Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PC Impazzito, AIUTO!!

2 pages: [1] 2
PC Impazzito, AIUTO!! Opzioni
Topic Precedente · Topic Sucessivo
linkin
Inviato: Friday, May 22, 2009 8:43:46 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Ciao amici,
Ho installato Codysafe pensando che si potesse usare come programma normale, -non mi ricordo bene se l'ho installato o se l'ho solo aperto- (scusate ero distratto!), fatto sta da quel momento il PC è impazzito.
1) Messenger è entrato nell'avvio automatico
2) E' partita l'installazione di Windows Media Player
3) Il Disco Locale (C:) fino a 5 minuti fa aveva cambiato nome (il nome era tipo codysafe .... oppure codyssey ...)
4) Al login di Windows XP sono partite 2 finestre del prompt e poi è partito l'antivirus (Nod 32) P.s. questo è successo dopo che ho effettuato le scansioni.
5) Finora sono comparsi 2 errori, uno quando ho aperto un file video con windows media player, un'altro quando ho fatto uno screenshot con "Greenshot".
EDIT: Ho aperto Messenger ed è comparso questo errore:

P.S. se l'immagine non si vede cliccate qui: http://img199.imageshack.us/my.php?image=55035929.png
6) Nel Pannello di Controllo ci sono 3 file senza nome impossibili da eliminare, ci sono solo due opzione "Apri", "Crea collegamento", Ecco lo screenshot:

P.S. se l'immagine non si vede cliccate qui: http://img268.imageshack.us/my.php?image=72480076.jpg

L'unica cosa che ho pensato di fare è stato di fare delle scansioni, ho scansionato il computer con Nod 32 (0 Virus), Spybot (1 Spyware "Live Player", è stato rimosso), Malwarebytes (0 Minacce), Combofix (0 Minacce, combofix ha eliminato "autorun.ini", questa cosa l'ho letta quando si è avviato nel prompt prima che iniziasse a scansionare).

Ho contrallato anche il log di Hijackthis sul sito ma niente.
L'unica cosa da fare e rivorgermi a voi veri esperti, sperando che non sia nulla di grave!

Vi allego il log di Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.43 Fra, on 22/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Fra\Desktop\Francesco\Varie\Programmi\Portable\HiJackThis202\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=101764&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmi\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PokerStars.it - {C4046502-6524-4d87-896C-878F57D1FF07} - C:\Programmi\PokerStars.IT\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5846 bytes

Grazie in anticipo! Applause
Torna in alto
 
Sponsor
Inviato: Friday, May 22, 2009 8:43:46 PM

 
Torna in alto
 
a.roselli
Inviato: Saturday, May 23, 2009 9:40:45 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
CodySafe va usato solo su Penne USB, se lo hai installato sul disco C: entra nel disco C: alla radice ed elimina il file autorun.inf riavvia e il problema di CodySafe è risolto

poi elimina anche le cartelle Codysafe - Documents - PortableApps e il file StartCodySafe.exe

resta il fatto che Codysafe e assolutamente pulito, se i problemi continuano dopo il riavvio, fai una scansione antivirus on line da questo indirizzo
http://www.eset.com/onlinescan/

nel log non si cono problemi di spyware, ma Antivirus e Firewall risultano disattivati, quindi è possibile che hai qualche ospite indesiderato che non centra nulla con CodySafe.


alfonso_aiutamici@hotmail.it
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 1:52:26 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Dove gli trovo questi file?
Ho cliccato sul disco locale ma non c'è.

Ecco lo screen:
http://img37.imageshack.us/my.php?image=greenshot20090523135101.jpg

P.s. grazie della risposta!!!
Torna in alto
 
a.roselli
Inviato: Saturday, May 23, 2009 2:28:20 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
Lo trovavi in C: nel caso avessi selezionato il disco C: per l'installazione, ma pare che non c'è, quindi nulla a che vedere con CodySafe, probabilmente il virus già presente nel sistema si è mostrato durante l'installazione di quel programma.

Fai la scansione antivirus.


alfonso_aiutamici@hotmail.it
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 2:41:58 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Aggiornamento per la 2 volta msn è entrato nell'avvio automatico nonostanto l'avessi tolto.
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 4:10:03 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Ho fatto la scansione 0 MINACCE RILEVATE
Secondo me c'è qualcosa che non va per esempio ho aperto la cartella della musica e la stavo chiudendo tramite la barra delle applicazioni, ho dovuto premere 4-5 volte prima che si chiudesse, stessa cosa con Internet Explorer.
Non si sa come quei 3 file senza nome nel pannello sono scomparsi.
Torna in alto
 
r16
Inviato: Saturday, May 23, 2009 6:45:09 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao linkin .
Finchè continuerai a usare SP2 sarai sempre ad alto rischio di infezione.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix e (qoobox)
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 7:25:47 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
R16 SP2=SERVICE PACK 2 ?

ComboFix 09-05-22.08 - Fra 23/05/2009 19.02.47.10 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.511.169 [GMT 2:00]
Eseguito da: c:\documents and settings\Fra\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Outpost Firewall Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Fra\IMPOST~1\Temp\catchme.dll
c:\documents and settings\Fra\Impostazioni locali\temp\catchme.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-04-23 al 2009-05-23 )))))))))))))))))))))))))))))))))))
.

2009-05-20 12:51 . 2009-05-20 13:14 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Orbit
2009-05-17 18:12 . 2009-05-17 18:12 7168 ----a-w c:\documents and settings\Fra\Dati applicazioni\Thinstall\ProxySwitcher Standard\4000002900002i\FireFox.exe
2009-05-17 18:06 . 2009-05-17 18:06 7168 ----a-w c:\documents and settings\Fra\Dati applicazioni\Thinstall\ProxySwitcher Standard\4000003af00002i\ProxySwitcher.exe
2009-05-17 18:06 . 2009-05-17 18:06 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Thinstall
2009-05-14 12:47 . 2009-04-23 15:24 16640 ----a-w c:\windows\system32\drivers\WsAudio_DeviceS(1).sys
2009-05-07 15:58 . 2009-05-07 16:05 -------- d-----w c:\documents and settings\Fra\dwhelper
2009-05-02 21:18 . 2009-05-02 21:18 -------- d-----w c:\programmi\Easy Video Joiner
2009-05-01 19:47 . 2009-05-01 19:47 -------- d-----w c:\programmi\eMule
2009-04-28 11:03 . 2009-04-28 11:03 -------- d-----w c:\programmi\DAEMON Tools Lite
2009-04-25 21:02 . 2009-04-25 21:05 -------- d-----w c:\documents and settings\Fra\.housecall6.6

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 16:08 . 2009-03-21 15:16 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Skype
2009-05-23 15:19 . 2009-01-02 17:09 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\skypePM
2009-05-23 15:15 . 2008-10-27 14:17 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\LimeWire
2009-05-23 13:21 . 2008-12-18 19:00 -------- d-----w c:\programmi\ESET
2009-05-23 12:27 . 2009-01-01 21:17 -------- d-----w c:\programmi\PokerStars.IT
2009-05-22 19:41 . 2008-06-29 12:21 -------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Spybot - Search & Destroy
2009-05-21 22:18 . 2008-05-31 20:58 -------- d-----w c:\programmi\PokerStars
2009-05-21 11:56 . 2009-01-28 15:18 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\dvdcss
2009-05-20 17:31 . 2007-12-03 14:16 -------- d-----w c:\programmi\File comuni\Adobe
2009-05-18 15:33 . 2009-02-15 22:14 -------- d-----w c:\programmi\Defraggler
2009-05-17 11:57 . 2008-06-07 15:26 -------- d-----w c:\programmi\Messenger Plus! Live
2009-05-14 12:47 . 2009-04-17 12:15 -------- d-----w c:\programmi\Wondershare
2009-05-12 21:05 . 2009-01-21 22:44 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Babylon
2009-05-12 21:03 . 2009-01-21 22:44 -------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Babylon
2009-05-07 15:04 . 2009-04-10 10:26 -------- d-----w c:\programmi\Graffiti Studio 2.0
2009-05-06 14:46 . 2009-01-26 14:25 -------- d-----w c:\programmi\PeerGuardian2
2009-05-01 22:12 . 2009-03-25 13:52 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Advanced Audio Recorder
2009-05-01 19:47 . 2009-04-15 15:04 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\eMule
2009-04-29 20:19 . 2008-10-16 20:01 290816 ------w c:\windows\Setup1.exe
2009-04-28 10:33 . 2008-06-21 12:11 721904 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-25 21:03 . 2008-12-23 19:29 102664 -c--a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-21 15:47 . 2008-06-15 14:15 -------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Apple Computer
2009-04-17 12:03 . 2004-08-19 12:00 85510 ----a-w c:\windows\system32\perfc010.dat
2009-04-17 12:03 . 2004-08-19 12:00 492784 ----a-w c:\windows\system32\perfh010.dat
2009-04-15 17:54 . 2008-12-13 13:46 -------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2009-04-15 17:53 . 2009-01-05 14:39 2967799 -c--a-w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-04-15 16:48 . 2009-04-15 16:47 -------- d-----w c:\programmi\iTunes
2009-04-15 16:48 . 2009-04-15 16:47 -------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-15 16:47 . 2009-04-15 16:47 -------- d-----w c:\programmi\iPod
2009-04-15 16:41 . 2009-04-15 16:41 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\vlc
2009-04-15 15:02 . 2008-07-27 09:39 -------- d-----w c:\programmi\eMule AdunanzA
2009-04-15 14:02 . 2008-05-31 20:37 122136 -c--a-w c:\documents and settings\Fra\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-04-09 21:38 . 2009-04-09 21:38 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\TeamViewer
2009-04-09 16:00 . 2009-04-09 16:00 -------- d-----w c:\programmi\EA GAMES
2009-04-06 13:32 . 2008-12-13 13:46 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-12-13 13:46 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-03 18:02 . 2009-04-03 18:02 -------- d-----w c:\programmi\Pirelli
2009-04-03 15:39 . 2009-04-03 15:39 -------- d-----w c:\programmi\microsoft frontpage
2009-04-02 14:29 . 2009-04-02 14:29 75048 ----a-w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-04-01 18:27 . 2009-03-29 17:55 -------- d-----w c:\programmi\ManyCam 2.4
2009-03-31 14:45 . 2008-12-15 14:08 -------- d-----w c:\programmi\Metin2_Italiano
2009-03-29 18:16 . 2009-03-18 17:36 -------- d-----w c:\programmi\LimeWire
2009-03-29 17:56 . 2009-03-29 17:55 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\ManyCam
2009-03-29 17:46 . 2009-03-29 17:46 4 --sh--r c:\documents and settings\All Users.WINDOWS\Dati applicazioni\sysqcl0.dat
2009-03-29 17:44 . 2009-03-29 17:44 -------- d-----w c:\programmi\plasq
2009-03-29 17:44 . 2008-05-25 16:22 -------- d-----w c:\programmi\File comuni\Wise Installation Wizard
2009-03-29 17:34 . 2009-01-09 19:44 -------- d-----w c:\programmi\Spybot - Search & Destroy
2009-03-29 10:37 . 2008-11-11 22:24 410984 -c--a-w c:\windows\system32\deploytk.dll
2009-03-29 10:36 . 2009-03-29 10:36 152576 ----a-w c:\documents and settings\Fra\Dati applicazioni\Sun\Java\jre1.6.0_13\lzma.dll
2009-03-27 16:43 . 2009-03-27 13:22 -------- d-----w c:\programmi\Wise Registry Cleaner
2009-03-25 13:51 . 2009-03-25 13:51 -------- d-----w c:\programmi\Advanced Audio Recorder
2009-03-20 22:27 . 2009-03-20 22:27 27136 ----a-w c:\windows\system32\drivers\tapvpn.sys
2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-19 14:32 . 2008-01-29 10:01 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-06 13:59 . 2004-08-19 12:00 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2004-09-29 18:48 826368 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-23_16.57.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-09-09 11:45 . 2009-05-23 17:01 2072 c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
- 2008-09-09 11:45 . 2009-04-12 18:35 2072 c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\programmi\ESET\ESET NOD32 Antivirus\egui.exe" [2008-10-08 1451264]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-12-14 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Avvio^Programmi^Esecuzione automatica^Controllo del Calendario di Ulead Photo Express.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Avvio^Programmi^Esecuzione automatica^HP Digital Imaging Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Avvio^Programmi^Esecuzione automatica^Orbit.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Avvio^Programmi^Esecuzione automatica^Privoxy.lnk]
backup=c:\windows\pss\Privoxy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Fra^Menu Avvio^Programmi^Esecuzione automatica^Ritaglio schermata e avvio di OneNote 2007.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Fra^Menu Avvio^Programmi^Esecuzione automatica^Styler.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)
"Bonjour Service"=2 (0x2)
"iPod Service"=3 (0x3)
"gusvc"=2 (0x2)
"gupdate1c98b7678297c1a"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"HssSrv"=2 (0x2)
"HotspotShieldService"=2 (0x2)
"6to4"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" -start

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\Metin2_Italiano\\metin2.bin"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\LimeWire\\LimeWire.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:Porte Del Client
"4672:UDP"= 4672:UDP:Porte del client

R0 phmcd;phmcd;c:\windows\system32\drivers\phmcd.sys [08/04/2008 20.41.29 44696]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [08/10/2008 09.50.14 34312]
R1 TsMali;TsMali;c:\windows\system32\drivers\tsmali.sys [28/01/2009 15.54.20 38599]
R2 ekrn;Eset Service;c:\programmi\ESET\ESET NOD32 Antivirus\ekrn.exe [08/10/2008 09.47.58 468224]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14/01/2008 12.06.32 21632]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [27/09/2006 00.21.10 21920]
R3 WsAudio_DeviceS(1);WsAudio_DeviceS(1);c:\windows\system32\drivers\WsAudio_DeviceS(1).sys [14/05/2009 14.47.42 16640]
R3 ZSMC0305;VIMICRO USB PC Camera V;c:\windows\system32\drivers\usbVM305.sys [02/10/2008 19.23.25 391099]
S4 gupdate1c98b7678297c1a;Google Update Service (gupdate1c98b7678297c1a); [x]
.
Contenuto della cartella 'Scheduled Tasks'

2009-03-29 c:\windows\Tasks\Wise Registry Cleaner 4.job
- c:\programmi\Wise Registry Cleaner\WiseRegistryCleaner.exe [2009-03-27 20:27]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.ask.com/?o=101764&l=dis
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
IE: {{C4046502-6524-4d87-896C-878F57D1FF07} - c:\programmi\PokerStars.IT\PokerStarsUpdate.exe
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
FF - ProfilePath - c:\documents and settings\Fra\Dati applicazioni\Mozilla\Firefox\Profiles\zl0ttuob.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npigl.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-23 19:04
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(948)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-05-23 19.06.13
ComboFix-quarantined-files.txt 2009-05-23 17:05
ComboFix2.txt 2009-05-23 16:59

Pre-Run: 204.425.924.608 byte disponibili
Post-Run: 204.413.812.736 byte disponibili

197 --- E O F --- 2009-05-13 19:45
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 9:08:59 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Non mi si apre più Windows Live Messenger, non mi si apre l'installer di Windows Live Messenger scaricato 5 minuti fa dal sito ufficiale, non mi si apre più "Impostazioni accesso ai programmi"

boh, boh!

Brick wall Brick wall Brick wall
Torna in alto
 
r16
Inviato: Saturday, May 23, 2009 9:51:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao linkin .
Sinceramente io non ti capisco linkin .
Hai il pc incasinato, e tu ti metti ad installare programmi.Sick
Aspetta almeno di vedere se si riesce a risolvere stà grana prima....
Adesso probabilmente sarà incasinato ancora di più.
Che programma è questo:
Bywifi
E' indispensabile?
E questo?:
Thinstall
E' necessario?
Disistalla Windows Live Messenger .
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 10:41:10 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
R16 Non mi hai capito, stavo aprendo Windows Live Messenger è mi ha dato un errore, l'ho disinstallato però l'icona stava sempre sul desktop allora ho detto "sicuro che è stato disinstallato?" ho aperto "Impostazioni accesso ai programmi" e non mi si apriva allora ho provato a reinstallare Windows Live Messenger (per me è di vitale importanza poichè con questo programma mi tengo in contatto con dei parenti e domani ho una comunione quindi...)
Comunque non si sa come ora "Impostazioni accesso ai programmi" si apre e parte anche l'installazione di WLM.
Per i due programmi non so come ci siano finiti nel mio computer non gli ho mai installati, mica fanno parte di CodySafe?

P.S. grazie per l'aiuto che mi stai dando spero di riuscire a risolvere il problema e spero che hai capito che prima ho seguito tutti i tuoi consigli e non me ne andavo per testa mia, secondo me qui non ci vuole un esperto come te per risolvere questo problema ma ci vuole un esorcista! eheheh
Torna in alto
 
r16
Inviato: Saturday, May 23, 2009 11:01:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Questi programmi li hai (o si sono ) installati di recente:

2009-05-17 18:12 . 2009-05-17 18:12 7168 ----a-w c:\documents and settings\Fra\Dati applicazioni\Thinstall\ProxySwitcher Standard\4000002900002i\FireFox.exe
2009-05-17 18:06 . 2009-05-17 18:06 7168 ----a-w c:\documents and settings\Fra\Dati applicazioni\Thinstall\ProxySwitcher Standard\4000003af00002i\ProxySwitcher.exe
2009-05-17 18:06 . 2009-05-17 18:06 -------- d-----w c:\documents and settings\Fra\Dati applicazioni\Thinstall
Nota la data in neretto.
Non sò cosa sia.
se non lo sai nemmeno tu disistallalo.
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 11:02:44 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Su impostazioni accesso ai programmi non lo trovo d'oh!
Torna in alto
 
enigmista63
Inviato: Saturday, May 23, 2009 11:27:31 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao controlla se hai ancora driver di prevx con questa procedura:




oops chiedo scusa non avevo visto gli intervetni di R16 segui i suoi consigli per ultimo controlla come ti ho descritto se hai dei driver di prevx,ma fallo dopo aver sistemato il pc.

INOLTRE ELIMINA QUANTO DETTO DA r16 SEMBRA SI TRATTI DI MALWARE
Torna in alto
 
linkin
Inviato: Saturday, May 23, 2009 11:31:46 PM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
Non ci sono
Torna in alto
 
enigmista63
Inviato: Saturday, May 23, 2009 11:58:00 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Bene allora devi solo eliminare lo scanner di csi dai servizi,penso ci voglia pserv,ma aspetta R16 se serve di indica da dove scaricarlo.
Torna in alto
 
linkin
Inviato: Sunday, May 24, 2009 12:03:09 AM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
proxyswitcher c'è l'ho in versione portatile lo elimino?
Non ho capito una cosa r16 mi ha detto di eliminare quel programma o quei file in quel percorso?

Grazie mille!!
Torna in alto
 
enigmista63
Inviato: Sunday, May 24, 2009 12:07:41 AM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Penso ti abbia indicato di eliminare il programma,spariranno i file strani.
Torna in alto
 
linkin
Inviato: Sunday, May 24, 2009 12:10:55 AM

Rank: AiutAmico

Iscritto dal : 1/4/2008
Posts: 427
ma quel programma "Thinstall" non ci sta tra la lista dei programmi installati
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PC Impazzito, AIUTO!!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.