Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » X r16

X r16 Opzioni
Topic Precedente · Topic Sucessivo
ghiudon
Inviato: Monday, August 24, 2009 12:26:53 AM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Ciao carissimo, saresti così cortese da controllarmi il log di hjt? il sistema operativo fatica a caricare, qualche volta devo riavviare anche 2 o 3 volte. Ciao e grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.18.37, on 24/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\winfax\WFXMOD32.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\EarthWatcher\EarthWatcher.exe
C:\WINDOWS\system32\gsicon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
F:\ClamWinPortable\ClamWinPortable.exe
F:\ClamWinPortable\App\clamwin\bin\ClamWin.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programmi\Atomic Alarm Clock\AtomicAlarmClock.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [EarthWatcher] C:\Programmi\EarthWatcher\EarthWatcher.exe
O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.it/s/v/54.14/uploader2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7EED03-01F2-4D56-9865-22F85A8B5B19}: NameServer = 193.121.150.2,212.247.152.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE31E768-D71E-4068-BAE4-A0DDBE74D812}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

--
End of file - 8134 bytes
Torna in alto
 
Sponsor
Inviato: Monday, August 24, 2009 12:26:53 AM

 
Torna in alto
 
r16
Inviato: Monday, August 24, 2009 10:22:13 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Per caso, ti ricordi se ha cominciato ad avere problemi,DOPO che hai installato qualcosa?
Conosci questo programma ?: EarthWatcher
Perchè F:\ClamWinPortable è installato in una chiavetta? HijackThis, lo rileva come secondo antivirus.
Perchè, usi una versione obsoleta dell'antivirus AVG8 ?

Poi prova a fare queste pulizie:
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:(esclusivamente, su partizioni in NTFS):
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected
Esegui pure una deframmentazione del disco rigido
E fai uno ScanDisk.

Fai una scansione con Malwarebytes, vediamo se rileva qualcosa.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.
Torna in alto
 
ghiudon
Inviato: Monday, August 24, 2009 3:55:43 PM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Eseguito tutto ad eccezione dellla deframmentazione (partizione con poco spazio libero).
Ecco il log:
Malwarebytes' Anti-Malware 1.40
Versione del database: 2687
Windows 5.1.2600 Service Pack 3

24/08/2009 15.46.46
mbam-log-2009-08-24 (15-46-36).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 129148
Tempo trascorso: 1 hour(s), 38 minute(s), 31 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\BITBB.tmp (Trojan.Vundo) -> No action taken.


Earth watcher lo ho installato da poco ma non mi sembra coincida con l'inizio dei problemi (si tratta di un piccolo programma che imposta come sfondo un'immagine del globo terrestre e la aggiorna ogni 20 min)

Clamwin lo ho installato su una chiavetta perchè era la prima volta che lo utilizzavo e non so se lo avrei utilizzato in futuro. Scrive anche lui sul registro? non si tratta di uno standalone?
La versione di avg è la 8.5.386. non si tratta della più recente?

EDIT: forse nel momento in cui ho chiesto il tuo aiuto clamwin stava ancora scansionando
Torna in alto
 
r16
Inviato: Monday, August 24, 2009 4:00:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Elimina quello che ha trovato Malwarebytes.
Ha trovato tracce del Vundo..

Fai questa ulteriore scansione:
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Torna in alto
 
ghiudon
Inviato: Monday, August 24, 2009 11:21:48 PM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Scusa per la tarda risposta, ma sono dovuto uscire, ed inoltre ho dovuto riavviare più di una volta. mi sapresti dire come disabilitare avg?
Torna in alto
 
r16
Inviato: Monday, August 24, 2009 11:26:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
http://www.avg-antivirus.it/support/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=295
Torna in alto
 
ghiudon
Inviato: Monday, August 24, 2009 11:57:09 PM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Ecco il log:

ComboFix 09-08-24.05 - Administrator 24/08/2009 23.40.42.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1576 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Alcrmv.exe
c:\windows\Installer\173b2cf.msi
c:\windows\Installer\18f605d.msi
c:\windows\Installer\1fd82d9.msp
c:\windows\Installer\1fd82da.msp
c:\windows\Installer\1fd82db.msp
c:\windows\Installer\1fd82dc.msp
c:\windows\Installer\1fd82dd.msp
c:\windows\Installer\1fd82de.msp
c:\windows\Installer\1fd82df.msp
c:\windows\Installer\1fd82e0.msp
c:\windows\Installer\1fd82e1.msp
c:\windows\Installer\28ca083.msp
c:\windows\Installer\28ca084.msp
c:\windows\Installer\28ca085.msp
c:\windows\Installer\28ca086.msp
c:\windows\Installer\28ca087.msp
c:\windows\Installer\28ca088.msp
c:\windows\Installer\28ca089.msp
c:\windows\Installer\28ca08a.msp
c:\windows\Installer\28ca08b.msp
c:\windows\Installer\2dbdcd3.msi
c:\windows\Installer\509306.msi
c:\windows\Installer\5ababe.msp
c:\windows\Installer\bd460c.msi
c:\windows\Installer\bd4611.msi
c:\windows\Installer\d41a81.msi
c:\windows\system32\mssockqu.dll
c:\windows\tapiref.dll
c:\windows\UA000059.DLL
c:\windows\wpd99.drv

.
((((((((((((((((((((((((( Files Creati Da 2009-07-24 al 2009-08-24 )))))))))))))))))))))))))))))))))))
.

2009-08-24 09:55 . 2009-08-03 11:36 38160 -c--a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-24 09:55 . 2009-08-24 09:55 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-08-24 09:55 . 2009-08-03 11:36 19096 -c--a-w- c:\windows\system32\drivers\mbam.sys
2009-08-20 09:26 . 2009-08-20 09:26 -------- dc----w- c:\documents and settings\Administrator\Dati applicazioni\Software Informer
2009-08-20 09:26 . 2009-08-20 09:26 -------- d-----w- c:\programmi\Software Informer
2009-08-17 14:54 . 2009-08-18 08:03 -------- d-----w- c:\programmi\EarthWatcher
2009-08-14 18:54 . 2009-08-14 18:54 -------- d-----w- c:\programmi\Batch Picture Resizer
2009-08-13 08:18 . 2009-08-13 08:18 -------- dc----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Cooliris
2009-08-13 08:18 . 2009-07-06 20:44 103424 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-08-13 08:18 . 2009-07-06 20:44 937984 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-08-13 08:18 . 2009-07-06 20:44 65536 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-08-13 08:18 . 2009-07-06 20:44 106496 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-08-13 08:18 . 2009-07-06 20:44 4722688 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\libs\cooliris19.dll
2009-08-13 08:18 . 2009-07-06 20:44 344064 -c--a-w- c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-07-29 19:09 . 2009-06-29 16:12 17408 -c----w- c:\windows\system32\dllcache\corpol.dll
2009-07-29 16:22 . 2009-07-29 16:22 -------- d-----w- c:\programmi\Free PDF to Word Doc Converter

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-24 21:05 . 2008-03-22 07:32 4212 -c-ha-w- c:\windows\system32\zllictbl.dat
2009-08-24 19:15 . 2009-08-24 19:30 720896 -c--a-w- c:\windows\Internet Logs\xDB2E.tmp
2009-08-24 06:09 . 2009-08-24 07:41 3021824 -c--a-w- c:\windows\Internet Logs\xDB2D.tmp
2009-08-23 21:43 . 2009-06-20 07:58 -------- d-----w- c:\programmi\3D Image Commander
2009-08-23 13:48 . 2008-04-10 11:21 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\pdf995
2009-08-22 17:31 . 2008-03-30 16:57 -------- dc----w- c:\documents and settings\Administrator\Dati applicazioni\uTorrent
2009-08-20 09:33 . 2008-09-26 11:00 -------- dc----w- c:\programmi\partition
2009-08-18 16:09 . 2009-01-23 19:22 -------- dc--a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-08-17 14:59 . 2009-08-17 15:09 3048448 -c--a-w- c:\windows\Internet Logs\xDB2B.tmp
2009-08-17 14:55 . 2009-08-17 15:09 2484224 -c--a-w- c:\windows\Internet Logs\xDB2C.tmp
2009-08-11 15:16 . 2008-07-04 12:56 -------- dc----w- c:\programmi\PeerGuardian2
2009-08-05 04:13 . 2008-10-14 18:35 5386915 -c--a-w- c:\windows\Internet Logs\tvDebug.Zip
2009-08-03 16:23 . 2009-08-03 20:04 2997248 -c--a-w- c:\windows\Internet Logs\xDB2A.tmp
2009-08-03 13:51 . 2009-01-23 19:22 -------- dc----w- c:\programmi\SpywareBlaster
2009-07-31 17:43 . 2008-09-10 06:51 -------- dc----w- c:\programmi\winfax
2009-07-30 09:53 . 2008-03-28 18:03 -------- dc----w- c:\programmi\FlashGet
2009-07-22 19:36 . 2009-07-22 19:36 -------- d-----w- c:\programmi\IVT Corporation
2009-07-22 19:33 . 2009-03-22 10:39 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Bluetooth
2009-07-20 10:35 . 2008-10-02 08:09 -------- dc----w- c:\programmi\Winamp
2009-07-20 10:20 . 2008-10-02 08:09 -------- dc----w- c:\documents and settings\Administrator\Dati applicazioni\Winamp
2009-07-19 21:00 . 2009-07-19 21:03 2411008 -c--a-w- c:\windows\Internet Logs\xDB29.tmp
2009-07-13 06:55 . 2009-07-13 06:55 -------- d-----w- c:\programmi\Uconomix
2009-07-09 23:37 . 2009-07-10 11:05 2399744 -c--a-w- c:\windows\Internet Logs\xDB28.tmp
2009-07-07 12:51 . 2009-07-07 12:51 -------- d-----w- c:\programmi\Icon Commander
2009-07-06 09:00 . 2009-07-06 09:03 3084288 -c--a-w- c:\windows\Internet Logs\xDB27.tmp
2009-07-05 17:08 . 2009-07-05 17:08 11952 -c--a-w- c:\windows\system32\avgrsstx.dll
2009-07-05 17:08 . 2009-07-05 17:08 108552 -c--a-w- c:\windows\system32\drivers\avgtdix.sys
2009-07-05 17:07 . 2009-07-05 17:07 335752 -c--a-w- c:\windows\system32\drivers\avgldx86.sys
2009-07-05 17:07 . 2009-07-05 17:07 27784 -c--a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-07-05 17:07 . 2008-06-28 18:59 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2009-07-02 22:52 . 2008-03-22 08:23 -------- dc----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-07-02 22:51 . 2009-07-02 22:51 -------- d-----w- c:\programmi\CCleaner
2009-07-02 07:49 . 2009-07-02 07:49 86358 -c--a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{534385FB-1900-4783-B30C-4F37C7E3D4DC}\_7bea1234.exe
2009-07-02 07:49 . 2009-07-02 07:49 107214 -c--a-r- c:\documents and settings\Administrator\Dati applicazioni\Microsoft\Installer\{534385FB-1900-4783-B30C-4F37C7E3D4DC}\_7bed3c30.exe
2009-07-02 07:49 . 2009-07-02 07:49 -------- d-----w- c:\programmi\Customer Backup
2009-06-29 16:12 . 2004-08-19 16:39 827392 -c--a-w- c:\windows\system32\wininet.dll
2009-06-29 16:12 . 2004-08-19 16:39 78336 -c--a-w- c:\windows\system32\ieencode.dll
2009-06-29 16:12 . 2004-08-19 16:39 17408 -c----w- c:\windows\system32\corpol.dll
2009-06-26 19:10 . 2009-06-26 19:15 2747904 -c--a-w- c:\windows\Internet Logs\xDB25.tmp
2009-06-26 19:10 . 2009-06-26 19:15 2360320 -c--a-w- c:\windows\Internet Logs\xDB26.tmp
2009-06-24 21:44 . 2009-06-25 06:24 1645568 -c--a-w- c:\windows\Internet Logs\xDB24.tmp
2009-06-23 21:47 . 2009-06-24 06:14 2907136 -c--a-w- c:\windows\Internet Logs\xDB23.tmp
2009-06-21 18:34 . 2009-06-22 08:35 3191296 -c--a-w- c:\windows\Internet Logs\xDB22.tmp
2009-06-10 14:47 . 2009-06-10 15:25 185856 -c--a-w- c:\windows\Internet Logs\xDB21.tmp
2009-06-10 07:53 . 2009-06-10 10:24 3144704 -c--a-w- c:\windows\Internet Logs\xDB1F.tmp
2009-06-10 07:53 . 2009-06-10 10:24 2327552 -c--a-w- c:\windows\Internet Logs\xDB20.tmp
2009-06-07 22:49 . 2009-06-08 06:05 3208704 -c--a-w- c:\windows\Internet Logs\xDB1E.tmp
2009-06-01 08:23 . 2001-08-31 15:00 79172 ----a-w- c:\windows\system32\perfc010.dat
2009-06-01 08:23 . 2001-08-31 15:00 458528 ----a-w- c:\windows\system32\perfh010.dat
2009-05-31 09:12 . 2009-05-31 09:15 2279936 -c--a-w- c:\windows\Internet Logs\xDB1D.tmp
2009-05-30 21:50 . 2008-08-27 16:50 3126 -c--a-w- c:\windows\system32\tempimg.tmp
2008-12-02 23:47 . 2008-09-30 16:45 48 --sh--w- c:\windows\SAAA4EF1E.tmp
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkinClock"="c:\programmi\Atomic Alarm Clock\AtomicAlarmClock.exe" [2008-09-11 1739264]
"ATnotes.exe"="c:\programmi\ATnotes\ATnotes.exe" [2005-01-05 1015808]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-28 39408]
"EarthWatcher"="c:\programmi\EarthWatcher\EarthWatcher.exe" [2002-12-13 612864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\programmi\BillP Studios\WinPatrol\winpatrol.exe" [2008-07-04 333120]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]
"ZoneAlarm Client"="c:\programmi\Zone Labs\ZoneAlarm\zlclient.exe" [2009-02-15 981384]
"mouseElf"="c:\progra~1\Genius NetScroll+ Optical Mouse\GNETMOUS.EXE" [2003-05-13 163840]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\ssmmgr.exe" [2006-08-16 503808]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-07-05 1948440]
"DSLAGENTEXE"="dslagent.exe" - c:\windows\system32\dslagent.exe [2002-03-07 16384]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= "c:\programmi\winfax\WfxSeh32.Dll" [1998-07-27 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-07-05 17:08 11952 -c--a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Samsung PanelMgr"=c:\windows\Samsung\PanelMgr\ssmmgr.exe /autorun
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe"
"Device Detector"=DevDetect.exe -autorun
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\FlashGet\\FlashGet.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programmi\\Genius NetScroll+ Optical Mouse\\gnetmous.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [05/07/2009 19.07.50 335752]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [05/07/2009 19.08.01 108552]
R1 GhPciScan;GhostPciScanner;c:\programmi\Symantec\Norton Ghost 2003\GhPciScan.sys [14/08/2002 15.11.16 5632]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [28/04/2003 10.31.18 51169]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [05/07/2009 19.07.11 907032]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [05/07/2009 19.07.06 298776]
R3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [05/07/2008 11.04.18 129535]
S2 gafwload;D-Link DSL-200 USB ADSL Loader;c:\windows\system32\drivers\gafwload.sys [21/03/2008 22.24.14 27147]
S2 PMJ151NM;Panasonic DVC Web Camera;c:\windows\system32\DRIVERS\PMJ151NM.sys --> c:\windows\system32\DRIVERS\PMJ151NM.sys [?]
S3 MTDVC;Panasonic DVC USB-SERIAL Driver for NT Technology;c:\windows\system32\DRIVERS\mtdv2ku1.sys --> c:\windows\system32\DRIVERS\mtdv2ku1.sys [?]
S3 MTDVC_ENUM;Panasonic DVC COM Driver for NT Technology;c:\windows\system32\DRIVERS\mtdv2ks1.sys --> c:\windows\system32\DRIVERS\mtdv2ks1.sys [?]
S4 ASKService;ASKService;c:\programmi\AskBarDis\bar\bin\AskService.exe [12/01/2009 11.01.50 464264]
.
Contenuto della cartella 'Scheduled Tasks'

2009-08-24 c:\windows\Tasks\GlaryInitialize.job
- c:\programmi\Glary Utilities\initialize.exe [2008-09-02 11:51]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-fsm - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Scarica con FlashGet - c:\programmi\FlashGet\jc_link.htm
IE: &Scarica tutto con FlashGet - c:\programmi\FlashGet\jc_all.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {7C7EED03-01F2-4D56-9865-22F85A8B5B19} = 193.121.150.2,212.247.152.2
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\tkh5vx6q.default\
FF - prefs.js: browser.startup.homepage - hxxp://it.giveawayoftheday.com/
FF - plugin: c:\programmi\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\programmi\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npOGAPlugin.dll

---- FIREFOX POLICIES ----

c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-24 23:47
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Ora fine scansione: 2009-08-24 23.50.15
ComboFix-quarantined-files.txt 2009-08-24 21:50
ComboFix2.txt 2009-04-27 00:26

Pre-Run: 567.357.440 byte disponibili
Post-Run: 550.313.984 byte disponibili

269 --- E O F --- 2009-02-19 09:11
Torna in alto
 
r16
Inviato: Tuesday, August 25, 2009 12:35:14 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Combofix ha fatto una bella pulizia.
Disistallalo nella modalità descritta nel post che lo hai scaricato.
Per sicurezza, fai una nuova scansione con Malwarebytes, e vedi se rileva ancora qualcosa.

Disattiva il ripristino configurazione di sistema:
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Spegni il pc.
Avvia il pc.

Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Ancora problemi?
Torna in alto
 
ghiudon
Inviato: Tuesday, August 25, 2009 7:28:39 PM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Va meglio, grazie. Fatica ancora ad avviarsi ed a spegnersi (lo spegnimento non lo completa), ma perlomeno sembra si avvii ogni volta anche se lentamente.
Torna in alto
 
r16
Inviato: Tuesday, August 25, 2009 7:35:37 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il rallentamento all'avvio, non è giustificato dai programmi che partono all'avvio.
Non sono molti.
Ho visto però che hai Ghost.
Non lo usi?
Torna in alto
 
ghiudon
Inviato: Tuesday, August 25, 2009 7:47:23 PM

Rank: AiutAmico

Iscritto dal : 4/30/2007
Posts: 578
Ciao, ghost lo tengo da emergenza estrema, visto che non sono l'unico ad utilizzare il pc e mia moglie mi intasa la partizione C, quindi mi tocca cercare tutti i files e salvarli altrove, ma credo che stavolta mi cimenterò nell'impresa, visto che ghost lo ho utilizzato in precedenza ed è veramente pratico e veloce.
Grazie a te ed un bacio al "moccioso"
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » X r16


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.