Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problemi con trojan Opzioni
r16
Inviato: Tuesday, March 13, 2012 9:43:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Volevo solo chiedere se quando lancio OTL devo nuovamente mettere la spunta a Scan All User.... 60 day e la spunta a Lop Check e Purity check....

No.
Il programma stà facendo le eliminazioni.
Commenta:
Killing processses. Do not interrupt...

Appunto: stò eliminando, non interrompermi....
loredana74
Inviato: Tuesday, March 13, 2012 9:47:43 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Si questo lo vevo capito ma visto che la barra del progresso non avanza mi era venuto il dubbio di dover mettere le impostazioni precedenti. Scusa ancora.
r16
Inviato: Tuesday, March 13, 2012 9:58:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non hai bisogno di scusarti.
Purtroppo bisogna avere pazienza.
Come hai visto, lo script è piuttosto voluminoso, e richiede tempo.

Ti riprendo domani.

Quando hai finito con SystemScan prova a eseguire queste indicazioni per la connessione:

Start\Esegui\ digita CMD
Si aprirà un prompt dei comandi
Digita
netsh winsock reset catalog (e poi Invio)
netsh int ip reset reset.log (e poi Invio)
ipconfig /flushdns (e poi Invio)


Digita exit e poi Invio per uscire e riavvia il pc

Controlla se la connessione funziona.

Attenzione: devi digitare correttamente i comandi, altrimenti non funziona.
loredana74
Inviato: Wednesday, March 14, 2012 12:25:17 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Allora faccio il punto della situazione (un pò avvilente direi) Fixare il codice con OTL il mio pc non ne ha voluto proprio sapere, inesorabilmente si bloccava quindi ho riavviato in modalità provvisoria e copiando poche stringhe per volta alla fine sono riuscita nell'intento... almeno credo. Di sotto lascio il log della nuova scansione di OTL

OTL.Txt

Per quanto riguarda la scansione con SystemScan in entrambe le modalità alla voce "Alternate Data Stream" mi usciva la scritta il programma non risponde.... ho provato anche a deselezionare questa voce sperando che il programma riuscisse a terminare ma nulla... comunque mi sono ritrovata in cartella il report (che non so a quanto può servire se è incompleto) sperando che, con ulteriori tentativi che eseguirò di riuscirci.

report.txt

So che r16 ce la sta mettendo tutta ma credo di essere un caso pietoso ma ti prego non abbandonarmi Pray

Ovviamente inutile dirlo ma nonostante i comandi che mi hai detto di digitare la connessione nemmeno a sognarla mi si apre la pagina di internet con la scritta "Connessione rifiutata dal server proxy"
r16
Inviato: Wednesday, March 14, 2012 5:38:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
loredana74 ha scritto:

ma credo di essere un caso pietoso ma ti prego non abbandonarmi Pray

Non ci penso nemmeno.

Prova così:
Start\ pannello di controllo\ connessioni di rete
clicca con il tasto destro del mouse sulla tua connessione.
seleziona proprietà.
doppio click su "Protocollo Internet(TCP/IP)
metti la spunta a "ottieni indirizzo server DNS automaticamente".
Clicca OK.
Riavvia il pc.

Se non funziona:

Apri Internet Explorer.
Clicca su: Strumenti"
Opzioni Internet.
Connessioni.
Impostazioni LAN

Sotto: "Server proxy" Togli la spunta a:
"utilizza un server proxy per le connessioni lan".

Clicca OK.
Riavvia il pc

Vedi se funziona.

Se non funziona:
scarica Scanner Servizio Farbar sul desktop :
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log.

Hai un Account strano:
jwm0FO2gLDI

Lo conosci?

Se non lo conosci:

Start\Esegui\ copia-incolla questo comando:
control userpasswords2

Clicca OK.

Seleziona l'account HsUser_jwm0FO2gLDI e clicca su Rimuovi
Conferma tutto, e riavvia il pc.
Ricontrolla se si è rigenerato.
loredana74
Inviato: Wednesday, March 14, 2012 6:06:32 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Innanzitutto ti ringrazio per il tuo spirito solidale Drool

Allora ho eseguito il primo passo e al momento del riavvio per caricare il sistema mi ha chiesto di digitare o F1 o F2.... insomma... un'altra novità che si aggiunge alle tante.... comunque grandioso... una buona notizia... riesco a collegarmi in internet solo con IE mentre con mozzilla mi esce la stessa scritta (cmq sei un grande.... meglio che niente), adesso eseguo il secondo passo perchè quell'account non mi appartiene... ti aggiorno appena finisco
loredana74
Inviato: Wednesday, March 14, 2012 6:18:38 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Evvaiiiiiiiiiii adesso che sono andata anche nelle impostazioni di mozilla e togliendo la spunta alla scelta dei proxy mi parte anche questo browser Applause

Ho eliminato anche quell'user che non mi appartiene e ricontrollando non mi appare più.

Ed ora? debbellato il tutto oppure è ancora latente nel mio pc?? perchè non riesco ad eseguire alcune scansioni? (so troppo felice )
r16
Inviato: Wednesday, March 14, 2012 6:26:52 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai una scansione completa con Malwarebytes. (adesso che hai la connessione, ricorda di AGGIORNARLO)
Non eliminare niente (ti dirò io se eliminare quello che trova oppure no)
Posta il log.
loredana74
Inviato: Wednesday, March 14, 2012 6:30:23 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ok fra un paio di orette allora ti posto il log (questo è di solito il tempo che ci mette il programma per fare la scansione sul mio pc). Grazie!
r16
Inviato: Wednesday, March 14, 2012 6:36:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Ok fra un paio di orette

Tranquilla, ho tempo fino alle 22.
Vediamo se Malwarebytes rileva qualcosa. (dovrebbe rilevare ancora dei file maligni, ma non ti preoccupare)
Ripeto: Non eliminare niente, perchè è possibile che le eliminazioni, riguardino file di sistema.
loredana74
Inviato: Wednesday, March 14, 2012 6:40:39 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Inizialmente quando ho avuto problemi con l'antivirus che lanciava sempre finestre di virus con Malwarebytes non ho avuto alcun problema del genere... lanciandolo non mi ha mai trovato nulla però con tutto sto casino che è accaduto tutto può succedere.... Ma poi mi dici tu che antivirus installare e quando fare il ripristino configurazione giusto? d'oh!
r16
Inviato: Wednesday, March 14, 2012 7:16:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Consiglio questo antivirus:
http://www.aiutamici.it/software?ID=10908
E lo configuri così:
http://www.fattoebloggato.com/2011/02/installazione-e-configurazione-di-avira.html
Se sei d'accordo (guarda che se non lo sei, non me la prendo affatto. La scelta dell'antivirus è soggettiva.
L'unico consiglio che ti prego di seguire, è quello di NON reistallare AVG)
Fai una scansione, e posta il log. (di Avira o quello che sceglierai.)

In questo forum và di moda questo:
http://www.aiutamici.it/software?ID=11289
Vedi tu cosa scegliere.
Magari, frequentando spesso questo forum, trovi anche chi ti aiuta a configurarlo.
loredana74
Inviato: Wednesday, March 14, 2012 7:49:44 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ecco il log di Malwarebytes

mbam-log-2012-03-14 (18-29-47).txt

Ovviamente è superfluo dire che seguirò il tuo consiglio per quanto riguarda l'antivirus... dopo tutta la fatica che hai fatto per me ci mancherebbe pure che non mi fidassi e voglio ringraziare ugualmente Enigmista63 e wolfestein che inizialmente mi hanno seguita.

Appena finisco la scansione con Avira posto il log.
r16
Inviato: Wednesday, March 14, 2012 8:32:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Dopo aver postato il log di Avira, segui queste indicazioni:
Disistalla Hijack This (hai una versione obsoleta)
Installa l'ultima versione:
http://www.aiutamici.it/software?ID=11175
Fai una scansione e posta il log.
Se tutto funziona "benino" concluderemo con le pulizie finali.
Eventualmente dimmi quali problemi riscontri.
loredana74
Inviato: Wednesday, March 14, 2012 8:44:12 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Ok. Per quanto riguarda la scansione di Avira che sto effettuando, nel caso vi siano virus da cancellare posso farlo o devo postarti prima il log?
r16
Inviato: Wednesday, March 14, 2012 8:56:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Puoi cancellare.
Però vorrei vedere il log di cosa ha eliminato.
loredana74
Inviato: Wednesday, March 14, 2012 10:05:39 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
A metà scansione con Avira il pc mi si è bloccato ed ho dovuto riavviare d'oh!

E' un problema sempre di virus? Forse è meglio che la avvio in modalità provvisoria? Uff che disdetta!!!!

r16
Inviato: Wednesday, March 14, 2012 10:10:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica GMER
http://www.gmer.net/gmer.zip
scopatta, il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note salva il file ed allegalo qui.
loredana74
Inviato: Wednesday, March 14, 2012 10:11:59 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
Intanto posto il log di Hijack This


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.08.48, on 14/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Logitech\QuickCam10\QuickCam10.exe
C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\Akamai\netsession_win.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\Akamai\netsession_win.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\LGScsiCommandService.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Documents and Settings\principale\Documenti\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: ÿþ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: Groove Folder Synchronization - {063950C7-58D6-08B0-2B17-4B674FA1170F} - C:\WINDOWS\system32\msxmll2.dll
O2 - BHO: Adobe PDF Link Helper - {095E7D52-5C65-362A-60B4-209230625CAB} - C:\WINDOWS\system32\qdvdd.dll
O2 - BHO: Windows Live ID Sign-in Helper - {1B83644E-7680-49A6-327B-2AE47BDD6989} - C:\WINDOWS\system32\WMVAADVE.DLL
O2 - BHO: Adobe PDF Link Helper - {27533C7E-6382-484B-322A-2C5D4B245769} - C:\WINDOWS\system32\shmediia.dll
O2 - BHO: Groove Folder Synchronization - {5DDF4103-25C6-4BFB-2412-04FE53832AE8} - C:\WINDOWS\system32\mssexch40.dll
O2 - BHO: Groove Folder Synchronization - {63813F58-5BB6-695A-268F-36B86E1873CE} - C:\WINDOWS\system32\muuweb.dll
O2 - BHO: Adobe PDF Link Helper - {67181948-4E67-5AEB-59A7-5BE4657624AC} - C:\WINDOWS\system32\phottometadatahandler.dll
O2 - BHO: Groove Folder Synchronization - {73594453-695E-62EF-3FF2-49A11A112DA0} - C:\WINDOWS\system32\cryyptext.dll
O2 - BHO: Groove Folder Synchronization - {77016AEA-6EAF-155B-0CB1-2266154243C8} - C:\WINDOWS\system32\msjet400.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Programmi\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\principale\Impostazioni locali\Dati applicazioni\Akamai\netsession_win.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AMService - Unknown owner - C:\WINDOWS\TEMP\krqvoh\setup.exe (file missing)
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LG SCSI command service (LGScsiCommandService) - Mobile Leader Co.,Ltd. - C:\WINDOWS\system32\LGScsiCommandService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Documents and Settings\principale\Documenti\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 9916 bytes
loredana74
Inviato: Wednesday, March 14, 2012 10:17:21 PM
Rank: AiutAmico

Iscritto dal : 10/26/2005
Posts: 158
E questo è il log di gmer


GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-03-14 22:17:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 MAXTOR_STM3320820AS rev.3.AAE
Running: gmer.exe; Driver: C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\kwkdrkob.sys


---- System - GMER 1.0.15 ----

SSDT spab.sys ZwEnumerateKey [0xF74F4CA4]
SSDT spab.sys ZwEnumerateValueKey [0xF74F5032]

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-1b [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-1b sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort2 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort3 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-10 [F7978B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-10 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target2Lun0 8A53C1F8
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target2Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\auif0c9f \Device\Scsi\auif0c9f1 8A4491F8
Device \Driver\auif0c9f \Device\Scsi\auif0c9f1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target1Lun0 8A53C1F8
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target1Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target0Lun0 8A53C1F8
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1Port4Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1 8A53C1F8
Device \Driver\asaij5zw \Device\Scsi\asaij5zw1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\auif0c9f \Device\Scsi\auif0c9f1Port5Path0Target0Lun0 8A4491F8
Device \Driver\auif0c9f \Device\Scsi\auif0c9f1Port5Path0Target0Lun0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \FileSystem\Ntfs \Ntfs 8A6DD1F8

---- EOF - GMER 1.0.15 ----
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.