Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » strana connessione

2 pages: [1] 2
strana connessione Opzioni
Topic Precedente · Topic Sucessivo
giza
Inviato: Wednesday, September 24, 2008 4:49:28 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.46.17, on 24/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\download\hijacktis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_S20.tmp"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ScreenHunter 5.0 Free.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F320FFEC-CCD2-443D-8B59-428BFD42C40E}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 6608 bytes



visto che invece di avere nella finestra connetti di I:E6 "aliceadsl" avevo "qYTREwe" vorrei sapere cosa è successo.
Torna in alto
 
Sponsor
Inviato: Wednesday, September 24, 2008 4:49:28 PM

 
Torna in alto
 
r16
Inviato: Wednesday, September 24, 2008 7:29:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao mattacchione.Drool
Che ne dici di dare un'occhiata nel Task Manager per vedere se trovi questo qYTREwe ?
Fai anche un'altra controllatina:
Start >> Esegui >> copia e incolla la stringa control userpasswords2 e verifica se c'è un'utenza con nome a caso oppure
qYTREwe.
Se non trovi niente, che ne dici di una scansione con Combofix?
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
Posta un nuovo log di HijackThis .Sempre in questo topic.



Disinstalla combofix in questo modo: ( aspetta però, te lo dico io quando.....Drool)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Torna in alto
 
giza
Inviato: Thursday, September 25, 2008 11:00:52 AM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
con esegui ho trovato: administrator, giza. e ASPNET. chi è questo aspnet?

come si fa a bloccare avg8? se clicco sull'icona in basso a dx mi dice: apri interfaccia, aggiorna, esci.
ma esci mi toglie l'iconcina e non credo che blocchi l'antivirus.
Torna in alto
 
monsee
Inviato: Thursday, September 25, 2008 1:01:42 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Devi impostare AVG in modo che non si apra all'avvio di Windows. poi, clicchi su "esci". Dopo di che, spegni il computer e, al riavvio, non dovresti più avere AVG attivo.
Torna in alto
 
crilupa
Inviato: Thursday, September 25, 2008 3:34:28 PM

Rank: AiutAmico

Iscritto dal : 9/6/2006
Posts: 7,687
Ho provato anch'io ed ho : administrator, paolo. e ASPNET: cosa è ASPNET?
Però se lo abbiamo in due sarà una cosa di XP (io ho XP home SP3)
Grazie della spiegazione
Torna in alto
 
r16
Inviato: Thursday, September 25, 2008 8:37:50 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
crilupa ha scritto:
Ho provato anch'io ed ho : administrator, paolo. e ASPNET: cosa è ASPNET?
Però se lo abbiamo in due sarà una cosa di XP (io ho XP home SP3)
Grazie della spiegazione


giza ha scritto:
con esegui ho trovato: administrator, giza. e ASPNET. chi è questo aspnet?

.

Tranquilli è tutto regolare riguardo ASPNET.
http://it.wikipedia.org/wiki/ASP.NET
Torna in alto
 
giza
Inviato: Friday, September 26, 2008 11:37:14 AM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
ComboFix 08-09-25.05 - giza 2008-09-26 11.22.27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.672 [GMT 2:00]
Eseguito da: C:\Documents and Settings\giza\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\3.tmp
D:\install.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-08-26 al 2008-09-26 )))))))))))))))))))))))))))))))))))
.

2008-09-25 22:03 . 2008-09-25 22:03 6,144 --ahs---- C:\WINDOWS\Thumbs.db
2008-09-24 17:18 . 2008-09-24 17:18 73 --a------ C:\WINDOWS\EurekaLog.ini
2008-09-23 17:32 . 2008-09-23 17:32 <DIR> d-------- C:\Programmi\pdfsam
2008-09-23 17:26 . 2008-09-23 17:26 <DIR> d-------- C:\Programmi\Foxit Software
2008-09-23 17:08 . 2008-09-23 17:08 <DIR> d-------- C:\Programmi\Auslogics
2008-09-20 17:01 . 2008-09-20 17:03 <DIR> d-------- C:\Documents and Settings\giza\Dati applicazioni\vlc
2008-09-12 09:56 . 2008-09-25 22:03 <DIR> d-------- C:\Programmi\CDBurnerXP
2008-09-11 10:41 . 2008-09-11 12:11 <DIR> d-------- C:\Documents and Settings\giza\.housecall6.6
2008-08-31 15:31 . 2008-08-31 15:31 <DIR> d-------- C:\Programmi\pdf995
2008-08-31 15:31 . 2008-08-31 15:31 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\pdf995
2008-08-31 15:31 . 2008-08-31 15:31 249,856 --a------ C:\WINDOWS\system32\pdfmona.dll
2008-08-31 15:31 . 2008-08-31 15:31 51,716 --a------ C:\WINDOWS\system32\pdf995mon.dll
2008-08-31 15:31 . 2008-08-31 15:31 25 --a------ C:\WINDOWS\wpd99.drv
2008-08-28 10:40 . 2008-04-16 21:45 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-28 10:40 . 2008-04-10 11:43 0 --a------ C:\WINDOWS\control.ini
2008-08-27 10:36 . 2008-08-27 10:36 <DIR> d-------- C:\Documents and Settings\giza\Dati applicazioni\GlarySoft
2008-08-27 10:35 . 2008-09-25 22:03 <DIR> d-------- C:\Programmi\Glary Utilities

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-26 09:16 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-09-25 20:03 --------- d-----w C:\Programmi\Wisdom-soft ScreenHunter 5 Free
2008-09-24 14:58 --------- d-----w C:\Programmi\a-squared Free
2008-09-24 08:17 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-09-24 08:16 --------- d-----w C:\Programmi\SpywareBlaster
2008-09-23 15:07 --------- d-----w C:\Documents and Settings\giza\Dati applicazioni\LimeWire
2008-09-23 14:58 --------- d-----w C:\Programmi\eMule
2008-09-20 14:36 --------- d-----w C:\Programmi\LimeWire
2008-09-12 10:12 --------- d-----w C:\Documents and Settings\giza\Dati applicazioni\U3
2008-09-10 14:41 --------- d-----w C:\Programmi\ABBYY FineReader Professional
2008-08-30 17:10 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-08-21 15:06 --------- d-----w C:\Programmi\Picasa2
2008-08-02 17:28 --------- d-----w C:\Programmi\Maxis
2008-07-14 12:53 122,724 ----a-w C:\Documents and Settings\giza\cmd.bat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 73728]
"TrueImageMonitor.exe"="C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-03-10 2617808]
"AcronisTimounterMonitor"="C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-03-10 909592]
"Acronis Scheduler2 Service"="C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2008-03-10 140568]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2008-03-28 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]

C:\Documents and Settings\giza\Menu Avvio\Programmi\Esecuzione automatica\
ScreenHunter 5.0 Free.lnk.disabled [2008-04-25 1784]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Picture Package Menu.lnk.disabled [2008-05-02 743]
Picture Package VCD Maker.lnk.disabled [2008-05-02 793]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programmi\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
"PcSync"=C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
"EPSON Stylus CX3200"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
"PinnacleDriverCheck"=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
"TrueImageMonitor.exe"=C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
"UnlockerAssistant"="C:\Programmi\Unlocker\UnlockerAssistant.exe" -H
"PCSuiteTrayApplication"=C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\Download Express\\dep.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-06-20 12936]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-10 16640]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-05-22 368480]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-25 97928]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-15 875288]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-25 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-06-20 76040]
R2 NMSAccessU;NMSAccessU;C:\Programmi\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe [2008-03-10 522448]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\3.tmp [ ]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80a2a0dc-7141-11dd-96b0-00508d7f1720}]
\Shell\AutoRun\command - G:\.\run\autorun.exe
\Shell\open\Command - G:\.\run\autorun.exe
.
Contenuto della cartella 'Scheduled Tasks'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\giza\Dati applicazioni\Mozilla\Firefox\Profiles\6w9eikde.default\
FF -: plugin - C:\Programmi\Picasa2\npPicasa2.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-26 11:24:45
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\3.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSvc.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Ora fine scansione: 2008-09-26 11:25:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-26 09:25:53

Pre-Run: 83.911.020.544 byte disponibili
Post-Run: 83,815,383,040 byte disponibili

163 --- E O F --- 2008-09-10 14:58:03


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.36.20, on 26/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\download\hijacktis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_S20.tmp"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ScreenHunter 5.0 Free.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F320FFEC-CCD2-443D-8B59-428BFD42C40E}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 6858 bytes
Torna in alto
 
giza
Inviato: Friday, September 26, 2008 11:58:45 AM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
aspnet ; pensavo fosse un tizio che abita a silicon walley (ma questo è il posto dove vanno a rifarsi il seno?)
Torna in alto
 
r16
Inviato: Friday, September 26, 2008 5:55:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
giza ha scritto:
aspnet ; pensavo fosse un tizio che abita a silicon walley (ma questo è il posto dove vanno a rifarsi il seno?)

Ma dove vai a trovarle........Drool
*********************************************************************************************************
Allora...... Combofix ti ha trovato 2 file che non gli piacciono, e li ha eliminati parzialmente.
C:\WINDOWS\system32\3.tmp
D:\install.exe
Domanda: Hai mai installato Sophos ? ( è un antirootkit)
Altra domanda: usi chiavette USB con la lettera G ?

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
ci incolli il codice scritto in rosso, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80a2a0dc-7141-11dd-96b0-00508d7f1720}]

lo chiudi, e "trascinalo" sull'icona di ComboFix
Attendi la fine della scansione, senza toccare nulla, (nemmeno il mouse) poi Riavvia il pc
Posta il log aggiornato di combofix

Elimina queste voci di HijackThis
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - Startup: ScreenHunter 5.0 Free.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled

Dai una pulita con CCleaner.
Torna in alto
 
giza
Inviato: Sunday, September 28, 2008 5:41:45 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
ComboFix 08-09-27.03 - giza 2008-09-28 17.13.10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.631 [GMT 2:00]
Eseguito da: C:\Documents and Settings\giza\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((( Files Creati Da 2008-08-28 al 2008-09-28 )))))))))))))))))))))))))))))))))))
.

2008-09-25 22:03 . 2008-09-25 22:03 6,144 --ahs---- C:\WINDOWS\Thumbs.db
2008-09-24 17:18 . 2008-09-24 17:18 73 --a------ C:\WINDOWS\EurekaLog.ini
2008-09-23 17:32 . 2008-09-23 17:32 <DIR> d-------- C:\Programmi\pdfsam
2008-09-23 17:26 . 2008-09-23 17:26 <DIR> d-------- C:\Programmi\Foxit Software
2008-09-23 17:08 . 2008-09-23 17:08 <DIR> d-------- C:\Programmi\Auslogics
2008-09-20 17:01 . 2008-09-20 17:03 <DIR> d-------- C:\Documents and Settings\giza\Dati applicazioni\vlc
2008-09-12 09:56 . 2008-09-25 22:03 <DIR> d-------- C:\Programmi\CDBurnerXP
2008-09-11 10:41 . 2008-09-11 12:11 <DIR> d-------- C:\Documents and Settings\giza\.housecall6.6
2008-08-31 15:31 . 2008-08-31 15:31 <DIR> d-------- C:\Programmi\pdf995
2008-08-31 15:31 . 2008-08-31 15:31 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\pdf995
2008-08-31 15:31 . 2008-08-31 15:31 249,856 --a------ C:\WINDOWS\system32\pdfmona.dll
2008-08-31 15:31 . 2008-08-31 15:31 51,716 --a------ C:\WINDOWS\system32\pdf995mon.dll
2008-08-31 15:31 . 2008-08-31 15:31 25 --a------ C:\WINDOWS\wpd99.drv
2008-08-28 10:40 . 2008-04-16 21:45 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-28 10:40 . 2008-04-10 11:43 0 --a------ C:\WINDOWS\control.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 15:07 --------- d-----w C:\Documents and Settings\giza\Dati applicazioni\U3
2008-09-26 14:47 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-09-26 09:49 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-09-26 09:49 --------- d-----w C:\Programmi\SpywareBlaster
2008-09-26 09:48 --------- d-----w C:\Programmi\a-squared Free
2008-09-25 20:03 --------- d-----w C:\Programmi\Wisdom-soft ScreenHunter 5 Free
2008-09-25 20:03 --------- d-----w C:\Programmi\Glary Utilities
2008-09-23 15:07 --------- d-----w C:\Documents and Settings\giza\Dati applicazioni\LimeWire
2008-09-23 14:58 --------- d-----w C:\Programmi\eMule
2008-09-20 14:36 --------- d-----w C:\Programmi\LimeWire
2008-09-10 14:41 --------- d-----w C:\Programmi\ABBYY FineReader Professional
2008-08-30 17:10 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-08-27 08:36 --------- d-----w C:\Documents and Settings\giza\Dati applicazioni\GlarySoft
2008-08-21 15:06 --------- d-----w C:\Programmi\Picasa2
2008-08-02 17:28 --------- d-----w C:\Programmi\Maxis
2008-07-14 12:53 122,724 ----a-w C:\Documents and Settings\giza\cmd.bat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2005-12-21 73728]
"TrueImageMonitor.exe"="C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-03-10 2617808]
"AcronisTimounterMonitor"="C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-03-10 909592]
"Acronis Scheduler2 Service"="C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2008-03-10 140568]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"EPSON Stylus CX3200"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2008-03-28 413696]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-25 1235736]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]

C:\Documents and Settings\giza\Menu Avvio\Programmi\Esecuzione automatica\
ScreenHunter 5.0 Free.lnk.disabled [2008-04-25 1784]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Picture Package Menu.lnk.disabled [2008-05-02 743]
Picture Package VCD Maker.lnk.disabled [2008-05-02 793]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programmi\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
"PcSync"=C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
"EPSON Stylus CX3200"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
"PinnacleDriverCheck"=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
"TrueImageMonitor.exe"=C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
"UnlockerAssistant"="C:\Programmi\Unlocker\UnlockerAssistant.exe" -H
"PCSuiteTrayApplication"=C:\PROGRA~1\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\LimeWire\\LimeWire.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"C:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmi\\Download Express\\dep.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=

R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-06-20 12936]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-10 16640]
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-05-22 368480]
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-25 97928]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-15 875288]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-25 231704]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-06-20 76040]
R2 NMSAccessU;NMSAccessU;C:\Programmi\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programmi\File comuni\Acronis\Fomatik\TrueImageTryStartService.exe [2008-03-10 522448]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\3.tmp [ ]
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{80a2a0dc-7141-11dd-96b0-00508d7f1720}]
\Shell\AutoRun\command - G:\.\run\autorun.exe
\Shell\open\Command - G:\.\run\autorun.exe
.
Contenuto della cartella 'Scheduled Tasks'
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\giza\Dati applicazioni\Mozilla\Firefox\Profiles\6w9eikde.default\
FF -: plugin - C:\Programmi\Picasa2\npPicasa2.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-28 17:15:21
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\3.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSvc.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Ora fine scansione: 2008-09-28 17:16:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-28 15:16:31
ComboFix2.txt 2008-09-26 09:25:57

Pre-Run: 84.113.235.968 byte disponibili
Post-Run: 84,060,954,624 byte disponibili

159 --- E O F --- 2008-09-10 14:58:03



la voce soundman non è della scheda audio?

screenhunter lo uso per catturare schermate parziali

picture package è il programma della sony (fotocamera digitale)posso anche eliminarli dato che non li uso.

la chiavetta sandisk è U3system(G:) e disco rimovibile (H:)

ho provatp sphos.
Torna in alto
 
r16
Inviato: Sunday, September 28, 2008 6:36:54 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
giza ha scritto:


la voce soundman non è della scheda audio?

screenhunter lo uso per catturare schermate parziali

picture package è il programma della sony (fotocamera digitale)posso anche eliminarli dato che non li uso.

la chiavetta sandisk è U3system(G:) e disco rimovibile (H:)

ho provatp sphos.

Si mattacchione, soundman è della scheda audio............e allora?
A cosa ti serve caricarlo all'Avvio, se il programma funziona lo stesso?
Se non ti fidi lasciale come sono quelle voci.Drool
Se mi confermi che hai installato Sophos , non vedo altre minacce.
Fai una pulizia con CCleaner .
Torna in alto
 
giza
Inviato: Sunday, September 28, 2008 6:59:47 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
allora vado in spybot e tolgo la spunta di caricamento all'avvio. (Ma che ne so io?!)
sophos posso eliminarlo.
Torna in alto
 
r16
Inviato: Sunday, September 28, 2008 9:16:43 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Giza, cosa centra togliere la spunta a spybot.
Stiamo parlando delle voci che ti ho segnalato,che le puoi levare (non sei obligato) per alleggerire Windows all'avvio.
Poi,per quello che mi riguarda, le voci 04, a parte quelle che riguardano la sicurezza,per me le puoi levare anche tutte,tanto, non succede niente.
Anzi, ti invito a provare, poi se hai problemi me lo dici, e le ripristiniamo.
Torna in alto
 
giza
Inviato: Monday, September 29, 2008 8:56:13 AM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
in spybot c'è l'opzione delle voci in avvio (utilità/esec.automatica) e penso che togliendo la spunta quei programmi non vengono caricati all'avvio. correggimi se sbaglio.
Torna in alto
 
r16
Inviato: Monday, September 29, 2008 5:40:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao, Giza (mattacchione).
Innanzitutto mi devo scusare con te ,per averti risposto in un tono un pò brusco, nel post precedente.
Non uso spybot da 2 anni....... Anxious
Sinceramente non ricordo se togliendo la spunta, o mettendola ,non vengono caricati i programmi all'avvio.
Nell'incertezza..........meglio tacere.
Torna in alto
 
giza
Inviato: Tuesday, September 30, 2008 6:11:33 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
figurati! però mi sorge un altro problema: ho la part. c e la d.
quando dal desktop clicco sulla d si apre normalmente ma quando poi clicco su una qualsiasi cartella contenuta nella d ci mette un po ad aprirsi e questo la prima volta
, poi se ci ritorno si apre normalmente. che può essere sulcesso?
Torna in alto
 
r16
Inviato: Tuesday, September 30, 2008 6:19:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao, mattacchione.
Tiro a indovinare.......
La prima volta che clicchi , il S.O la deve cercare in tutto il pc.
La seconda volta che la clicchi la trova subito perchè si è "depositata" nella cartella Prefetch.
Torna in alto
 
giza
Inviato: Tuesday, September 30, 2008 7:08:09 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,615
ma sai che poco fa ho usato eusing free registry cleaner e adesso si apre subito? però mi crea altri problemi (vedi discussioni varie)
Torna in alto
 
r16
Inviato: Tuesday, September 30, 2008 11:44:04 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Fai una scansione con Malwarebytes. (che potresti anche tenere installato, perchè è valido)
Scarica: Malwarebytes' Anti-MalwareMalwarebyte e salvalo dove vuoi tu. : http://www.besttechie.net/tools/mbam-setup.exe

Doppio click sull'icona di mbam-setup.exe che hai salvato,e procedi con l'installazione

Assicurati che ci siano entrambi i segni di spunta su :Aggiorna Malwarebytes' Anti-Malware e Avvia, e clicca Fine
Al primo avvio, ti comparirà un messaggio di benvenuto, Assicurati che il collegamento Internet sia attivo e clicca OK
Attendi la fine dell'aggiornamento.
Compare la schermata principale.
Clicca Scansiona
Potrebbe volerci parecchio tempo,(dipende quanto è infettato il pc) quindi bisogna avere un pò di pazienza.

Al termine della scansione, clicca OK

Assicurati che tutti i files evidenziati siano selezionati e clicca Rimuovi Selezionati

Quando la disinfezione sarà completata, verrà aperto Notepad con il risultato dell'operazione .
Postalo qui.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » strana connessione


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.