Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » HELP PHYSICALDRIVER0 !!-ecco cosa dice Hijack

2 pages: [1] 2
HELP PHYSICALDRIVER0 !!-ecco cosa dice Hijack Opzioni
Topic Precedente · Topic Sucessivo
frankie09
Inviato: Sunday, July 11, 2010 12:41:52 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao..

Sigh...ho scoperto oggi di avere qeusto MRB Virus...

Questo è quanto risulta da Hijack..ma non l'ho aggiornato...qualcuno mi può aiutare please???

Logfile of HijackThis v1.99.1
Scan saved at 12.28.23, on 11/07/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Accessori\smc.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Outlook Express\MSIMN.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Frankie\IMPOST~1\Temp\Rar$EX00.735\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - -{5CA3D70E-1895-11CF-8E15-001234567890} - (no file)
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\ACCESS~1\smc.exe -startgui
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C65B8DF5-6887-4481-A261-4188E7404B32}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Accessori\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe



+ dice some file extracted from hijackthis were modified and new created do you with to add them to archives?


Grazie

Francesca
Torna in alto
 
Sponsor
Inviato: Sunday, July 11, 2010 12:41:52 PM

 
Torna in alto
 
shapiro
Inviato: Sunday, July 11, 2010 12:53:57 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao frankie09

per prima cosa dovresti aggiornare hijackthis da qui quello che hai fa parte del passato, e' obsoleta come versione e poi sara' piu' facile controllare se effettivamente hai qualche minaccia attiva nel pc

posta il nuovo rapporto
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 12:57:55 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ecco l'ho fatto... e adesso??

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.39.09, on 11/07/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Accessori\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - -{5CA3D70E-1895-11CF-8E15-001234567890} - (no file)
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\ACCESS~1\smc.exe -startgui
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B2EF7C0-D4C1-462B-9461-59C49BAD8638}: NameServer = 85.37.17.52 85.38.28.92
O17 - HKLM\System\CCS\Services\Tcpip\..\{C65B8DF5-6887-4481-A261-4188E7404B32}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Accessori\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 4481 bytes
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 4:54:53 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12

P2 ci sei??
Torna in alto
 
pidue
Inviato: Sunday, July 11, 2010 5:34:33 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao,
ci sono e mi ricordo di te. :-)

frequento poco questa sezione, r16 , shapiro e paolopa sono mooooolto bravi.
venendo al dunque, dobbiamo prima sincerarci che non sia un falso virus MBR.
A tal proposito dovresti darmi qualche info.
Che sintomi ha il pc? E' lento? va in crash?

Te l'ha detto VirIt che hai il virus?

Fai anche questo controllo:
Da Start >> Esegui, digita ( o copia e incolla) la stringa control userpasswords2; dai l'OK;
riferiscimi se, oltre al tuo account, ne rilevi altri col nome help assistant o simili.
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 5:53:18 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao :-)
ok se vuoi aspetto..

1) non ha sintomi..a parte continui port scan attack (spesso appena mi collego a internet)
2) si me l'ha detto Virit lanciando uno scan..mi dice MASTER BOOT RECORD (\\.\PhysicalDrive0)= OK
3) ho fatto nell'esegui e
oltre a me
esce Administrator (Administrator: Users)

ma dall'Hijack si vede qualcosa?

grazie - ciao

Francesca
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 5:57:11 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ah no..caspita

ce li ha i sintomi

quando vado a guardare nelle cartelle dei temp
dei temporary

e dei document and settings

e non sono collegata

appare una maschera che dice che non

c'è il collegamento al server !!

e dentro ai files non c'è niente o non mi fa accedere

adesso rifaccio la prova

inoltre

..
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 6:02:39 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
digitando in Esegui

quella parolina magica di 3 lettere che non mi ricordo più (ma ho trovato navigando in cerca di soluzioni)

quella che mostra come sei messa con i master root

a me si ferma in documents&settings>Frankie

fine

anziché mettere quella decina di riche che ti dicono che è tutto ok
Torna in alto
 
pidue
Inviato: Sunday, July 11, 2010 6:05:15 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, Francesca,
il log di HJT non dice granchè.
Gentilmente fai un'altra scansione con VirIt in modalità provvisoria e posta il log.
Torna in alto
 
shapiro
Inviato: Sunday, July 11, 2010 6:37:37 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
per controllare meglio se ci sono cartelle help assistant e lo stato del m.b.r. consiglerei scansione con combofix


ciao a tutti e due
Torna in alto
 
pidue
Inviato: Sunday, July 11, 2010 6:45:19 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Le ho consigliato di rifare lo scan con VirIt, perchè l'avviso potrebbe essere incompleto.
Potrebbe anche risultare:

[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK

Ovviamente in un secondo tempo si adotteranno altre procedure.
Se vuoi darmi una mano, sarà ben accetta! :-)

Ciao!
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 6:58:03 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Si risultano tutti e due (ma anche non in provvisoria)

[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK

il combofix (sicuro) da dove lo posso scaricare please?

qualche problema c'è..perché quando non sono collegata continua ad apparirmi la mascherina errore di collegamento ad internet..non è possibile completare l'operazione...perché..non si raggiungono le risorse di rete..?? e che risorse di rete??
mica sono in un'azienda è il mio pc personale..

poi c'era una cartella di collegamento in dati applicazioni

e quando vado dentro a documents and settings continua a dire ..errore di collegamento etc etc
se voglio entrare nelle cartelle quando non sono collegata ad internet...

qualcuno se le è sparate da qualche parte le mie cartelle ..sgrunt!
Torna in alto
 
pidue
Inviato: Sunday, July 11, 2010 7:47:25 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Veramente avevo richiesto il report intero.
Fa niente.

Esegui alla lettera quanto ti suggerisco.
Scarica Mbr.exe da qui.
Copialo nella directory C:\

disattiva il Ripristino configurazione di sistema.
riavvia il pc in Modalita' provvisoria, poi:

clicca su Start >> Esegui, copia e incolla la stringa C:\mbr.exe e dai l'OK. Al termine del controllo verra' prodotto il primo log.
Rifai la stessa procedura, questa volta copia e incolla la stringa: C:\mbr.exe -f (attenta allo spazio vuoto prima del trattino), OK. Verrà prodotto il secondo log .
Pubblica i due log rilasciati. Sono in formato testo, nome : mbr1.log, mbr2.log, li trovi in C:\
Io dopo guardo la partita, se ti ripondono shapiro , r16 o paolopa, fidati di loro.
Altrimenti devi aspettare.
Buona serata! :-)
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 8:45:51 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
OK grazie..buona partita..

dovrò fare domani perché ho dovuto finire un lavoro urgente e ora sono fusa totale...e vorrei evitare di fare errori..
Posterò il post quanto prima possibile
A presto
Francesca
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 9:46:30 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
LOGO COMBOFIX
1)
questo intanto è il risultato dello scan con combofix . bah..io non ci capisco niente..
2)
questa consolle di ripristino di emergenza..la devo poi installare??
3)
qui comincia con "altre eliminazioni"..ma quelle "altre" dove sono??

****
ComboFix 10-07-11.02 - Frankie 11/07/2010 21.20.08.4.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.255.127 [GMT 2:00]
Eseguito da: c:\programmi\Accessori\ComboFix.exe
FW: Sygate Personal Firewall *enabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programmi\KAV
c:\programmi\KAV\KasperskyAV6.0.2.614\english\kav6.en.msi
c:\programmi\KAV\KasperskyAV6.0.2.614\english\release_notes_en.html
c:\programmi\KAV\KasperskyAV6.0.2.614\english\setup.exe
c:\programmi\KAV\kav6.0\english\doc\kav6.0en.pdf
c:\programmi\KAV\kav6.0\english\kav6.0.0.300en.msi
c:\programmi\KAV\kav6.0\english\release_notes.txt
c:\programmi\KAV\kis6.0\english\doc\kis6.0en.pdf
c:\programmi\KAV\kis6.0\english\kis6.en.msi
c:\programmi\KAV\kis6.0\english\release_notes_en.html
c:\programmi\KAV\kis6.0\english\setup.exe
c:\programmi\KAV\kis6.0\english\setup.reg

.
((((((((((((((((((((((((( Files Creati Da 2010-06-11 al 2010-07-11 )))))))))))))))))))))))))))))))))))
.

2010-07-11 15:36 . 2010-07-11 15:36 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Prevx
2010-07-11 14:38 . 2010-07-11 14:38 388096 ----a-r- c:\documents and settings\Frankie\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-07-11 14:38 . 2010-07-11 14:38 -------- d-----w- c:\programmi\Trend Micro
2010-07-11 10:15 . 2010-07-11 10:15 77312 ----a-w- C:\mbr.exe
2010-06-25 05:22 . 2010-06-25 05:22 -------- d-----w- c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\Apple
2010-06-18 17:15 . 2010-06-18 17:15 -------- d-----w- c:\windows\system32\shxfont
2010-06-18 17:15 . 2008-05-30 10:46 1712128 ----a-w- c:\windows\system32\gdiplus.dll
2010-06-18 17:15 . 2002-11-21 20:13 3907640 ----a-w- c:\windows\system32\gsdll32.dll
2010-06-18 17:15 . 2010-06-18 17:15 -------- d-----w- c:\windows\system32\PS
2010-06-17 20:34 . 2010-06-17 21:13 -------- d-----w- c:\documents and settings\Frankie\Dati applicazioni\Apple Computer
2010-06-17 20:34 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-06-17 20:25 . 2001-08-30 21:07 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-06-17 20:25 . 2004-08-19 13:39 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-06-15 18:01 . 2010-06-15 18:01 72504 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-11 19:15 . 2008-05-08 11:00 -------- d-----r- c:\programmi\Accessori
2010-07-11 09:50 . 2008-05-08 14:26 45312 ----a-w- c:\windows\system32\drivers\VIRAGTLT.SYS
2010-06-24 07:22 . 2008-05-08 08:03 -------- d-----w- c:\documents and settings\Frankie\Dati applicazioni\Skype
2010-06-24 07:22 . 2008-05-08 08:03 -------- d-----w- c:\documents and settings\Frankie\Dati applicazioni\skypePM
2010-06-18 17:14 . 2008-05-08 07:30 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-06-17 20:43 . 2010-06-17 20:32 -------- d-----w- c:\programmi\iTunes
2010-06-17 20:33 . 2010-06-17 20:32 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-17 20:33 . 2010-06-17 20:33 -------- d-----w- c:\programmi\iPod
2010-06-17 20:32 . 2010-06-17 20:29 -------- d-----w- c:\programmi\File comuni\Apple
2010-06-17 20:32 . 2010-06-17 20:31 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer
2010-06-17 20:32 . 2008-05-08 08:32 -------- d-----w- c:\programmi\QuickTime
2010-06-17 20:30 . 2010-06-17 20:30 -------- d-----w- c:\programmi\Apple Software Update
2010-06-17 20:30 . 2010-06-17 20:29 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Apple
2010-05-26 10:47 . 2008-05-08 14:30 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2010-04-19 18:47 . 2010-06-17 20:30 3062048 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-19 18:47 . 2010-06-17 20:30 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2008-05-11 07:11 . 2008-05-08 08:24 17 ----a-w- c:\programmi\stinger.opt
2008-05-11 07:04 . 2008-05-11 07:04 499 ----a-w- c:\programmi\Collegamento a WinRAR.lnk
2008-05-08 10:34 . 2008-05-08 10:34 5831808 ----a-w- c:\programmi\Firefox Setup 2.0.0.14.exe
2008-05-04 09:44 . 2008-05-07 10:16 522 ----a-w- c:\programmi\hpfr3420.xml
2008-05-04 09:44 . 2008-05-07 10:16 177174 ----a-w- c:\programmi\hpfr3425.log
2008-03-05 19:31 . 2008-05-07 10:16 230432 ----a-w- c:\programmi\StiImg.dat
2007-04-04 09:52 . 2008-05-07 10:16 227 ----a-w- c:\programmi\gromozon_removal.log
2007-02-05 07:13 . 2008-05-08 08:24 1144839 ----a-w- c:\programmi\stinger.exe
2006-07-26 17:48 . 2008-05-08 08:24 10786 ----a-w- c:\programmi\release_notes.txt
2005-03-31 08:53 . 2008-05-08 08:24 30473 ----a-w- c:\programmi\Whitney_Houston_-_When_you_believeOK.kar
2005-03-29 09:53 . 2008-05-08 08:24 241 ----a-w- c:\programmi\stinger.txt
2005-02-23 13:27 . 2008-05-07 10:16 56320 ----a-w- c:\programmi\allegato.jhtml.doc
2005-02-12 09:18 . 2008-05-08 08:24 7683569 ----a-w- c:\programmi\nentitst.exe
2005-01-29 20:56 . 2008-05-08 08:24 8263 ----a-w- c:\programmi\Uninst.isu
2005-01-29 20:18 . 2008-05-08 08:24 293354 ----a-w- c:\programmi\PrvDiskLight.exe
2005-01-29 17:07 . 2008-05-07 10:16 36 ----a-w- c:\programmi\AUTOEXEC.SYD
2005-01-29 13:43 . 2008-05-08 08:24 1834514 ----a-w- c:\programmi\wp6setup.exe
2005-01-29 12:31 . 2008-05-08 08:24 9228440 ----a-w- c:\programmi\spf.exe
2004-05-02 21:28 . 2008-05-07 10:16 15 ----a-w- c:\programmi\win2.log
2004-05-01 10:48 . 2008-05-07 10:16 12 ----a-w- c:\programmi\win.log
2002-07-29 20:46 . 2008-05-07 10:16 4514 ----a-w- c:\programmi\SETUPXLG.TXT
2002-05-15 13:32 . 2008-05-08 08:24 747520 ----a-w- c:\programmi\WinRAR.exe
2001-01-31 11:15 . 2008-05-07 10:16 5071 ----a-w- c:\programmi\Documento recuperato.txt
2000-11-21 16:02 . 2008-05-07 10:16 70008 ----a-w- c:\programmi\BOOTLOG.TXT
2000-06-16 14:26 . 2008-05-08 08:24 208896 ----a-w- c:\programmi\mwatch.exe
2000-06-16 14:10 . 2008-05-08 08:24 32768 ----a-w- c:\programmi\mwhook.dll
2000-04-24 11:40 . 2008-05-07 10:16 225 ----a-w- c:\programmi\RESETLOG.TXT
2000-04-20 13:10 . 2008-05-07 10:16 15563 ----a-w- c:\programmi\NETLOG.TXT
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 122880]
"nwiz"="nwiz.exe" [2003-11-20 323584]
"AdslTaskBar"="stmctrl.dll" [2003-03-27 151552]
"VIRIT LITE MONITOR"="c:\vexplite\MONLITE.EXE" [2010-07-11 278528]
"SmcService"="c:\progra~1\ACCESS~1\smc.exe" [2004-10-15 2577632]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2010-06-15 141624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Acrobat Assistant.lnk - c:\programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2008-5-8 49254]
Microsoft Office.lnk - c:\programmi\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\rundisabled]
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"dla"=c:\windows\system32\dla\tfswctrl.exe
"StorageGuard"="c:\programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Accessori\\eMule\\emule.exe"=
"c:\\Programmi\\Accessori\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Accessori\\Phone\\Skype.exe"=

R0 VIRAGTLT;VIRAGTLT;c:\windows\system32\drivers\VIRAGTLT.SYS [08/05/2008 16.26.02 45312]
R2 viritsvclite;Virit eXplorer Lite;c:\vexplite\VIRITSVC.EXE [10/10/2007 12.12.34 73728]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [08/05/2008 11.52.31 59466]
S3 PAC207;Trust WB-1200p Mini Webcam;c:\windows\system32\drivers\PFC027.sys [24/02/2005 12.29.14 162176]
S3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [08/05/2008 11.52.31 538925]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: {C65B8DF5-6887-4481-A261-4188E7404B32} = 151.99.125.2,151.99.125.3
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Frankie\Dati applicazioni\Mozilla\Firefox\Profiles\xklwm207.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: network.proxy.type - 0

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-Sonic RecordNow! - (no file)
AddRemove-HijackThis - c:\docume~1\Frankie\IMPOST~1\Temp\Rar$EX00.297\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-11 21:30
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
Ora fine scansione: 2010-07-11 21:34:53
ComboFix-quarantined-files.txt 2010-07-11 19:34
ComboFix2.txt 2008-05-22 18:23
ComboFix3.txt 2008-05-18 21:01
ComboFix4.txt 2008-05-14 05:38

Pre-Run: 56.815.476.736 byte disponibili
Post-Run: 56.905.166.848 byte disponibili

- - End Of File - - 89BE85477B32CCB6BBA1EF0B89F2F0FE
Torna in alto
 
frankie09
Inviato: Sunday, July 11, 2010 10:35:42 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12

[Hidden Services]
catchme - \??\C:\ComboFix\catchme.sys

OK
11/07/2010 - 21:54:07

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD (\\.\PhysicalDrive0): OK
BOOT SECTOR: OK


[D:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 117779.
Files Totali: 117779.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
Torna in alto
 
pidue
Inviato: Sunday, July 11, 2010 11:50:54 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Non badare agli avvisi di ComboFix. Lo fa con tutti.
Io sono perplesso, perchè ti ha eliminato Kaspersky AV, che nel log di HijackThis non compariva. Lo hai disattivato?

Per il resto, VirIt segnala di aver avuto qualche problema con l'MBR e di averlo risolto, e non rileva altri virus.
Aspetto i report di MBR.exe e aspetto che tu mi dica se riscontri ancora problemi.
Torna in alto
 
frankie09
Inviato: Tuesday, July 13, 2010 10:56:07 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Grazie.

Sai una cosa..io ho un panico tremendo a scaricare quell'affare mbr.exe...due anni fa ne ho scaricato uno corrotto e mi ha mangiato le chiavi di registro che non è stato più possibile ripristinare..grr..sai cosa significa questo?? riformattato tutto..e nulla è più stato come prima..sigh

è l'unica cosa che mi puoi suggerire?
se io faccio il cmd in esegui adesso
si ferma alla terza richa
e dice solo c:\documents&settings\ frankie>
invece mi sembra di aver capito che dovrebbe dire altro per significare che è tutto a posto
nei master root o no?

facendo spyboot non mi rileva minacce imminienti..

il problema che rimane è quando vado per aprire le cartelle di doc&sett che continua comparire quella mascherina..che dice che non c'è il collegamento al server..etc etc (quando sono scollegata da internet).

Have a nice day

Francesca
Torna in alto
 
francesco240194
Inviato: Tuesday, July 13, 2010 2:56:16 PM

Rank: AiutAmico

Iscritto dal : 7/13/2010
Posts: 150
mbr.exe non crea danni al PC, al massimo li toglie.
Esegui quanto dettoti, altrimenti prova ad entrare con una distro Live di Linux e recuperare i tuoi dati.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » HELP PHYSICALDRIVER0 !!-ecco cosa dice Hijack


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.