Un paio di settimane fa ho preso un virus .... a seguito dello scarico di alcuni programmi free da "softonic".
MI ha segnalato la presenza di virus Avira:
Avvio della scansione del file selezionati:
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Main.class'
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Main.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2010-0840.HM
Avvio della disinfezione:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Main.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2010-0840.HM
[NOTA] Il file è stato spostato in quarantena con il nome '4d3c1f4c.qua'!
Fine della scansione: sabato 14 aprile 2012 19:57
Tempo impiegato: 00:00 Minuto(i)
La scansione è stata completamente eseguita.
0 Directory scansionate
35 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
34 File non infetti
0 Archivi scansionati
0 Avvisi
1 Note
I risultati di scansione vengono trasmessi a Guard.
Dopo di che faccio una scansione completa:
Avvio della scansione: sabato 14 aprile 2012 20:00
Avvio della scansione del file selezionati:
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\MessengerCache'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\plugtmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\plugtmp-1'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\WPDNSE'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\_isdelet.ini'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\{193F8A7B-1853-48D5-88AC-19446C2C1D13}estk_ribs_bgd.png'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\{40247148-1916-4877-845D-F197225816AD}background.png'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF3DCF.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF3E03.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF5A0A.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF7A6A.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF7A7D.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF3524.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\~DF6477.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\3ed8bf.mst'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\5.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\5c7ec.mst'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\40b86c.mst'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\372743.msp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\AcDeltree.exe'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\AdobeARM.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\ASK11.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\ASK14.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\AskSLib.dll'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\AUCHECK_PARSER.txt'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\B.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\edea5.mst'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\final.swf'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT2.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT3.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT4.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT6B.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT6C.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMT6D.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMTA.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMTB.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\IMTC.xml'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\ISPackFiles.ini'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache366360126398831803.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache1880333601346221594.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache2464647078011232748.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache3334543319985863047.tmp'
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache3334543319985863047.tmp
[0] Tipo di archivio: ZIP
--> rlddndk/cmbsngl.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2011-3544.DL
--> rlddndk/krgrppcy.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2011-3544.DJ
--> rlddndk/udlyctcad.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2011-3544.DO
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache3426338449739407542.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache6452052861596516150.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache6567392888283453690.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache7722226363679433735.tmp'
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache7722226363679433735.tmp
[0] Tipo di archivio: ZIP
--> dgscybyamshlhflbcnew/ahvcyuqyjvavwnb.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/2011-3544.CB.2
--> dgscybyamshlhflbcnew/qwvbmhjfmrnwqbtvqec.class
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/2011-3544.CC.2
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache8121407258034242384.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\JAUReg.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\java_install.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\java_install_reg.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\java_install_sp.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jinstall.cfg'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jre-6u29-windows-i586-iftw-rv.exe'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jusched.log'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2468871v2_20111103_191914734.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2478663_20111103_190933718.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2518870_20111103_192904906.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2533523_20111103_191323828.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2539636_20111104_093550656.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2572078_20111103_192515546.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2633870_20120219_164232093.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\KB2656351_20120103_094605078.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB958481_20111103_153849656.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB976569_20111103_162840140.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB976576_20111103_163426968.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB979909_20111103_163254562.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2418241_20111103_163624484.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2518864_20111103_164140359.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2539631_20111103_163815937.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2572073_20111103_163956656.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2633880_20120219_155303218.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 2.0-KB2656352_20120103_084854171.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.0-KB958483_20111103_154018593.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.0-KB976570_20111103_163026953.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.0-KB977354_20111103_163604500.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.0-KB982168_20111103_163050562.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.5-KB958484_20111103_154036968.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.5-KB963707_20111103_162823640.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.5-KB2416473_20111103_163802906.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 3.5-KB2657424_20120103_085206140.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework 4 Client Profile Setup_20111103_182816453.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft .NET Framework Client Profile Language Pack Setup_20111103_183141093.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft Visual C++ 2010 x86 Redistributable Setup_20111217_175533439.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\Microsoft Visual C++ 2010 x86 Redistributable Setup_20111218_151650187.html'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\MSI9e73.LOG'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\OB.exe'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\OfferBoxSetup.exe'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR7A.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR7C.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR7E.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR72.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR73.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR76.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR78.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\TFR79.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\wmplog00.sqm'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\{9736C326-925B-4E21-8CAE-50FA73377F64}'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\{AC76BA86-7AD7-1040-7B44-AA1000000001}'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\AdskCleanup.0001.dir.0000'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\hsperfdata_Proprietario'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\is-EVGLK.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\isp76.tmp'
Inizia con la scansione di 'C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\isp78.tmp'
Avvio della disinfezione:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache7722226363679433735.tmp
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/2011-3544.CC.2
[NOTA] Il file è stato spostato in quarantena con il nome '4d461fe6.qua'!
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\jar_cache3334543319985863047.tmp
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/CVE-2011-3544.DO
[NOTA] Il file è stato spostato in quarantena con il nome '55d13041.qua'!
Fine della scansione: sabato 14 aprile 2012 20:00
Tempo impiegato: 00:04 Minuto(i)
La scansione è stata completamente eseguita.
12 Directory scansionate
211 I file sono stati scansionati
5 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
2 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
206 File non infetti
15 Archivi scansionati
0 Avvisi
2 NoteE un'altra ancora dalla quale non risulta niente ma preliminarmente Avira mi comunica di aver individuato 1 OGGETTO NASCOSTO e che quindi mi consiglia di fare una scansione con il Cd Live di Avira rescue center......
Non lo faccio e al contrario faccio una scansione in modalità provvisoria con Malwarebites:
File rilevati: 4
C:\Documents and Settings\Proprietario\Documenti\Download\SoftonicDownloader_per_avira-antivir-rescue-system.exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Proprietario\Documenti\Download\SoftonicDownloader_per_combofix(1).exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Proprietario\Documenti\Download\SoftonicDownloader_per_combofix.exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Proprietario\Documenti\Download\SoftonicDownloader_per_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.
(fine)Dopo di che faccio una scansione con Combofix sempre in modalità provvisioria:
ComboFix 12-04-15.01 - Proprietario 15/04/12 15.10.53.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.623 [GMT 2:00]
Eseguito da: C:\abc.exe
AV: Avira Desktop *Disabled/Updated* {00000000-0715-0000-08F2-12003094807C}
AV: Avira Desktop *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dati applicazioni\TEMP
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\config.xml
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\http_app.offerbox.com\country.sxe
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\http_app.offerbox.com\history.db
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\http_app.offerbox.com\profile.sxe
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\http_app.offerbox.com\update.sxe
c:\documents and settings\Proprietario\Dati applicazioni\OfferBox\http_app.offerbox.com\update.xml
c:\documents and settings\Proprietario\WINDOWS
c:\windows\system32\CddbCdda.dll
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
.
.
((((((((((((((((((((((((( Files Creati Da 2012-03-15 al 2012-04-15 )))))))))))))))))))))))))))))))))))
.
.
2012-04-15 13:06 . 2012-04-15 13:09 -------- d-----w- C:\ComboFix
2012-04-15 10:25 . 2012-04-15 11:02 -------- d-----w- c:\windows\system32\NtmsData
2012-04-15 10:07 . 2012-04-15 10:07 2106216 ----a-w- c:\programmi\Mozilla Firefox\D3DCompiler_43.dll
2012-04-15 10:07 . 2012-04-15 10:07 19384 ----a-w- c:\programmi\Mozilla Firefox\AccessibleMarshal.dll
2012-04-15 10:07 . 2012-04-15 10:07 97208 ----a-w- c:\programmi\Mozilla Firefox\components\browsercomps.dll
2012-04-15 10:07 . 2012-04-15 10:07 125880 ----a-w- c:\programmi\Mozilla Firefox\crashreporter.exe
2012-04-15 10:07 . 2012-04-15 10:07 1998168 ----a-w- c:\programmi\Mozilla Firefox\d3dx9_43.dll
2012-04-15 10:07 . 2012-04-15 10:07 592824 ----a-w- c:\programmi\Mozilla Firefox\gkmedias.dll
2012-04-15 10:07 . 2012-04-15 10:07 44472 ----a-w- c:\programmi\Mozilla Firefox\mozglue.dll
2012-04-14 15:53 . 2012-04-14 15:53 -------- d-----w- c:\programmi\File comuni\Java
2012-04-14 15:52 . 2012-04-14 15:52 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-07 14:16 . 2012-04-14 22:43 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-03-31 15:34 . 2012-03-31 15:34 -------- d-----w- c:\documents and settings\Proprietario\Phone Browser
2012-03-31 15:32 . 2012-03-31 15:34 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\PC Suite
2012-03-31 15:32 . 2012-03-31 15:34 -------- d-----w- c:\documents and settings\Proprietario\Dati applicazioni\Nokia
2012-03-31 15:30 . 2012-03-31 15:30 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Installations
2012-03-27 18:03 . 2012-03-27 18:03 388096 ----a-r- c:\documents and settings\Proprietario\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-27 18:03 . 2012-03-27 18:03 -------- d-----w- c:\programmi\Trend Micro
2012-03-27 09:45 . 2012-03-27 09:45 -------- d-----w- c:\documents and settings\Proprietario\Dati applicazioni\Malwarebytes
2012-03-27 09:45 . 2012-03-27 09:45 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2012-03-27 09:45 . 2012-04-15 10:11 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2012-03-27 09:45 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-14 22:43 . 2011-11-04 09:08 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-14 15:52 . 2011-11-04 09:14 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-03-01 11:00 . 2008-04-13 17:13 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-13 17:14 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-03-01 11:00 . 2008-04-13 17:13 43520 ------w- c:\windows\system32\licmgr10.dll
2012-02-29 14:10 . 2008-04-13 17:13 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2008-04-13 17:13 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-13 16:50 385024 ------w- c:\windows\system32\html.iec
2012-02-18 08:52 . 2011-12-17 17:02 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-02-03 09:57 . 2008-04-13 16:50 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-04-15 10:07 . 2012-04-15 10:07 97208 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-11-03 5562368]
"HControl"="c:\windows\ATK0100\HControl.exe" [2011-11-03 110592]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2011-11-03 737369]
"Power_Gear"="c:\programmi\ASUS\Power4 Gear\BatteryLife.exe" [2004-09-21 81920]
"ModemListener"="c:\programmi\Chiavetta Internet Olicard 145\ModemListener.exe" [2010-05-15 98304]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-12-01 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DWQueuedReporting"="c:\progra~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
2007-06-18 13:10 271360 ----a-w- c:\programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
2008-04-13 07:43 455168 ----a-w- c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-18 12:02 254696 ----a-w- c:\programmi\File comuni\Java\Java Update\jusched.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
"Hsfpwcfg.exe"=c:\windows\Hsfpwcfg.exe
"PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe"
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
"ModemListener"=c:\programmi\Chiavetta Internet Olicard 145\ModemListener.exe start
"SoundMan"=SOUNDMAN.EXE
"nwiz"=nwiz.exe /install
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"APSDaemon"="c:\programmi\File comuni\Apple\Apple Application Support\APSDaemon.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Graphisoft\\ArchiCAD 12\\ArchiCAD.exe"=
"c:\\Programmi\\File comuni\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Gestione remota Windows
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
.
R0 R592;R592;c:\windows\system32\drivers\R592.sys [03/11/11 5.22.36 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [03/11/11 5.22.36 27264]
S1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17/12/11 7.02.27 36000]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [17/12/11 7.02.28 86224]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/10 2.16.28 130384]
S2 DeviceManager;DeviceManager;c:\programmi\File comuni\DeviceHelper\DeviceManager.exe -start --> c:\programmi\File comuni\DeviceHelper\DeviceManager.exe -start [?]
S3 9fwqkk.sys;9fwqkk.sys;\??\c:\windows\system32\drivers\9fwqkk.sys --> c:\windows\system32\drivers\9fwqkk.sys [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [07/04/12 4.16.34 253088]
S3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [03/11/11 5.16.42 193280]
S3 jrdusbser;Modem Interface Device for Legacy Serial Communication;c:\windows\system32\drivers\jrdusbser.sys [06/11/11 1.12.15 105344]
S3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [03/11/11 5.23.41 702326]
S3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [03/11/11 5.23.41 4790]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [13/04/08 7.14.22 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/10 2.16.28 753504]
S3 xpsec;Driver IPSEC;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-07 22:43]
.
2011-12-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
TCP: Interfaces\{19B354A7-6BBC-40DF-A59A-CC1CD081C6B1}: NameServer = 212.216.0.100,151.99.125.2
FF - ProfilePath - c:\documents and settings\Proprietario\Dati applicazioni\Mozilla\Firefox\Profiles\57iws9tv.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
------- Associazioni dei file -------
.
.scr=AutoCADScriptFile
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-15 15:24
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti:
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(1368)
c:\windows\system32\WININET.dll
c:\progra~1\WINDOW~2\wmpband.dll
.
Ora fine scansione: 2012-04-15 15:28:19 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-04-15 13:28
.
Pre-Run: 144.334.372.864 byte disponibili
Post-Run: 144.379.703.296 byte disponibili
.
- - End Of File - - 1E527BE9FC19679877586344266AD79FE faccio infine una scansione completa con Spybot SD:
--- Search result list ---
SweetIM: [SBI $156C1FE6] Impostazioni (Chiave di registro, fixed)
HKEY_USERS\S-1-5-21-861567501-1303643608-1417001333-1003\Software\SweetIM\Toolbars
SweetIM: [SBI $51CF2A45] Impostazioni (Valore di registro, fixed)
HKEY_USERS\S-1-5-21-861567501-1303643608-1417001333-1003\Software\SweetIM\simapp_id
SweetIM: [SBI $D5391F78] Impostazioni (Chiave di registro, fixed)
HKEY_USERS\S-1-5-21-861567501-1303643608-1417001333-1003\Software\SweetIM
SweetIM: [SBI $3C0145EF] Impostazioni (Valore di registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\SweetIM\simapp_id
SweetIM: [SBI $CA2339F3] Impostazioni (Chiave di registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\SweetIM
SweetIM: [SBI $CF88A0B7] Dati (File, fixed)
C:\Documents and Settings\Proprietario\Dati applicazioni\Mozilla\Firefox\Profiles\57iws9tv.default\searchplugins\sweetim.xml
Properties.size=0
Properties.md5=D41D8CD98F00B204E9800998ECF8427E
--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---A questo punto il pc dovrebbe essere pulito......ma ancora mi da qualche problema.....va abbastanza lento soprattutto se connnesso ad internet e stamattina non si è avviato: ho dovuto forzare lo spegnimento e riaccendere.
Perciò Vi posto il LOG di HJTHS e per favore Vi chiedo di dare una occhiata!
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.53.31, on 25/04/12
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Chiavetta Internet Olicard 145\ModemListener.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Chiavetta Internet Olicard 145\Hspa USB Modem.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ModemListener] C:\Programmi\Chiavetta Internet Olicard 145\ModemListener.exe start
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "c:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/select/asusTek_sys_ctrl3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B354A7-6BBC-40DF-A59A-CC1CD081C6B1}: NameServer = 212.216.0.100,151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{E476D00B-3D0B-467F-BB0C-9A84D8366A29}: NameServer = 213.230.155.10 217.200.200.42
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Realtime Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: DeviceManager - Unknown owner - C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
--
End of file - 6673 bytesGRAZIE!