Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

taskmgr.exe: lo stesso sito ne da 2 descrizioni!!!!!! Opzioni
panchoz
Inviato: Wednesday, June 17, 2009 10:09:07 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
1- Tutto OK

http://www.processlibrary.com/it/directory/files/taskmgr/



2- ...uno spione!!!

http://www.processlibrary.com/it/directory/files/taskmgr/21641



Siccome c'è bell'attivo sul mio pc, anche troppo attivo perchè in fermento anche quando tutto è in stallo, mi date un parere.

Sinceramente penso sia giusta la vers. 1, ma il dubbio rimane.Think
Sponsor
Inviato: Wednesday, June 17, 2009 10:09:07 PM

 
enigmista63
Inviato: Wednesday, June 17, 2009 10:27:53 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao posta un log con hijackthis
panchoz
Inviato: Thursday, June 18, 2009 9:55:22 AM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Ciao Enigmista, grazie.

Premetto che domenica scorsa la scansione con Malwarebytes' mi aveva trovato questo elemento, ora in quantena:
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.


-------------------------------------------------------------------------------------------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.36.40, on 18/06/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\System32\ThpSrv.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [TOSDCR] %ProgramFiles%\TOSHIBA\PasswordUtility\TOSDCR.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32\thpsrv /logon
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TosAutLk] c:\Program Files\TOSHIBA\WirelessKeyLogon\TosAutLk.exe -s
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 7299 bytes
shapiro
Inviato: Thursday, June 18, 2009 10:07:56 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
esegui queste due scansioni

scarica FindAWF da qui >> http://noahdfear.geekstogo.com/FindAWF.exe


lo avvii, nella finestra dos che si apre premi 1 e poi invio; alla fine dello scan copia e incolla il report rilasciato

lo trovi in (C:\findawf\txt).



Scarica e installa http://www.malwarebytes.org/mbam/program/mbam-setup.exe Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata

Posta il log che rilascia




Avvia hijackthis, con tutte le applicazioni chiuse, premi su Do a system scan only , spunta ed elimina (fix checked) le seguenti righe:


O4 - HKLM\..\Run: [ThpSrv] C:\Windows\system32\thpsrv /logon

O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
panchoz
Inviato: Thursday, June 18, 2009 11:30:58 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Shapiro, grazie dell'attenzione, tuttavia lo sai che non sei accreditato per congliare certe operazioni.




Cmq, Malwarebytes' ha dato esito negativo, fra l'altro avresti dovuto accorgerti che ce l'avevo già installato!

FindAWD è per casi così particolari che ci vorrebbe 'na bella sfiga per avere esito positivo in un computer di poco più di 1 mese.

Per "eliminare" aspetto come da policy del Forum.
r16
Inviato: Friday, June 19, 2009 12:14:17 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao panchoz .
Puoi scaricare Combofix.
Se c'è un Dialer, lo rileva lo stesso, con il vantaggio, che può rilevare (se ci sono) anche altre eventuali infezioni.
Eseguilo come Amministratore, e disabilita il UAC.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di combofix (qoobox)
Se non rileva nulla proveremo con Systemscan.
Domanda:
Rilevi qualche problema, o anomalie sul pc?
panchoz
Inviato: Friday, June 19, 2009 1:38:33 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Salve R16, rispondo ora con un attimo di calma.

Questa discussione nasce da una curiosità, o meglio un chiarimento su taskmgr.exe che è (dovrebbe!) un processo legittimo, ma per il quale il sito processlibrary.com fornisce 2 descrizioni tutta'altro che coincidenti!!!

taskmgr.exe viene descritto come Gestione attività Windows, risulta essere fra i processi perennemente attivo nell'utilizzo della CPU, seppur di pochi punti percentuali anche quando tutto è fermo. Può anche essere normale in fondo.

Altro processo sempre attivo dwm.exe descritto come Gestione finestre desktop, anche questo risulta impegnato anche in stato di inattività, sempre con basso impatto sul CPU.

Shhh Sintomi gravi non ce ne sono:

- precedentemente Norton I.S. 2007 mi trovava qualche tracking cookies.

- Malwarebytes' solo la 1^ volta
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

Ma non ho mai usato il programma desktop sms, mai aperto ed anzi vorrei disinstallarlo.

- Avira (dopo Norton) mi ha dato 3 avvisi per non essere riuscito ad aprire 3 file.
Senza Norton 2007 il computer è migliorato parecchio! Ma si trattava di una versione obsoleta.


Shhh Ripeto, il topic è dovuto ad un chiarimento su taskmgr.exe che non solo in processlibrary.com viene ma anche il altri siti viene descritto come malware.

Devo dire che lo stesso avviene per altri processi come csrss.exe (in particolare), upeksvr.exe, winlogon.exe che se da un alto sono tutti legittimi dall'altro lato possono nascondere delle sorprese.

Shhh Questa sera farò il controllo che mi hai chiesto, intanto posso chiederti una tua prima diagnosi sul log di hijack.

Ciao, grazie.




panchoz
Inviato: Friday, June 19, 2009 6:33:14 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Sperando che sia andato tutto beneBoo hoo! Pensavo che ci volesse + tempo.





ComboFix 09-06-18.02 - toshiba 19/06/2009 18.15.45.2 - NTFSx86
Microsoft® Windows Vistaâ„¢ Business 6.0.6001.1.1252.39.1040.18.3062.2082 [GMT 2:00]
Eseguito da: c:\users\toshiba\Desktop\ComboFix.exe
FW: Outpost Firewall *enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((( Files Creati Da 2009-05-19 al 2009-06-19 )))))))))))))))))))))))))))))))))))
.

2009-06-19 16:19 . 2009-06-19 16:19 -------- d-----w- c:\users\toshiba\AppData\Local\temp
2009-06-18 20:42 . 2009-06-18 20:42 -------- d-----w- c:\users\toshiba\AppData\Roaming\Lingoes
2009-06-18 20:42 . 2009-06-18 20:42 -------- d-----w- c:\users\toshiba\AppData\Local\Lingoes
2009-06-18 20:42 . 2009-06-18 20:42 -------- d-----w- c:\program files\Lingoes
2009-06-18 12:25 . 2009-06-18 12:25 3561743 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-06-18 09:25 . 2007-06-28 14:30 28672 ----a-w- c:\users\toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\ftkmyn23.default\extensions\{D249FD00-4DF9-11D9-9FDC-0080481ADA61}\components\mpint.dll
2009-06-18 07:36 . 2009-06-18 07:36 -------- d-----w- c:\program files\Trend Micro
2009-06-17 12:28 . 2009-06-17 12:28 262144 ----a-w- c:\users\NTUser.dat
2009-06-17 12:27 . 2009-06-17 12:27 -------- d-----w- c:\users\toshiba\AppData\Roaming\MetaProducts
2009-06-17 12:27 . 2009-06-17 12:28 -------- d-----w- c:\program files\Download Express
2009-06-16 08:25 . 2009-06-16 08:25 -------- d-----w- C:\zanic
2009-06-14 15:31 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-14 15:31 . 2009-03-24 14:08 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-14 15:31 . 2009-06-14 15:31 -------- d-----w- c:\programdata\Avira
2009-06-14 15:31 . 2009-06-14 15:31 -------- d-----w- c:\program files\Avira
2009-06-14 15:11 . 2009-04-06 09:37 704384 ----a-w- c:\windows\system32\drivers\SandBox.sys
2009-06-14 15:11 . 2009-02-10 14:12 307224 ----a-w- c:\windows\system32\drivers\afwcore.sys
2009-06-14 15:09 . 2009-02-18 15:27 29208 ----a-w- c:\windows\system32\drivers\afw.sys
2009-06-14 15:08 . 2009-06-14 15:08 -------- d-----w- c:\program files\Agnitum
2009-06-14 15:07 . 2009-06-14 15:07 -------- d-----w- c:\programdata\Agnitum
2009-06-14 12:34 . 2009-06-14 12:34 -------- d-----w- c:\users\toshiba\AppData\Roaming\Malwarebytes
2009-06-14 12:34 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-14 12:34 . 2009-06-18 12:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-14 12:34 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-14 12:34 . 2009-06-14 12:34 -------- d-----w- c:\programdata\Malwarebytes
2009-06-14 11:31 . 2009-06-14 11:42 -------- d-----w- c:\program files\Wise Registry Cleaner
2009-06-12 12:24 . 2009-06-12 12:24 0 ----a-w- c:\windows\nsreg.dat
2009-06-11 18:56 . 2009-06-11 18:58 -------- d-----w- c:\windows\system32\dllcache
2009-06-11 18:56 . 2009-06-11 18:57 73728 ----a-w- c:\windows\system32\dllcache\mplayer2.exe
2009-06-10 19:30 . 2009-06-12 17:38 -------- d-----w- c:\users\toshiba\AppData\Local\Opera
2009-06-10 07:32 . 2009-04-21 11:55 2033152 ----a-w- c:\windows\system32\win32k.sys
2009-06-10 07:32 . 2009-04-23 12:42 636928 ----a-w- c:\windows\system32\localspl.dll
2009-06-10 07:31 . 2009-05-09 05:50 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-10 07:31 . 2009-05-09 05:34 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-06-10 07:30 . 2009-04-23 12:43 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-06-07 15:05 . 2009-06-09 20:08 -------- d-----w- C:\Alive
2009-06-03 22:05 . 2008-04-26 08:26 891448 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-06-02 17:37 . 2009-06-09 14:16 -------- d-----w- C:\PerfLogs
2009-06-01 10:15 . 2009-06-01 10:15 -------- d-----w- c:\program files\Microsoft Works
2009-06-01 10:11 . 2009-06-01 10:11 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2009-06-01 10:08 . 2009-06-01 10:08 -------- d--h--r- C:\MSOCache
2009-05-31 14:09 . 2009-05-31 14:09 -------- d-----w- c:\programdata\Azureus
2009-05-31 14:09 . 2009-05-31 17:48 -------- d-----w- c:\users\toshiba\AppData\Roaming\Azureus
2009-05-31 10:31 . 2009-05-31 10:31 -------- d-----w- c:\program files\7-Zip
2009-05-30 13:07 . 2009-06-14 10:17 -------- d-----w- c:\program files\Incomplete
2009-05-30 11:45 . 2009-06-14 10:25 -------- d-----w- c:\users\toshiba\AppData\Roaming\FrostWire
2009-05-30 11:45 . 2009-06-14 10:19 -------- d-----w- c:\program files\FrostWire
2009-05-29 11:24 . 2009-05-29 19:17 -------- d-----w- c:\program files\Common Files\AVSMedia
2009-05-29 11:24 . 2009-05-29 19:17 -------- d-----w- c:\program files\AVSMedia
2009-05-29 11:24 . 2004-07-03 20:08 139264 ----a-w- c:\windows\system32\xvidvfw.dll
2009-05-29 11:24 . 2004-07-03 19:59 524288 ----a-w- c:\windows\system32\xvidcore.dll
2009-05-29 11:24 . 2003-05-22 11:26 638976 ----a-w- c:\windows\system32\divx.dll
2009-05-29 11:24 . 2003-05-21 22:50 261632 ----a-w- c:\windows\system32\mcdvd_32.dll
2009-05-29 11:24 . 2003-05-21 22:50 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
2009-05-29 11:24 . 2003-05-21 11:50 24576 ----a-w- c:\windows\system32\msxml3a.dll
2009-05-29 11:24 . 2002-08-19 23:41 413760 ----a-w- c:\windows\system32\mpg4c32.dll
2009-05-29 11:24 . 2002-01-05 14:48 974848 ----a-w- c:\windows\system32\mfc70.dll
2009-05-29 11:24 . 2002-01-05 13:40 487424 ----a-w- c:\windows\system32\msvcp70.dll
2009-05-29 11:24 . 2002-01-05 01:37 344064 ----a-w- c:\windows\system32\msvcr70.dll
2009-05-29 10:56 . 2009-05-29 10:56 -------- d-----w- c:\windows\Sun
2009-05-29 10:30 . 2009-06-14 20:51 1 ----a-w- c:\users\toshiba\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-05-29 10:29 . 2009-05-29 10:29 -------- d-----w- c:\users\toshiba\AppData\Roaming\OpenOffice.org
2009-05-29 10:26 . 2009-05-29 10:26 -------- d-----w- c:\program files\JRE
2009-05-29 10:26 . 2009-05-29 10:26 -------- d-----w- c:\program files\OpenOffice.org 3
2009-05-29 10:26 . 2009-05-29 10:25 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-28 19:54 . 2009-05-28 19:54 -------- d-----w- c:\program files\GNU
2009-05-28 19:48 . 2009-05-28 23:50 -------- d-----w- c:\program files\GRETECH
2009-05-28 19:18 . 2009-05-28 19:18 -------- d-----w- c:\users\toshiba\AppData\Roaming\kantaris
2009-05-28 11:49 . 2009-05-28 11:49 -------- d-----w- c:\users\toshiba\AppData\Local\Seven Zip
2009-05-28 11:27 . 2009-05-28 11:27 -------- d-----w- c:\program files\VS Revo Group
2009-05-27 21:52 . 2009-05-27 21:52 -------- d-----w- c:\users\toshiba\AppData\Local\Apps
2009-05-27 08:54 . 2009-06-15 13:49 -------- d-----w- c:\users\toshiba\AppData\Roaming\dvdcss
2009-05-27 08:53 . 2009-05-27 08:53 -------- d-----w- c:\users\toshiba\AppData\Roaming\vlc
2009-05-27 08:51 . 2009-05-27 08:51 -------- d-----w- c:\program files\VideoLAN
2009-05-26 20:45 . 2009-05-26 20:45 -------- d-----w- c:\program files\XnView
2009-05-26 12:24 . 2009-06-14 10:38 -------- d-----w- c:\users\toshiba\AppData\Roaming\XnView

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-19 05:52 . 1999-12-31 22:21 104824 ----a-w- c:\users\toshiba\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-18 06:27 . 2006-11-06 01:49 716986 ----a-w- c:\windows\system32\perfh010.dat
2009-06-18 06:27 . 2006-11-06 01:49 141462 ----a-w- c:\windows\system32\perfc010.dat
2009-06-14 15:01 . 2007-05-02 10:48 -------- d-----w- c:\program files\Symantec
2009-06-14 15:01 . 2007-05-02 10:48 -------- d-----w- c:\program files\Common Files\Symantec Shared
2009-06-14 06:40 . 2007-05-02 10:56 -------- d-----w- c:\programdata\Microsoft Help
2009-06-11 19:14 . 2009-06-11 19:14 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-06-02 17:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2009-06-02 17:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2009-06-02 17:40 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-06-02 17:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2009-06-02 17:40 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2009-06-02 17:37 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-06-02 17:24 . 2006-11-02 10:32 101888 ----a-w- c:\windows\system32\ifxcardm.dll
2009-06-02 17:24 . 2006-11-02 10:32 82432 ----a-w- c:\windows\system32\axaltocm.dll
2009-06-01 10:14 . 2006-11-02 12:37 -------- d-----w- c:\program files\MSBuild
2009-05-29 15:43 . 2009-05-12 08:07 680 ----a-w- c:\users\toshiba\AppData\Local\d3d9caps.dat
2009-05-29 10:25 . 2007-05-02 09:59 -------- d-----w- c:\program files\Java
2009-05-17 17:01 . 2009-05-17 13:58 -------- d-----w- c:\users\toshiba\AppData\Roaming\DAEMON Tools Lite
2009-05-17 14:04 . 2009-05-17 14:04 -------- d-----w- c:\programdata\DAEMON Tools Lite
2009-05-17 13:58 . 2009-05-17 13:58 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-05-17 13:16 . 2009-05-17 13:16 -------- d-----w- c:\program files\Elaborate Bytes
2009-05-17 12:48 . 2009-05-17 12:48 -------- d-----w- c:\users\toshiba\AppData\Roaming\Canneverbe_Limited
2009-05-17 12:48 . 2009-05-17 12:48 -------- d-----w- c:\program files\CDBurnerXP
2009-05-14 20:05 . 2009-05-14 20:05 -------- d-----w- c:\program files\Microsoft Games
2009-05-11 12:25 . 2009-05-11 12:23 -------- d-----w- c:\program files\XeroBank
2009-05-10 17:45 . 2009-05-10 17:45 -------- d-----w- c:\users\toshiba\AppData\Roaming\GlarySoft
2009-05-10 10:50 . 2009-05-10 10:50 -------- d-----w- c:\program files\CCleaner
2009-05-09 22:43 . 2009-05-09 22:05 -------- d-----w- c:\program files\Microsoft Silverlight
2009-05-09 22:05 . 2009-05-09 22:02 -------- d-----w- c:\program files\Microsoft
2009-05-09 22:05 . 2009-05-09 22:05 -------- d-----w- c:\program files\Microsoft Office Outlook Connector
2009-05-09 20:18 . 2009-05-09 20:18 -------- d-----w- c:\program files\Common Files\Windows Live
2009-05-09 19:56 . 2009-05-09 19:56 37888 ----a-w- c:\windows\system32\printcom.dll
2009-05-09 19:56 . 2009-05-09 19:56 443392 ----a-w- c:\windows\system32\win32spl.dll
2009-05-09 19:55 . 2009-05-09 19:55 14848 ----a-w- c:\windows\system32\wshrm.dll
2009-05-09 19:55 . 2009-05-09 19:55 113664 ----a-w- c:\windows\system32\drivers\rmcast.sys
2009-05-09 19:55 . 2009-05-09 19:55 288768 ----a-w- c:\windows\system32\drivers\srv.sys
2009-05-09 19:54 . 2009-05-09 19:54 268288 ----a-w- c:\windows\system32\schannel.dll
2009-05-09 19:47 . 2009-05-09 19:47 97800 ----a-w- c:\windows\system32\infocardapi.dll
2009-05-09 19:47 . 2009-05-09 19:47 622080 ----a-w- c:\windows\system32\icardagt.exe
2009-05-09 19:47 . 2009-05-09 19:47 11264 ----a-w- c:\windows\system32\icardres.dll
2009-05-09 19:47 . 2009-05-09 19:47 105016 ----a-w- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-05-09 19:47 . 2009-05-09 19:47 781344 ----a-w- c:\windows\system32\PresentationNative_v0300.dll
2009-05-09 19:47 . 2009-05-09 19:47 43544 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2009-05-09 19:47 . 2009-05-09 19:47 326160 ----a-w- c:\windows\system32\PresentationHost.exe
2009-05-09 19:33 . 2009-05-09 19:33 -------- d-----w- c:\programdata\Office Genuine Advantage
2009-05-09 19:17 . 2009-05-09 19:17 28672 ----a-w- c:\windows\system32\FwRemoteSvr.dll
2009-05-09 19:17 . 2009-05-09 19:17 61440 ----a-w- c:\windows\system32\winipsec.dll
2009-05-09 19:17 . 2009-05-09 19:17 361984 ----a-w- c:\windows\system32\IPSECSVC.DLL
2009-05-09 19:17 . 2009-05-09 19:17 272896 ----a-w- c:\windows\system32\polstore.dll
2009-05-09 19:15 . 2009-05-09 19:15 94720 ----a-w- c:\windows\system32\PortableDeviceClassExtension.dll
2009-05-09 19:15 . 2009-05-09 19:15 241152 ----a-w- c:\windows\system32\PortableDeviceApi.dll
2009-05-09 19:15 . 2009-05-09 19:15 160768 ----a-w- c:\windows\system32\PortableDeviceTypes.dll
2009-05-09 19:09 . 2009-05-09 19:09 376832 ----a-w- c:\windows\system32\winhttp.dll
2009-05-09 19:07 . 2009-05-09 19:07 296960 ----a-w- c:\windows\system32\gdi32.dll
2009-05-09 19:06 . 2009-05-09 19:06 212480 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-05-09 19:04 . 2009-05-09 19:04 562176 ----a-w- c:\windows\system32\msdtcprx.dll
2009-05-09 19:04 . 2009-05-09 19:04 38912 ----a-w- c:\windows\system32\xolehlp.dll
2009-05-09 19:03 . 2009-05-09 19:03 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-05-09 19:03 . 2009-05-09 19:03 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-05-09 19:03 . 2009-05-09 19:03 1695744 ----a-w- c:\windows\system32\gameux.dll
2009-05-09 19:02 . 2009-05-09 19:02 303616 ----a-w- c:\windows\system32\wmpeffects.dll
2009-05-09 19:01 . 2009-05-09 19:01 2048 ----a-w- c:\windows\system32\msxml3r.dll
2009-05-09 19:01 . 2009-05-09 19:01 1191936 ----a-w- c:\windows\system32\msxml3.dll
2009-05-09 18:58 . 2009-05-09 18:58 2048 ----a-w- c:\windows\system32\tzres.dll
2009-05-09 18:57 . 2009-05-09 18:57 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-05-09 18:57 . 2009-05-09 18:57 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-05-09 18:57 . 2009-05-09 18:57 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-05-09 18:52 . 2009-05-09 18:52 2927104 ----a-w- c:\windows\explorer.exe
2009-05-09 18:47 . 2009-05-09 18:47 4495360 ----a-w- c:\windows\system32\NlsData001d.dll
2009-05-09 18:45 . 2009-05-09 18:45 6656 ----a-w- c:\windows\system32\kbd106n.dll
2009-05-09 18:45 . 2009-05-09 18:45 988216 ----a-w- c:\windows\system32\winload.exe
2009-05-09 18:45 . 2009-05-09 18:45 927288 ----a-w- c:\windows\system32\winresume.exe
2009-05-09 18:45 . 2009-05-09 18:45 40960 ----a-w- c:\windows\system32\srclient.dll
2009-05-09 18:45 . 2009-05-09 18:45 318464 ----a-w- c:\windows\system32\rstrui.exe
2009-05-09 18:45 . 2009-05-09 18:45 46592 ----a-w- c:\windows\system32\setbcdlocale.dll
2009-05-09 18:45 . 2009-05-09 18:45 378368 ----a-w- c:\windows\system32\srcore.dll
2009-05-09 18:45 . 2009-05-09 18:45 19000 ----a-w- c:\windows\system32\kd1394.dll
2009-05-09 18:45 . 2009-05-09 18:45 14848 ----a-w- c:\windows\system32\srdelayed.exe
2009-05-09 18:45 . 2009-05-09 18:45 615992 ----a-w- c:\windows\system32\ci.dll
2009-05-09 18:41 . 2009-05-09 18:41 9728 ----a-w- c:\windows\system32\lsass.exe
2009-05-09 18:41 . 2009-05-09 18:41 72704 ----a-w- c:\windows\system32\secur32.dll
2009-05-09 18:41 . 2009-05-09 18:41 441400 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-05-09 18:41 . 2009-05-09 18:41 1255936 ----a-w- c:\windows\system32\lsasrv.dll
2009-05-09 18:41 . 2009-05-09 18:41 24064 ----a-w- c:\windows\system32\amxread.dll
2009-05-09 18:41 . 2009-05-09 18:41 13824 ----a-w- c:\windows\system32\apilogen.dll
2009-05-09 18:39 . 2009-05-09 18:39 712704 ----a-w- c:\windows\system32\WindowsCodecs.dll
2009-05-09 18:39 . 2009-05-09 18:39 425472 ----a-w- c:\windows\system32\PhotoMetadataHandler.dll
2009-05-09 18:39 . 2009-05-09 18:39 347136 ----a-w- c:\windows\system32\WindowsCodecsExt.dll
2009-05-09 18:27 . 2007-05-02 11:04 -------- d-----w- c:\program files\Microsoft SQL Server
2009-05-09 18:14 . 2009-05-09 18:14 96760 ----a-w- c:\windows\system32\dfshim.dll
2009-05-09 18:14 . 2009-05-09 18:14 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-05-09 18:14 . 2009-05-09 18:14 282112 ----a-w- c:\windows\system32\mscoree.dll
2009-05-09 18:14 . 2009-05-09 18:14 83968 ----a-w- c:\windows\system32\mscories.dll
2009-05-09 18:14 . 2009-05-09 18:14 158720 ----a-w- c:\windows\system32\mscorier.dll
2009-05-09 18:09 . 2009-05-09 18:09 98816 ----a-w- c:\windows\system32\mfps.dll
2009-05-09 18:09 . 2009-05-09 18:09 53248 ----a-w- c:\windows\system32\rrinstaller.exe
2009-05-09 18:09 . 2009-05-09 18:09 2868736 ----a-w- c:\windows\system32\mf.dll
2009-05-09 18:09 . 2009-05-09 18:09 2048 ----a-w- c:\windows\system32\mferror.dll
2009-05-09 18:09 . 2009-05-09 18:09 94720 ----a-w- c:\windows\system32\logagent.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-06-19_16.07.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-05-02 09:59 . 2009-06-19 15:42 43234 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2007-05-02 09:59 . 2009-06-19 16:14 43234 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-06-19 16:14 67708 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2006-11-02 13:05 . 2009-06-19 15:42 67708 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2000-01-01 08:30 . 2009-06-19 15:42 10038 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1947986591-1229154314-1111367899-1003_UserData.bin
+ 2000-01-01 08:30 . 2009-06-19 16:14 10038 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1947986591-1229154314-1111367899-1003_UserData.bin
+ 1999-12-31 22:17 . 2009-06-19 16:12 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 1999-12-31 22:17 . 2009-06-19 15:40 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 1999-12-31 22:17 . 2009-06-19 15:40 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 1999-12-31 22:17 . 2009-06-19 16:12 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 1999-12-31 22:17 . 2009-06-19 16:12 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 1999-12-31 22:17 . 2009-06-19 15:40 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-06-19 16:12 . 2009-06-19 16:12 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-19 15:40 . 2009-06-19 15:40 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-19 15:40 . 2009-06-19 15:40 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-06-19 16:12 . 2009-06-19 16:12 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-06-19 16:12 . 2007-03-30 09:07 188416 c:\windows\System32\igfxres.dll
- 2007-05-02 10:25 . 2009-06-19 14:10 1483824 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2007-05-02 10:25 . 2009-06-19 16:12 1483824 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2006-12-03 16:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2006-12-03 16:03 2854912 ----a-w- c:\program files\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThpSrv"="c:\windows\system32\thpsrv" [X]
"TOSDCR"="c:\program files\TOSHIBA\PasswordUtility\TOSDCR.exe" [2007-01-10 174200]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2006-12-19 411768]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-03-23 538744]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-11 180224]
"TosAutLk"="c:\program files\TOSHIBA\WirelessKeyLogon\TosAutLk.exe" [2006-11-20 110592]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 577536]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-06 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-06 154392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-06 133912]
"PSQLLauncher"="c:\program files\Protector Suite QL\launcher.exe" [2006-12-03 49168]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-29 148888]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NDSTray.exe"="NDSTray.exe" [BU]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-03-09 4390912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"DisableCAD"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-12-03 15:50 90112 ----a-w- c:\windows\System32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Agnitum\OUTPOS~1\wl_hook.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1947986591-1229154314-1111367899-1003]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{89125021-9A58-4FA8-839B-21492B430BF8}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\System32\drivers\thpdrv.sys [22/03/2007 13.18.00 21504]
R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\System32\drivers\Thpevm.sys [07/02/2007 17.29.18 6528]
R1 afw;Agnitum Firewall Driver;c:\windows\System32\drivers\afw.sys [14/06/2009 17.09.12 29208]
R1 SandBox;SandBox;c:\windows\System32\drivers\SandBox.sys [14/06/2009 17.11.55 704384]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [14/06/2009 17.09.11 1195008]
R2 BcmSqlStartupSvc;Servizio di avvio SQL Server di Business Contact Manager;c:\program files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [23/02/2009 17.58.52 30312]
R3 afwcore;afwcore;c:\windows\System32\drivers\afwcore.sys [14/06/2009 17.11.38 307224]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [17/11/2008 15.40.22 3668480]
S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [24/11/2008 22.31.10 29263712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenuto della cartella 'Scheduled Tasks'

2009-06-19 c:\windows\Tasks\User_Feed_Synchronization-{5DC2B77B-601B-4C78-B473-39E567F8FB09}.job
- c:\windows\system32\msfeedssync.exe [2009-05-09 11:31]

2009-06-14 c:\windows\Tasks\Wise Registry Cleaner 4.job
- c:\program files\Wise Registry Cleaner\WiseRegistryCleaner.exe [2009-06-14 02:34]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.libero.it/
uInternet Settings,ProxyOverride = local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Scarica con Download &Express - c:\program files\Download Express\Add_Url.htm
IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT
Name-Space Handler: ftp\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: http\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: https\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
FF - ProfilePath - c:\users\toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\ftkmyn23.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.libero.it
FF - component: c:\users\toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\ftkmyn23.default\extensions\{D249FD00-4DF9-11D9-9FDC-0080481ADA61}\components\mpint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-19 18:19
Windows 6.0.6001 Service Pack 1 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(752)
c:\windows\system32\psqlpwd.dll
c:\program files\Protector Suite QL\homefus2.dll
c:\program files\Protector Suite QL\infra.dll

- - - - - - - > 'Explorer.exe'(5272)
c:\program files\Protector Suite QL\farchns.dll
c:\program files\Protector Suite QL\infra.dll
.
Ora fine scansione: 2009-06-19 18.21.07
ComboFix-quarantined-files.txt 2009-06-19 16:21
ComboFix2.txt 2009-06-19 16:08

Pre-Run: 77.766.361.088 byte disponibili
Post-Run: 77.741.260.800 byte disponibili

348 --- E O F --- 2009-06-19 13:30
r16
Inviato: Friday, June 19, 2009 6:58:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao panchoz .
Non c'è niente da preoccuparsi.
L'unica voce di HJT che puoi eliminare, è questa:
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
Le altre, (sospette) sono tutte relazionate a Toshiba, quindi legittime.
Il log di Combofix, oltre a non aver rilevato nessuna infezione, non risultano file infetti, nel log.
Se,taskmgr.exe fosse un virus, non sarebbe una bazzecola.
Avresti un sacco di problemi, instabilità del pc, reindirizzamenti di pagina,CPU alle stelle, e, sopratutto, il log di HJT e Combofix, rileverebbero anomalie nell'Editor del Registro.
Anche dwm.exe , è legittimo, appartiene allo zio Bill.
Sai una cosa panchoz ?
Non c'è niente di peggio che cercare un virus che non c'è.
Il tuo pc è pulito, e anche quel taskmgr.exe è legittimo.
Alle volte anche i migliori siti di informatica, si possono sbagliare.
In questo caso, devono aver fatto un pò di confusione. (capita)
Avira non riesce ad aprire quei fili, perchè sono file di sistema protetti.
Se non lo usi, desktop sms, inutile tenerlo, poi vedi tu...
Ciao!
shapiro
Inviato: Friday, June 19, 2009 7:03:53 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Shapiro, grazie dell'attenzione, tuttavia lo sai che non sei accreditato per congliare certe operazioni.


ciao panchoz

se questo e' il ringraziamento per averti dato un aiuto....beh....non ho parole
r16
Inviato: Friday, June 19, 2009 7:08:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
shapiro ha scritto:
Commenta:
Shapiro, grazie dell'attenzione, tuttavia lo sai che non sei accreditato per congliare certe operazioni.


ciao panchoz

se questo e' il ringraziamento per averti dato un aiuto....beh....non ho parole


Per evitare polemiche sul forum, suggerirei di chiarirvi in "Discussioni Varie" o in MP.
shapiro
Inviato: Friday, June 19, 2009 7:12:15 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
nessun problema r16 Sanchoz puoi seguirlo attentamente

era una mia osservazione tenuto conto che dopo aver offerto la mia assistenza l'ha ''evitata''

rimango senza parole

mi scuso con il forum per questa uscita fuori discussione
panchoz
Inviato: Friday, June 19, 2009 7:39:57 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Shhh Non si può imporre l'aiuto!

Un Aiutamico impone ad un altro Aiutamico!! d'oh! Semmai propone ..e l'altro in piena libertà decide sul da farsi. O no?

E non c'è da rinfacciare proprio nulla.
panchoz
Inviato: Friday, June 19, 2009 7:50:35 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
Shhh R16, guarda un attimo lo sviluppo del topic e vedrai che ho iniziato la discussione per un chiarimento.

Poi un Aiutamico, che pure stimo, ha lanciato l'idea del log HiJackThis e da lì la discussione è andata a valanga.

Fra l'altro non sapendo quello che c'era da fare mi ero preso del tempo libero appositamente per sto Combofix ed invece con 15 minuti ho fatto tutto, grazie anche a questa guida di Combofix: http://www.bleepingcomputer.com/combofix/it/come-usare-combofix


Shhh Istruzioni per per far fuori quella voce. Ciao.
r16
Inviato: Friday, June 19, 2009 11:35:24 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao panchoz .
Se guardi il link che ti ho postato di Combofix, ti accorgerai che è lo stesso sito,(BleepingComputer.com) che hai postato tu.
Anche le istruzioni per l'uso, in parte, le ho ricavate da quella guida.
Il consiglio di scaricare Combofix, era dovuto al fatto, che ritenevo che non avessi un Dialer.
FindAWF, è un programma studiato principalmente, per la rilevazione di Dialer,(Obfuscated, Istant Access, Internet Connection,Zonebac e altri).
Di solito, in un log di HJT, qualche traccia la lasciano, cosa che, nel caso tuo, non c'era.
Da notare, che anche se tu avessi avuto uno di quei virus, Combofix li avrebbe rilevati lo stesso, ma non ti ho fatto scaricare Combofix per un Dialer, ma per qualche altra eventuale infezione nascosta e non rilevata da HJT.
Questo il motivo, della scansione con Combofix.

Poi, questo è un sito libero, se tu, (come tutti gli Aiutamici) vogliono essere assistiti da una persona, invece di un'altra, è un tuo- loro diritto.
Alfonso,P2, e io, abbiamo il benestare dal WebMaster Roselli, di intervenire in quei casi, che alcuni Aiutamici,
(magari in buonafede) diano indicazioni errate, che possono procurare danni ulteriori al pc che chiede aiuto.
Oppure indicazioni inutili.

Per eliminare quella voce fai cosi:
Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
Fai una pulizia con CCleaner.
Riavvia il pc.
panchoz
Inviato: Saturday, June 20, 2009 10:54:15 AM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
r16 ha scritto:
Ciao panchoz .


Per eliminare quella voce fai cosi:
Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked:
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?IT (file missing)
Fai una pulizia con CCleaner.
Riavvia il pc.


Missione compiuta!

Shhh Ho fatto Pulizia con Ccleaner, poi visto che c'ero ho avviato l'analisi del Registro di Ccleaner che mi ha evidenziato un bel pò di "voci" da fixare, forse una cinquantina!
Invece Wisw Registry Cleaner sono una decina, sempre in Modalità provvisoria.

Shhh Però non sapendo se era opportuno azionare "ripara" non ho fatto nulla.

Shhh Che dici ci ritorno in Modalità provvisoria per riparare il registro con Cclenar?

Shhh Attendo le altre istruzioni, ciao.
paolopa
Inviato: Saturday, June 20, 2009 11:02:26 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
ciao panchoz,io non ho mai avuto il minimo problema a fixare le voci di registro inutili con ccleaner,comunque ad un certo punto,prima della risoluzione dei problemi,ti chiede se vuoi fare un backup,fallo,poi quando sarai certo che tutto funziona bene lo stesso,provvederai a cancellarlo.buona giornata!
panchoz
Inviato: Saturday, June 20, 2009 11:25:17 AM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
paolopa ha scritto:
ciao panchoz,io non ho mai avuto il minimo problema a fixare le voci di registro inutili con ccleaner,comunque ad un certo punto,prima della risoluzione dei problemi,ti chiede se vuoi fare un backup,fallo,poi quando sarai certo che tutto funziona bene lo stesso,provvederai a cancellarlo.buona giornata!


Grazie Paolopa, ma in questo momento sono sub judice!
r16
Inviato: Saturday, June 20, 2009 12:02:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao panchoz .
Vai piano con le chiavi del Registro.
Finchè usi CCleaner, può andare bene,(fai sempre i buckup prima dell'eliminazione) ma lascia perdere ulteriori software, e conseguenti eliminazioni, che riguardano l'Editor del Registro.
Non c'è motivo, specialmente se il pc non ti dà problemi.
Inutile rischiare, detti software, possono anche sbagliare, e le conseguenze non sono prevedibili.
Ciao!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.