Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Sembrava un problema di plugins...ma....

2 pages: [1] 2
Sembrava un problema di plugins...ma.... Opzioni
Topic Precedente · Topic Sucessivo
minerva523
Inviato: Thursday, March 05, 2009 5:12:21 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Ciao a tutti, vi chiedo scusa, ma non mi sono rivolta prima a voi perché pensavo di avere un problema con i plugins e con Firefox. Credo che il problema sia tutt'altro, certo un malware che si maschera da plugin. Per non ricominciare tutto da capo, dato che sono 3 gg che ci sto dietro, vi incollo la discussione fatta nel Forum Mozilla. Purtroppo lì mi hanno chiuso il topic dicendomi di rivolgermi a Forum più adatti e molte delle mie domande sono rimaste, come vedrete, senza risposta. Potete aiutarmi voi? Grazie in anticipo. Stefania

Plugin introvabili?
« inserito:: 04 Marzo 2009, 12:41:55 »
________________________________________
Buongiorno a tutti, vorrei sottoporvi un problema e chiedervi di aiutarmi a risolverlo.
Dunque, fino a ieri nessun problema con Firefox che, anzi, da quando l'ho messo mi sta dando un sacco di soddisfazioni. Ieri ho fatto due cose: ho scaricato e provato Orbit - che poi ho tolto - e mentre aspettavo che si aprisse una pagina ho tolto FoxyTunes...così, tanto per fare e pensando che tanto non l'usavo mai.

Devo confessare anche un'altra cosetta: entrando nel registro ho tolto direttamente da lì due cartelle relative a giochi che ogni tanto faccio in rete. Oberon e Zylom.

A farla corta: riandando sul sito dei giochi Zylom mi ha fatto riscaricre il player e tutto ok, ma su questo sito

http://www.gamenext.it/category.htm?lc=it&code=110097120&RefId=&Session=&origin=pindex_cat_ol

non riesco più ad aprire i giochi. Mi si apre una finestra in cui si chiede di installare un plug in..dò il permesso...una finestra di dialogo dice che il plug in è sconosciuto...installo a mano...sembra tutto ok ma poi si riapre la stessa finestra con la stessa richiesta.....Che guaio ho combinato? Ho passato la notte a rimontare tutto: Flashplayer, Java etc.

Notare che con Explorer arriva la richiesta di reinstallare il player di Oberon, lo faccio e tutto funziona a dovere...

Qualcuno sa dirmi cosa ho combinato e come rimediare? Certo, non è "vitale" e potrei giocare con Explorer...ma è una questione di principio...odio fare danni e non saperli riparare.

Il mio sistema è Windows XP...se serve qualche altra informazione ditemelo.
Grazie in anticipo.
Stefania


________________________________________

Cosa ti appare se, nella barra degli indirizzi, digiti about:plugins ?



Re: Plugin introvabili?
« Risposta #3 inserito:: 04 Marzo 2009, 18:38:27 »
________________________________________
Ecccomi a voi di nuovo...risolto niente. Ho gli occhietti a pallini però ho trovato un paio di cose. ..ho reinstallato manualmente il presunto plugin di Oberon e mi è comparso un avvertimento in cui si dice che il software è pericoloso...Allora ho fatto scansioni con qualunque cosa: AVG, Spybot, on line da TrenMIcro...niente. Sono passata alle ricerche on line e con Altavista ho trovato che non sono io la prima ad avere questo problema...ci sono dei Forum ad ogni angolo di ...internet, praticamente.
In uno di questi si consigliava all'utente di fare una scansione con ComboFix - che ho già scaricato - poi una serie di operazioni abbastanza complesse...ma vi rimndo all'indirizzo, si fa prima...

http://pc-facile.mobi/forum/viewtopic.php?f=7&t=77182


perché sembra che ci sia un reindirizzamento, se ho capito bene la parte finale del log.

Guarda caso l'utente scrive che i suoi problemi sono iniziati dopo che la sorella aveva scaricato un gioco.

Aspetto una vostra conferma di aver capito bene almeno la sostanza del Log...poi parto con ComboFix.

Grazie. Stefania




________________________________________

Spero di sbagliarmi, ma ComboFix ti sarà utilissimo, magari eccoti un link che ti aprirà gli occhi: http://www.megalab.it/2827/4/trojan-zlob-il-codec-fasullo

Ciao.



________________________________________
Ad ogni modo se poi verifichi che il problema non è un virus, rispondi a quanto ti è stato chiesto

Cosa ti appare se, nella barra degli indirizzi, digiti about:plugins ?
Citazione di: indigo - 04 Marzo 2009, 12:49:28
Allora, visto che mi sembri pratico di internet, prova a premere il tasto F1 dal browser: ti si apre la KB di Firefox.. prova a digitare nel campo di ricerca parole chiave relative ai tuoi problemi..
dovresti trovare molte risorse..
poi, se non risolvi, torna qua e affrontiamo il problema insieme

p.s. io non intendevo mica di cercarti da sola la soluzione su internet (anche se hai fatto benissimo) ma solo di guardare nella Guida on line di FF..



Re: Plugin introvabili?
« Risposta #6 inserito:: Oggi alle 10:46:34 »
________________________________________

Scusa se non ho risposto immediatamente alla tua domanda, dunque: se digito about: plugins nella barra degli indirizzi appare questo:
Codice:
getPlus for Adobe 15235

Nome file: np_gp.dll
getplusadobe15235

Tipo MIME Descrizione Estensione Attivo
application/getplusadobe15235 getplusadobe15235 Sì
Conviva LivePass (Firefox)

Nome file: npconviva.4.dll
Conviva LivePass (Firefox)

Tipo MIME Descrizione Estensione Attivo
application/x-rinera-proxy.4 npconviva * Sì
Oberon Game Host

Nome file: npOberonGameHost.dll
Oberon Game Host Firefox Plugin

Tipo MIME Descrizione Estensione Attivo
application/OberonGameHost-plugin Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin8.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
image/jp2 Immagine JPEG2000 jp2 Sì
image/jpeg2000 Immagine JPEG2000 jp2 Sì
image/jpeg2000-image Immagine JPEG2000 jp2 Sì
image/x-jpeg2000-image Immagine JPEG2000 jp2 Sì
application/smil SMIL 1.0 smi,sml,smil Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin7.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
image/x-macpaint Immagine MacPaint pntg,pnt,mac Sì
image/pict Immagine PICT pict,pic,pct Sì
image/x-pict Immagine PICT pict,pic,pct Sì
image/png Immagine PNG png Sì
image/x-png Immagine PNG png Sì
image/x-quicktime Immagine QuickTime qtif,qti Sì
image/x-sgi Immagine SGI sgi,rgb Sì
image/x-targa Immagine TGA targa,tga Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin6.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
video/x-m4v Video (protetto) m4v Sì
audio/mpeg Audio MP3 mp3,swa Sì
audio/x-mpeg Audio MP3 mp3,swa Sì
audio/mp3 Audio MP3 mp3,swa Sì
audio/x-mp3 Audio MP3 mp3,swa Sì
audio/mpeg3 Audio MP3 mp3,swa Sì
audio/x-mpeg3 Audio MP3 mp3,swa Sì
audio/x-mpegurl Playlist MP3 m3u,m3url Sì
audio/mpegurl Playlist MP3 m3u,m3url Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin5.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
audio/3gpp Media 3GPP 3gp,3gpp Sì
video/3gpp2 Media 3GPP2 3g2,3gp2 Sì
audio/3gpp2 Media 3GPP2 3g2,3gp2 Sì
video/sd-video SD video sdv Sì
applicazione/x-mpeg Media AMC amc Sì
video/mp4 Media MPEG-4 mp4 Sì
audio/mp4 Media MPEG-4 mp4 Sì
audio/x-m4a Audio AAC m4a Sì
audio/x-m4p Audio AAC (protetto) m4p Sì
audio/x-m4b Libro audio AAC m4b Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin4.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
video/mpeg Media MPEG mpeg,mpg,m1s,m1v,m1a,m75,m15,mp2,mpm,mpv,mpa Sì
audio/mpeg Audio MPEG mpeg,mpg,m1s,m1a,mp2,mpm,mpa,m2a Sì
audio/x-mpeg Audio MPEG mpeg,mpg,m1s,m1a,mp2,mpm,mpa,m2a Sì
video/3gpp Media 3GPP 3gp,3gpp Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin3.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
audio/x-gsm GSM audio gsm Sì
audio/AMR AMR audio AMR Sì
audio/aac Audio AAC aac,adts Sì
audio/x-aac Audio AAC aac,adts Sì
audio/x-caf Audio CAF caf Sì
audio/ac3 Audio AC3 AC3 Sì
audio/x-ac3 Audio AC3 AC3 Sì
video/x-mpeg Media MPEG mpeg,mpg,m1s,m1v,m1a,m75,m15,mp2,mpm,mpv,mpa Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin2.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
audio/aiff Audio AIFF aiff,aif,aifc,cdda Sì
audio/x-aiff Audio AIFF aiff,aif,aifc,cdda Sì
audio/basic Audio uLaw/AU au,snd,ulw Sì
audio/mid MIDI mid,midi,smf,kar Sì
audio/x-midi MIDI mid,midi,smf,kar Sì
audio/midi MIDI mid,midi,smf,kar Sì
audio/vnd.qcelp QUALCOMM PureVoice audio qcp Sì
QuickTime Plug-in 7.5.5

Nome file: npqtplugin.dll
The QuickTime Plugin allows you to view a wide variety of multimedia content in Web pages. For more information, visit the QuickTime Web site.

Tipo MIME Descrizione Estensione Attivo
application/sdp Descrittore stream SDP sdp Sì
application/x-sdp Descrittore stream SDP sdp Sì
application/x-rtsp Descrittore stream RTSP rtsp,rts Sì
video/quicktime QuickTime Movie mov,qt,mqv Sì
video/flc AutoDesk Animator (FLC) flc,fli,cel Sì
audio/x-wav Audio WAVE wav,bwf Sì
audio/wav Audio WAVE wav,bwf Sì
Java(TM) Platform SE 6 U12

Nome file: npdeploytk.dll
Java(TM) Platform SE binary

Tipo MIME Descrizione Estensione Attivo
application/npruntime-scriptable-plugin;DeploymentToolkit Sì
Mozilla Default Plug-in

Nome file: npnul32.dll
Default Plug-in

Tipo MIME Descrizione Estensione Attivo
* Mozilla Default Plug-in * No
Shockwave for Director

Nome file: np32dsw.dll
Adobe Shockwave for Director Netscape plug-in, version 11.0

Tipo MIME Descrizione Estensione Attivo
application/x-director Shockwave Movie dir,dxr,dcr Sì
RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)

Nome file: nppl3260.dll
RealPlayer(tm) LiveConnect-Enabled Plug-In

Tipo MIME Descrizione Estensione Attivo
audio/x-pn-realaudio-plugin RealPlayer(tm) as Plug-in rpm Sì
RealPlayer Version Plugin

Nome file: nprpjplug.dll
6.0.12.69

Tipo MIME Descrizione Estensione Attivo
application/vnd.rn-realplayer-javascript RealPlayer Version Plugin rpj Sì
Adobe Acrobat

Nome file: nppdf32.dll
Adobe PDF Plug-In For Firefox and Netscape

Tipo MIME Descrizione Estensione Attivo
application/pdf Acrobat Portable Document Format pdf Sì
application/vnd.adobe.pdfxml Adobe PDF in XML Format pdfxml Sì
application/vnd.adobe.x-mars Adobe PDF in XML Format mars Sì
application/vnd.fdf Acrobat Forms Data Format fdf Sì
application/vnd.adobe.xfdf XML Version of Acrobat Forms Data Format xfdf Sì
application/vnd.adobe.xdp+xml Acrobat XML Data Package xdp Sì
application/vnd.adobe.xfd+xml Adobe FormFlow99 Data File xfd Sì
Microsoft® Windows Media Player Firefox Plugin

Nome file: np-mswmp.dll
np-mswmp

Tipo MIME Descrizione Estensione Attivo
application/x-ms-wmp np-mswmp * Sì
application/asx * Sì
video/x-ms-asf-plugin * Sì
application/x-mplayer2 * Sì
video/x-ms-asf asf,asx,* Sì
video/x-ms-wm wm,* Sì
audio/x-ms-wma wma,* Sì
audio/x-ms-wax wax,* Sì
video/x-ms-wmv wmv,* Sì
video/x-ms-wvx wvx,* Sì
Zylom Plugin

Nome file: npzylomgamesplayer.dll
Zylom Plugin

Tipo MIME Descrizione Estensione Attivo
application/x-zylomgamesplayer;version=2.0.0.0 npzylomgamesplayer Sì
Shockwave Flash

Nome file: NPSWF32.dll
Shockwave Flash 10.0 r22

Tipo MIME Descrizione Estensione Attivo
application/x-shockwave-flash Adobe Flash movie swf Sì
application/futuresplash FutureSplash movie spl Sì
DivX Player Netscape Plugin

Nome file: npDivxPlayerPlugin.dll
npdivxplayerplugin

Tipo MIME Descrizione Estensione Attivo
application/divxplayer-plugin npdivxplayerplugin scr Sì
Java(TM) Platform SE 6 U12

Nome file: npjp2.dll
Java Plug-in 1.6.0_12 for Netscape Navigator (DLL Helper)

Tipo MIME Descrizione Estensione Attivo
application/x-java-applet Java Applet Sì
application/x-java-bean JavaBeans Sì
application/x-java-vm Sì
application/x-java-applet;version=1.1.1 Sì
application/x-java-bean;version=1.1.1 Sì
application/x-java-applet;version=1.1 Sì
application/x-java-bean;version=1.1 Sì
application/x-java-applet;version=1.2 Sì
application/x-java-bean;version=1.2 Sì
application/x-java-applet;version=1.1.3 Sì
application/x-java-bean;version=1.1.3 Sì
application/x-java-applet;version=1.1.2 Sì
application/x-java-bean;version=1.1.2 Sì
application/x-java-applet;version=1.3 Sì
application/x-java-bean;version=1.3 Sì
application/x-java-applet;version=1.2.2 Sì
application/x-java-bean;version=1.2.2 Sì
application/x-java-applet;version=1.2.1 Sì
application/x-java-bean;version=1.2.1 Sì
application/x-java-applet;version=1.3.1 Sì
application/x-java-bean;version=1.3.1 Sì
application/x-java-applet;version=1.4 Sì
application/x-java-bean;version=1.4 Sì
application/x-java-applet;version=1.4.1 Sì
application/x-java-bean;version=1.4.1 Sì
application/x-java-applet;version=1.4.2 Sì
application/x-java-bean;version=1.4.2 Sì
application/x-java-applet;version=1.5 Sì
application/x-java-bean;version=1.5 Sì
application/x-java-applet;version=1.6 Sì
application/x-java-bean;version=1.6 Sì
application/x-java-applet;jpi-version=1.6.0_12 Sì
application/x-java-bean;jpi-version=1.6.0_12 Sì
Microsoft® DRM

Nome file: npdrmv2.dll
DRM Netscape Network Object

Tipo MIME Descrizione Estensione Attivo
application/x-drm-v2 Network Interface Plugin nip Sì
Windows Media Player Plug-in Dynamic Link Library

Nome file: npdsplay.dll
Npdsplay dll

Tipo MIME Descrizione Estensione Attivo
application/asx Media Files * Sì
video/x-ms-asf-plugin Media Files * Sì
application/x-mplayer2 Media Files * Sì
video/x-ms-asf Media Files asf,asx,* Sì
video/x-ms-wm Media Files wm,* Sì
audio/x-ms-wma Media Files wma,* Sì
audio/x-ms-wax Media Files wax,* Sì
video/x-ms-wmv Media Files wmv,* Sì
video/x-ms-wvx Media Files wvx,* Sì
Microsoft® DRM

Nome file: npwmsdrm.dll
DRM Store Netscape Plugin

Tipo MIME Descrizione Estensione Attivo
application/x-drm Network Interface Plugin nip


Vedi, sembra che Oberon ci sia...ma chissà se è il plugin vero o quello fasullo?
Stefania


Anxious Anxious




Torna in alto
 
Sponsor
Inviato: Thursday, March 05, 2009 5:12:21 PM

 
Torna in alto
 
r16
Inviato: Thursday, March 05, 2009 5:34:52 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Un troyan che si maschera con i plugin-audio-video è il troyan Zlob.
Bisogna vedere se è quello.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema.
Posta il log.
E anche un log aggiornato di hijackthis.
http://www.aiutaamici.com/software?ID=11175
Torna in alto
 
minerva523
Inviato: Thursday, March 05, 2009 5:50:33 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Ok, scarico ciò che mi consigli, ma Hijackthis non posso farlo, dovrei andare in modalità provvisioria e non so perché la cosa non mi funziona. Intanto che aspettavo risposte ho installato PcTOOLS Antivirus....la scansione mi ha indicato questo:
Nome oggetto Stato Azione Infezione Data e ora


e:\windows\swxcacls.exe Infetto In quarantena Application.NirCmd 05/03/2009 17.43.13
e lo ha messo in quarantena.....che roba è?
Ora scansiono con MalwareBytes poi ti dico...Grazie r16. Stefania
Torna in alto
 
r16
Inviato: Thursday, March 05, 2009 6:30:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Stefania.
Guarda che la scansione con Hijackthis, la puoi fare in Modalità normale. (non và mai fatta in Modalità provvisoria, a meno che non si sia costretti )
L'eseguibile swxcacls.exe dovrebbe appartenere al software di difesa SmithFraudFix che è integrato in Combofix.
Comunque vediamo cosa ci racconta Malwarebytes.
Piuttosto riferiscimi se hai delle partizioni nel HD, e con quali lettere sono contrassegnate, e se usi chiavette USB, o HD esterni, e con quali lettere sono rilevati.
Torna in alto
 
minerva523
Inviato: Friday, March 06, 2009 6:19:00 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Dunque: ecco il log di Malwarebytes...effettivamente c'erano alcuni intrusi...ora rimossi. Un altro lo aveva trovato Combofix..se mi confermi l'interpretazione del log di Combofix..quindi in teoria dovrebbe andare tutto bene. Invece no....ora incollo il log, poi ti dico cosa non va.
Malwarebytes' Anti-Malware 1.34
Versione del database: 1820
Windows 5.1.2600 Service Pack 2

2009-03-06 17:50:47
mbam-log-2009-03-06 (17-50-47).txt

Tipo di scansione: Scansione completa (C:\|E:\|)
Elementi scansionati: 195735
Tempo trascorso: 4 hour(s), 7 minute(s), 56 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 6

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\bszip.dll (Worm.P2P) -> Quarantined and deleted successfully.
E:\SCARICHI\system32\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\SCARICHI\system32\dllcache\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\SoftwareDistribution\Download\c6715eddbc5dc2500a185d991ef57d3c\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\dllcache\wextract.exe (Trojan.Vundo) -> Quarantined and deleted successfully.

LOG DI CONBOFIX
ComboFix 09-03-03.01 - TSEN 2009-03-05 13.56.55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.511.266 [GMT 1:00]
Eseguito da: e:\documents and settings\TSEN\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
FW: PC Tools Firewall Plus *disabled*
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((( Files Creati Da 2009-02-05 al 2009-03-05 )))))))))))))))))))))))))))))))))))
.

2009-03-28 18:22 . 2009-03-28 18:22 <DIR> d-------- e:\documents and settings\TSEN\Dati applicazioni\mioObjects
2009-03-28 18:22 . 2009-03-28 18:21 407,047 --a------ e:\windows\system32\mioengine.exe
2009-03-28 18:21 . 2009-03-28 18:21 <DIR> d-------- e:\programmi\VODAFONE SOFTWARE PER COLLEGAMENTO INSTANTANEO
2009-03-05 12:45 . 2009-03-05 12:45 0 --a------ e:\windows\system32\commonpriv.log.lock
2009-03-05 12:38 . 2009-03-05 12:44 <DIR> d-------- e:\programmi\Unlocker
2009-03-04 16:49 . 2009-03-04 16:49 <DIR> d-------- e:\documents and settings\TSEN\Dati applicazioni\Media Player Classic
2009-03-04 16:38 . 2009-03-04 16:39 <DIR> d-------- e:\programmi\Real Alternative
2009-03-04 11:27 . 2009-03-04 11:27 <DIR> d-------- e:\programmi\FIREFOX ESEGUIBILE
2009-03-04 06:01 . 2009-03-04 06:01 <DIR> d-------- e:\programmi\Recuva
2009-03-04 01:49 . 2009-03-04 01:49 73,728 --a------ e:\windows\system32\javacpl.cpl
2009-03-03 11:43 . 2009-03-03 19:40 <DIR> d-------- E:\Downloads
2009-03-03 11:42 . 2009-03-04 01:33 <DIR> d-------- e:\documents and settings\TSEN\Dati applicazioni\Orbit
2009-03-03 11:42 . 2009-03-03 11:42 <DIR> d-------- e:\documents and settings\TSEN\Dati applicazioni\GrabPro
2009-03-03 07:36 . 2009-03-03 07:35 102,664 --a------ e:\windows\system32\drivers\tmcomm.sys
2009-03-03 07:35 . 2009-03-03 07:38 <DIR> d-------- e:\documents and settings\TSEN\.housecall6.6
2009-03-03 00:26 . 2009-03-03 00:26 <DIR> d-------- e:\programmi\FuturixAlpha
2009-03-03 00:25 . 2009-03-03 00:25 <DIR> d-------- e:\programmi\FuturixResizer
2009-03-03 00:25 . 2009-03-03 00:25 <DIR> d-------- e:\programmi\FuturixRenamer
2009-03-03 00:24 . 2009-03-03 12:08 <DIR> d-------- e:\programmi\FuturixImager
2009-03-02 21:10 . 2009-03-03 11:38 <DIR> d-------- e:\programmi\DOWNLOAD MANAGER
2009-03-02 19:13 . 2009-03-03 11:55 <DIR> d-------- e:\programmi\ELABORATORE FUTURIX IMMAGINI
2009-03-02 17:46 . 2009-03-02 17:48 <DIR> d-------- e:\programmi\CORREGGERE FOTO DIGITALI
2009-03-02 16:38 . 2009-03-02 20:29 <DIR> d-------- e:\programmi\CATTURA SCHERMO MWSANP
2009-03-01 22:17 . 2004-08-19 15:39 91,136 --a------ e:\windows\system32\kswdmcap.ax
2009-03-01 22:17 . 2004-08-19 15:39 91,136 --a--c--- e:\windows\system32\dllcache\kswdmcap.ax
2009-03-01 22:17 . 2004-08-19 15:39 61,952 --a------ e:\windows\system32\kstvtune.ax
2009-03-01 22:17 . 2004-08-19 15:39 61,952 --a--c--- e:\windows\system32\dllcache\kstvtune.ax
2009-03-01 22:17 . 2004-08-19 15:39 54,784 --a------ e:\windows\system32\vfwwdm32.dll
2009-03-01 22:17 . 2004-08-19 15:39 54,784 --a--c--- e:\windows\system32\dllcache\vfwwdm32.dll
2009-03-01 22:17 . 2004-08-19 15:39 43,008 --a------ e:\windows\system32\ksxbar.ax
2009-03-01 22:17 . 2004-08-19 15:39 43,008 --a--c--- e:\windows\system32\dllcache\ksxbar.ax
2009-03-01 22:17 . 2004-08-19 15:39 28,672 --a------ e:\windows\system32\vidcap.ax
2009-03-01 22:17 . 2004-08-19 15:39 28,672 --a--c--- e:\windows\system32\dllcache\vidcap.ax
2009-03-01 22:17 . 2004-08-19 15:39 20,992 --a------ e:\windows\system32\dshowext.ax
2009-03-01 22:17 . 2004-08-19 15:39 20,992 --a--c--- e:\windows\system32\dllcache\dshowext.ax
2009-03-01 22:14 . 2009-03-01 22:14 <DIR> d-------- e:\programmi\JL2005A
2009-03-01 21:55 . 2009-03-01 22:13 <DIR> d-------- e:\programmi\DRIVERS CAMERA DIGITALE
2009-02-28 23:17 . 2009-02-28 23:21 <DIR> d-------- e:\programmi\Spybot - Search & Destroy
2009-02-24 17:17 . 2006-11-01 14:52 765,952 --a------ e:\windows\system32\xvidcore.dll
2009-02-24 17:17 . 2007-02-25 15:36 383,238 --a------ e:\windows\system32\libmp3lame-0.dll
2009-02-17 15:43 . 2009-01-20 14:12 130,928 --a------ e:\windows\system32\drivers\PCTCore.sys
2009-02-17 15:43 . 2008-12-18 12:16 73,840 --a------ e:\windows\system32\drivers\PCTAppEvent.sys
2009-02-17 15:42 . 2009-02-25 03:01 <DIR> d-------- e:\programmi\PC Tools Firewall Plus
2009-02-17 15:42 . 2008-12-11 08:38 159,600 --a------ e:\windows\system32\drivers\pctgntdi.sys
2009-02-17 15:42 . 2008-09-22 12:29 97,408 --a------ e:\windows\system32\drivers\pctfw.sys
2009-02-17 15:42 . 2009-01-21 10:38 95,640 --a------ e:\windows\system32\drivers\pctplfw.sys
2009-02-16 19:43 . 2009-02-17 15:14 10,520 --a------ e:\windows\system32\avgrsstx.dll
2009-02-16 18:29 . 2009-02-16 18:31 <DIR> d-------- e:\programmi\RECUVA RECUPERA FILE CANCELLATI
2009-02-15 21:14 . 2009-02-15 21:25 <DIR> d-------- e:\documents and settings\TSEN\humyo.store
2009-02-15 16:16 . 2004-08-03 23:07 59,264 --a------ e:\windows\system32\drivers\USBAUDIO.sys
2009-02-15 16:16 . 2004-08-03 23:07 59,264 --a--c--- e:\windows\system32\dllcache\usbaudio.sys
2009-02-15 16:16 . 2004-08-03 23:08 31,616 --a------ e:\windows\system32\drivers\usbccgp.sys
2009-02-15 16:16 . 2004-08-03 23:08 31,616 --a--c--- e:\windows\system32\dllcache\usbccgp.sys
2009-02-15 15:28 . 2009-02-15 15:28 <DIR> d--h----- e:\windows\PIF
2009-02-15 14:50 . 2009-02-15 14:50 <DIR> d-------- e:\documents and settings\TSEN\Dati applicazioni\U3
2009-02-13 13:01 . 2009-02-13 13:02 <DIR> d-------- e:\programmi\PDFCreator
2009-02-13 13:01 . 2004-03-09 01:00 662,288 --a------ e:\windows\system32\MSCOMCT2.OCX
2009-02-13 13:01 . 1998-08-05 08:45 150,528 --a------ e:\windows\system32\MSCMCIT.DLL
2009-02-13 13:01 . 1998-06-24 01:00 137,000 --a------ e:\windows\system32\MSMAPI32.OCX
2009-02-13 13:01 . 1998-08-05 08:45 122,128 --a------ e:\windows\system32\VB6IT.DLL
2009-02-13 13:01 . 2001-10-28 17:42 116,224 --a------ e:\windows\system32\pdfcmnnt.dll
2009-02-13 13:01 . 1998-08-05 08:45 63,488 --a------ e:\windows\system32\MSCC2IT.DLL
2009-02-13 13:01 . 1998-07-06 01:00 23,552 --a------ e:\windows\system32\MSMPIDE.DLL
2009-02-13 12:57 . 2009-02-13 12:58 <DIR> d-------- e:\programmi\PDF CREATOR per creare pdf da altri doc
2009-02-10 14:16 . 2009-02-10 15:13 1,300 --a------ e:\windows\cdplayer.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 12:18 --------- d---a-w e:\documents and settings\All Users\Dati applicazioni\TEMP
2009-03-05 12:18 --------- d-----w e:\documents and settings\TSEN\Dati applicazioni\WTablet
2009-03-05 11:25 --------- d-----w e:\programmi\AVG
2009-03-05 10:59 --------- d-----w e:\documents and settings\All Users\Dati applicazioni\avg8
2009-03-04 15:37 --------- d-----w e:\programmi\REALPLAYER11BASIC e ALTERNATIVE
2009-03-04 15:29 --------- d-----w e:\programmi\FLASH PLAYER
2009-03-04 15:27 --------- d-----w e:\programmi\iTunes
2009-03-04 10:56 --------- d-----w e:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-03-04 02:57 --------- d-----w e:\programmi\Zylom Games
2009-03-04 00:49 410,984 ----a-w e:\windows\system32\deploytk.dll
2009-03-04 00:46 --------- d-----w e:\programmi\Java
2009-03-02 23:15 --------- d-----w e:\programmi\OpenOffice.org 3
2009-02-28 23:21 --------- d-----w e:\programmi\File comuni\Real
2009-02-17 14:43 --------- d-----w e:\programmi\File comuni\PC Tools
2009-02-04 08:02 --------- d-----w e:\programmi\OPENOFFICE OXYGEN
2009-01-31 13:40 --------- d-----w e:\documents and settings\TSEN\Dati applicazioni\PCToolsFirewallPlus
2009-01-31 13:36 --------- d-----w e:\programmi\FIREWALL PC TOOLS
2009-01-28 05:04 --------- d-----w e:\programmi\ZYLOM GAMEPLAYER
2009-01-28 04:41 --------- d-----w e:\documents and settings\TSEN\Dati applicazioni\ZipGenius
2009-01-28 04:39 --------- d-----w e:\programmi\ZipGenius 6
2009-01-28 04:21 --------- d-----w e:\programmi\DIAGNOSTICA
2009-01-24 15:07 --------- d-----w e:\documents and settings\TSEN\Dati applicazioni\OpenOffice.org2
2008-12-08 09:09 737,280 -c--a-w e:\windows\iun6002.exe
2001-11-23 04:08 712,704 -c--a-r e:\windows\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\ctfmon.exe" [2004-08-30 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programmi\QuickTime\QTTask.exe" [2008-09-06 413696]
"Adobe Reader Speed Launcher"="e:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"00PCTFW"="e:\programmi\PC Tools Firewall Plus\FirewallGUI.exe" [2009-02-24 2652056]
"SunJavaUpdateSched"="e:\programmi\Java\jre6\bin\jusched.exe" [2009-03-04 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="e:\windows\System32\CTFMON.EXE" [2004-08-30 15360]

e:\documents and settings\TSEN\Menu Avvio\Programmi\Esecuzione automatica\
My Vodafone.it.lnk - e:\documents and settings\TSEN\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio [2009-03-28 18:22:25 104184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-17 15:14 10520 e:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll
"VIDC.MJPG"= jl_mjpg2.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Programmi\\Messenger\\msmsgs.exe"=

R1 pctgntdi;pctgntdi;e:\windows\system32\drivers\pctgntdi.sys [2009-02-17 159600]
R2 PCTAppEvent;PCTAppEvent Driver;e:\windows\system32\drivers\PCTAppEvent.sys [2009-02-17 73840]
R2 TabletServicePen;TabletServicePen;e:\windows\system32\Pen_Tablet.exe [2008-12-06 1373480]
R2 TabletServiceWacom;TabletServiceWacom;e:\windows\system32\Wacom_Tablet.exe [2008-12-06 1373480]
R3 pctplfw;pctplfw;e:\windows\system32\drivers\pctplfw.sys [2009-02-17 95640]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;e:\windows\system32\Drivers\avgldx86.sys --> e:\windows\system32\Drivers\avgldx86.sys [?]
S1 AvgTdiX;AVG Free8 Network Redirector;e:\windows\system32\Drivers\avgtdix.sys --> e:\windows\system32\Drivers\avgtdix.sys [?]
S2 avg8emc;AVG Free8 E-mail Scanner;e:\progra~1\AVG\AVG8\avgemc.exe --> e:\progra~1\AVG\AVG8\avgemc.exe [?]
S2 avg8wd;AVG Free8 WatchDog;e:\progra~1\AVG\AVG8\avgwdsvc.exe --> e:\progra~1\AVG\AVG8\avgwdsvc.exe [?]
S3 getPlus(R) Helper;getPlus(R) Helper;e:\programmi\NOS\bin\getPlus_HelperSvc.exe [2008-11-07 33752]
S3 JL2005;JL2005A Camera;e:\windows\system32\drivers\toywdm.sys [2004-04-28 72280]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{85f32590-fb67-11dd-a202-0050bfd75c2e}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
Contenuto della cartella 'Scheduled Tasks'

2009-03-02 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.yahoo.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
IE: E&sporta in Microsoft Excel - e:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: softpedia.com\www
FF - ProfilePath - e:\documents and settings\TSEN\Dati applicazioni\Mozilla\Firefox\Profiles\999uptv6.default\
FF - prefs.js: browser.search.selectedEngine - AltaVista
FF - prefs.js: browser.startup.homepage - hxxp://www.yahoo.it
FF - plugin: c:\programmi\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin7.dll
FF - plugin: c:\programmi\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: e:\documents and settings\All Users\Dati applicazioni\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: e:\documents and settings\TSEN\Dati applicazioni\Mozilla\Firefox\Profiles\999uptv6.default\extensions\OberonGameHost@OberonGames.com\platform\WINNT_x86-msvc\plugins\npOberonGameHost.dll
FF - plugin: e:\documents and settings\TSEN\Dati applicazioni\Mozilla\Firefox\Profiles\999uptv6.default\extensions\StreamingPlugin@conviva.com\platform\WINNT_x86-msvc\plugins\npconviva.4.dll
FF - plugin: e:\programmi\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\programmi\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: e:\programmi\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 13:58:47
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-03-05 14.01.07
ComboFix-quarantined-files.txt 2009-03-05 13:01:04

Pre-Run: 20.490.256.384 byte disponibili
Post-Run: 20,498,812,928 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
e:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

195 --- E O F --- 2008-12-13 23:05:27

Sono 2 le partizioni che uso e si chiamano : C: e E:. Non uso chiavette USB . Settimana scorsa ho attaccato al PC una Fotocamera digitale : JL2005A TOY Camera mod. AP-507.
Fra le cose rimosse da Malware c'è un malware P2P e mi viene in mente che l'unica cosa che ho scaricato poi tolto che potesse averci a che fare è stato Orbit.
Quello che non va è la cosa da cui tutto è iniziato, a questo indirizzo:

http://www.gamenext.it/category.htm?lc=it&code=110097120&RefId=&Session=&origin=pindex_cat_ol

per aprire i giochi serve un plugin che, anche se dò l'ok per l'installazione, non viene riconosciuto e non funziona nemmeno
l'installazione a mano. Sul PC il plugin risulta presente, ma non funziona e non si aprono i giochi. Ripeto: tutto ok con Java, Flash, Quick time e tutto il resto.

Ora a te l'ardua sentenza.....:-(((((( r16
Stefania
Torna in alto
 
r16
Inviato: Friday, March 06, 2009 6:38:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Non ho capito se questo Orbit, pensi di averlo eliminato?
Perchè hai ancora "rimasugli".
e:\documents and settings\TSEN\Dati applicazioni\Orbit
Comunque, avevi il troyan Vundo. (malwarebytes)
Fai questa scansione:
Installa KASPERSKY VIRUS REMOVAL TOOL sul Desktop:
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/
Doppio click sul Setup.exe.
verrà creata una apposta cartella sul Desktop e comparirà la schermata iniziale del Tool.
imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
Nel tuo caso metti la spunta anche in "Risorse del computer" e clicca "SCAN"
Al termine della scansione, clicca su "Neutralize All"
La scansione può risultare un pò lunga, armati di santa pazienza.
Clicca "Reports" poi - "Save to file" e per comodità salvalo sul Desktop.(poi lo posti qui)
Per eliminare Kaspersky Virus Removal Tool ,devi chiudere il programma cliccando X in alto alla finestra, ti comparirà una finestra, che ti chiederà se vuoi rimuovere completamente il programma dal tuo computer.
Clicca SI.
Dopo la disistallazione ti chiederà di riavviare il pc.
Clicca SI di nuovo.
Torna in alto
 
minerva523
Inviato: Friday, March 06, 2009 6:44:23 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Eh, sì...pensavo proprio di averlo eliminato...di sicuro l'ho disinstallato...ok procedo come dici...appena fatto, posto...Grazie intanto. A presto. Stefania
Torna in alto
 
r16
Inviato: Friday, March 06, 2009 6:50:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Puoi anche eliminarlo a mano se vuoi .
Segui il percorso.
Altra cosa: tu dici che hai due partizioni: C: e E:. Non usi chiavette USB.
A me risulta una terza partizione: G:\
Almeno cosi' me la racconta Combofix.
E, vorrei dare un'occhiata a un log di hijackthis. (la scansione fatta in Modalità normale)
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 12:05:49 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Cooosa??!!! Una partizione G?! Mai vista! Non mi risulta da nessuna parte!
Ho fatto la scansione con Kaspersky.... Ci ha messo ore e ore...Adesso mi stanno succedendo cose strane:
aprire il blocco note con il log di Kaspersky è un impresa...Si è già chiuso 2 volte Firefox senza messaggio di errore e, alla riapertura, non c'è più il messaggio che chiede se ripristinare o no la sessione precedente...ed è tutto lentissimo. Inoltre non riesco a copiare incollare il contenuto del Blocco Notes del LOG di Kspersky.
Oggi farò anche Hijack poi te lo posto. Orbit era in una cartella nascosta: trovato e eliminato.
Tieni presente che il pc prima di passare a me era di mio figlio e lui aveva creato un settore protetto da password la cui password non si ricorda. Questo settore non so come raggiungerlo né come sbloccarlo...che sia quella la partizione G?

A questo punto inizio a disperarmi.
StefaniaBrick wall
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 12:22:42 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Sono riuscita a copiare e incollare solo la parte finale del LOG...forse è troppo lungo? Per questo non riesco a copiare e incollare
tutto? Cmq qualche cosa non va. Gli oggetti sospetti erano 5 e qui ne appaiono solo 3. C'era un Gator ed un altro con una sigla che non ricordo. Che accade secondo te?
Stefania
Statistics
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 936565 5 0 3 0 11144 1275 206 8
System memory 2498 0 0 0 0 1 7 0 0
Startup objects 605 0 0 0 0 0 21 0 0
Disk boot sectors 4 0 0 0 0 0 0 0 0
Risorse del computer 472511 5 0 3 0 6318 641 103 4
Disco systema (C:) 163583 0 0 0 0 1607 175 0 2
Disco archivio (E:) 297364 0 0 0 0 3218 431 103 2


Settings
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
Status Object Size Added
------ ------ ---- -----


Backup
Status Object Size
------ ------ ----
Infected: adware not-a-virus:AdWare.Win32.DashBar.a c:\programmi\file comuni\cmeii\apps\precisiontime\precisiontime3010.zip 684 KB
Infected: adware not-a-virus:AdWare.Win32.DashBar.a c:\programmi\file comuni\cmeii\apps\datemanager\datemanager3010.zip 741.0 KB
Infected: adware not-a-virus:AdWare.Win32.InstaFinder.a e:\documents and settings\tsen\.housecall6.6\quarantine\instafinder_inst.exe.bac_a03892 39.8 KB
----------------------------------------------------------------------------------------------------------------------------------------------
Torna in alto
 
r16
Inviato: Saturday, March 07, 2009 12:22:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao minerva523 .
Non disperare, al limite se ti trovi peggio di prima, possiamo sempre fare un Ripristino configurazione sistema, e puoi scegliere la data in cui hai eseguito la scansione di Combofix.
Combofix crea un punto di ripristino prima di eseguire la scansione.
E' possibile, che quella lettera: G:\ si a riferita alla macchina fotografica che hai inserito .
Verifica.
Vorrei vedere cosa ha eliminato il tool di Kaspersky.
E il log di HJT.
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 12:26:45 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Scusami....pian piano .. questa che segue è la parte iniziale del LOG sul blocco notes...
Scan
Scanned: 936565
Detected: 5
Untreated: 0
Start time: 2009-03-06 19:00
Duration: 12:44:41
Finish time: 2009-03-07 07:44


Detected
Status Object
------ ------
deleted: adware not-a-virus:AdWare.Win32.DashBar.a File: C:\Programmi\File comuni\CMEII\apps\DateManager\datemanager3010.zip/InstallDateManager.exe//WiseSFXDropper//WISE0009.BIN
deleted: adware not-a-virus:AdWare.Win32.Gator.3010 File: C:\Programmi\File comuni\CMEII\apps\DateManager\datemanager3010.zip/InstallDateManager.exe//WiseSFXDropper//WISE0012.BIN
deleted: adware not-a-virus:AdWare.Win32.DashBar.a File: C:\Programmi\File comuni\CMEII\apps\PrecisionTime\precisiontime3010.zip/InstallPrecisionTime.exe//WiseSFXDropper//WISE0009.BIN
deleted: adware not-a-virus:AdWare.Win32.Gator.3010 File: C:\Programmi\File comuni\CMEII\apps\PrecisionTime\precisiontime3010.zip/InstallPrecisionTime.exe//WiseSFXDropper//WISE0010.BIN
deleted: adware not-a-virus:AdWare.Win32.InstaFinder.a File: E:\Documents and Settings\TSEN\.housecall6.6\Quarantine\InstaFinder_inst.exe.bac_a03892//CryptFF.b//stream

Adesso ci sono tutti...come vedi sono cancellati.... bah.... Intanto che faccio Hijack c'è qualche parola di incoraggiamento che puoi dirmi? :-(
Stefania
Torna in alto
 
r16
Inviato: Saturday, March 07, 2009 12:34:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Quelle eliminazioni, dovrebbero essere riferite al firewall .( di doveva disabilitarlo, colpa mia, scusa.)
Disistalla il firewall(PCtools) e tornerà tutto normale. (lo reistalleremo in un secondo momento)
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 1:37:50 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Avevo pensato di disinstlalare il Firewall ma poi mi sono detta che rischiavo di stare in linea troppo tempo senza protezione, così ho disattivato l'antivirus soltanto. Ora disinstallo poi lo rimetto. Ti mando il lo di Hijack...Intanto ho passato anche Advanced Windows Care e Spybot...non saprei che altro fare di più...Ma se ripristino la configurazione precedente ripristino anche eventuali intrusi...che dovrei fare poi?...Beh, intanto guarda Hijack, poi vedremo. Stefania
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34, on 2009-03-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
E:\Programmi\Java\jre6\bin\jusched.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Ahead\InCD\InCDsrv.exe
E:\Programmi\Java\jre6\bin\jqs.exe
E:\Programmi\PC Tools AntiVirus\PCTAVSvc.exe
E:\Programmi\PC Tools Firewall Plus\FWService.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Pen_Tablet.exe
E:\WINDOWS\system32\Wacom_Tablet.exe
E:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
E:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
E:\WINDOWS\system32\Pen_Tablet.exe
E:\WINDOWS\system32\Wacom_Tablet.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [00PCTFW] "E:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PCTAVApp] "E:\Programmi\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: My Vodafone.it.lnk = E:\Documents and Settings\TSEN\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.softpedia.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextit.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: avgrsstarter - E:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - E:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - E:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - E:\Programmi\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - E:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - E:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - E:\WINDOWS\system32\Wacom_Tablet.exe
O24 - Desktop Component 0: (no name) - file:///E:/DOCUME~1/TSEN/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 6022 bytes
------------------------------------------------------------------------------------------------------------------------------------
Torna in alto
 
r16
Inviato: Saturday, March 07, 2009 2:50:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Stefania.
Allora.... questa è la "cura" che ti propongo:
Installare il SP3:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it
Installa:
Internet Explorer:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9ae91ebe-3385-447c-8a30-081805b2f90b&DisplayLang=it
Scarica e installa tutti gli altri aggiornamenti di Windows a "Priorità Alta".
Aggiorna Java RunTime Environment:
http://www.aiutamici.com/software?ID=11134
Adobe Reader:
http://www.adobe.com/it/products/acrobat/readstep2.html
Adobe Flash Player:
http://www.adobe.com/it/products/flashplayer/
*********************************************************************************************************
Disistalla AVG.
Installa Antivir :
http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html
Ecco una guida in formato PDF per configurarlo :
http://www.zeusnews.it/zz_upload/PSV/avira.pdf
Quando (sempre se vuoi installarlo) fai una scansione e postami il log.
Per dovere di informazione, Avira Free non scansiona la posta (POP3) ma come antivirus puro, è migliore, di AVG.
Questo è un parere mio personale, altri non la pensano come me, in questo sito c'è libertà di parola.
*****************************************************************************************************************************
Quando hai finito,(sarà una dura prova per la tua pazienza) posta un nuovo log di HJT.
A mio avviso il pc migliorerà.
P.S: Guarda che se la "cura non ti piace o non ti convince, non mi arrabbio, il pc è tuo, e puoi fare quello che vuoi.
Se hai domande, spara pure.
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 5:05:38 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Carissimo, qui non si tratta di opinioni...se mi convince o no...MI sono rivolta ad un esperto, no? Quindi se tu dici
che questo può essere il modo migliore ci proverò. Però un paio di cosette: AVG l'ho disinstallato da due gg ed ho su
PC Tools Antivirus e anche PCTools Firewall.
Ho visto anche io che nel Log di Hijack compare AVG8, ma dice (File missing) forse perché l'ho disinstallato....quindi non dovrebbe nemmeno essere nominato...
E perché compare? Con la ricerca nei file nascosti ho scovato qualcosa e l'ho tolto a mano, però resta il mistero e qualche dll sparsa.


Adobe, Java e Flash sono stati aggiornati ieri, ma di tutti avevo già le ultime versioni, dato che almeno una volta a
settimana lo faccio di routine.

Proverò ad aggiornare Windows ma non so se ci riesco (capisci a me?)

Non mi hai detto niente dei vari LOG...ci hai trovato cose strane? E che mi dici della voce
/1.0/OberonGameHost.cab
che nel log Hijack risulta come CAB? E che è un File CAB?
I miei guai sono iniziati con Oberon e con i suoi plugins introvabili...(????????)
Quindi, ora, i miei guai quali sono? Non lo so più.

Ora: mi consigli Avir invece di PCTools Antivirus? Andrà poi d'accordo con PCTools Firewall, col quale mi trovo bene.

E, infine: è possibile si sia danneggiato qualche collegamento di Firefox con Explorer' E se reinstallo Firefox la cosa potrebbe funzionare? Basta che non mi vadano persi centinaia di segnalibri! Non so come salvarli in Firefox.
Attendo prima di fare qualunque altra cosa. Stefania
Torna in alto
 
minerva523
Inviato: Saturday, March 07, 2009 5:35:54 PM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Scusami, ti aggiorno. Dunque: Service Pack 3 l'ho scaricato - non ancora installato.
Explorer 7 l'ho scaricato, ma è uguale a quello che già avevo; cmq l'ho sostituito anche se
non ancora reinstallato.
Gli aggiornamenti di Windows a priorità alta non so quali sono...quali sono?
Stefania
Torna in alto
 
r16
Inviato: Saturday, March 07, 2009 6:40:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Stefania.
Dici che hai eliminato AVG, ma HJT, me lo dà ancora attivo nonostante i file "missing".
Probabilmente hai fatto una disistallazione errata.
Gli aggiornamenti li prendi da Windows Update. Start\Tutti programmi\ Windows Update.
Clicca su "Rapido" e vedrai quelli a "Priorità Alta".
Ho visto quei file "missing", ma volevo prima sistemarti il pc, e poi fare piazza pulita del log.
Ascoltami: disistalla quel antivirus che hai, e installa Avira.
Fai una scansione e posta il log.
Sarebbe meglio anche disistallare e reistallare Firefox, per salvare i segnalibri, digita su Google:"Come salvare i segnalibri di Firefox", ci sono un centinaio di modi.
Per quella voce:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextit.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
Altro non è che un ActiveX, l'estensione .Cab non centra niente.
Comunque è da eliminare assieme ad altre:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O15 - Trusted Zone: http://www.softpedia.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextit.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: avgrsstarter - E:\WINDOWS\SYSTEM32\avgrsstx.dll (questo appartiene a AVG ed è attivo)
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Riavvia il pc per confermare le modifiche.
Torna in alto
 
minerva523
Inviato: Sunday, March 08, 2009 12:49:16 AM

Rank: Member

Iscritto dal : 4/11/2007
Posts: 7
Ho dato una leggiucchiata in giro e ho visto che anche tu fai le ore piccole al pc...quindi
immagino che è mattina mentre leggi questo mio post, quindi BUONGIORNO!
Qui sono le 00,36..credo del giorno prima...e sono morta.
Ho finito adesso di fare la scansione con Avira, ho smontato e rimontato Firefox, Explorer, Service Pack 3 e gli
aggiornamenti che ho "potuto" fare. Sotto ti posto i LOG, quello di Avira ed un altro aggiornato di Hijack.
Ci sono voci in Quarantena che non voglio cancellare, e le vedrai da te, altre che non so se sono legate alle prime
o sono veri estranei. Dopo tutto questo smonta e rimonta, il sistema è lentissimo...ci mette minuti ad aprire qualunque
applicazione e non capisco perché, dato che sugli hard disk ho anche guadagnato un paio di giga in più e la ram
è impegnata per meno della metà.
Ti leggerò più tardi, grazie ancora, a presto. Stefania

LOG AVIRA

Avira AntiVir Personal
Report file date: 2009-03-07 21:09

Scanning for 1288155 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: BP-GK5RKFERKGXS

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 2008-11-18 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 08:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-05-26 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-05-26 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 2009-02-11 20:04:37
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 2009-03-03 20:04:38
ANTIVIR3.VDF : 7.1.2.135 157696 Bytes 2009-03-07 20:04:39
Engineversion : 8.2.0.105
AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-03-07 20:04:46
AESCRIPT.DLL : 8.1.1.57 356729 Bytes 2009-03-07 20:04:45
AESCN.DLL : 8.1.1.8 127346 Bytes 2009-03-07 20:04:45
AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 13:58:38
AEPACK.DLL : 8.1.3.10 397686 Bytes 2009-03-07 20:04:44
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 2009-03-07 20:04:44
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 2009-03-07 20:04:43
AEHELP.DLL : 8.1.2.2 119158 Bytes 2009-03-07 20:04:41
AEGEN.DLL : 8.1.1.25 336243 Bytes 2009-03-07 20:04:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 2009-03-07 20:04:40
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: e:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2009-03-07 21:09

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'winhlp32.exe' - '1' Module(s) have been scanned
Scan process 'avconfig.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'FirewallGUI.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'Pen_Tablet.exe' - '1' Module(s) have been scanned
Scan process 'Wacom_Tablet.exe' - '1' Module(s) have been scanned
Scan process 'Wacom_TabletUser.exe' - '1' Module(s) have been scanned
Scan process 'Pen_TabletUser.exe' - '1' Module(s) have been scanned
Scan process 'Wacom_Tablet.exe' - '1' Module(s) have been scanned
Scan process 'Pen_Tablet.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'FWService.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'incdsrv.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
33 processes with 33 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '45' files ).


Starting the file scan:

Begin scan in 'C:\' <Disco systema>
C:\Documents and Settings\tato\Documenti\permmac\back up Mac\shared1\aperture\aperture mac os x serial numbe.zip
[0] Archive type: ZIP
--> setup.exe
[DETECTION] Is the TR/Dldr.IstBar.IT Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Documenti\permmac\back up Mac\shared1\aperture\apple aperture serial.zip
[0] Archive type: ZIP
--> setup.exe
[DETECTION] Is the TR/Dldr.IstBar.IT Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Documenti\permmac\back up Mac\shared4\limewire pro for mac osx.zip
[DETECTION] Is the TR/WMA.Wimad.D.2 Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Documenti\permmac\back up Mac\shared5\aperture mac os x serial numbe.zip
[0] Archive type: ZIP
--> setup.exe
[DETECTION] Is the TR/Dldr.IstBar.IT Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Documenti\permmac\Nuova cartella\serial iworks.zip
[DETECTION] Is the TR/WMA.Wimad.D.1 Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Documenti\permmac\Nuova cartella\serial quicktime 7 osx.zip
[DETECTION] Is the TR/WMA.Wimad.D.1 Trojan
[WARNING] The file was ignored!
C:\Documents and Settings\tato\Impostazioni locali\Temp\Profiles\#Profilo predefinito.cab
[0] Archive type: CAB (Microsoft)
--> C:\Documents and Settings\All Users\Dati applicazioni\BVRP Software\mobile PhoneTools\LiveUpdate\Installed\UpdateFile0009.Ifo
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Programmi\GENERA SERIALE VALIDO PER WINDOWS\soluzione_definitiva_WGA.zip
[0] Archive type: ZIP
--> keyfinder.exe
[DETECTION] Is the TR/Agent.542720.C Trojan
[WARNING] The file was ignored!
C:\Programmi\GENERA SERIALE VALIDO PER WINDOWS\soluzione_definitiva_WGA\keyfinder.exe
[DETECTION] Is the TR/Agent.542720.C Trojan
[NOTE] The file was moved to '4a2be2a9.qua'!
C:\System Volume Information\_restore{424221DE-13EC-4607-8382-6D97362AFFC8}\RP124\A0084044.exe
[DETECTION] Is the TR/Multidr.MH.1.B Trojan
[NOTE] The file was moved to '49e2e4b0.qua'!
C:\System Volume Information\_restore{424221DE-13EC-4607-8382-6D97362AFFC8}\RP143\A0093929.exe
[DETECTION] Is the TR/Agent.542720.C Trojan
[NOTE] The file was moved to '49e2e4cb.qua'!
C:\WINDOWS\Downloaded Program Files\start.INF
[DETECTION] Is the TR/Dagonit.INF Trojan
[NOTE] The file was moved to '4a13e531.qua'!
Begin scan in 'E:\' <Disco archivio>
E:\hiberfil.sys
[WARNING] The file could not be opened!
E:\pagefile.sys
[WARNING] The file could not be opened!
E:\Programmi\ELABORATORE FUTURIX IMMAGINI\futuriximager_extras.exe
[0] Archive type: NSIS
--> ProgramFilesDir/fxgdiplus.dll
[WARNING] No further files can be extracted from this archive. The archive will be closed
E:\System Volume Information\_restore{424221DE-13EC-4607-8382-6D97362AFFC8}\RP124\A0084016.exe
[0] Archive type: NSIS
--> ProgramFilesDir/fxjbig.dll
[WARNING] No further files can be extracted from this archive. The archive will be closed
E:\System Volume Information\_restore{424221DE-13EC-4607-8382-6D97362AFFC8}\RP135\A0085935.exe
[DETECTION] Is the TR/Trash.Gen Trojan
[NOTE] The file was moved to '49e2f5ce.qua'!
E:\System Volume Information\_restore{424221DE-13EC-4607-8382-6D97362AFFC8}\RP135\A0085937.exe
[DETECTION] Is the TR/Trash.Gen Trojan
[NOTE] The file was moved to '49e2f5cf.qua'!


End of the scan: 2009-03-08 00:10
Used time: 3:01:07 Hour(s)

The scan has been done completely.

13790 Scanning directories
573763 Files were scanned
13 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
573748 Files not concerned
4797 Archives were scanned
12 Warnings
6 Notes

LOG HIJACK
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:14, on 2009-03-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\Ahead\InCD\InCDsrv.exe
E:\Programmi\Java\jre6\bin\jqs.exe
E:\Programmi\PC Tools Firewall Plus\FWService.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\Pen_Tablet.exe
E:\WINDOWS\system32\Wacom_Tablet.exe
E:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
E:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
E:\WINDOWS\system32\Wacom_Tablet.exe
E:\WINDOWS\system32\Pen_Tablet.exe
E:\WINDOWS\system32\wscntfy.exe
E:\WINDOWS\System32\alg.exe
E:\Programmi\Java\jre6\bin\jusched.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
E:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe
E:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [00PCTFW] "E:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [avgnt] "E:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.softpedia.com
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextit.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - E:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (file missing)
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - E:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - E:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - E:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - E:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - E:\WINDOWS\system32\Wacom_Tablet.exe
O24 - Desktop Component 0: (no name) - file:///E:/DOCUME~1/TSEN/IMPOST~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 6330 bytes
Brick wall Brick wall Brick wall
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Sembrava un problema di plugins...ma....


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.