicazioni\Zango
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\962652.sdf
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\11213
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\16087
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\51374
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\5393
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\71383
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\TooltipXML\98493
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\dynamic\ustat\37a6.dat
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\avatar.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\btntrans1.dat
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\buttondir.txt
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\components.cdf
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\cursors.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_1000.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_2000.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_3000.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_bar.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_bbar1.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_logos.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_buttons_other.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\d_icons_weather.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\default.cdf
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_511745-514279.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_bidzC_ZT_IE-ca.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_bidzC_ZT_IE-us.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_categorize.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_comparison.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_explorer-Mails.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_explorer-people.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_favorites.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_Games.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_Hide.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_hotbarcom.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_Hotmail.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_hsskin.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_jemster.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_jemsterie.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_jemsteruk.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_jobsearch.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_Mails.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_MobileSidewalk.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_new.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_premium.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_reun.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_ringtones.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_SearchBoxTrapper.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_searchfor.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_searchgo.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_weather.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Default_yellowpages.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\editblbuttons.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\email-def-511724-548964.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\email-def-511724-9595.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\email-t1-bg.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\icons2.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\ie_games_icon.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\ie_video.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\keywords.idx
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\keywords1.dat
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\layout.cdf
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\linkpathlegal.txt
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\progress.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\s_icons_buttons.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\sales_buttons.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\sdfmodifier.xml
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\t2_bg.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\theweb.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\top7.cdf
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\Top7_theweb.mnu
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\tsd_bg.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\zango_btn.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\1\zango_ie_menu.res
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\avatar.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\BtnTrans.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\BtnTrans1.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\buttondir.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\cursors.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_1000.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_2000.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_3000.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_bar.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_bbar1.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_logos.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_buttons_other.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\d_icons_weather.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\default.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\editblbuttons.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\email-t1-bg.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\icons2.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\ie_games_icon.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\ie_video.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\keywords.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\keywords1.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\layout.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\linkpathlegal.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\s_icons_buttons.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\sales_buttons.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\samplegroups2reg.txt
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\samplegroups2reg.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\sdfmodifier.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\t2_bg.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\top7.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\tsd_bg.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\zango_btn.xip
c:\documents and settings\Utente\Dati applicazioni\Zango\v3.0\Zango\static\DownLoad\zango_ie_menu.xip

.
((((((((((((((((((((((((( Files Creati Da 2008-12-21 al 2009-01-21 )))))))))))))))))))))))))))))))))))
.

2009-01-20 23:24 . 2009-01-20 23:24 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-20 23:24 . 2009-01-20 23:24 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\Malwarebytes
2009-01-20 23:24 . 2009-01-20 23:24 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-01-20 23:24 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-20 23:24 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-20 22:35 . 2009-01-20 22:35 <DIR> d-------- c:\programmi\Trend Micro
2009-01-19 23:10 . 2009-01-19 23:10 <DIR> d-------- c:\programmi\CCleaner
2009-01-19 19:51 . 2009-01-19 19:51 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2009-01-19 19:51 . 2009-01-20 00:24 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-01-19 19:28 . 2009-01-19 19:28 <DIR> d-------- c:\programmi\Sophos
2009-01-18 23:58 . 2009-01-18 23:58 <DIR> d-------- c:\programmi\Lavasoft
2009-01-18 23:58 . 2009-01-18 23:58 <DIR> d-------- c:\programmi\File comuni\Wise Installation Wizard
2009-01-18 23:58 . 2009-01-18 23:59 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2009-01-18 23:37 . 2009-01-18 23:37 <DIR> d-------- c:\programmi\Windows Defender
2009-01-18 23:25 . 2009-01-20 00:34 <DIR> d-------- c:\programmi\Enigma Software Group
2009-01-18 23:18 . 2009-01-21 20:30 13,878 --a------ c:\windows\pop.htm
2009-01-18 22:19 . 2009-01-18 22:18 16,984 --a------ c:\windows\system32\LSHPRN.EXE
2009-01-18 22:09 . 2009-01-18 22:09 <DIR> d-------- c:\programmi\TopWare
2009-01-18 21:52 . 2009-01-18 21:52 <DIR> d-------- c:\programmi\Alcohol Soft
2009-01-18 14:48 . 2009-01-18 14:48 2,194 --a------ c:\documents and settings\Utente\Dati applicazioni\SAS7_000.DAT
2009-01-18 14:31 . 2009-01-18 14:31 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\Nuance
2009-01-18 14:31 . 2009-01-18 14:31 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\InstallShield
2009-01-18 14:29 . 2009-01-18 14:29 <DIR> d-------- c:\programmi\File comuni\ScanSoft Shared
2009-01-18 14:29 . 2009-01-18 14:29 <DIR> d-------- c:\programmi\File comuni\Nuance
2009-01-18 14:29 . 2009-01-18 14:29 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\ScanSoft
2009-01-18 14:28 . 2009-01-18 14:28 <DIR> d-------- c:\programmi\Nuance
2009-01-18 14:28 . 2009-01-18 14:28 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Nuance
2009-01-18 14:20 . 2009-01-18 14:20 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\DAEMON Tools Pro
2009-01-18 14:20 . 2009-01-18 14:20 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\DAEMON Tools
2009-01-18 14:19 . 2009-01-18 14:19 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\DAEMON Tools Lite
2009-01-18 14:15 . 2009-01-18 14:15 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\DAEMON Tools Lite
2009-01-18 14:15 . 2009-01-18 14:15 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-01-18 12:57 . 2001-12-14 10:40 1,319,279 --------- c:\windows\Setup1.CAB
2009-01-18 12:57 . 2009-01-18 12:57 1,714 --a------ c:\windows\ST6UNST.001
2009-01-18 12:55 . 2009-01-18 12:57 139,264 --------- c:\windows\Setup1.exe
2009-01-18 12:55 . 2009-01-18 12:57 73,216 --a------ c:\windows\ST6UNST.EXE
2009-01-18 12:55 . 2009-01-18 12:55 1,730 --a------ c:\windows\ST6UNST.000
2009-01-18 01:33 . 2009-01-18 01:33 <DIR> d-------- c:\programmi\Il Gioco dei Pacchi
2009-01-18 01:33 . 2009-01-21 19:20 6 --a------ c:\windows\system32\PackGame.tmp
2009-01-14 20:06 . 2009-01-14 20:06 424 --a------ c:\windows\ODBC.INI
2009-01-13 22:38 . 2009-01-19 23:09 <DIR> d-------- C:\Downloads
2009-01-13 22:29 . 2009-01-13 22:29 <DIR> d-------- c:\programmi\Software Informer
2009-01-13 22:29 . 2009-01-13 22:29 <DIR> d-------- c:\programmi\Free Download Manager
2009-01-13 22:29 . 2009-01-18 12:42 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\Software Informer
2009-01-13 22:29 . 2009-01-21 20:25 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\Free Download Manager
2009-01-13 22:29 . 2009-01-13 22:29 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\FreeDownloadManager.ORG
2009-01-13 22:28 . 2009-01-13 22:28 6,696,145 --a------ c:\programmi\fdminst.exe
2009-01-13 22:17 . 2009-01-14 23:33 <DIR> d-------- c:\programmi\PeerGuardian2
2009-01-13 22:17 . 2009-01-13 22:17 1,674,242 --a------ c:\programmi\pg2-070309.exe
2009-01-12 23:09 . 2007-05-16 17:19 149,040 --a------ c:\windows\system32\ImageDrive.cpl
2009-01-12 23:00 . 2009-01-18 14:31 <DIR> d-------- c:\windows\speech
2009-01-12 22:15 . 2009-01-12 22:15 <DIR> d-------- c:\programmi\AC3Filter
2009-01-08 23:17 . 2009-01-08 23:17 <DIR> d-------- c:\programmi\File comuni\Adobe
2009-01-08 23:15 . 2009-01-09 20:33 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\NOS
2009-01-03 19:02 . 2006-03-02 12:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-03 14:43 . 2009-01-03 14:43 <DIR> d-------- c:\windows\system32\it
2009-01-03 14:43 . 2009-01-03 14:43 <DIR> d-------- c:\windows\system32\bits
2009-01-03 14:43 . 2009-01-03 14:43 <DIR> d-------- c:\windows\l2schemas
2009-01-03 14:41 . 2009-01-03 14:44 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-03 12:34 . 2009-01-03 12:34 1,409 --a------ c:\windows\system32\PGTEXTJE.FOT
2009-01-03 12:34 . 2009-01-03 12:34 1,409 --a------ c:\windows\system32\PGTEXTJ_.FOT
2009-01-03 12:34 . 2009-01-03 12:34 1,409 --a------ c:\windows\system32\PGTEXT.FOT
2009-01-03 12:34 . 2009-01-03 12:34 1,409 --a------ c:\windows\system32\PGChords.FOT
2009-01-03 12:33 . 2009-01-03 12:33 1,409 --a------ c:\windows\system32\PGMUS.FOT
2009-01-03 12:33 . 2009-01-03 12:33 1,409 --a------ c:\windows\system32\pgjazz__.FOT
2009-01-03 12:33 . 2009-01-17 23:18 66 --a------ c:\windows\BBW_INFO.INI
2009-01-03 12:06 . 2009-01-08 21:50 <DIR> d-------- c:\programmi\Jazz_Guitar_Solos_Vol_1-4
2009-01-03 12:05 . 2009-01-03 12:05 <DIR> d-------- c:\programmi\Roland
2009-01-03 12:05 . 2009-01-03 12:05 <DIR> d-------- C:\Program Files
2009-01-03 12:04 . 2009-01-03 12:04 <DIR> d-------- c:\programmi\PowerTracks DirectX Plugins
2009-01-03 12:04 . 2003-09-27 00:11 153,064 --a------ c:\windows\system32\Pgchords.ttf
2009-01-03 12:04 . 2003-09-27 00:11 153,064 --a------ c:\windows\system\Pgchords.ttf
2009-01-03 12:04 . 2003-10-16 14:21 59,004 --a------ c:\windows\system32\Pgtextj_.ttf
2009-01-03 12:04 . 2003-10-16 14:21 59,004 --a------ c:\windows\system\Pgtextj_.ttf
2009-01-03 12:04 . 2003-09-27 00:09 51,864 --a------ c:\windows\system32\Pgtextje.ttf
2009-01-03 12:04 . 2003-09-27 00:09 51,864 --a------ c:\windows\system\Pgtextje.ttf
2009-01-03 12:04 . 1996-07-01 07:00 49,896 --a------ c:\windows\system32\Pgtext.ttf
2009-01-03 12:04 . 1996-07-01 07:00 49,896 --a------ c:\windows\system\Pgtext.ttf
2009-01-03 12:04 . 2003-09-24 23:30 48,072 --a------ c:\windows\system32\Pgjazz__.ttf
2009-01-03 12:04 . 2003-09-24 23:30 48,072 --a------ c:\windows\system\Pgjazz__.ttf
2009-01-03 12:04 . 1996-07-30 10:12 47,252 --a------ c:\windows\system32\pgmus.ttf
2009-01-03 12:04 . 1996-07-30 10:12 47,252 --a------ c:\windows\system\pgmus.ttf
2009-01-03 12:01 . 2009-01-17 23:25 <DIR> d-------- C:\bb
2009-01-02 16:51 . 2009-01-02 16:51 <DIR> d-------- c:\windows\Sun
2009-01-02 16:18 . 2009-01-11 23:44 <DIR> d-------- c:\programmi\vanBasco's Karaoke Player
2009-01-02 15:51 . 1999-09-28 09:00 5,727 --a------ c:\windows\system32\VcakeD.vxd
2009-01-02 15:46 . 2009-01-02 15:46 <DIR> d-------- C:\CAKE9
2009-01-02 14:03 . 2009-01-04 02:46 <DIR> d-------- c:\programmi\Cakewalk
2009-01-02 13:55 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe
2009-01-02 00:55 . 2009-01-02 00:55 <DIR> d-------- C:\Archivos de programa
2009-01-02 00:54 . 2009-01-19 21:40 <DIR> d-------- c:\programmi\eMule
2008-12-31 12:04 . 2008-12-31 12:04 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-31 01:20 . 2008-12-31 01:20 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\OpenOffice.org
2008-12-31 01:16 . 2008-12-31 01:16 <DIR> d-------- c:\programmi\OpenOffice.org 3
2008-12-31 01:16 . 2008-12-31 01:16 <DIR> d-------- c:\programmi\JRE
2008-12-31 01:16 . 2008-12-31 12:04 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-31 01:15 . 2008-12-31 12:04 <DIR> d-------- c:\programmi\Java
2008-12-31 01:15 . 2008-12-31 01:15 <DIR> d-------- c:\programmi\File comuni\Java
2008-12-31 00:36 . 2008-02-22 09:49 676,224 --a------ c:\windows\OGACheckControl.dll
2008-12-25 11:42 . 2009-01-11 23:42 <DIR> d-------- c:\documents and settings\Utente\Dati applicazioni\U3

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-18 22:53 --------- d-----w c:\programmi\Microsoft Works
2009-01-18 13:29 --------- d-----w c:\programmi\File comuni\InstallShield
2009-01-14 22:36 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-01-12 21:45 --------- d-----w c:\documents and settings\Utente\Dati applicazioni\Ahead
2009-01-02 13:03 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"Free Download Manager"="c:\programmi\Free Download Manager\fdm.exe" [2009-01-02 3399727]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"Google Update"="c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2009-01-20 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programmi\Analog Devices\Core\smax4pnp.exe" [2008-04-04 1044480]
"StartCCC"="c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"PrinterSecurityLayer"="c:\windows\system32\LSHPRN.EXE" [2009-01-18 16984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2007-05-15 15:08 112640 c:\windows\system32\ackpbsc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2007-05-15 15:08 281088 c:\programmi\ActivIdentity\ActivClient\acunlock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2008-05-21 01:42 111888 c:\programmi\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe]
"Debugger"=0

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
"Debugger"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ASWLNPkg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\eMule.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2007-10-26 174600]
R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\system32\drivers\Amddfltr.sys [2008-10-18 15416]
R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [2008-05-30 108752]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [2008-05-30 51376]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [2008-05-30 12928]
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [2008-10-18 24064]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-18 111184]
R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [2008-05-30 12496]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-10-18 20560]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\5C7.tmp --> c:\windows\system32\5C7.tmp [?]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\drivers\SCR3XX2K.sys [2007-06-21 56448]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - aawservice
*Deregistered* - accoca
*Deregistered* - AgereModemAudio
*Deregistered* - ALG
*Deregistered* - ASBroker
*Deregistered* - ASChannel
*Deregistered* - aswUpdSv
*Deregistered* - Ati HotKey Poller
*Deregistered* - AudioSrv
*Deregistered* - avast! Antivirus
*Deregistered* - avast! Mail Scanner
*Deregistered* - avast! Web Scanner
*Deregistered* - BITS
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - HP ProtectTools Service
*Deregistered* - HpFkCryptService
*Deregistered* - hpqwmiex
*Deregistered* - ImapiService
*Deregistered* - JavaQuickStarterService
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - MDM
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - NMIndexingService
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - SCardSvr
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - StarWindServiceAE
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - WinDefend
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d68b85f-9d03-11dd-9f3a-806d6172696f}]
\Shell\AutoRun\command - d:\swsetup\APPINSTL\setup.exe
.
Contenuto della cartella 'Scheduled Tasks'

2009-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-606747145-1500820517-682003330-1003.job
- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-01-20 21:08]

2009-01-21 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]

2009-01-18 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2009-01-21 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-fsm - (no file)


.
------- Scansione supplementare -------
.
uStart Page = www.virgilio.it/
uInternet Settings,ProxyOverride = 127.0.0.1
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Scarica con Free Download Manager - file://c:\programmi\Free Download Manager\dllink.htm
IE: Scarica i video con Free Download Manager - file://c:\programmi\Free Download Manager\dlfvideo.htm
IE: Scarica selezionati con Free Download Manager - file://c:\programmi\Free Download Manager\dlselected.htm
IE: Scarica tutto con Free Download Manager - file://c:\programmi\Free Download Manager\dlall.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-21 20:28:42
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\5C7.tmp"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\ackpbsc.dll
c:\windows\system32\aclog.dll
c:\windows\system32\ACLIBEAY.dll
c:\windows\system32\acevtsub.dll
c:\windows\system32\asphat32.dll
c:\windows\system32\acerrmes.dll
c:\windows\system32\aspcom.dll
c:\programmi\ActivIdentity\ActivClient\Resources\Merged\acerrmrc.dll
c:\programmi\ActivIdentity\ActivClient\Resources\Merged\asphatrc.dll
c:\windows\system32\Ati2evxx.dll
c:\programmi\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
c:\programmi\Hewlett-Packard\IAM\bin\ItMsg.dll
c:\programmi\ActivIdentity\ActivClient\acunlock.dll
c:\windows\system32\aipingui.dll
c:\programmi\ActivIdentity\ActivClient\Resources\Merged\aipinguirc.dll
c:\programmi\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\programmi\ActivIdentity\ActivClient\Resources\Merged\acunlockrc.dll
c:\programmi\Hewlett-Packard\IAM\Bin\TrayIcon.dll
c:\programmi\Hewlett-Packard\IAM\bin\brand.dll
c:\programmi\Hewlett-Packard\IAM\bin\ITA\brand.dll
c:\programmi\Hewlett-Packard\IAM\bin\ITA\ItMsg.dll
c:\programmi\Hewlett-Packard\IAM\Bin\AsChnl.dll
c:\programmi\Hewlett-Packard\IAM\Bin\HPPlugIn.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTHostServices.dll
c:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_it_b77a5c561934e089\mscorlib.resources.dll
c:\windows\assembly\GAC_MSIL\System.Xml.resources\2.0.0.0_it_b77a5c561934e089\System.Xml.resources.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\Interop.HPQWMIEXLib.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\Interop.PTHstServsLib.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTHstServs.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\BIOSDomain.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\Interop.PTPluginLib.dll
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTStrings.dll
c:\programmi\Hewlett-Packard\Drive Encryption\SbHpFve.dll
c:\programmi\Hewlett-Packard\Drive Encryption\SbUILib.dll
c:\programmi\Hewlett-Packard\Drive Encryption\Languages\0010\SbHpFve.lng
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\HPjCard.dll
c:\windows\system32\acomx.dll
c:\windows\system32\acbsi21.dll

- - - - - - - > 'lsass.exe'(820)
c:\programmi\Hewlett-Packard\IAM\bin\ASWLNPkg.dll
c:\programmi\Hewlett-Packard\IAM\bin\ItMsg.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programmi\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
c:\programmi\Windows Defender\MsMpEng.exe
c:\programmi\Lavasoft\Ad-Aware\aawservice.exe
c:\programmi\Alwil Software\Avast4\aswUpdSv.exe
c:\programmi\ActivIdentity\ActivClient\acevents.exe
c:\programmi\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\scardsvr.exe
c:\programmi\ActivIdentity\ActivClient\accoca.exe
c:\windows\system32\agrsmsvc.exe
c:\programmi\Hewlett-Packard\HP ProtectTools Security Manager\PTChangeFilterService.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
c:\programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\programmi\Hewlett-Packard\Shared\hpqWmiEx.exe
c:\programmi\Alwil Software\Avast4\ashMaiSv.exe
c:\programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programmi\Alwil Software\Avast4\ashWebSv.exe
c:\programmi\File comuni\Ahead\Lib\NMIndexingService.exe
c:\programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programmi\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Ora fine scansione: 2009-01-21 20:32:42 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-01-21 19:32:39

Pre-Run: 73.127.309.312 byte disponibili
Post-Run: 73,115,844,608 byte disponibili

469 --- E O F --- 2009-01-20 22:27:03
Torna in alto
 
r16
Inviato: Wednesday, January 21, 2009 10:19:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Sei fortemente incasinato..
Segui queste indicazioni:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d68b85f-9d03-11dd-9f3a-806d6172696f}]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix, che uscirà.
*********************************************************************************************************
Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella.
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco: (quelle in neretto)


Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe


Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Torna in alto
 
tugoli
Inviato: Wednesday, January 21, 2009 10:25:19 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
senti: ho disinstallato windows sp3 e successivamente IE7 e il problema sembra risolto. Che faccio? eseguo comunque le tue ultime istruzioni? (P.S. ora sto usando chrome come browser, non si sa mai).


r16 ha scritto:
Ciao.
Sei fortemente incasinato..
Segui queste indicazioni:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d68b85f-9d03-11dd-9f3a-806d6172696f}]

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix, che uscirà.
*********************************************************************************************************
Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella.
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai copia-incolla) nel riquadro bianco: (quelle in neretto)


Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\regedit.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe


Clicca su Execute e aspetta...
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Torna in alto
 
r16
Inviato: Wednesday, January 21, 2009 10:34:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Cosa vuoi che ti dica ......
Hai fatto di testa tua, e adesso non posso più fare di testa mia.
Se dici che và bene......lascia cosi.
Finchè va....
Torna in alto
 
tugoli
Inviato: Wednesday, January 21, 2009 10:43:09 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
cioè secondo te il problema non è eliminato, ma solo latente??


r16 ha scritto:
Ciao.
Cosa vuoi che ti dica ......
Hai fatto di testa tua, e adesso non posso più fare di testa mia.
Se dici che và bene......lascia cosi.
Finchè va....
Torna in alto
 
r16
Inviato: Wednesday, January 21, 2009 10:54:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
tugoli , Come faccio adesso a saperlo con certezza....
Secondo me non hai risolto niente.
I virus sono rimasti nelle chiavi del registro, e non se ne sono andati solamente perchè usi chrome come browser.
Prova a fare lo stesso le indicazioni che ti ho dato e vediamo....
Torna in alto
 
tugoli
Inviato: Wednesday, January 21, 2009 11:01:48 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
OK domani sera metto in atto le procedure che mi hai indicato.
Nel frattempo ti ringrazio per la tua attenzione-
A presto.


r16 ha scritto:
tugoli , Come faccio adesso a saperlo con certezza....
Secondo me non hai risolto niente.
I virus sono rimasti nelle chiavi del registro, e non se ne sono andati solamente perchè usi chrome come browser.
Prova a fare lo stesso le indicazioni che ti ho dato e vediamo....
Torna in alto
 
r16
Inviato: Wednesday, January 21, 2009 11:06:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Guarda, quella procedura era valida prima che facessi di testa tua .
Adesso , bisognerebbe farne tutta un'altra, e cioè ricominciare da capo.
Perciò, rifai la scansione con Malwarebytes, e rifai la scansione con Combofix, e posti i 2 log.
Torna in alto
 
ecofive
Inviato: Wednesday, January 21, 2009 11:11:14 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Per R16 : come ti capisco. Ti chiedono un consiglio, ti spacchi in quattro per trovare la soluzione migliore e poi ... fanno un po' quel che passa loro per la testa. E' successo anche ad altri ( me compreso) non preoccuparti, così va il mondo.

Ciao.
Torna in alto
 
tugoli
Inviato: Thursday, January 22, 2009 10:49:56 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
mamma mia come siete suscettibili.....Drool comunque io il problema l'ho risolto, il computer funziona perfettamente. ciao e grazie di nuovo.

ecofive ha scritto:
Per R16 : come ti capisco. Ti chiedono un consiglio, ti spacchi in quattro per trovare la soluzione migliore e poi ... fanno un po' quel che passa loro per la testa. E' successo anche ad altri ( me compreso) non preoccuparti, così va il mondo.

Ciao.
Torna in alto
 
suarez73
Inviato: Friday, January 23, 2009 8:39:40 PM

Rank: AiutAmico

Iscritto dal : 2/17/2008
Posts: 887
Ciao Tugoli, non penso sia un problema di suscettibilità sai? penso più che altro sia il desiderio di mettere realmenteil tuo pc a posto, chi ti ha fornito la spiegazione per risolvere i problemi è una persona seria e esperta quindi il mio consiglio, se mi permetti, è di provare a seguire tutta la procedura consigliata, se mai dovessi averne bisogno!
buona serata
Torna in alto
 
ecofive
Inviato: Friday, January 23, 2009 9:10:38 PM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Per Tugoli: prima di tutto sono felice che tu abbia risolto. Vorrei, in amicizia, spiegarti qualcosa. In questo Forum tutti cercano di dare aiuto a chi è in difficoltà e ci sono persone particolarmente competenti, come r16, che invece di andare a spasso e fare attività divertenti dedicano il loro tempo per cercare di decifrare un log che solo a vederlo fa paura. Tutto questo costa fatica, te lo assicuro, e a volte vedere il proprio tempo e competenza vanificati, fa restar male. Aggiungo questo: pensa se un tuo amico ti chiedesse come fermare l'automobile. Tu spieghi tutto sulla funzione del freno, raccomandi di non frenare di colpo, di stare attento se l'asfalto e bagnato e ,dopo aver fatto tutto questo, il tuo amico ti dice che lui ha "frenato" buttando l'auto contro un albero. Come ci rimarresti?
Con amicizia.
Ciao.
Torna in alto
 
tugoli
Inviato: Friday, January 23, 2009 11:40:09 PM
Rank: Newbie

Iscritto dal : 1/20/2009
Posts: 0
Ringrazio di nuovo tutti, anche per le spiegazioni su come funziona il forum. Anch'io faccio attività di volontariato, anche se in altri campi, e quindi ho capito perfettamente. Drool


ecofive ha scritto:
Per Tugoli: prima di tutto sono felice che tu abbia risolto. Vorrei, in amicizia, spiegarti qualcosa. In questo Forum tutti cercano di dare aiuto a chi è in difficoltà e ci sono persone particolarmente competenti, come r16, che invece di andare a spasso e fare attività divertenti dedicano il loro tempo per cercare di decifrare un log che solo a vederlo fa paura. Tutto questo costa fatica, te lo assicuro, e a volte vedere il proprio tempo e competenza vanificati, fa restar male. Aggiungo questo: pensa se un tuo amico ti chiedesse come fermare l'automobile. Tu spieghi tutto sulla funzione del freno, raccomandi di non frenare di colpo, di stare attento se l'asfalto e bagnato e ,dopo aver fatto tutto questo, il tuo amico ti dice che lui ha "frenato" buttando l'auto contro un albero. Come ci rimarresti?
Con amicizia.
Ciao.
Torna in alto
 
ecofive
Inviato: Saturday, January 24, 2009 7:13:06 AM

Rank: AiutAmico

Iscritto dal : 6/20/2008
Posts: 7,111
Ciao Tugoli: l'importante è capirsi e dire apertamente , in amicizia, se qualcosa non va. Mi sembra che questo sia avvenuto in modo positivo.
Ancora con amicizia, ciao.
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » C:\WINDOWS\pop.htm ..... che fare?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.