Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo logfile di hijackthis

2 pages: [1] 2
Controllo logfile di hijackthis Opzioni
Topic Precedente · Topic Sucessivo
giampys
Inviato: Friday, January 02, 2009 11:50:30 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Mi controllate il file logic.
Già avevo postato il 30 e il 01 ma non sono andato avanti in quanto il mio pc non mi consente di andare in modalità provvisoria (è un operazione che ho sempre eseguito con successo)
P:S. Come antivirus ho AVG che aggiorno regolarmente e non mi dà errori.
***L'amico Shapiro mi aveva suggerito una soluzione, ma arrivo al punto di dover entrare in provvisoria e ripeto non va!!
grazie
********************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.30.01, on 01/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\System32\svchost.exe
C:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HIJACK\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.alice.it/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [auwakoa] "c:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe" auwakoa
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: *.rossoalice.it
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.coolstreaming.us/consolle/plug-in/SOPCORE.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8797 bytes
Torna in alto
 
Sponsor
Inviato: Friday, January 02, 2009 11:50:30 PM

 
Torna in alto
 
r16
Inviato: Saturday, January 03, 2009 12:05:13 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [auwakoa] "c:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe" auwakoa
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} (SopCore Control) - http://www.coolstreaming.us/consolle/plug-in/SOPCORE.CAB

Con la funzione "Cerca"Trova e cancella i file in rosso:
c:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe auwakoa
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Riavvia il pc.
*********************************************************************************************************
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Torna in alto
 
giampys
Inviato: Saturday, January 03, 2009 12:56:03 AM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Ecco il log*******************
ComboFix 09-01-01.02 - Giampy 2009-01-03 0.47.40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.895.528 [GMT 1:00]
Eseguito da: c:\documents and settings\Giampy\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((( Files Creati Da 2008-12-02 al 2009-01-02 )))))))))))))))))))))))))))))))))))
.

2008-12-30 23:19 . 2008-12-30 23:19 <DIR> d-------- c:\programmi\Navilog1
2008-12-30 19:22 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-12-11 11:31 . 2008-12-11 11:31 <DIR> d-------- c:\programmi\Motive
2008-12-11 11:29 . 2008-12-11 11:32 <DIR> d-------- c:\programmi\Alice ti aiuta
2008-12-09 22:55 . 2008-12-09 22:54 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 23:39 --------- d-----w c:\programmi\TVUPlayer
2009-01-02 23:39 --------- d-----w c:\programmi\SopCast
2008-12-30 12:06 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-12-24 17:00 --------- d-----w c:\programmi\Norton Security Scan
2008-12-24 17:00 --------- d-----w c:\programmi\File comuni\Symantec Shared
2008-12-24 15:36 --------- d-----w c:\documents and settings\Giampy\Dati applicazioni\AVGTOOLBAR
2008-12-11 10:33 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-09 21:54 --------- d-----w c:\programmi\Java
2008-12-06 10:53 --------- d-----w c:\programmi\Spybot - Search & Destroy
2008-11-24 21:13 --------- d-----w c:\programmi\Unlocker
2008-11-07 15:37 --------- d-----w c:\programmi\MSECache
2008-11-06 14:26 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\avg8
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:02 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-08-25 11:02 20 ---h--w c:\documents and settings\All Users\Dati applicazioni\PKP_DLec.DAT
2008-08-25 11:02 20 ---h--w c:\documents and settings\All Users\Dati applicazioni\PKP_DLds.DAT
2008-07-06 20:22 67,696 ----a-w c:\programmi\mozilla firefox\components\jar50.dll
2008-07-06 20:22 54,376 ----a-w c:\programmi\mozilla firefox\components\jsd3250.dll
2008-07-06 20:22 34,952 ----a-w c:\programmi\mozilla firefox\components\myspell.dll
2008-07-06 20:22 46,720 ----a-w c:\programmi\mozilla firefox\components\spellchk.dll
2008-07-06 20:22 172,144 ----a-w c:\programmi\mozilla firefox\components\xpinstal.dll
2008-05-29 11:51 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008052920080530\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll
"VIDC.LAGS"= lagarith.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Alice ti aiuta.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Alice ti aiuta.lnk
backup=c:\windows\pss\Alice ti aiuta.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NkbMonitor.exe.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\NkbMonitor.exe.lnk
backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AliceRE_McciTrayApp]
--a------ 2006-11-21 15:26 936960 c:\progra~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\McciTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClamWin]
--a------ 2008-09-05 01:43 86016 c:\programmi\ClamWin\bin\ClamTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:14 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C48 Series]
--a------ 2005-05-16 19:00 99840 c:\windows\system32\spool\drivers\w32x86\3\E_S4I091.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]
--a------ 2006-04-21 15:41 438359 c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-08-16 08:35 7630848 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-08-16 08:35 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-20 21:30 77824 c:\programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-09 22:54 136600 c:\programmi\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-06-25 23:53 68856 c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
--a------ 2008-05-02 05:15 15872 c:\programmi\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-16 08:35 1617920 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2006-08-01 12:10 16049664 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"swg"=c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"alxkv"="c:\documents and settings\giampy\impostazioni locali\dati applicazioni\alxkv.exe" alxkv
"auwakoa"="c:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe" auwakoa

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"d:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Mediacenter\\Mediacenter0.4-by Coolstreaming.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Documents and Settings\\Giampy\\Dati applicazioni\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programmi\\PPLive\\PPLive.exe"=
"c:\\Programmi\\TVAnts\\Tvants.exe"=
"c:\\Programmi\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programmi\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programmi\\SopCast\\SopCast.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16525:UDP"= 16525:UDP:Rosso Alice UDP
"19967:TCP"= 19967:TCP:TCP INGRESSO EMULE
"19977:UDP"= 19977:UDP:UDP E MULE

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-12-30 28544]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-30 97928]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-30 231704]
R2 Network WanMiniport First Position;Network WanMiniport First Position;c:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [2008-12-11 8192]

*Newly Created Service* - PROCEXP90
.
Contenuto della cartella 'Scheduled Tasks'

2008-12-24 c:\windows\Tasks\Norton Security Scan for Giampy.job
- c:\programmi\Norton Security Scan\Nss.exe [2008-09-19 04:18]

2009-01-01 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2009-01-02 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2009-01-02 c:\windows\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job
- c:\programmi\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - ORFÃOS REMOVIDOS - - - -

SafeBoot-sglfb.sys
SafeBoot-tga.sys


.
------- Supplementare di scansione -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://virgilio.alice.it/index.html
uInternet Settings,ProxyOverride = 127.0.0.1;<local>
uSearchURL,(Default) = hxxp://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\programmi\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: *.rossoalice.it

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 00:49:40
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\avgrsstx.dll

- - - - - - - > 'lsass.exe'(820)
c:\windows\system32\avgrsstx.dll
.
Ora fine scansione: 2009-01-03 0.51.23
ComboFix-quarantined-files.txt 2009-01-02 23:51:07

Pre-Run: 47.679.680.512 byte disponibili
Post-Run: 47,664,541,696 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

191 --- E O F --- 2008-12-17 23:53:51
Torna in alto
 
r16
Inviato: Saturday, January 03, 2009 10:36:59 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Hai ancora la M.P che non funziona.
Sempre con la funzione "Cerca", elimina il file in rosso:
c:\documents and settings\giampy\impostazioni locali\dati applicazioni\alxkv.exe
Pulisci con CCleaner, e riavvia il pc.
Se la M.P non funziona ancora, prova cosi:
Scarica questo file compresso:
http://www.techportal.it/dl/SafeBoot.zip
Aprilo, e fai doppio clic sul file .reg corrispondente alla versione di Windows che hai in uso. (SP3)
Ti uscirà una finestra che ti chiede: "Si desidera aggiungere i dati contenuti in nome delfile.reg al registro?"
Clicca SI.
Riavvia il pc e vedi se funziona.
Posta un nuovo log di HJT.
Torna in alto
 
giampys
Inviato: Saturday, January 03, 2009 12:46:45 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Ho cercato il file "alxkv.exe" ma non mi è uscito nulla ( ho provato anche con il percorso c:\documents and settings\giampy\impostazioni locali\dati applicazioni)
Scusa la mia ignoranza ma che cos'è la M.P (sicuramente è qualcosa che in questo momento mi sfugge) e che problemi dovrebbe crearmi?
Vado avanti ed è il caso di eliminare Combofix?
Grazie ancora per la pazienza!
Torna in alto
 
r16
Inviato: Saturday, January 03, 2009 12:51:27 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scusa giampys per M.P intendo Modalità Provvisoria. (M.P)
Funziona?
Si elimina Combofix con le modalità che ho descritto.
Torna in alto
 
giampys
Inviato: Saturday, January 03, 2009 1:09:47 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Infatti la mod. provvisoria non va!
Oggi pomeriggio con calma proseguirò con i tuoi suggerimenti e invierò il log
Grazie ancora a più tardi (il lavoro mi chiama)
Giampys
Torna in alto
 
giampys
Inviato: Saturday, January 03, 2009 7:07:48 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Ho fatto tutto alla lettera e ho provato: la prima volta si è aperta la modalità provvisoria ma non recepiva i comandi e l'invio
-sono stato costretto a spegnere il PC col tastino-
cosa fare? Oddio non è che se non riesco ad andare in provvisoria non dormo, però spero non sia successo un qualche cosa
che col tempo...
Comunque ti invio il log di HJT
****************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.00.40, on 03/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\HIJACK\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.alice.it/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmi\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: *.rossoalice.it
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7833 bytes
Torna in alto
 
r16
Inviato: Saturday, January 03, 2009 9:37:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ho il sospetto che magari sia difettata la tastiera, (non sarebbe la prima volta).
Se hai la possibilità,di provare con un'altra tastiera,ci leveremmo questo dubbio.
Poi a mio avviso,hai un troyan (forse 2) nel registro, che sono in attesa di essere "attivati".
Dovresti controllare questa chiave:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
Fai : Start\Esegui\ digita : regedit e poi ok.
Devi cliccare sul + di HKEY_CURRENT_USER finchè arrivi alla cartellina Run.
Cliccandoci sopra,alla cartellina Run sulla destra, vedrai una serie di voci.
Dovresti trovare questa:
alxkv"="c:\documents and settings\giampy\impostazioni locali\dati applicazioni\alxkv.exe" alxkv
E forse anche questa:
auwakoa"="c:\documents and settings\giampy\impostazioni locali\dati applicazioni\auwakoa.exe" auwakoa
Se le trovi, clicchi sull'iconcina con il tasto DESTRO alxkv e la elimini.
Stessa cosa con auwakoa
Chiudi il registro e Riavvia il pc
Poi prova a vedere se funziona la Mod. Provv.
Se non funziona, proveremo in altro modo.
Torna in alto
 
giampys
Inviato: Sunday, January 04, 2009 12:51:33 AM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Fatto tutto alla lettera (ho perso più di un ora per cercare la cartella che ovviamente stava in una delle ultime sottocartelle)
ho eliminato ambedue i file, dopo aver spento e riavviato, ho provato in provv. nulla da fare.
Al momento non ho un'altra tastiera per provare, possiedo una Acer quella col tasto WWW e la manopola del volume, attacco USB
Che fare? Non dirmi di formattare il pc, mi prende un colpo!
P.S. Ho notato che da qualche giorno appena cambio pagina internet mi esce "Impossibile visualizzare la pagina...." poi in seconda battuta va!
Infatti anche questa risposta l'ho dovuta scrivere due volte.
Torna in alto
 
r16
Inviato: Sunday, January 04, 2009 11:46:57 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
No, non se ne parla di formattare.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
Prima di fare la scansione AGGIORNALO.
Esegui una scansione completa del sistema e, una volta terminata la scansione,posta il log che verrà rilasciato in questa discussione.
P.S : hai il cd originale di Windows ?
Torna in alto
 
giampys
Inviato: Sunday, January 04, 2009 1:15:12 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Fatto! Allego il log. Devo rimuovere gli elementi selezionati o attendo te?
P.S. il cd è una copia.
Malwarebytes' Anti-Malware 1.31
Versione del database: 1610
Windows 5.1.2600 Service Pack 3

04/01/2009 13.09.18
mbam-log-2009-01-04 (13-09-00).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 52165
Tempo trascorso: 5 minute(s), 2 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
Torna in alto
 
r16
Inviato: Sunday, January 04, 2009 1:17:02 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Rifai la scansione e elimina quello che ha trovato e posta il log.
Torna in alto
 
giampys
Inviato: Sunday, January 04, 2009 2:13:11 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Stavolta ho eseguito la scanzione in dettaglio (è uscito solo un file infetto che ho eliminato)
Ti allego il log e ci risentiamo dopo pranzo
Grazie della pazienza
Malwarebytes' Anti-Malware 1.31
Versione del database: 1610
Windows 5.1.2600 Service Pack 3

04/01/2009 14.08.28
mbam-log-2009-01-04 (14-08-28).txt

Tipo di scansione: Scansione completa (C:\|D:\|G:\|H:\|I:\|)
Elementi scansionati: 105810
Tempo trascorso: 51 minute(s), 9 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\Multi_Media_Italy\tbMul1.dll (Adware.Shopper) -> Quarantined and deleted successfully.
Torna in alto
 
r16
Inviato: Sunday, January 04, 2009 4:48:21 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Proviamo 2 strade per vedere se riusciamo a far funzionare la Mod Provv.
Se hai il cd originale di Windows prova cosi:
Inserisci il cd nel lettore.
Start\Esegui\ copia-incolla questa stringa: sfc /scannow e premi Invio.
Quando finisce la scansione, leva il cd e riavvia.
Vediamo se ha ripristinato i driver, e prova a vedere se funziona.
La seconda potrebbe essere un Ripristino Configurazione Sistema, a una data in cui sei sicuro che la Mod Provv, funzionasse.
Però con questa operazione ripristiniamo anche i Troyan che avevi.
Vorrei tanto che trovassi e provassi un'altra tastiera,(magari in prestito per 15 minuti) perchè quando hai unito il file compresso SafeBoot al registro, sei riuscito a entrare, era la tastiera che non ti permetteva di fare niente.
Torna in alto
 
giampys
Inviato: Sunday, January 04, 2009 11:01:31 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Avevi ragione! ho provato con una tastiera vecchio tiop (quella con lo spinotto tondo) e finalmente sono entrato in provv.
Adesso il PC ha bisogno di qualche altro intervento? Noto che che le pagine di internet si aprono al secondo tentativo (al primo mi da IMPOSSIBILE VISUALIZZARE LA PAGINA .....)
Mi scuso per l'ora ma sono stato fuori.
Grazie ancora per la pazienza.
Torna in alto
 
r16
Inviato: Sunday, January 04, 2009 11:26:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Puliamo il pc.
Fai:Start\Esegui\ copia-incolla questo comando: %temp% e svuota la cartella Temp.

lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Concludi con una pulizia di CCleaner,(registro compreso).
Per "IMPOSSIBILE VISUALIZZARE LA PAGINA " può essere un problema momentaneo, magari di server o provider.
L'operazione che ho descritto nell'ultimo post,(Se hai il cd originale di Windows prova cosi:
Inserisci il cd nel lettore.
Start\Esegui\ copia-incolla questa stringa: sfc /scannow e premi Invio.) la puoi fare lo stesso.
Di sicuro male non fà.
Tieni aggiornato l'antivirus, e tieni installato Malwarebytes, prima di ogni scansione ricordati di aggiornarlo.
Ciao.
Torna in alto
 
giampys
Inviato: Sunday, January 04, 2009 11:54:21 PM
Rank: AiutAmico

Iscritto dal : 6/17/2006
Posts: 165
Ho eseguito la scansione come suggerito e mi sono usciti ben 23 messaggi, file non so come si chiamano
li allego e dimmi se eliminarli tutti
C:\Documents and Settings\Giampy\Desktop\Alice.url : favicon (1150 bytes)
C:\Documents and Settings\Giampy\Desktop\Streaming X1 Tv Gratis, Free Web TV, Live TV, Calcio Gratis.url : favicon (2550 bytes)
C:\Documents and Settings\Giampy\Preferiti\. www.clubcampani.com - www.clubcampani.it, dal 9 marzo 2001 i primi sul web ..url : favicon (1406 bytes)
C:\Documents and Settings\Giampy\Preferiti\Aiutamici.com.url : favicon (2862 bytes)
C:\Documents and Settings\Giampy\Preferiti\biglietti su anniversario.url : favicon (3638 bytes)
C:\Documents and Settings\Giampy\Preferiti\Controcampo - Homepage.url : favicon (1406 bytes)
C:\Documents and Settings\Giampy\Preferiti\F.C. Internazionale Milano - Sito Ufficiale.url : favicon (3638 bytes)
C:\Documents and Settings\Giampy\Preferiti\Frasi.net sms pronti barzellette poesie frasi d'amore aforismi ricette cucina.url : favicon (3638 bytes)
C:\Documents and Settings\Giampy\Preferiti\HandyLex.org 2008 - Prima pagina.url : favicon (2294 bytes)
C:\Documents and Settings\Giampy\Preferiti\Info Sport Live.url : favicon (3638 bytes)
C:\Documents and Settings\Giampy\Preferiti\Justin.tv - senha está no blog - Video in diretta.url : favicon (3638 bytes)
C:\Documents and Settings\Giampy\Preferiti\Libero - Login.url : favicon (318 bytes)
C:\Documents and Settings\Giampy\Preferiti\life·Dada·net - dolci.ragazze 2 - Video di soffiodipoesia.url : favicon (1406 bytes)
C:\Documents and Settings\Giampy\Preferiti\Musica, Calcio, Giochi, Film, Notizie, Community RossoAlice.url : favicon (1150 bytes)
C:\Documents and Settings\Giampy\Preferiti\Poste Italiane.url : favicon (318 bytes)
C:\Documents and Settings\Giampy\Preferiti\Radio MilanInter.url : favicon (2238 bytes)
C:\Documents and Settings\Giampy\Preferiti\Risultati di Calcio in Tempo Reale - Calcio Live su Goals Live - Football Tutti Campionati Risultati di Calcio Soccer in dirett.url : favicon (766 bytes)
C:\Documents and Settings\Giampy\Preferiti\Sito dedicato all'INTER e ai suoi link.url : favicon (4710 bytes)
C:\Documents and Settings\Giampy\Preferiti\Streaming Tv.url : favicon (1150 bytes)
C:\Documents and Settings\Giampy\Preferiti\Striscia la notizia - Homepage.url : favicon (3262 bytes)
C:\Documents and Settings\Giampy\Preferiti\Traduttore in linea gratuito.url : favicon (1718 bytes)
C:\Documents and Settings\Giampy\Preferiti\Trova Prezzi - Il motore di ricerca per i tuoi acquisti.url : favicon (1718 bytes)
C:\Programmi\Play at Joe's\The Sudoku Challenge\The Sudoku Challenge.exe : {E83B1541-D429-B46D-C82A-B03B1A5B78C4} (100 bytes)
Torna in alto
 
r16
Inviato: Sunday, January 04, 2009 11:57:15 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Si eliminali tutti.
Non aver paura, nessun programma verrà eliminato.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo logfile di hijackthis


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.