Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Help virus? Opzioni
eufonio
Inviato: Saturday, September 14, 2013 11:02:46 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Salve a tutti,
stasera all'improvviso il pc mi ha comincaito a dare problemi, tipo explorer non si avvia, antivirus quasi del tutto disattivato. Ho avviato malwarebytes due volte che ha trovato delle minacce che ho eliminato, spero. Mi date un'occhiata ai log?
grazie mille

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.01.24, on 14/09/13
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\IObit\Advanced SystemCare 6\ASCService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\onlinent.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SCANMSG.EXE
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\UPSCHD.EXE
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\EMLPROXY.EXE
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SAPISSVC.EXE
C:\WINDOWS\system32\FsUsbExService.Exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Common Files\Motive\McciCMService.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\opssvc.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\quhlpsvc.exe
C:\Programmi\Macrium\Reflect\ReflectService.exe
C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SCANWSCS.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programmi\IObit\Advanced SystemCare 6\DelayLoad.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: ÿþ#127.0.0.1 activate.adobe.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe Acrobat Create PDF Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe Acrobat Create PDF Toolbar - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Quick Heal Core UI] "C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\strtupap.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [Adobe CSS5.1 Manager] C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [Adobe CSS5.1 Manager] C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe (User 'SERVIZIO LOCALE')
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Aggiungi destinazione link a PDF esistente - res://C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Apri con ScanSoft PDF Converter 4.1 - res://C:\Programmi\ScanSoft\PDF Professional 4.0\cnvres_ita.dll /100
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\File comuni\Adobe\Acrobat\WCIEActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programmi\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programmi\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programmi\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programmi\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.telecomitalia.it
O15 - Trusted Zone: http://www.tim.it
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programmi\File comuni\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Advanced SystemCare Service 6 (AdvancedSystemCareService6) - IObit - C:\Programmi\IObit\Advanced SystemCare 6\ASCService.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Core Mail Protection - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\EMLPROXY.EXE
O23 - Service: Core Scanning Server - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SAPISSVC.EXE
O23 - Service: Core Scanning ServerEx - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SAPISSVC.EXE
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: McciCMService - Alcatel-Lucent - C:\Programmi\Common Files\Motive\McciCMService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Online Protection System - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\opssvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Quick Update Service - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\quhlpsvc.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService.exe) - Unknown owner - C:\Programmi\Macrium\Reflect\ReflectService.exe
O23 - Service: Quick Heal AntiVirus Pro Helper Service WSC (ScanWscS) - Quick Heal Technologies (P) Ltd. - C:\Programmi\Quick Heal\Quick Heal AntiVirus Pro\SCANWSCS.EXE
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Programmi\File comuni\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 10818 bytes


Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Versione database: v2013.09.14.08

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria con rete)
Internet Explorer 8.0.6001.18702
Utente :: UTENTE-2B22613E [amministratore]

14/09/13 19.50.57
mbam-log-2013-09-14 (19-50-57).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 551983
Tempo impiegato: 1 ore, 25 minuti, 1 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|24861 (Trojan.Ransom.ED) -> Dati: c:\docume~1\alluse~1\dxokeym.exe -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe CSS5.1 Manager (Trojan.FakeMS) -> Dati: C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|Adobe CSS5.1 Manager (Trojan.FakeMS) -> Dati: C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe -> Spostato in quarantena ed eliminato con successo.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|deacffcdababead (Trojan.FakeMS) -> Dati: C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe -> Spostato in quarantena ed eliminato con successo.

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 14
C:\Francesco\Programmi scaricati\videora-ipod-600-setup.exe (PUP.Optional.OpenCandy) -> Nessuna azione intrapresa.
C:\Francesco\Programmi scaricati\IMG-BURN\ImgBurn.exe (PUP.Optional.Solimba) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe Audition CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe Bridge CS6\AMTLib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe Illustrator CS6\Support Files\Contents\Windows\amtlib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe InDesign CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe Media Encoder CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Programmi\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\System Volume Information\_restore{374A39E0-8143-4716-927B-4A074D2EC18C}\RP302\A0052753.dll (PUP.RiskwareTool.CK) -> Nessuna azione intrapresa.
C:\Documents and Settings\All Users\dxokeym.exe (Trojan.Ransom.ED) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe (Trojan.FakeMS) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Utente\Impostazioni locali\temp\1441063488.exe (Trojan.Email.FWMP) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Utente\Impostazioni locali\temp\~!#4F.tmp (Spyware.Password) -> Spostato in quarantena ed eliminato con successo.
C:\Documents and Settings\Utente\Impostazioni locali\temp\~!#50.tmp (Trojan.Zaccess.ST) -> Spostato in quarantena ed eliminato con successo.

(fine)

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Versione database: v2013.09.14.08

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria con rete)
Internet Explorer 8.0.6001.18702
Utente :: UTENTE-2B22613E [amministratore]

14/09/13 21.17.51
mbam-log-2013-09-14 (21-17-51).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 552058
Tempo impiegato: 1 ore, 26 minuti, 6 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 11
C:\Francesco\Programmi scaricati\videora-ipod-600-setup.exe (PUP.Optional.OpenCandy) -> Spostato in quarantena ed eliminato con successo.
C:\Francesco\Programmi scaricati\IMG-BURN\ImgBurn.exe (PUP.Optional.Solimba) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe Audition CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe Bridge CS6\AMTLib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe Illustrator CS6\Support Files\Contents\Windows\amtlib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe InDesign CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe Media Encoder CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\Programmi\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{374A39E0-8143-4716-927B-4A074D2EC18C}\RP302\A0052753.dll (PUP.RiskwareTool.CK) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{374A39E0-8143-4716-927B-4A074D2EC18C}\RP302\A0052764.exe (Trojan.Ransom.ED) -> Spostato in quarantena ed eliminato con successo.
C:\System Volume Information\_restore{374A39E0-8143-4716-927B-4A074D2EC18C}\RP302\A0052765.exe (Trojan.FakeMS) -> Spostato in quarantena ed eliminato con successo.

(fine)
Sponsor
Inviato: Saturday, September 14, 2013 11:02:46 PM

 
r16
Inviato: Sunday, September 15, 2013 11:30:15 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il pc è infetto dal rootkit Zero Access, e altre infezioni. (Ransom)

Scarica sul desktop Farbar Recovery Scan Tool: (scegli la versione adatta al tuo S.O. - 32 Bit o 64 Bit)

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Doppio click per avviarlo.
Ti compare una finestra: clicca .
Clicca "Scan".
Finita la scansione,ti appaiono 2 il log sul desktop. (Addition e FRST)
Se non appaiono, significa che non lo hai scaricato sul desktop, per cui li trovi nella cartella dove hai scaricato il tool.
Postali qui.

Per postare i log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

Per ultimo:
scarica Scanner Servizio Farbar sul desktop :
http://download.bleepingcomputer.com/farbar/FSS.exe
Metti un segno di spunta in tutte le caselle sul lato sinistro.
Clicca su "Scan".
Si creerà un log (FSS.txt) nella stessa directory in cui viene eseguito lo strumento.
Posta il log. (sempre con Wikisend)


eufonio
Inviato: Sunday, September 15, 2013 2:49:06 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Fatto tutto, ecco i log

FRST.txt

Addition.txt

FSS.txt
r16
Inviato: Sunday, September 15, 2013 4:36:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Sembra che Mbam abbia fatto un buon lavoro.
Facciamo un'altro controllo:
Scarica ed installa HitmanPro: clicca qui per il download (scegli la versione adatta al tuo S.O. - 32 Bit o 64 Bit)
http://www.surfright.nl/en/downloads
una volta lanciato, nella schermata principale clicca su Impostazioni
clicca su Licenza ed attiva la licenza;
lancia la scansione (lascia le impostazioni di default);
al termine della scansione ti verrà mostrato un riepilogo: nella finestra di riepilogo, in basso a sinistra, avrai modo di salvare il Report generato .
Postalo qui. (con Wikisend)

Dimmi quali problemi riscontri sul pc.
eufonio
Inviato: Sunday, September 15, 2013 7:19:49 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Ecco il log

HitmanPro_20130915_1911.log

Quanto ai problemi riscontrati mi sembra che il pc sia un po lento
r16
Inviato: Sunday, September 15, 2013 8:05:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vediamo come è messo il pc:

Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
eufonio
Inviato: Sunday, September 15, 2013 9:09:11 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
ha creato un solo file che allego

OTL.Txt
r16
Inviato: Sunday, September 15, 2013 9:45:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Il virus è ancora attivo.

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
CHR - default_search_provider: search_url = http://www.daemon-search.com/search?q={searchTerms}
O4 - HKU\S-1-5-19..\Run: [Adobe CSS5.1 Manager] C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe ()
O4 - HKU\S-1-5-21-842925246-1844823847-1801674531-1003..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-19..\RunOnce: [Adobe CSS5.1 Manager] C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe ()
[2013/09/15 21.05.00 | 000,001,246 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1844823847-1801674531-1003UA.job
[2013/09/15 21.00.00 | 000,000,446 | -H-- | M] () -- C:\WINDOWS\tasks\{D1FB1401-B51D-4392-9C8A-CE03C238B0CA}.job
[2013/09/15 21.00.00 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\{82876DCB-0044-4C75-B956-5791319B366A}.job
[2013/09/15 20.05.01 | 000,001,194 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1844823847-1801674531-1003Core.job
[2013/09/13 17.08.27 | 000,000,978 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/08/07 19.00.00 | 000,000,364 | ---- | M] () -- C:\WINDOWS\tasks\Wise Turbo Checker.job
[2011/03/27 21.28.59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Utente\Dati applicazioni\f-secure
[2011/11/01 19.10.26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Utente\Dati applicazioni\Red Kawa

:Files
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad\deacffcdababead.exe
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\de9acf47-7f4c-4d02-a820-66664babe224ad
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[CLEARALLRESTOREPOINTS]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
eufonio
Inviato: Sunday, September 15, 2013 10:37:22 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
fatto, ecco il log

09152013_222057.log
r16
Inviato: Monday, September 16, 2013 6:22:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Direi che ci siamo.
Adesso ho bisogno di una nuova scansione con OTL per vedere se tutto è a posto.
Se non ci sono infezioni, finiremo con le pulizie.

eufonio
Inviato: Monday, September 16, 2013 8:39:51 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Ciao,
ecco il log

OTL.Txt

Ti volevo chiedere una cosa, come mai in queste operazioni di pulizia viene sempre resettato il file hosts?
Può contenere problemi? visto che in genere viene modificato quando si installano dei programmi scaricati.
Grazie
r16
Inviato: Monday, September 16, 2013 9:25:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
eufonio ha scritto:

Ti volevo chiedere una cosa, come mai in queste operazioni di pulizia viene sempre resettato il file hosts?
Può contenere problemi?

Ciao.
Il file hosts lo resetto io.
Se il pc NON ha installato SpyBot, che per un discorso di sicurezza usa il file hosts, e OTL mi segnala che ci sono per esempio 30 voci nel file, ma me ne mostra solo 20, io non sapendo a cosa si riferiscono le 10 che non vedo, lo resetto. (lo metto di default)
Ho il vantaggio che se nelle 10 voci c'è un virus, viene eliminato, altrimenti non succede nulla.
Resettare un file hosts, non comporta problemi.

Il log di OTL è a posto.

Vai in "Installazione Applicazioni" e disistalla Hitman Pro.

Vai in C:\ ed elimina FRST.
Elimina anche i log che hai nel desktop.

Cestina Farbar Recovery Scan Tool

Apri OTL e clicca su CleanUP.
Si disistallerà OTL
Ti chede il riavvio: acconsenti.

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)

SVUOTA IL CESTINO

Fai una pulizia con CCleaner (registro compreso)

Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.

Se è molto tempo che NON esegui uno ScanDisk e una deframmentazione del disco, ti consiglio di farle dette operazioni. (servono)

Se non riscontri problemi, e il pc funziona bene abbiamo concluso.
eufonio
Inviato: Monday, September 16, 2013 10:53:41 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Dopo aver disinstallato otl al riavvio c'è voluto molto tempo per la riaccenzione, il pc sembrava fermo su una schermata blu con scritto Windows XP.
Comunque quando è ripartito ho fatto le pulizie che mi hai detto.
Ho notato che nella quarantena dell'antivirus c'è un file che mi sebra abbia eliminato dalla quarantena più volte, si chiama hp3400.tmp
Ora faccio scandisk e defrag e poi ti faccio sapere
eufonio
Inviato: Tuesday, September 17, 2013 7:33:56 AM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Buongiorno R16, ieri sera ho avviato lo scandisk ma è normale che stamattina eravamo al 16% della fase 4?
r16
Inviato: Tuesday, September 17, 2013 7:04:04 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
eufonio ha scritto:

Ho notato che nella quarantena dell'antivirus c'è un file che mi sebra abbia eliminato dalla quarantena più volte, si chiama hp3400.tmp

Beh, era dall'inizio che volevo chiederti dove hai "pescato" quel antivirus.
Mai sentito nominare, e in più lo hai pagato.
Inoltre quel file potrebbe essere un falso positivo.
Commenta:
ho avviato lo scandisk ma è normale che stamattina eravamo al 16% della fase 4?

Lo Scandisk di solito può richiedere 1-2 ore .
Certamente tutto quel tempo mi sembra esagerato.

Come funziona il pc?
eufonio
Inviato: Tuesday, September 17, 2013 7:25:50 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
ciao quell'antivirus lo fornisce la ditta che gestisce i pc dello studio di mia moglie, nemmeno io lo avevo mai sentito nominare ed in effetti non credo sia un granchè.
Il pc sta ancora facendo lo scandisk, infatti ti sto scrivendo da un altro pc, non so se interromperlo o a questo punto, siamo al 64%, aspettare
r16
Inviato: Tuesday, September 17, 2013 8:48:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
non so se interromperlo o a questo punto, siamo al 64%, aspettare

A questo punto aspetta. (se puoi)
eufonio
Inviato: Wednesday, September 18, 2013 9:50:44 PM
Rank: AiutAmico

Iscritto dal : 1/18/2002
Posts: 76
Ciao, finalmente il pc ha finito lo scandisk senza segnalazioni di settori danneggiati, ora sto facendo il defrag.
Mi sembra però tutto molto lento.
Domanda, che antivirus mi consigli in alternativa a quello che c'è ora?
Grazie di tutto
r16
Inviato: Wednesday, September 18, 2013 10:17:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
eufonio ha scritto:

Mi sembra però tutto molto lento.

Ciao.
Per me è quel antivirus che rallenta tutto.
Da quello che ho visto, è molto, ma molto "invasivo".
Commenta:
Domanda, che antivirus mi consigli in alternativa a quello che c'è ora?

Dipende cosa vuoi.
A pagamento uno dei migliori è Kasperky.
Di quelli gratis Avira.
Se il pc lo si usa per lavoro, consiglio Kasperky.

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.