Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Torniamo a combattere contro winfile?

2 pages: [1] 2
Torniamo a combattere contro winfile? Opzioni
Topic Precedente · Topic Sucessivo
passodellupo
Inviato: Saturday, April 04, 2009 10:07:01 AM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
Sono a casa di un amico che mi chiede come mai non gli parte il task manager... indovina...
Ebbene si, ancora il nostro nemico winfile. Ti va di aiutarmi a eliminarlo anche da qui?
Intanto posto il log di Combofix

5ComboFix 09-04-03.01 - Leonardo 2009-04-04 9.42.55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.184 [GMT 2:00]
Eseguito da: c:\documents and settings\Leonardo\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
E:\autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-03-04 al 2009-04-04 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 12:39 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Skype
2009-03-22 12:34 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\skypePM
2009-02-25 18:00 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Acronis
2009-02-25 17:56 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Acronis
2009-02-25 17:53 971,584 ----a-w c:\windows\system32\drivers\tdrpm147.sys
2009-02-25 17:53 540,000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-25 17:53 44,704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-25 17:53 134,272 ----a-w c:\windows\system32\drivers\snman380.sys
2009-02-25 17:52 --------- d-----w c:\programmi\File comuni\Acronis
2009-02-25 17:52 --------- d-----w c:\programmi\Acronis
2009-02-09 20:33 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\CyberLink
2009-02-09 18:55 --------- d-----w c:\programmi\Watchtower
2009-01-30 18:04 10,520 ----a-w c:\windows\system32\avgrsstx.dll
2008-11-23 19:28 4,900,376 ----a-w c:\programmi\LimeWireWin.exe
2008-11-24 21:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008112420081125\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2008-11-23 136600]
"CTFMON"="c:\windows\system32\wscript.exe" [2008-05-08 155648]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-11-21 4371440]
"AcronisTimounterMonitor"="c:\programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-11-21 961208]
"Acronis Scheduler2 Service"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2008-11-21 165144]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programmi\NETGEAR\WG111v2\WG111v2.exe [2008-11-16 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 20:04 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 c:\programmi\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [2004-10-07 29056]
R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [2009-02-25 134272]
R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\drivers\tdrpm147.sys [2009-02-25 971584]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-16 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-11-16 107272]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 903960]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 298264]
R3 ALI5261;ALi Based Ethernet NT Driver;c:\windows\system32\drivers\ALILAN.SYS [2004-10-07 29184]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2008-11-16 194304]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89905b46-0361-11de-8317-00112f5c90c6}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-regdiit - c:\windows\system32\winxp.exe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 09:45:49
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\RtlGina2.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-04-04 9.48.08
ComboFix-quarantined-files.txt 2009-04-04 07:47:56

Pre-Run: 107.186.282.496 byte disponibili
Post-Run: 107,351,838,720 byte disponibili

128 --- E O F --- 2009-02-25 17:29:47
Torna in alto
 
Sponsor
Inviato: Saturday, April 04, 2009 10:07:01 AM

 
Torna in alto
 
r16
Inviato: Saturday, April 04, 2009 11:51:41 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao passodellupo .
E' quasi simile al tuo problema.

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Apri un file di testo sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89905b46-0361-11de-8317-00112f5c90c6}]


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
*********************************************************************************************************
PULIRE LE CHIAVETTE USB:

Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI


Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai una scansione delle stesse, con il tuo antivirus. (che non mi fido molto)
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
*********************************************************************************************************
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è importante)
Esegui una scansione completa del sistema
Posta il log.
*********************************************************************************************************
Torna in alto
 
passodellupo
Inviato: Saturday, April 04, 2009 12:05:14 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
Questa volta AVG rileva l'attacco quando clicco 2 volte sulla periferica. il messaggio aveva relazione con winxp.exe.
Ma il file winfile.jpg non lo vede proprio.
La chiavetta non è un problema. la formatto da dos e via.
oggi pomeriggio eseguiamo le operazioni.
Ma Combofix va disistallato alla fine?
Torna in alto
 
r16
Inviato: Saturday, April 04, 2009 12:14:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Aspetta a disistallarlo, vediamo prima se ha eseguito le eliminazioni.
Per eliminarlo, la sai la procedura.
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)
Se formatti la chiavetta, vai sul sicuro.
Torna in alto
 
passodellupo
Inviato: Saturday, April 04, 2009 2:50:56 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Si, si. dopo aver finito tutto, iintendo. intanto ecco il log di combofix.

ComboFix 09-04-03.01 - Leonardo 2009-04-04 14.30.54.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.191 [GMT 2:00]
Eseguito da: c:\documents and settings\Leonardo\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Leonardo\Desktop\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-03-04 al 2009-04-04 )))))))))))))))))))))))))))))))))))
.

2009-04-04 14:20 . 2009-04-04 14:27 7,168 --a------ c:\windows\system32\winxp.exe
2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\documents and settings\Leonardo\Dati applicazioni\Malwarebytes
2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-04-04 14:02 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-04 14:02 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-04 14:00 . 2009-04-04 14:00 <DIR> d-------- c:\programmi\Trend Micro
2009-04-04 13:46 . 2009-04-04 14:30 1,038,984 --a------ C:\winfile.jpg

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 12:17 --------- d-----w c:\programmi\File comuni\Acronis
2009-04-04 12:06 --------- d-----w c:\programmi\Java
2009-04-04 11:57 --------- d-----w c:\programmi\CCleaner
2009-03-22 12:39 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Skype
2009-03-22 12:34 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\skypePM
2009-03-09 03:19 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-02-25 18:00 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Acronis
2009-02-25 17:56 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Acronis
2009-02-25 17:53 971,584 ----a-w c:\windows\system32\drivers\tdrpm147.sys
2009-02-25 17:53 540,000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-25 17:53 44,704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-25 17:52 --------- d-----w c:\programmi\Acronis
2009-02-09 20:33 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\CyberLink
2009-02-09 18:55 --------- d-----w c:\programmi\Watchtower
2009-02-09 14:04 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-01-30 18:04 10,520 ----a-w c:\windows\system32\avgrsstx.dll
2008-11-23 19:28 4,900,376 ----a-w c:\programmi\LimeWireWin.exe
2008-11-24 21:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008112420081125\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-04_ 9.46.21,23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-05 06:55:51 144,896 -c----w c:\windows\system32\dllcache\schannel.dll
- 2008-09-15 15:24:38 1,846,400 -c----w c:\windows\system32\dllcache\win32k.sys
+ 2009-02-09 14:04:21 1,846,784 -c----w c:\windows\system32\dllcache\win32k.sys
- 2008-11-24 21:16:51 243,920 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2009-04-04 12:08:18 243,920 ----a-w c:\windows\system32\FNTCACHE.DAT
- 2008-11-23 19:34:33 144,792 ----a-w c:\windows\system32\java.exe
+ 2009-03-09 03:19:11 144,792 ----a-w c:\windows\system32\java.exe
- 2008-11-23 19:34:33 144,792 ----a-w c:\windows\system32\javaw.exe
+ 2009-03-09 03:19:13 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-11-23 19:34:33 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-03-09 03:19:13 148,888 ----a-w c:\windows\system32\javaws.exe
- 2009-02-12 04:56:17 21,244,872 ----a-w c:\windows\system32\MRT.exe
+ 2009-02-25 20:54:59 24,768,960 ----a-w c:\windows\system32\MRT.exe
- 2009-02-03 11:54:03 52,900 ----a-w c:\windows\system32\perfc009.dat
+ 2009-04-04 12:05:54 52,900 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-03 11:54:03 63,402 ----a-w c:\windows\system32\perfc010.dat
+ 2009-04-04 12:05:54 63,402 ----a-w c:\windows\system32\perfc010.dat
- 2009-02-03 11:54:03 380,486 ----a-w c:\windows\system32\perfh009.dat
+ 2009-04-04 12:05:54 380,486 ----a-w c:\windows\system32\perfh009.dat
- 2009-02-03 11:54:03 425,804 ----a-w c:\windows\system32\perfh010.dat
+ 2009-04-04 12:05:54 425,804 ----a-w c:\windows\system32\perfh010.dat
- 2008-04-14 02:13:49 144,384 ----a-w c:\windows\system32\schannel.dll
+ 2008-12-05 06:55:51 144,896 ----a-w c:\windows\system32\schannel.dll
- 2008-07-09 07:42:34 18,808 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 11:19:29 18,808 ------w c:\windows\system32\spmsg.dll
+ 2009-04-04 12:20:00 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_658.dat
+ 2008-04-15 17:47:48 1,724,416 ----a-w c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\GdiPlus.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"CTFMON"="c:\windows\system32\wscript.exe" [2008-05-08 155648]
"regdiit"="c:\windows\system32\winxp.exe" [2009-04-04 7168]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programmi\NETGEAR\WG111v2\WG111v2.exe [2008-11-16 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 20:04 10520 c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 c:\programmi\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [2004-10-07 29056]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-16 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-11-16 107272]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 903960]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 298264]
R3 ALI5261;ALi Based Ethernet NT Driver;c:\windows\system32\drivers\ALILAN.SYS [2004-10-07 29184]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2008-11-16 194304]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-04 14:32:56
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\system32\RtlGina2.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-04-04 14.35.12
ComboFix-quarantined-files.txt 2009-04-04 12:34:57
ComboFix2.txt 2009-04-04 07:48:10

Pre-Run: 107.775.541.248 byte disponibili
Post-Run: 107,768,205,312 byte disponibili

157 --- E O F --- 2009-04-04 11:56:13

Sto facendo la scansione con malwarebytes...
Torna in alto
 
r16
Inviato: Saturday, April 04, 2009 5:33:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao passodellupo .
Strano che siano apparsi dei file, che nel log di Combofix precedente, non c'erano.
c:\windows\system32\winxp.exe
C:\winfile.jpg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
regdiit"="c:\windows\system32\winxp.exe"
Vediamo se li elimina Malwarebytes, qltrimenti procederemo ancora con Combofix.
Torna in alto
 
passodellupo
Inviato: Saturday, April 04, 2009 6:45:22 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16,
eccoti il log di malwarebytes.
Malwarebytes' Anti-Malware 1.35
Versione del database: 1939
Windows 5.1.2600 Service Pack 3

04/04/2009 18.12.14
mbam-log-2009-04-04 (18-12-00).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 110715
Tempo trascorso: 39 minute(s), 59 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 2
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.Poison) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Backdoor.Poison) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\winxp.exe (Backdoor.Poison) -> No action taken.
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> No action taken.
C:\winfile.jpg (Backdoor.Poison) -> No action taken.
C:\WINDOWS\system32\wscript.exe (Backdoor.Poison) -> No action taken.

Ma quando dici di fare una scansione completa intendi anche eliminare i file o solo postare il log come ho fatto ora?
Comunque, farlo girare di nuovo non è un problema.

Ah, ho cercato di disabilitare il ripristino configurazione di sistema ma andando in "pannello di controllo/sistema" manca la linguetta "Rispristino configurazione..." CHE SUCCEDE?

OT: quelle due chiavi di registro che ho eseguito per eliminare definitivamente l'autoplay, andavano bene oppure ho fatto casini?
Erano queste:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000128
"NoSetFolders"=dword:00000000
"NoControlPanel"=dword:00000000

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"
Torna in alto
 
r16
Inviato: Saturday, April 04, 2009 7:02:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ci sono vari modi per disabilitare o disattivare l'autoplay.
Il tuo, dovrebbe funzionare, ma il più sicuro e più facile, per me, rimane TweakUI.
Sembra che Malwarebytes, li abbia trovati i file che accennavo sopra.
Elimina quello che ha trovato Malwarebyte.
Poi rifai la scansione completa(che vuol dire, che vengono scansionate tutte le eventuali partizioni dell'HD non eliminazioni) e posta il log.
Poi rifai la scansione con Combofix e posti il log
Alla fine delle scansioni, controlla la linguetta del ripristino configurazione di sistema se è tornata.
P.S:
Cosa intendi per "linguetta".......la casellina (tab) o la spunta.

Dimenticavo passodellupo , mi puoi anche postare un log di HJT, per vedere se tutto è in ordine?
Lo posti dopo che hai eseguito tutte le altre operazioni.
Torna in alto
 
passodellupo
Inviato: Saturday, April 04, 2009 10:44:02 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
ciao.
Intendo il tab, quello lungo in alto. Nel pc del mio amico manca del tutto, mentre gli altri con scritto generale, connessione remota, ecc ci sono tutti.
Ok domani rifaccio i compiti a casa e poi ti dico. grazie per ora.
ciao e buona notte

Ah, ho istallato ninja.exe per disabilitare l'autoplay e eliminare gli autorun da tutte le memorie rimovibili. Forte!
Torna in alto
 
r16
Inviato: Saturday, April 04, 2009 11:35:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Và beh....prima sistemiamo il pc dai virus, poi proveremo ripristinare il Ripristino Configurazione Sistema.
Per ninja.exe si deve ringraziare DarioVR, è stato suo il suggerimento.Applause
Torna in alto
 
passodellupo
Inviato: Sunday, April 05, 2009 3:10:34 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
Ecco il log di Malwarebytes
Malwarebytes' Anti-Malware 1.35
Versione del database: 1939
Windows 5.1.2600 Service Pack 3

05/04/2009 12.38.03
mbam-log-2009-04-05 (12-38-03).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 110484
Tempo trascorso: 34 minute(s), 1 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 2
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Backdoor.Poison) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit (Backdoor.Poison) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Delete on reboot.
C:\winfile.jpg (Backdoor.Poison) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wscript.exe (Backdoor.Poison) -> Delete on reboot.


Appena possibile ti posto gli altri log. grazie e ciao
Torna in alto
 
r16
Inviato: Sunday, April 05, 2009 3:15:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ci sono 2 file che devono essere eliminati con il riavvio del pc.
Altrimenti ti restano li'.
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Delete on reboot.

C:\WINDOWS\system32\wscript.exe (Backdoor.Poison) -> Delete on reboot.
Torna in alto
 
passodellupo
Inviato: Tuesday, April 07, 2009 12:34:11 AM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
Che bello, hai aggiornato la foto dell'erede...
Scusa per la pausa ma oggi non sono riuscito proprio a tornare dal mio amico per le scansioni. Appena fatte le posto...
Ciao
Torna in alto
 
passodellupo
Inviato: Monday, April 13, 2009 10:15:13 AM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
Rieccoci a combattere contro winfile.
questo è il log di combofix.
ComboFix 09-04-03.01 - Leonardo 2009-04-13 10.01.44.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.511.196 [GMT 2:00]
Eseguito da: c:\documents and settings\Leonardo\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated)

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2009-03-13 al 2009-04-13 )))))))))))))))))))))))))))))))))))
.

2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\documents and settings\Leonardo\Dati applicazioni\Malwarebytes
2009-04-04 14:02 . 2009-04-04 14:02 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-04-04 14:02 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-04 14:02 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-04 14:00 . 2009-04-04 14:00 <DIR> d-------- c:\programmi\Trend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-04 12:17 --------- d-----w c:\programmi\File comuni\Acronis
2009-04-04 12:06 --------- d-----w c:\programmi\Java
2009-04-04 11:57 --------- d-----w c:\programmi\CCleaner
2009-03-22 12:39 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Skype
2009-03-22 12:34 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\skypePM
2009-03-09 03:19 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-02-25 18:00 --------- d-----w c:\documents and settings\Leonardo\Dati applicazioni\Acronis
2009-02-25 17:56 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Acronis
2009-02-25 17:53 971,584 ----a-w c:\windows\system32\drivers\tdrpm147.sys
2009-02-25 17:53 540,000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-25 17:53 44,704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-25 17:52 --------- d-----w c:\programmi\Acronis
2009-02-09 14:04 1,846,784 ----a-w c:\windows\system32\win32k.sys
2009-01-30 18:04 10,520 ----a-w c:\windows\system32\avgrsstx.dll
2008-11-23 19:28 4,900,376 ----a-w c:\programmi\LimeWireWin.exe
2008-11-24 21:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008112420081125\index.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-04-04_ 9.46.21,23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-05 06:55:51 144,896 -c----w c:\windows\system32\dllcache\schannel.dll
- 2008-09-15 15:24:38 1,846,400 -c----w c:\windows\system32\dllcache\win32k.sys
+ 2009-02-09 14:04:21 1,846,784 -c----w c:\windows\system32\dllcache\win32k.sys
- 2008-11-24 21:16:51 243,920 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2009-04-04 12:08:18 243,920 ----a-w c:\windows\system32\FNTCACHE.DAT
- 2008-11-23 19:34:33 144,792 ----a-w c:\windows\system32\java.exe
+ 2009-03-09 03:19:11 144,792 ----a-w c:\windows\system32\java.exe
- 2008-11-23 19:34:33 144,792 ----a-w c:\windows\system32\javaw.exe
+ 2009-03-09 03:19:13 144,792 ----a-w c:\windows\system32\javaw.exe
- 2008-11-23 19:34:33 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-03-09 03:19:13 148,888 ----a-w c:\windows\system32\javaws.exe
- 2009-02-12 04:56:17 21,244,872 ----a-w c:\windows\system32\MRT.exe
+ 2009-02-25 20:54:59 24,768,960 ----a-w c:\windows\system32\MRT.exe
- 2009-02-03 11:54:03 52,900 ----a-w c:\windows\system32\perfc009.dat
+ 2009-04-04 12:05:54 52,900 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-03 11:54:03 63,402 ----a-w c:\windows\system32\perfc010.dat
+ 2009-04-04 12:05:54 63,402 ----a-w c:\windows\system32\perfc010.dat
- 2009-02-03 11:54:03 380,486 ----a-w c:\windows\system32\perfh009.dat
+ 2009-04-04 12:05:54 380,486 ----a-w c:\windows\system32\perfh009.dat
- 2009-02-03 11:54:03 425,804 ----a-w c:\windows\system32\perfh010.dat
+ 2009-04-04 12:05:54 425,804 ----a-w c:\windows\system32\perfh010.dat
- 2008-04-14 02:13:49 144,384 ----a-w c:\windows\system32\schannel.dll
+ 2008-12-05 06:55:51 144,896 ----a-w c:\windows\system32\schannel.dll
- 2008-07-09 07:42:34 18,808 ------w c:\windows\system32\spmsg.dll
+ 2007-11-30 11:19:29 18,808 ------w c:\windows\system32\spmsg.dll
+ 2009-04-13 06:43:09 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_554.dat
+ 2008-04-15 17:47:48 1,724,416 ----a-w c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\GdiPlus.dll
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 237568]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programmi\NETGEAR\WG111v2\WG111v2.exe [2008-11-16 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 20:04 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 c:\programmi\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 c:\programmi\File comuni\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [2004-10-07 29056]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-16 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-11-16 107272]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-11-16 903960]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-16 298264]
R3 ALI5261;ALi Based Ethernet NT Driver;c:\windows\system32\drivers\ALILAN.SYS [2004-10-07 29184]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [2008-11-16 194304]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-13 10:02:20
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\RtlGina2.dll
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-04-13 10.04.46
ComboFix-quarantined-files.txt 2009-04-13 08:04:32
ComboFix2.txt 2009-04-04 07:48:10

Pre-Run: 107.771.129.856 byte disponibili
Post-Run: 107,765,125,120 byte disponibili

155 --- E O F --- 2009-04-04 11:56:13

e quest è quello di hjt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.13.04, on 13/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\Programmi\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HP\HP Software Update\HPWuSchd.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6474 bytes

il log di malwarebytes è un paio di post indietro

attendo tue notizie (quando hai tempo)
ciao
Torna in alto
 
r16
Inviato: Monday, April 13, 2009 6:24:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao passodellupo .
Quando hai eseguito la scansione con Malwarebytes,hai riavviato il pc come ti avevo consigliato?.
Dal log di Combofix, mi risulta che non hai riavviato il pc.
Infatti il pc è ancora infetto.
Se non lo hai fatto, devi rifare tutto, sia la scansione con Malwarebytes (e aggiornalo per favore) sia con Combofix.
Torna in alto
 
passodellupo
Inviato: Monday, April 13, 2009 6:56:42 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
ciao r16.
C'è differenza tra riavviare e spegnere?
dopo la scansione con malwarebytes abbiamo semplicemente spento il pc. pensavo fosse lo stesso.
Comunque rifacciamo tutto. Ci vuole tempo perchè tutti i passi vengono fatti quando io e il mio amico siamo entrambi liberi e mi trovo a casa sua. Abbi pazienza (tanto non c'è fretta).
Torna in alto
 
r16
Inviato: Monday, April 13, 2009 10:23:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao passodellupo .
No, non fà differenza fra spegnere, e poi accendere, oppure riavviare direttamente.
Quello che è importante, è che fai le operazioni cronologicamente:
Fai la\e scansioni prima con Malwarebytes, finchè non rileva più nulla.
Poi esegui la scansione con Combofix, e vediamo cosa ha lasciato indietro Malwarebytes.
Mi sono spiegato decentemente?Drool
Auguri passodellupo .
Torna in alto
 
passodellupo
Inviato: Tuesday, April 14, 2009 12:10:26 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Spiegatissimo! Grazie.
Ciao
Torna in alto
 
passodellupo
Inviato: Monday, May 04, 2009 9:47:12 PM
Rank: AiutAmico

Iscritto dal : 9/21/2003
Posts: 38
Ciao r16.
E' passato quasi un mese. finalmente siamo riusciti a fare le ultime scansioni.
Ecco quella di malwarebytes
Malwarebytes' Anti-Malware 1.36
Versione del database: 2067
Windows 5.1.2600 Service Pack 3

02/05/2009 17.25.47
mbam-log-2009-05-02 (17-25-47).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 119441
Tempo trascorso: 39 minute(s), 53 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


e questa è quella di combofix fatta dopo:

ComboFix 09-05-03.6 - Leonardo 04/05/2009 21.01.00.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.511.185 [GMT 2:00]
Eseguito da: c:\documents and settings\Leonardo\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-04-04 al 2009-05-04 )))))))))))))))))))))))))))))))))))
.

Nessun nuovo file creato in questo arco di tempo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-17 19:49 . 2009-04-04 12:02 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-06 13:32 . 2009-04-04 12:02 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-04-04 12:02 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-04 12:17 . 2009-02-25 17:52 -------- d-----w c:\programmi\File comuni\Acronis
2009-04-04 12:06 . 2008-11-23 19:34 -------- d-----w c:\programmi\Java
2009-04-04 12:05 . 2001-08-31 12:00 63402 ----a-w c:\windows\system32\perfc010.dat
2009-04-04 12:05 . 2001-08-31 12:00 425804 ----a-w c:\windows\system32\perfh010.dat
2009-04-04 12:00 . 2009-04-04 12:00 -------- d-----w c:\programmi\Trend Micro
2009-04-04 11:57 . 2008-06-02 19:13 -------- d-----w c:\programmi\CCleaner
2009-03-09 03:19 . 2008-11-23 19:34 410984 ----a-w c:\windows\system32\deploytk.dll
2009-02-25 17:53 . 2009-02-25 17:53 971584 ----a-w c:\windows\system32\drivers\tdrpm147.sys
2009-02-25 17:53 . 2009-02-25 17:53 540000 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-25 17:53 . 2009-02-25 17:53 44704 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-09 14:04 . 2004-08-19 13:31 1846784 ----a-w c:\windows\system32\win32k.sys
2008-11-23 19:28 . 2008-11-23 19:28 4900376 ----a-w c:\programmi\LimeWireWin.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\programmi\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 339968]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-30 1601304]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - c:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
NETGEAR WG111v2 Smart Wizard.lnk - c:\programmi\NETGEAR\WG111v2\WG111v2.exe [2008-11-16 1261568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-30 18:04 10520 ----a-w c:\windows\system32\avgrsstx.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"MIDI2"= SYNCOR11.DLL
"wave1"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Acrobat Assistant.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Acrobat Assistant.lnk
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R3 ALI5261;ALi Based Ethernet NT Driver;c:\windows\system32\DRIVERS\ALILAN.SYS [2003-09-05 29184]
S0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\DRIVERS\ALiAGP.sys [2003-08-05 29056]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [2009-01-30 325128]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [2009-01-30 107272]
S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-01-30 903960]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-30 298264]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2007-02-06 194304]

.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-04 21:03
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(472)
c:\windows\system32\RtlGina2.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(632)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Ora fine scansione: 2009-05-04 21.06.14
ComboFix-quarantined-files.txt 2009-05-04 19:06
ComboFix2.txt 2009-05-04 18:36

Pre-Run: 107.580.628.992 byte disponibili
Post-Run: 107.572.654.080 byte disponibili

114 --- E O F --- 2009-04-04 11:56


Attendo tue notizie
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Torniamo a combattere contro winfile?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.