Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Log per problemi su Spybot

2 pages: [1] 2
Log per problemi su Spybot Opzioni
Topic Precedente · Topic Sucessivo
laretta
Inviato: Monday, October 26, 2009 12:42:45 AM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Ciao a tutti !
Per favore potreste controllarmi il log? Il problema sta nel fatto che l'immunizzazione di Spybot non avviene totalmente , in particolare gli elementi non protetti sono quelli relativi alla voce "Secure domains" in IE32/64bit.
Alla fine mi viene fuori una finestra che mi avverte appunto che 11926 files non sono protetti.Potrebbe essere il NIS o qualche virus?.Confido nel vostro prezioso aiuto. Grazie mille, amici!Boo hoo!







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.33.29, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Winamp\Winampa.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\SweetIM\Messenger\SweetIM.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Programmi\Norton Internet Security\AddOns\Norton AddOn Pack\Engine\3.7.0.23\ccProxy.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programmi\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programmi\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programmi\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7415] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC7694] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9468] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8377] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6191] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2118] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3363] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1514] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9183] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6869] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7409] command.com /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8936] cmd.exe /c del "C:\WINDOWS\system32\msxml71.dll"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O4 - Global Startup: TrayMin300.exe.lnk = ?
O8 - Extra context menu item: Post Image to Blog - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programmi\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233530301625
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233530462812
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE15F52-4951-4FA4-9B13-6C57287C8CD2}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\Norton Internet Security\AddOns\Norton AddOn Pack\Engine\3.7.0.23\ccProxy.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

--
End of file - 10213 bytes
Torna in alto
 
Sponsor
Inviato: Monday, October 26, 2009 12:42:45 AM

 
Torna in alto
 
POLVERE
Inviato: Monday, October 26, 2009 7:12:51 AM

Rank: AiutAmico

Iscritto dal : 2/5/2001
Posts: 2,563
Ciao laretta , ma l'immunizzazione di Spybot la esegui con i requisiti di "amministratore" ???

Se no, lancia l'applicazione cliccandoci sopra con il tasto destro e clicca su "esegui come amministratore" ( Vista)
Torna in alto
 
r16
Inviato: Monday, October 26, 2009 1:51:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Che SpyBot abbia qualche problema, lo dice anche il log di HJT.
Ti consiglio di disistallarlo completamente , compreso il Tea Timer.

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Riavvia il pc.

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

In seguito vedremo di reistallarlo,(SpyBot) per il momento segui le indicazioni date.
Torna in alto
 
laretta
Inviato: Monday, October 26, 2009 6:32:23 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
POLVERE ha scritto:
Ciao laretta , ma l'immunizzazione di Spybot la esegui con i requisiti di "amministratore" ???

Se no, lancia l'applicazione cliccandoci sopra con il tasto destro e clicca su "esegui come amministratore" ( Vista)


Ciao polvere, io non ho altri account sul pc oltre l'administrator,per cui penso che eseguo la scansione correttamente. Adesso cmq comincio a lavorare seguendo le istruzioni di r16.Vi faro' sapere! Angel
Torna in alto
 
laretta
Inviato: Tuesday, October 27, 2009 2:48:53 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
r16 ha scritto:
Ciao.
Che SpyBot abbia qualche problema, lo dice anche il log di HJT.
Ti consiglio di disistallarlo completamente , compreso il Tea Timer.

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Riavvia il pc.

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

In seguito vedremo di reistallarlo,(SpyBot) per il momento segui le indicazioni date.




Ok r16, tutto fatto, come mi hai detto! Il log risulta pulito! A parte il problema di Spybot che si evinceva dal mio log, non pensi ci sia altro? Grazie...!!!


alwarebytes' Anti-Malware 1.41
Versione del database: 3037
Windows 5.1.2600 Service Pack 2

27/10/2009 7.39.00
mbam-log-2009-10-27 (07-39-00).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|)
Elementi scansionati: 182761
Tempo trascorso: 2 hour(s), 13 minute(s), 10 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
Torna in alto
 
r16
Inviato: Wednesday, October 28, 2009 4:32:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Se hai disistallato SpyBot, posta un log di HJT.
Torna in alto
 
laretta
Inviato: Wednesday, October 28, 2009 5:27:46 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.27.23, on 28/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Programmi\Norton Internet Security\AddOns\Norton AddOn Pack\Engine\3.7.0.23\ccProxy.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TrayMin300.exe.lnk = ?
O8 - Extra context menu item: Post Image to Blog - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\Programmi\ImageShackToolbar\ImageShackToolbar.dll/5001
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233530301625
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1233530462812
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE15F52-4951-4FA4-9B13-6C57287C8CD2}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\coIEPlg.dll
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\Norton Internet Security\AddOns\Norton AddOn Pack\Engine\3.7.0.23\ccProxy.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

--
End of file - 6578 bytes
Torna in alto
 
r16
Inviato: Wednesday, October 28, 2009 5:37:49 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
Elimina TUTTE le 016.
Fai una pulizia con CCleaner.

Riavvia il pc.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Fai uno ScanDisk approfondito, e una deframmentazione del HD.
Reistalla SpyBot, SENZA il TEA TIMER, e posta un log aggiornato di HJT.
Torna in alto
 
laretta
Inviato: Wednesday, October 28, 2009 5:46:00 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Grazie:-)) sei stato chiarissimo.Domani eseguiro' tutte le operazioni che mi hai elencate visto che ci vorra' del tempo.Ti faro' sapere.Ancora grazie.Buona serata!
Torna in alto
 
r16
Inviato: Wednesday, October 28, 2009 5:49:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Tranquilla, io non ho fretta. Drool
Ciao.
Torna in alto
 
laretta
Inviato: Sunday, November 01, 2009 7:15:28 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
r16 ha scritto:
Tranquilla, io non ho fretta. Drool
Ciao.



...Allora r16,eccomi qua! Ho fatto tutto, la scansione con HJT e' andata a buon fine, nel senso che non ha trovato ads, ho visto solo la lista dei mie preferiti nell'elenco.
Ho eseguito la Scandisk, quello di xp per intenderci, immagino sia l'approfondito che intendevi tuThink ed anche qui tutto ok:il volume risulta integro.
A questo punto pero' e' nato un problema:non mi permette di fare il defrag perche' mi si apre una simpatica finestra,simpatica come la nausea del mattino, che mi dice ---MMC richiede l'installazione di IE 5.5 o successiva---Brick wall Ma ho IE 8, non lo riconosce?
Da poco l'ho reinstallato pero' ogni qualvolta apro explorer mi si apre la finestra dei componenti aggiuntivi.Eh?
Prima cio' non accadeva e' successo in seguito alla 2 reinstallazione.
Come devo procedere? Disinstallo IE8 e lo reinstallo?
Caspita ero alla fine della procedura, mi mancava solo di installare SpybotNot talking E ora? Sono nelle tue sante mani!Angel
Torna in alto
 
r16
Inviato: Sunday, November 01, 2009 11:44:44 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Prima di disistallarlo e reistallarlo, prova cosi:
Clicca su : Strumenti.
Opzioni Internet.
Avanzate.
Poi in basso, clicca REIMPOSTA.
Vedi se cambia qualcosa.
Torna in alto
 
laretta
Inviato: Monday, November 02, 2009 8:40:28 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Tutto fatto:Defrag completato.Pero' ... c'e' un pero':quando lancio la connessione Win defender mi segnala Win32/Alureon---file global root device/ide port1/dmsHqpy/tdlwsp.dll. Defender elimina il trojan e mi dice di rimuovere il sostware. Ma qual'e' visto che non mi da' nessun percorso? Questo avveniva anche prima delle ultime operazioni di "pulizia"Stasera me l'ha ridato di nuovo.Aggiungo che un mare di volte si chiude explorer, fortuna che con l'8 riapre l'ultima pagina.A questo punto prima di reinstallare Spybot e postare HJT, come da istruzioni di r16, e' necessario fare altre operazioni, magari in mod.provvisoria? Grazieeeeeeeeeee!!!
Torna in alto
 
r16
Inviato: Monday, November 02, 2009 9:26:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai un brutto Rootkit.
Il software che Windows Defender si riferisce, forse è il Java (o explorer)
Vai in Installazione Applicazioni, e disistalla TUTTE le versioni Java che trovi. (reistalleremo l'ultima versione, in un secondo momento)
Fai una nuova scansione completa con Malwarebytes. (aggiornalo prima)
NB: Se ti chiede di riavviare il computer,(Delete on reboot.) riavvialo.
Poi esegui una nuova scansione.
Posta i log.

Poi fai una scansione con Combofix:

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Torna in alto
 
laretta
Inviato: Wednesday, November 04, 2009 6:00:22 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
E' la 3 volta che tento di scrivere ma non riesco ad inviare perche' IE si chiude!!!Shhh

Ho fatto tutto cio' che mi hai detto,ho disinstallato Java, avevo solo 1 versione sul pannello di controllo.Ho sbagliato perche' non ho fatto la seconda scansione con Malawarebytes, non avevo le istruzioni davanti.E ora? :-(( Qualcosa ha trovato cmq:

Malwarebytes' Anti-Malware 1.41
Versione del database: 3098
Windows 5.1.2600 Service Pack 2

04/11/2009 17.04.03
mbam-log-2009-11-04 (17-03-58).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|)
Elementi scansionati: 179371
Tempo trascorso: 2 hour(s), 0 minute(s), 54 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\idm.dat (Malware.Trace) -> No action taken.



Per quanto riguarda Combofix, mi ha chiesto un riavvio,in seguito al rilevamento di Rootkit.Ok, l'ho fatto

ComboFix 09-11-03.03 - RITA 04/11/2009 17.22.18.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1023.671 [GMT 1:00]
Eseguito da: c:\documents and settings\RITA\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

La copia infetta di c:\windows\System32\DRIVERS\atapi.sys è stata trovata e disinfettata
ipristinata copia da - Kitty ate it :p
.
((((((((((((((((((((((((( Files Creati Da 2009-10-04 al 2009-11-04 )))))))))))))))))))))))))))))))))))
.

2009-11-04 16:18 . 2003-12-09 07:43 45568 ----a-w- c:\windows\system32\drivers\SiSRaid.sys
2009-11-03 19:40 . 2009-11-03 19:46 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\vlc
2009-11-02 23:51 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2009-11-01 19:47 . 2009-11-01 19:51 -------- dc-h--w- c:\windows\ie8
2009-10-29 13:32 . 2009-10-29 13:32 1 ----a-w- c:\windows\system32\qsf.dat
2009-10-29 13:32 . 2009-10-29 13:32 1 ----a-w- c:\windows\system32\fcd.dat
2009-10-29 13:21 . 2009-10-29 13:21 41984 ----a-w- c:\windows\system32\kpcfer.dll
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\Malwarebytes
2009-10-26 22:19 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-10-26 22:19 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-26 20:39 . 2009-11-01 20:11 -------- d-----w- c:\programmi\ImageShackToolbar
2009-10-26 19:48 . 2009-10-26 19:48 -------- d-----w- c:\windows\system32\wbem\Repository
2009-10-26 13:32 . 2009-10-26 13:32 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-10-15 21:12 . 2009-10-15 21:13 -------- d-----w- c:\programmi\Ulead GIF-X.Plugin 2.0
2009-10-15 21:05 . 2009-10-15 21:05 -------- d-----w- c:\programmi\Ulead Particle.Plugin
2009-10-15 20:59 . 1995-10-21 08:37 35328 ------w- c:\windows\INETWH32.DLL
2009-10-15 20:59 . 1995-10-16 14:55 9136 ------w- c:\windows\INETWH16.DLL
2009-10-15 20:59 . 1995-10-13 14:28 4528 ------w- c:\windows\SETBROWS.EXE
2009-10-15 20:59 . 1995-07-19 22:00 26832 ------w- c:\windows\CTL3DV2.DLL
2009-10-15 20:59 . 2009-10-15 20:59 -------- d-----w- c:\programmi\Ulead FantasyWarp.Plugin
2009-10-12 21:51 . 2009-10-12 21:51 -------- d-----w- c:\programmi\Microsoft Silverlight
2009-10-05 19:31 . 2009-10-05 19:32 -------- d-----w- c:\windows\system32\Adobe



Desidero ricordarti che ho ancora, come da prima istruzione, il registro di ripristino disattivato, inoltre da un paio di giorni NIS blocca e mette in quarantena Trojan horse.
La cosa che mi avvilisce di + e' il continuo bloccarsi di explorer. Aspetto tue news, ringraziandoti di cuore e sperando che questa mia risposta parta senza altri blocchi.
Torna in alto
 
r16
Inviato: Wednesday, November 04, 2009 9:59:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il log di Combofix non è completo.
Manca la parte centrale, e finale.
Elimina quello che ha trovato Malwarebytes.
Il ripristino lascialo disattivato. (non corri nessun rischio)

In ogni caso:
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
File::
c:\windows\system32\kpcfer.dll
c:\windows\system32\fcd.dat
c:\windows\system32\qsf.dat


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Torna in alto
 
laretta
Inviato: Thursday, November 05, 2009 8:27:34 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Ok, la scansione con Malawarebytes ha trovato 1 file infetto che ho cancellato, dopo ho riavviato.Ecco il log


Malwarebytes' Anti-Malware 1.41
Versione del database: 3105
Windows 5.1.2600 Service Pack 2

05/11/2009 19.21.44
mbam-log-2009-11-05 (19-21-37).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|)
Elementi scansionati: 180322
Tempo trascorso: 2 hour(s), 11 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\idm.dat (Malware.Trace) -> No action taken.


E' lo stesso della precedente scansione che avevo eliminato!Think

Questo il log di Combofix, speriamo sia integraleAnxious


ComboFix 09-11-03.03 - RITA 05/11/2009 19.54.55.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1023.609 [GMT 1:00]
Eseguito da: c:\documents and settings\RITA\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\RITA\Desktop\CFScript.txt
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
"c:\windows\system32\fcd.dat"
"c:\windows\system32\kpcfer.dll"
"c:\windows\system32\qsf.dat"
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\fcd.dat
c:\windows\system32\idm.dat
c:\windows\system32\kpcfer.dll
c:\windows\system32\qsf.dat

.
((((((((((((((((((((((((( Files Creati Da 2009-10-05 al 2009-11-05 )))))))))))))))))))))))))))))))))))
.

2009-11-05 18:33 . 2009-11-05 18:33 5112 ----a-w- c:\windows\system32\lk.dat
2009-11-05 13:25 . 2009-11-05 18:29 45 ----a-w- c:\windows\system32\pog.dat
2009-11-04 16:18 . 2003-12-09 07:43 45568 ----a-w- c:\windows\system32\drivers\SiSRaid.sys
2009-11-03 19:40 . 2009-11-03 19:46 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\vlc
2009-11-02 23:51 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2009-11-01 19:47 . 2009-11-01 19:51 -------- dc-h--w- c:\windows\ie8
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\Malwarebytes
2009-10-26 22:19 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-10-26 22:19 . 2009-10-26 22:19 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-10-26 22:19 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-26 20:39 . 2009-11-01 20:11 -------- d-----w- c:\programmi\ImageShackToolbar
2009-10-26 19:48 . 2009-10-26 19:48 -------- d-----w- c:\windows\system32\wbem\Repository
2009-10-26 13:32 . 2009-10-26 13:32 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-10-15 21:12 . 2009-10-15 21:13 -------- d-----w- c:\programmi\Ulead GIF-X.Plugin 2.0
2009-10-15 21:05 . 2009-10-15 21:05 -------- d-----w- c:\programmi\Ulead Particle.Plugin
2009-10-15 20:59 . 1995-10-21 08:37 35328 ------w- c:\windows\INETWH32.DLL
2009-10-15 20:59 . 1995-10-16 14:55 9136 ------w- c:\windows\INETWH16.DLL
2009-10-15 20:59 . 1995-10-13 14:28 4528 ------w- c:\windows\SETBROWS.EXE
2009-10-15 20:59 . 1995-07-19 22:00 26832 ------w- c:\windows\CTL3DV2.DLL
2009-10-15 20:59 . 2009-10-15 20:59 -------- d-----w- c:\programmi\Ulead FantasyWarp.Plugin
2009-10-12 21:51 . 2009-10-12 21:51 -------- d-----w- c:\programmi\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 18:57 . 2009-03-20 19:33 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\uTorrent
2009-10-26 17:35 . 2009-02-12 15:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-10-25 03:03 . 2001-08-31 14:00 79406 ----a-w- c:\windows\system32\perfc010.dat
2009-10-25 03:03 . 2001-08-31 14:00 479166 ----a-w- c:\windows\system32\perfh010.dat
2009-10-04 11:53 . 2009-10-04 11:53 -------- d-----w- c:\programmi\CCleaner
2009-10-01 08:29 . 2009-10-02 19:00 195440 ------w- c:\windows\system32\MpSigStub.exe
2009-09-27 09:51 . 2009-02-15 10:17 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\LimeWire
2009-09-24 22:32 . 2009-02-03 20:41 -------- d-----w- c:\documents and settings\RITA\Dati applicazioni\dvdcss
2009-09-11 17:43 . 2009-02-02 20:51 -------- d-----w- c:\programmi\Symantec
2009-09-11 17:43 . 2009-02-02 20:51 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2009-09-11 17:43 . 2009-02-02 20:51 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2009-09-11 17:43 . 2009-02-01 19:37 806 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2009-09-11 17:43 . 2009-02-01 19:37 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2009-09-11 14:34 . 2001-08-31 14:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 20:45 . 2001-08-31 14:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:56 . 2001-08-31 14:00 916480 ------w- c:\windows\system32\wininet.dll
2009-08-26 08:14 . 2001-08-31 14:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-25 19:57 . 2009-08-25 19:57 3414 ----a-w- c:\programmi\GrObjects.ini
2009-08-25 19:57 . 2009-08-25 19:50 529 ----a-w- c:\programmi\param.ini
2009-08-22 07:21 . 2009-02-02 20:51 36400 ----a-r- c:\windows\system32\drivers\SymIM.sys
2009-08-20 13:09 . 2009-08-20 13:09 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-08 12:57 . 2009-02-01 23:11 45744 ----a-w- c:\documents and settings\RITA\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-02-08 14:26 . 2009-02-08 14:24 1056 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-11-04_16.28.46 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-05 13:22 . 2009-11-05 13:22 16384 c:\windows\Temp\Perflib_Perfdata_1d8.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-12-18 3022848]
"BigDogPath"="c:\windows\VM_STI.EXE" [2004-06-09 40960]
"Windows Defender"="c:\programmi\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-12-18 753664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
TrayMin300.exe.lnk - c:\programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe [2009-2-1 278528]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys]
@="FSFilter Activity Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Photo Express Calendar Checker SE.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Photo Express Calendar Checker SE.lnk
backup=c:\windows\pss\Photo Express Calendar Checker SE.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\LimeWire\\LimeWire.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11480:TCP"= 11480:TCP:BitComet 11480 TCP
"11480:UDP"= 11480:UDP:BitComet 11480 UDP

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1007020.00B\SymEFA.sys [09/09/2009 13.24.03 310320]
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NIS\1007020.00B\BHDrvx86.sys [09/09/2009 13.24.02 259632]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1007020.00B\cchpx86.sys [09/09/2009 13.23.28 482432]
R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20091102.002\IDSXpx86.sys [28/10/2009 23.37.22 329592]
R2 Norton Internet Security;Norton Internet Security;c:\programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe [09/09/2009 13.23.45 117640]
R2 WinDefend;Windows Defender;c:\programmi\Windows Defender\MsMpEng.exe [03/11/2006 19.19.58 13592]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programmi\File comuni\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/11/2009 17.23.05 102448]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;"c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

--- Altri Servizi/Drivers In Memoria ---

*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenuto della cartella 'Scheduled Tasks'

2009-11-05 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programmi\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2009-11-05 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

2009-11-05 c:\windows\Tasks\User_Feed_Synchronization-{9D6EEF3F-181C-4BA8-8EBB-0B5E46A9DF57}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.virgilio.it/
IE: Post Image to Blog - c:\programmi\ImageShackToolbar\ImageShackToolbar.dll/5003
IE: Tag This Image - c:\programmi\ImageShackToolbar\ImageShackToolbar.dll/5002
IE: Transload Image to ImageShack - c:\programmi\ImageShackToolbar\ImageShackToolbar.dll/5004
IE: Upload All Images to ImageShack - c:\programmi\ImageShackToolbar\ImageShackToolbar.dll/5000
IE: Upload Image to ImageShack - c:\programmi\ImageShackToolbar\ImageShackToolbar.dll/5001
Name-Space Handler: ftp\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: http\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: https\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{D7C2854D-9515-4E70-BDE7-A57C7B48BBFA} - kpcfer.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-05 20:00
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\programmi\Norton Internet Security\Engine\16.7.2.11\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programmi\Norton Internet Security\Engine\16.7.2.11\diMaster.dll\" /prefetch:1"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\windows\system32\l3codeca.acm
.
Ora fine scansione: 2009-11-05 20.02.39
ComboFix-quarantined-files.txt 2009-11-05 19:02
ComboFix2.txt 2009-11-04 16:30

Pre-Run: 8.962.248.704 byte disponibili
Post-Run: 8.931.155.968 byte disponibili
Grazie!Boo hoo!



Torna in alto
 
r16
Inviato: Thursday, November 05, 2009 11:06:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Resettiamo il file Host:
Scarica Runscanner:
http://www.runscanner.net/runscanner.zip
Scompattalo sul desktop.
Basta cliccare su "Extra Stuff" poi su "Host file editor" e poi "Reset to Default".
E riporta il file hosts ai valori originali.
Finita questa operazione dimmi se il problema persiste. (Win defender, ti segnala ancora quel troyan ?)
Torna in alto
 
laretta
Inviato: Thursday, November 05, 2009 11:39:43 PM

Rank: AiutAmico

Iscritto dal : 10/7/2005
Posts: 435
Scusa r16, cosa intendi per valori originali?Da dove li ricavo?
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Log per problemi su Spybot


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.