Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il log di HijackThis

3 pages: [1] 2 3
Mi controllate il log di HijackThis Opzioni
Topic Precedente · Topic Sucessivo
nikopol
Inviato: Sunday, March 28, 2010 8:26:04 PM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36

Da qualche giorno ho un problema su vista. Circa ogni 10 secondi il bordo delle finestre cambia colore e in quell' istante succedono strane cose:
- i tasti premuti durante quel momento (ogni 10 sec.) sono ignorati; ad esempio, scrivendo una frase mancheranno sempre molte lettere.
- se voglio rinominare il nome di un file ho solo 10 sec. di tempo perchè, quando il contorno delle finestre cambia colore, quello spazietto sotto la finestra dove ci si scrive (non so come si chiama) si chiude.
- se allargo media player cassic a tutto schermo, dopo i soliti 10 sec. torna a finestra ridotta.
- stessa cosa anche per un paio di giochi, tornano sempre a finestra ridotta.
- la cpu sale al 100% a intervalli di 10 sec.
Grazie in anticipo per l'aiuto






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.22.53, on 28/03/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\AVAST\ashDisp.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
D:\PROGRAMMI\SICUREZZA\Unlocker\UnlockerAssistant.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe
C:\Program Files\P2P\eMule\emule.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\INTERNET\Vidalia Bundle\Privoxy\privoxy.exe
C:\Windows\System\w98eject.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\PowerSave.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
D:\PROGRAMMI\INTERNET\FireFox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
D:\PROGRAMMI\SICUREZZA\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\PROGRAMMI\AUDIO&VIDEO\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\PROGRAMMI\SICUREZZA\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\PROGRAMMI\MASTERIZZAZIONE\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\MASTERIZZAZIONE\Daemon Tools Lite 4.12\daemon.exe" -autorun
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\INTERNET\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_S584D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Packard Bell Software Suite] C:\Program Files\Packard Bell\Packard Bell Software Suite\Launcher.exe /run
O4 - HKCU\..\Run: [RGSC] L:\Giochi\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [Lingoes] D:\PROGRAMMI\MULTIMEDIA\Translator2\Lingoes.exe -minimize
O4 - HKCU\..\Run: [Active Desktop Calendar] D:\PROGRAMMI\ACCESORI\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\P2P\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O4 - Global Startup: Privoxy.lnk = C:\Program Files\INTERNET\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: w98Eject.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - L:\Programmi\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - L:\Programmi\PPLive\PPLive.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\AVAST\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\AVAST\ashWebSv.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - D:\PROGRAMMI\SICUREZZA\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Packard Bell Software Suite Service 1 (Service1) - Packard Bell Services - C:\Program Files\Packard Bell\Packard Bell Software Suite\PowerSave\HDPBSSS.exe
O23 - Service: Steam Client Service - Unknown owner - C:\Program Files\Common Files\Steam\SteamService.exe (file missing)

--
End of file - 10767 bytes
Torna in alto
 
Sponsor
Inviato: Sunday, March 28, 2010 8:26:04 PM

 
Torna in alto
 
a.roselli
Inviato: Sunday, March 28, 2010 10:03:50 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,044
Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati, a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione

Riavvia in modalità provvisoria

apri HIJAC THIS ed elimina come indicato in questo articolo
http://guide.aiutamici.com/software?ID=11175
le righe che seguono.

==================================
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
-
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - (no file)
-
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
==================================


Utilizza questo programma per eliminare eventuali spyware
http://www.aiutamici.com/software?ID=10831

sempre in modalità provvisoria fai una scansione Antivirus,
se non hai un antivirus, utilizza questo programma in versione USB
http://www.aiutamici.com/software?ID=11485

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino


Nel sistema non é presente un Firewall, installa questo programma se non ne utilizzi già uno
http://www.aiutamici.com/software?ID=80361

Se utilizzi Avast 4.8 aggiornalo con l'ultima versione 5
http://www.aiutamici.com/software?ID=80367


Ti consiglio di utilizzare questo programma per fare la copia di riserva del sistema, cosi se vieni infettato in seguito puoi ripristinare il sistema cosi come si trovava al momento della copia, leggi la descrizione su aiutamici
http://www.aiutamici.com/software?ID=80274

alfonso_aiutamici@hotmail.it
Torna in alto
 
nikopol
Inviato: Monday, March 29, 2010 5:28:08 AM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36
Ciao,
mi sono accorto di un "piccolissimo" problema: non posso più riavviare in modalità provvissoria!
Comunque spybot ha rilevato: win32.bagle.hi e win32.agent.bgy . Mi chiedevo se devo preoccuparmi.
ciao e grazie
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 8:34:39 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: dopo aver scaricato COMBOFIX chiudi la connessione disabilita il tuo antivirus e
chiudi TUTTI i programmi aperti,(Firewall compreso) e

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix)
tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse)
e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
Torna in alto
 
r16
Inviato: Monday, March 29, 2010 1:50:43 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
nikopol ha scritto:
Ciao,
mi sono accorto di un "piccolissimo" problema: non posso più riavviare in modalità provvissoria!
Comunque spybot ha rilevato: win32.bagle.hi e win32.agent.bgy . Mi chiedevo se devo preoccuparmi.
ciao e grazie

@paolopa :
E' più adatto questo: Findykill

@nikopol
Commenta:
Mi chiedevo se devo preoccuparmi.

Sì.
Scarica Findykill:
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
installa FindyKill .
chiudi tutte le eventuali applicazioni aperte (antivirus, firewall e programmi "residenti")
disconnettiti da Internet
sconnetti, fisicamente, il modem dal computer.
avvia il tool e digita F per impostare la lingua;
clicca su 2 - Suppression des fichiers infectieux (Eliminazione dei file infetti)
al termine dell'operazione verrà rilasciato un log: salvalo sul Desktop, e postalo qui.(se non lo trovi sul desktop, lo trovi in C:\FindyKill.txt)
P.S:
Potranno esserci dei riavvii, non preoccuparti, è il programma che stà lavorando.
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 2:17:08 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
ciao r16,avevo pensato anch io a findkill quando ho letto "bagle",ma siccome conosco pochissimo quel software mi affidavo a combo(sbagliando).
felice di rileggerti!
ps:speriamo che non si sia portato dietro troppa "rumenta"...
Torna in alto
 
r16
Inviato: Monday, March 29, 2010 2:43:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Paolopa.
Quando leggi "Beagle", o i sintomi sono del Beagle, la prima azione da far eseguire, è Findykill.
E' (per ora) l'unico rimedio veramente efficace.
Il log di Findykill, non è difficile da leggere.
Torna in alto
 
paolopa
Inviato: Monday, March 29, 2010 2:49:02 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
daccordo,grazie.faccio sempre tesoro delle tue indicazioni!ti auguro una buona giornata
Torna in alto
 
fdaccc
Inviato: Monday, March 29, 2010 3:27:40 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
ecco bravo dai, adesso ci insegni a leggere i log di FindyKill xD
Torna in alto
 
nikopol
Inviato: Tuesday, March 30, 2010 4:08:35 AM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36
Ciao,
ho fatto come mi avete detto.
Comunque vorrei ringraziarvi per l'aiuto; anche se sono appena arrivato, ho visto già molta gente interesarsi al mio problema.
Vorrei chiedervi di spiegarmi che differenza c'è tra disconnetere fisicamente il modem o spegnerlo semplicemente(per pura curiosità).

Ora posto il log di Findykill:


############################## | FindyKill V5.038 |

# User : test (Administrators) # PC-TEST
# Update on 15/03/2010 by El Desaparecido
# Start at: 3.26.17 | 30/03/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU 2140 @ 1.60GHz
# Microsoft® Windows Vista™ Home Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1229 [VPS 081119-0] 4.8.1229 [ Enabled | Updated ]

# C:\ # Disco rigido locale # 69,78 Go (4,37 Go free) [ACER] # NTFS
# D:\ # Disco rigido locale # 69,51 Go (757,41 Mo free) [DATA] # NTFS
# E:\ # Disco CD-ROM # 3,8 Go (0 Mo free) [Halo 2] # UDF
# F:\ # Disco rigido locale # 155,22 Go (289,86 Mo free) [ANIME] # NTFS
# G:\ # Disco rigido locale # 97,98 Go (6,55 Go free) # NTFS
# H:\ # Disco rigido locale # 97,98 Go (9,47 Go free) # NTFS
# I:\ # Disco rimovibile
# J:\ # Disco CD-ROM
# K:\ # Disco rigido locale # 114,55 Go (517,19 Mo free) [Elements] # FAT32
# L:\ # Disco rigido locale # 465,76 Go (6,44 Go free) [DATA] # NTFS
# M:\ # Disco rimovibile
# N:\ # Disco rimovibile
# O:\ # Disco rimovibile
# P:\ # Disco rigido locale # 931,51 Go (663,29 Go free) # NTFS

################## | Infected File |

(!) Not Deleted ! E:\autorun.inf
Deleted ! F:\autorun.inf
Deleted ! G:\autorun.inf
Deleted ! K:\autorun.inf
Deleted ! L:\autorun.inf
Deleted ! C:\Windows\system32\drivers\downld

################## | MD5 ... |


################## | CRC32 ... |
Torna in alto
 
paolopa
Inviato: Tuesday, March 30, 2010 8:48:50 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
se non ho capito male non ti ha cancellato un autorun.inf in "E".è possibile che sia un cd che hai dentro il pc?se lo mandi in esecuzone temo che ti reinfetti tutto il pc.comunque attendi r16 che certamente ne sa piu' di me,ma mi sembrava giusto avvisarti,se poi ho preso un abbaglio pazienza...
Torna in alto
 
r16
Inviato: Tuesday, March 30, 2010 9:14:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Sì, è possibile che abbia un cd nel lettore.

@nikopol :
Esegui Combofix.
Le indicazioni. te le ha fornite, paolopa nel post sopra.
Torna in alto
 
nikopol
Inviato: Thursday, April 01, 2010 2:22:36 AM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36
Torna in alto
 
varego
Inviato: Thursday, April 01, 2010 4:16:22 PM
Rank: Newbie

Iscritto dal : 3/30/2010
Posts: 8
Ciao Ragazzi,
qualche anima pia puo' darmi una mano ...ora no riesco ad entrare nel pc..risco solo in modalita' provvisoria...potete aiutarmi..le ho provate tutte..neanche combofix..mi ha dato soluzione!!!
Grazie in anticipo...ciao.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.14.30, on 01/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon\winlogo.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dati applicazioni\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "c:\programmi\quicktime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [owjngz] RUNDLL32.EXE C:\WINDOWS\system32\msbyylfy.dll,w
O4 - HKLM\..\Run: [rmosnq] RUNDLL32.EXE C:\WINDOWS\system32\msyblkya.dll,w
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "c:\programmi\windows live\messenger\msnmsgr .exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINDOWS\fonts\services.exe
O4 - HKUS\S-1-5-21-699124480-571326597-600484484-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-699124480-571326597-600484484-1005\..\Run: [msnmsgr] "c:\programmi\windows live\messenger\msnmsgr .exe" /background (User '?')
O4 - HKUS\S-1-5-21-699124480-571326597-600484484-1005\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray (User '?')
O4 - HKUS\S-1-5-21-699124480-571326597-600484484-1005\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\DTLite.exe" -autorun (User '?')
O4 - HKUS\S-1-5-21-699124480-571326597-600484484-1005\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Pippo\reader_s.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Pippo\reader_s.exe (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Invia a Bluetooth - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_4_0_1_3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: GootkitSSO - {3C3D8323-A1AE-48D2-BDFF-85A3A4751D64} - C:\WINDOWS\System32\msxsltsso.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Programmi\ma-config.com\maconfservice.exe
O23 - Service: peresvc Service (peresvc) - Neto systems - C:\WINDOWS\system32\PereSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8133 bytes
Torna in alto
 
paolopa
Inviato: Thursday, April 01, 2010 4:57:20 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@varego:segui il tuo post,se scrivi in quello di altri rendi difficile qualsiasi intervento.
Torna in alto
 
varego
Inviato: Friday, April 02, 2010 11:55:51 AM
Rank: Newbie

Iscritto dal : 3/30/2010
Posts: 8
@paolopa, scusami e vero..e che credevo di aver crearto un topic non in linea e pensavo che i log di HJT dovessero seguire un post pretabilito..ok allora posto l'ultimo log nel "mio" thread..ciao e grazie.
Torna in alto
 
nikopol
Inviato: Saturday, April 03, 2010 3:23:39 AM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36
Ciao,
avevo dimenticato di togliere un gioco dal lettore.

Ora riesco di nuovo a riavviare in modallità provissoria, di consegunza ho cancellato le voci dette in precedenza da a.roselli.
Ho notato che mi sono state create delle cartelle vuote in quasi tutte le partizioni (6 su 8), denominate "$RECYCLE.BIN"; è normale?

Ora posto il log di combofix:


ComboFix 10-03-29.04 - test 01/04/2010 1.24.16.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.39.1040.18.3070.1889 [GMT 2:00]
Eseguito da: p:\generale\ComboFix.exe
AV: avast! antivirus 4.8.1229 [VPS 081119-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1229 [VPS 081119-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((( Files Creati Da 2010-02-28 al 2010-03-31 )))))))))))))))))))))))))))))))))))
.

2010-03-31 23:34 . 2010-03-31 23:34 -------- d-----w- c:\users\test\AppData\Local\temp
2010-03-31 23:34 . 2010-03-31 23:34 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-03-31 23:34 . 2010-03-31 23:34 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-03-31 23:10 . 2010-03-31 23:10 -------- d-----w- c:\program files\Trend Micro
2010-03-29 22:51 . 2010-03-30 01:41 -------- d-----w- C:\FyK
2010-03-28 22:39 . 2010-03-28 22:48 -------- d-----w- c:\users\test\AppData\Roaming\.clamwin
2010-03-28 22:39 . 2010-03-28 22:39 -------- d-----w- c:\programdata\.clamwin
2010-03-28 16:14 . 2010-03-28 18:11 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-03-28 15:39 . 2010-03-28 15:39 -------- d-----w- c:\programdata\Microsoft Games
2010-03-26 00:40 . 2010-03-26 00:40 -------- d-----w- c:\program files\Creative
2010-03-10 23:23 . 2008-10-27 09:04 514384 ----a-w- c:\windows\system32\XAudio2_3.dll
2010-03-10 23:23 . 2008-10-27 09:04 70992 ----a-w- c:\windows\system32\XAPOFX1_2.dll
2010-03-10 23:23 . 2008-10-27 09:04 235856 ----a-w- c:\windows\system32\xactengine3_3.dll
2010-03-10 23:23 . 2008-10-27 09:04 23376 ----a-w- c:\windows\system32\X3DAudio1_5.dll
2010-03-10 00:27 . 2010-03-10 00:27 -------- d-sh--w- c:\programdata\SecuROM

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-31 23:30 . 2006-11-06 01:52 672382 ----a-w- c:\windows\system32\perfh010.dat
2010-03-31 23:30 . 2006-11-06 01:52 124848 ----a-w- c:\windows\system32\perfc010.dat
2010-03-31 23:14 . 2008-09-02 21:45 -------- d-----w- c:\users\test\AppData\Roaming\tor
2010-03-31 23:14 . 2008-09-02 21:44 -------- d-----w- c:\users\test\AppData\Roaming\Vidalia
2010-03-28 21:46 . 2008-03-26 13:54 -------- d-----w- c:\program files\AVAST
2010-03-10 23:23 . 2008-10-24 23:00 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-10 00:09 . 2008-10-24 23:01 -------- d-----w- c:\program files\AGEIA Technologies
2010-02-27 02:31 . 2008-07-19 06:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-24 09:16 . 2009-10-02 23:34 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-19 15:42 . 2010-02-19 15:42 -------- d-----w- c:\users\test\AppData\Roaming\FastStone
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"DAEMON Tools Lite"="c:\program files\MASTERIZZAZIONE\Daemon Tools Lite 4.12\daemon.exe" [2008-01-17 486856]
"Vidalia"="c:\program files\INTERNET\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]
"Packard Bell Software Suite"="c:\program files\Packard Bell\Packard Bell Software Suite\Launcher.exe" [2008-01-09 1914168]
"RGSC"="l:\giochi\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe" [2009-03-29 306088]
"Lingoes"="d:\programmi\MULTIMEDIA\Translator2\Lingoes.exe" [2008-08-10 2064384]
"Active Desktop Calendar"="d:\programmi\ACCESORI\Active Desktop Calendar\ADC.exe" [2007-07-16 3670016]
"eMuleAutoStart"="c:\program files\P2P\eMule\emule.exe" [2008-05-11 5423104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 4390912]
"Acer Empowering Technology Monitor"="c:\acer\Empowering Technology\SysMonitor.exe" [2007-01-24 319488]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"Acer Tour Reminder"="c:\acer\AcerTour\Reminder.exe" [2007-02-15 151552]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\AVAST\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="d:\programmi\AUDIO&VIDEO\QuickTime Alternative\QTTask.exe" [2008-01-31 385024]
"XboxStat"="c:\program files\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-27 734264]
"UnlockerAssistant"="d:\programmi\SICUREZZA\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"CloneCDElbyCDFL"="d:\programmi\MASTERIZZAZIONE\CloneCD\ElbyCheck.exe" [2001-12-06 45056]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13687328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 92704]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"ClamWin"="d:\programmi\SICUREZZA\ClamWin\bin\ClamTray.exe" [2009-11-03 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Ritaglio schermata e avvio di OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Avvio veloce di Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-4-24 528384]
PCM Media Sharing.lnk - c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-4-24 200812]
Privoxy.lnk - c:\program files\INTERNET\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]
w98Eject.lnk - c:\windows\System\w98eject.exe [2008-12-25 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-214327634-1795953299-1007255817-1000]
"EnableNotificationsRef"=dword:00000002

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-02-02 716272]
S1 aswSP;avast! Self Protection; [x]
S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2007-04-04 266343]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2009-11-24 53328]
S2 SBSDWSCService;SBSD Security Center Service;d:\programmi\SICUREZZA\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

.
Contenuto della cartella 'Scheduled Tasks'

2010-03-31 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\SISTEMA\Glary Utilities\initialize.exe [2008-07-11 11:22]

2007-11-17 c:\windows\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.tiscali.it/
mStart Page = hxxp://it.yahoo.com
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\test\AppData\Roaming\Mozilla\Firefox\Profiles\is89hbls.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://it.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:it:official
FF - plugin: d:\programmi\AUDIO&VIDEO\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\QuickTime Alternative\Plugins\npqtplugin5.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\Real Alternative\browser\plugins\nppl3260.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\Real Alternative\browser\plugins\nprpjplug.dll
FF - plugin: d:\programmi\AUDIO&VIDEO\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\programmi\INTERNET\FireFox\greprefs\all.js - pref("html5.enable", false);
d:\programmi\INTERNET\FireFox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programmi\INTERNET\FireFox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programmi\INTERNET\FireFox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programmi\INTERNET\FireFox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programmi\INTERNET\FireFox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 01:34
Windows 6.0.6001 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\.Default\Software\JavaSoft\Java2D]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-21-214327634-1795953299-1007255817-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:82,dd,f4,e7,8f,50,9d,0e,07,32,5d,60,33,7b,ed,be,2f,10,ce,08,2a,d3,ec,
80,b6,3b,72,f8,68,e6,de,67,d9,10,d7,f5,7a,32,87,a3,09,c8,f7,60,a6,5b,37,31,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-214327634-1795953299-1007255817-1000\Software\SecuROM\License information*]
@Allowed: (Read) (RestrictedCode)
"datasecu"=hex:90,e8,c0,d1,64,ef,f8,38,f3,32,1e,fb,40,0c,30,3c,a3,70,71,f2,83,
bb,d7,a6,26,04,0d,08,55,cc,74,41,15,a1,ab,21,6d,a5,4a,4f,2b,99,6e,90,2e,1c,\
"rkeysecu"=hex:92,ef,c5,af,20,f0,05,6b,bc,eb,e7,8d,40,e3,b2,50
.
Ora fine scansione: 2010-04-01 01:38:30
ComboFix-quarantined-files.txt 2010-03-31 23:38

Pre-Run: 4.144.824.320 byte disponibili
Post-Run: 3.968.221.184 byte disponibili

- - End Of File - - F43716A61AE7B9ACB030F7F64780FBF1
Torna in alto
 
nikopol
Inviato: Monday, April 05, 2010 8:12:33 AM
Rank: AiutAmico

Iscritto dal : 3/25/2010
Posts: 36
Ciao e grazie per l'aiuto dato da A. roselli.
Vorrei sapere, gentilmente, se il log di combofix risulti pilito.
Ormai sono 4/5 giorni che aspetto, quindi anche molto più di 5 giorni, che non posso finire il lavoro a casa(si sta accomulando).
Non vorrei mettervi fretta, dato che aiutate ogni utente nel tempo libero, ma avrei bisogno di sapere se c'è qualche speranza per il mio sistema, oppure devo formattare.

Torna in alto
 
giullare
Inviato: Monday, April 05, 2010 8:39:05 AM
Rank: AiutAmico

Iscritto dal : 4/3/2010
Posts: 127
combofix non ha effettuato eliminazioni,e non ha rilevato mbr rooktit,quindi direi che è pulito(ma io non sono un grande esperto)il pc come si comporta?ti da ancora problemi?
fai,se vuoi,questa scansione per sicurezza:
http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'
se tutto è a posto procederai con le pulizie che ti verranno indicate.
Torna in alto
 
Utenti presenti in questo topic
Guest

3 pages: [1] 2 3

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il log di HijackThis


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.