Benvenuto Ospite

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log.

Controllo log.

Opzioni

Topic Precedente · Topic Sucessivo

loppa

Inviato: Tuesday, March 24, 2009 2:26:44 PM

Rank: AiutAmico

Iscritto dal : 8/11/2005
Posts: 108

Salve amici, vi chiedo la cortesia di controllarmi il log. per problemi di stampante, cioè la stessa mi è sparita dal PC e non riesco più ad installarla nemmeno con il suo CD. Grazie Aldo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.23.33, on 24/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
G:\WINDOWS\System32\GEARSec.exe
G:\Programmi\CyberLink\Shared Files\RichVideo.exe
G:\WINDOWS\system32\svchost.exe
G:\PROGRA~1\AVG\AVG8\avgemc.exe
G:\PROGRA~1\AVG\AVG8\avgrsx.exe
G:\WINDOWS\Explorer.EXE
G:\PROGRA~1\AVG\AVG8\avgnsx.exe
G:\Programmi\AVG\AVG8\avgcsrvx.exe
G:\PROGRA~1\AVG\AVG8\avgtray.exe
G:\Programmi\Messenger\msmsgs.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - G:\Programmi\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\Programmi\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - G:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - G:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - G:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - G:\Programmi\AVG\AVG8\avgtoolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - G:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AVG8_TRAY] G:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] G:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB001" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [RecSche] "G:\Programmi\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [ScanRegistry] G:\W
O4 - HKLM\..\Run: [NeroFilterCheck] G:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-2052111302-1715567821-839522115-1003\..\Run: [MSMSGS] "G:\Programmi\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-2052111302-1715567821-839522115-1003\..\Run: [SpybotSD TeaTimer] G:\Programmi\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download All Links with IDM - G:\Programmi\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - G:\Programmi\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - G:\Programmi\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - G:\Programmi\TG 6.0\TGWeb.exe
O9 - Extra 'Tools' menuitem: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - G:\Programmi\TG 6.0\TGWeb.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1225045984024
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1225045972415
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CA1777D-F14A-4431-8E5E-DAE35959BA62}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - G:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - G:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - G:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - G:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GEARSecurity - GEAR Software - G:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - G:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - G:\Programmi\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7728 bytes

Torna in alto

Sponsor

Inviato: Tuesday, March 24, 2009 2:26:44 PM

Torna in alto

r16

Inviato: Tuesday, March 24, 2009 10:21:11 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Ciao loppa .
Come sparita dal pc.... Think

Dal log di HJT c'è.
Comunque, avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - HKLM\..\Run: [ScanRegistry] G:\W
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
*********************************************************************************************************
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema.
Posta il log.
*********************************************************************************************************
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)

Torna in alto

loppa

Inviato: Thursday, March 26, 2009 12:18:55 AM

Rank: AiutAmico

Iscritto dal : 8/11/2005
Posts: 108

Ciao R16, ti ringrazio per la risposta che ho trovato molto esaudiente, ti posto i due log. Per il problema della stampante credo di essere riuscito a rimediare, il problema era che era stato disattivato lo spooler di stampa, non so da chi, una volta riattivato, come per incanto, nella cartella delle stampanti e fax mi è riapparsa la stampante. Di nuovo tante grazie Aldo

Malwarebytes' Anti-Malware 1.34
Versione del database: 1898
Windows 5.1.2600 Service Pack 3

26/03/2009 0.06.45
mbam-log-2009-03-26 (00-06-45).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 66373
Tempo trascorso: 3 minute(s), 53 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

ComboFix 09-03-23.01 - Aldo 2009-03-25 23.49.02.1 - NTFSx86
Eseguito da: g:\documents and settings\Aldo\Desktop\Download\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

g:\documents and settings\Aldo\Impostazioni locali\Dati applicazioni\yeqcncmx.dat
g:\documents and settings\Aldo\Impostazioni locali\Dati applicazioni\yeqcncmx.exe
g:\documents and settings\Aldo\Impostazioni locali\Dati applicazioni\yeqcncmx_nav.dat
g:\documents and settings\Aldo\Impostazioni locali\Dati applicazioni\yeqcncmx_navps.dat

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF

((((((((((((((((((((((((( Files Creati Da 2009-02-25 al 2009-03-25 )))))))))))))))))))))))))))))))))))
.

2009-03-25 23:25 . 2009-03-25 23:25 <DIR> d-------- g:\programmi\Malwarebytes' Anti-Malware
2009-03-25 23:25 . 2009-03-25 23:25 <DIR> d-------- g:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-03-25 23:25 . 2009-03-25 23:25 <DIR> d-------- g:\documents and settings\Aldo\Dati applicazioni\Malwarebytes
2009-03-25 23:25 . 2009-02-11 10:19 38,496 --a------ g:\windows\system32\drivers\mbamswissarmy.sys
2009-03-25 23:25 . 2009-02-11 10:19 15,504 --a------ g:\windows\system32\drivers\mbam.sys
2009-03-25 23:03 . 2009-03-25 23:03 <DIR> d-------- g:\programmi\CCleaner
2009-03-03 15:16 . 2009-03-03 15:16 <DIR> d-------- g:\documents and settings\Aldo\Dati applicazioni\Zylom
2009-03-03 15:11 . 2009-03-03 15:11 <DIR> d-------- g:\programmi\Zylom Games
2009-03-03 15:11 . 2009-03-03 15:11 <DIR> d-------- g:\documents and settings\All Users\Dati applicazioni\Zylom
2009-03-03 14:09 . 2009-03-03 14:09 <DIR> d-------- g:\programmi\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-25 22:15 --------- d-----w g:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-03-24 13:03 --------- d-----w g:\programmi\Spybot - Search & Destroy
2009-03-24 08:37 10,240 --sha-w g:\programmi\Thumbs.db
2009-03-24 08:37 --------- d-----w g:\programmi\TG 6.0
2009-03-24 08:37 --------- d-----w g:\programmi\PhotoZoom Pro 2
2009-03-24 08:37 --------- d-----w g:\programmi\eMule
2009-03-24 08:37 --------- d-----w g:\programmi\Devices
2009-03-11 17:38 --------- d-----w g:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2009-02-22 12:25 --------- d-----w g:\documents and settings\Aldo\Dati applicazioni\DMCache
2009-02-10 22:41 --------- d-----w g:\programmi\library
2009-02-08 18:53 --------- d--h--w g:\programmi\InstallShield Installation Information
2009-02-05 21:31 --------- d-----w g:\programmi\OfficePowerT
2009-01-30 19:14 325,128 ----a-w g:\windows\system32\drivers\avgldx86.sys
2009-01-30 19:14 107,272 ----a-w g:\windows\system32\drivers\avgtdix.sys
2009-01-30 19:14 --------- d-----w g:\documents and settings\All Users\Dati applicazioni\avg8
2008-11-08 23:43 102 --sha-w g:\programmi\desktop.ini
2008-10-27 22:07 32,768 --sha-w g:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008102020081027\index.dat
2008-10-27 22:07 32,768 --sha-w g:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008102720081028\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="g:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="g:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"EPSON Stylus Photo R240 Series"="g:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"MSConfig"="g:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172032]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 20:14 10520 g:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\G:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Traduttore di E-Mail.lnk]
path=g:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Traduttore di E-Mail.lnk
backup=g:\windows\pss\Traduttore di E-Mail.lnkCommon Startup

[HKLM\~\startupfolder\G:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Traduttore in Internet.lnk]
path=g:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Traduttore in Internet.lnk
backup=g:\windows\pss\Traduttore in Internet.lnkCommon Startup

[HKLM\~\startupfolder\G:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Traduttore In-Linea.lnk]
path=g:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Traduttore In-Linea.lnk
backup=g:\windows\pss\Traduttore In-Linea.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScanRegistry]
G:\W [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StillImageMonitor]
G:\W [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 g:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 19:04 139264 g:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 03:14 15360 g:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2007-08-24 07:00 33648 g:\programmi\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 2007-09-11 22:38 2540976 g:\programmi\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:14 1695232 g:\programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 g:\programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-09 10:30 282624 g:\programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--------- 2009-03-05 16:07 2260480 g:\programmi\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TGPro Office]
--a------ 2003-06-18 11:07 241664 g:\programmi\TG 6.0\IdxOffice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-11-01 19:12 185872 g:\programmi\File comuni\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2004-02-09 09:54 65024 g:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
-ra------ 2004-01-15 13:33 49152 g:\windows\system32\VTTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"g:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"g:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"g:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"g:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"g:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=

R2 OMSCAN;OMSCAN; [x]
R3 KS-959;Kingsun KS-959 USB Infrared Adapter;g:\windows\system32\DRIVERS\KS-959.sys [2005-09-05 19034]
S0 PQV2i;PQV2i; [x]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;g:\windows\System32\Drivers\avgldx86.sys [2009-01-30 325128]
S1 AvgTdiX;AVG Free8 Network Redirector;g:\windows\System32\Drivers\avgtdix.sys [2009-01-30 107272]
S1 PQIMount;PQIMount; [x]
S2 avg8emc;AVG Free8 E-mail Scanner;g:\progra~1\AVG\AVG8\avgemc.exe [2009-01-30 903960]
S2 avg8wd;AVG Free8 WatchDog;g:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-30 298264]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - a347bus
*Deregistered* - a347scsi
*Deregistered* - AFD
*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - audstub
*Deregistered* - avg8emc
*Deregistered* - avg8wd
*Deregistered* - AvgLdx86
*Deregistered* - AvgMfx86
*Deregistered* - AvgTdiX
*Deregistered* - Beep
*Deregistered* - Browser
*Deregistered* - Cdfs
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmio
*Deregistered* - dmload
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - Fips
*Deregistered* - FltMgr
*Deregistered* - Ftdisk
*Deregistered* - GEARSecurity
*Deregistered* - Gpc
*Deregistered* - helpsvc
*Deregistered* - HTTP
*Deregistered* - ImapiService
*Deregistered* - IpNat
*Deregistered* - IPSec
*Deregistered* - irda
*Deregistered* - Irmon
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mdmxsdk
*Deregistered* - mnmdd
*Deregistered* - Mouclass
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - PQIMount
*Deregistered* - PQV2i
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - Rasirda
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RichVideo
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cf38994-cd32-11dd-863a-00115b03e09b}]
\Shell\Auto\command - K:\bittorrent.exe e
\Shell\AutoRun\command - g:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d61b1530-ab52-11dd-85f2-00115b03e09b}]
\Shell\Auto\command - K:\bittorrent.exe e
\Shell\AutoRun\command - g:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-Polar Sync - (no file)
MSConfigStartUp-RecSche - g:\programmi\LifeView TVR\RecSche.exe
MSConfigStartUp-WinDVRCtrl - g:\windows\WDVRCtrl.exe
MSConfigStartUp-yeqcncmx - g:\documents and settings\aldo\impostazioni locali\dati applicazioni\yeqcncmx.exe
MSConfigStartUp-Device Detector - DevDetect.exe

.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: Download All Links with IDM - g:\programmi\Internet Download Manager\IEGetAll.htm
IE: Download FLV video content with IDM - g:\programmi\Internet Download Manager\IEGetVL.htm
IE: Download with IDM - g:\programmi\Internet Download Manager\IEExt.htm
IE: E&sporta in Microsoft Excel - g:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{C873E82E-A38B-45AB-8C74-6F4947BE77B7} - g:\programmi\TG 6.0\TGWeb.exe
TCP: {9CA1777D-F14A-4431-8E5E-DAE35959BA62} = 208.67.222.222,208.67.220.220
FF - ProfilePath - g:\documents and settings\Aldo\Dati applicazioni\Mozilla\Firefox\Profiles\ogvany5d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.repubblica.it/index.html
FF - component: g:\documents and settings\Aldo\Dati applicazioni\IDM\idmmzcc2\components\idmmzcc.dll
FF - component: g:\documents and settings\Aldo\Dati applicazioni\Mozilla\Firefox\Profiles\ogvany5d.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFAlert.dll
FF - plugin: g:\documents and settings\All Users\Dati applicazioni\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: g:\programmi\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-25 23:53:40
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OMSCAN]
"ImagePath"="\Sys"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2ffd0c1a-9676-4506-b501-893a24ae79b1}]
@Denied: (Full) (Everyone)
"Model"=dword:0000001a
"Therad"=dword:00000008
"MData"=hex(0):cb,9b,ad,ef,27,7d,29,69,f5,02,f0,76,aa,4a,f1,7c,d3,d9,67,7f,6a,
4b,7b,ad,04,7a,b1,b5,76,9b,27,47,70,75,7f,a6,4e,b3,db,e0,92,2d,3a,f2,f8,fd,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f1,3e,3b,27,ba,57,01,fc,e4,b2,09,6a,c0,1f,2e,ae,07,af,59,2f,5c,
40,39,3e,0b,a0,a3,eb,e6,0c,28,5c,69,7a,5e,53,3e,c0,bb,e2,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence0"="REMOVED"
.
------------------------ Altri processi in esecuzione ------------------------
.
g:\programmi\AVG\AVG8\avgrsx.exe
g:\windows\system32\gearsec.exe
g:\programmi\CyberLink\Shared Files\RichVideo.exe
g:\programmi\AVG\AVG8\avgrsx.exe
g:\progra~1\AVG\AVG8\avgnsx.exe
g:\programmi\AVG\AVG8\avgcsrvx.exe
g:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2009-03-25 23:57:54 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-03-25 22:57:47

Pre-Run: 3.920.404.480 byte disponibili
Post-Run: 3,842,965,504 byte disponibili

306 --- E O F --- 2009-03-14 18:03:40

Torna in alto

loppa

Inviato: Saturday, March 28, 2009 11:13:14 AM

Rank: AiutAmico

Iscritto dal : 8/11/2005
Posts: 108

Ciao, scusa R16, sono rimasto in standby ed attendo la tua risposta sul log che ti ho postato per sapere se sonoi riuscito a ripulire il mio pc o nò, scusami se abuso della tua pazienza. Resto in attesa Grazie Aldo

Torna in alto

r16

Inviato: Saturday, March 28, 2009 2:19:11 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Torna in alto

r16

Inviato: Saturday, March 28, 2009 2:21:15 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Ciao loppa .
Combofix ha levato una fetecchia: yeqcncmx.exe (Navipromo).
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Poi:
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO

Riavvia il pc.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Sei a posto.
Ciao.

Torna in alto

loppa

Inviato: Saturday, March 28, 2009 5:02:38 PM

Rank: AiutAmico

Iscritto dal : 8/11/2005
Posts: 108

Ciao R16, ti ringrazio molto per l'aiuto che hai voluto dedicarmi.
Grazie di nuovo Aldo

Torna in alto

r16

Inviato: Saturday, March 28, 2009 7:33:54 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Di niente loppa .
Ciao.

Torna in alto

Utenti presenti in questo topic

Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log.

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded