Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problema virus Opzioni
r16
Inviato: Sunday, September 27, 2009 9:58:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non preoccuparti per il Ripristino.
E' stato Combofix ad riattivarlo, in quanto prima di ogni scansione, crea un punto di ripristino, per sicurezza.
Comunque adesso, Disattivalo di nuovo.

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView5\NkvMon.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Riavvia il pc.

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Installa il service pack3 di Windows XP :

http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=it

Ti sembra che vada meglio?
maura50
Inviato: Wednesday, September 30, 2009 9:30:40 AM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
Ho eseguito tutto ed è andato tutto bene!!!! Stamani ho rifatto una scansione con AVG e non ha rilevato nulla di infetto ( solo qualche Tracking..) Ho lavorato con Excell e Word senza problemi e tutto sembra a posto.. NON MI PARE VERO!!! GRAZIE !!!!!!
POSSO CHIEDERE ANCORA? Come ripulisco la mia memoria esterna che contiene materiali che dovrei recuperare senza correre il rischio di infettare di nuovo il pc? E le chiavette?
Cosa tengo sul pc delle varie installazioni (Combofix..) ?
Sono proprio felice che mio fratello mi abbia fatto conoscere aiutamici... Ancora grazie
r16
Inviato: Wednesday, September 30, 2009 2:24:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ti ho fatto scaricare Panda Research USB Vaccine, proprio perchè non venga infettato in automatico il pc.
Ma non basta.
Quando inserisci una memoria esterna, falla scansionare singolarmente dai tuoi software di difesa, (antivirus e Malwarebytes) .

Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)

Hai dei software di terze parti obsoleti, (adobe, Java) quindi, soggetti a infezioni.
Consiglio di disistallare da "Installazione Applicazioni" TUTTE le versioni, e installare le ultime versioni.

Dopo la disinstallazione,(con relativa pulizia con CCleaner, e un RIAVVIO del pc) installa le versioni aggiornate di:
Adobe Reader:
http://www.adobe.com/it/products/acrobat/readstep2.html
Una volta installato Adobe Reader lancialo e:
nella barra degli strumenti clicca sul ?
clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.


JAVASun:
http://www.aiutamici.com/software?ID=11134

Se in fase di installazione, ti venisse rchiesta l'installazione di qualche Toolbar, non la installare.


Posta un nuovo log di hijackthis, per un'ultima verifica.
maura50
Inviato: Friday, October 02, 2009 7:25:42 PM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
Ciao! Ho eseguito disinstallazione e installazione di adobe, ma non sono riuscita a trovare da nessuna parte Java: Non c'è nei programmi nè in istallazione-applicazioni... Dove lo prendo? Tra i programmi ho anche un adobe active shere.. quello va bene? Ecco il log di hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.14.31, on 02/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\HSPA USB MODEM\HSPA USB MODEM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D02F5800-BF9F-42DE-81A8-A16F453D5D62}: NameServer = 193.70.152.25 193.70.192.25
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: DeviceManager - Unknown owner - C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5037 bytes
r16
Inviato: Friday, October 02, 2009 9:51:40 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
maura50 ha scritto:
Ciao! Ho eseguito disinstallazione e installazione di adobe, ma non sono riuscita a trovare da nessuna parte Java: Non c'è nei programmi nè in istallazione-applicazioni...

Ma sai che hai ragione?
Non lo hai installato...Whistle
Và beh....si vede che non ne hai bisogno.

Il log di HJT è bello pulito.
Se non riscontri problemi, direi che sei a posto.
maura50
Inviato: Sunday, October 04, 2009 7:58:09 AM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
CIAO! SEMBRAVA COSì BELLO! Ora sono tristissima...
Con ordine: prendendo coraggio l'altro ieri ho preso in mano la memoria esterna; prima di aprirla l'ho fatta scansionare con AVG e Malawarebytes : tutto pulito, nessuna infezione rilevata...
L'ho aperta, ho lavorato su alcuni files, ho eliminata qualcosa che non serviva più. Poi, proprio ritenendolo un eccesso di scrupolo, ho fatto una scansione del computer.. Ecco la mia tristezza...
Infezione; Virus Win32/Heur in C:\Docume^1\Maura\IMPOST^1\Temp\E_N4\dp1.fne
Infezione; Virus TrojanCryptFQT in C:\Docume^1\Maura\IMPOST^1\Temp\E_N4\shell.fne

ed ora? E' vero che ho già tutto il tuo percorso tracciato, ma...
Altre stranezze che non capisco: anche quando il mio pc sembrava ormai pulito, se io portavo a scuola la mia chiavetta (dichiarata"pulita dal mio AVG, la facevo scansionare anche a scuola prima di aprirla, (ormai lo faccio sempre..) Avira, l'antivirus della scuoala "strillava" sempre e non mi apriva tutto. La mia penna è vaccinata con Panda...
r16
Inviato: Sunday, October 04, 2009 2:09:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Peccato......Sick
Si deve ricominciare da capo.
Scansione con Malwarebytes, (aggiornalo prima)
Scansione con Combofix.
Posta i log.
Esegui le pulizie che ho indicato nei post precedenti.
Prendi in seria considerazione, di formattare quella chiavetta.
E di cambiare antivirus.
maura50
Inviato: Thursday, October 08, 2009 8:20:23 PM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
Ciao! Eccomi ancora dopo un po' di scoraggiamento...
I giorni scorsi dopo aver cominciato le scansioni suggerite, ho pensato che, se prima non avessi pulito bene la memoria esterna e le chiavette, sarei stata sempre da capo a riprendermi le infezioni.. Così ho provatp: ho scansionato tutto (memoria e pen drive) con Malwarebytes e AVG, ho scaricato poi i contenuti sul pc e ho riformattato memoria est. e chiavi...
Poi ormai tardi, ho deciso lasciare i vari file sul desktop senza ricollocarli, in modo che venissero ulteriormente puliti con le successive scansioni del pc. Sono appassionata di foto che conservo nella mem. est. e così prima di chiudere tutto ho voluto rivedere vecchie immagini: le cartelle però non si aprono più! Ecco il motivo della lontananza dal pc...
Stasera ho ripreso. Posto i log e poi farò le pulizie che mi avevi suggerito. Una precisazione: ho messo in quarantena i file individuati da malw., anche se il log non lo precisa...Lì dice 1 file infetto, ma nella videata precedente , quando mi si chiedeva cosa fare, ce n'erano un'intera legione!

Malwarebytes' Anti-Malware 1.41
Versione del database: 2925
Windows 5.1.2600 Service Pack 3

08/10/2009 19.26.19
mbam-log-2009-10-08 (19-26-11).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|)
Elementi scansionati: 125172
Tempo trascorso: 20 minute(s), 35 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\1C43AE\RegEx.fnr (Worm.AutoRun) -> No action taken.

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Maura\IMPOST~1\Temp\E_N4
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\cnvpe.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\dp1.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\eAPI.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\HtmlView.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\internet.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\krnln.fnr
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\shell.fne
c:\docume~1\Maura\IMPOST~1\Temp\E_N4\spec.fne
c:\windows\AUTOLNCH.REG

.
((((((((((((((((((((((((( Files Creati Da 2009-09-08 al 2009-10-08 )))))))))))))))))))))))))))))))))))
.

2009-10-02 19:02 . 2009-10-08 17:25 -------- d--h--w- c:\windows\system32\05CB30
2009-10-01 14:14 . 2009-08-13 15:15 512000 -c----w- c:\windows\system32\dllcache\jscript.dll
2009-09-29 22:53 . 2009-06-25 08:25 54272 -c----w- c:\windows\system32\dllcache\wdigest.dll
2009-09-29 22:53 . 2009-06-25 08:25 301568 -c----w- c:\windows\system32\dllcache\kerberos.dll
2009-09-29 22:53 . 2009-06-25 08:25 136192 -c----w- c:\windows\system32\dllcache\msv1_0.dll
2009-09-29 22:53 . 2009-06-24 11:18 92928 -c----w- c:\windows\system32\dllcache\ksecdd.sys
2009-09-29 22:42 . 2008-09-10 01:14 1307648 -c----w- c:\windows\system32\dllcache\msxml6.dll
2009-09-29 22:42 . 2008-04-13 16:53 92672 -c----w- c:\windows\system32\dllcache\msxml6r.dll
2009-09-29 22:42 . 2008-04-13 16:53 92672 ------w- c:\windows\system32\msxml6r.dll
2009-09-29 22:42 . 2008-09-10 01:14 1307648 ------w- c:\windows\system32\msxml6.dll
2009-09-29 22:42 . 2007-06-25 21:00 22060 -c----w- c:\windows\system32\dllcache\npds.zip
2009-09-29 22:42 . 2007-06-25 20:56 403 -c----w- c:\windows\system32\dllcache\npdrmv2.zip
2009-09-29 22:37 . 2008-04-13 17:14 294912 -c----w- c:\windows\system32\dllcache\dlimport.exe
2009-09-29 22:28 . 2009-09-29 22:28 -------- d-----w- c:\windows\EHome
2009-09-19 15:39 . 2009-09-19 15:39 -------- d-----w- c:\programmi\Trend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-08 17:30 . 2009-06-20 11:39 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avg8
2009-10-02 17:07 . 2009-06-20 11:33 -------- d-----w- c:\programmi\File comuni\Adobe
2009-09-30 07:30 . 2009-06-20 11:39 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-09-30 07:30 . 2009-06-20 11:39 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-09-30 07:30 . 2009-06-20 11:39 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-09-30 06:19 . 2004-08-19 12:00 48568 ----a-w- c:\windows\system32\perfc010.dat
2009-09-30 06:19 . 2004-08-19 12:00 347866 ----a-w- c:\windows\system32\perfh010.dat
2009-09-30 05:50 . 2009-06-20 11:53 42944 ----a-w- c:\documents and settings\Maura\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-09-18 16:54 . 2009-09-08 13:48 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-09-15 16:11 . 2009-06-20 12:23 -------- d-----w- c:\programmi\FotoStation Easy
2009-09-10 12:54 . 2009-09-08 13:48 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-09-08 13:48 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-08 17:06 . 2009-09-08 17:06 -------- d-----w- c:\programmi\Unlocker
2009-09-08 15:31 . 2009-09-08 15:31 -------- d-----w- c:\programmi\CCleaner
2009-09-08 13:48 . 2009-09-08 13:48 -------- d-----w- c:\documents and settings\Maura\Dati applicazioni\Malwarebytes
2009-09-08 13:48 . 2009-09-08 13:48 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-08-05 08:59 . 2004-08-19 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 2004-08-19 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-12 10:21 . 2004-08-19 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1090816]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-07-24 07:55 1090816 ----a-w- c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1090816]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1090816]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-27 39408]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-13 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-09-30 2007832]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-09-30 07:30 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgnsx.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [20/06/2009 13.39.10 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [20/06/2009 13.39.16 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [26/06/2009 22.30.01 908056]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [26/06/2009 22.30.03 297752]
S2 DeviceManager;DeviceManager;c:\programmi\File comuni\DeviceHelper\DeviceManager.exe -start --> c:\programmi\File comuni\DeviceHelper\DeviceManager.exe -start [?]
S3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [20/06/2009 13.53.06 103552]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-C8714E - c:\windows\system32\05CB30\C8714E.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-08 19:38
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-10-08 19.39.22
ComboFix-quarantined-files.txt 2009-10-08 17:39

Pre-Run: 113.692.622.848 byte disponibili
Post-Run: 113.694.199.808 byte disponibili

126 --- E O F --- 2009-10-04 14:00
r16
Inviato: Thursday, October 08, 2009 10:16:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Dovevi farmi vedere quella "legione" di file che ha eliminato Malwarebytes.
Non è escluso che le cartelle che adesso non apri, sia perchè le ha corrotte o eliminato i contenuti.
Adesso, l'unico problema sono quelle cartelle, oppure c'è dell'altro?
maura50
Inviato: Friday, October 09, 2009 9:00:53 AM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
Ciao.
Non sono riuscita a copiare la "legione": ci avevo provato...
Ho usato CCleaner, svuotato Prefetch,cestino, pulito ADS e file temporanei...
Comunque ora le scansioni con MalW e AVG escono tutte pulite: anche le cartelle non sono più un vero problema...nella cartella che ho chiamato"memoria" è rimasto solo il file di spiegazione.. il resto non c'è più:
Evidentemente erano file infetti. Non ho più le mie belle foto e i documenti di prima, ma, come dice mio fratello, almeno ho un computer... E mi serve davveroi per il mio lavoro!
Ti ho postato il log di Hijackthis... va tutto bene?
Ancora una domanda, prima di fare cavolate: Ho dei CD di alcuni anni fa, dove avevo salvato dei dati che vorrei provare a recuperare: possono essere infetti anche loro? C'è modo di appurarlo senza scatenare epidemie? ( prima di aprire e lanciare la memoria incriminata, l'avevo scansionata unando il tasto destro..., ma non è bastato!) Grazie di tutto! Ho scoperto aspetti sconosciuti, una nuova dimensione del computer..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.41.37, on 09/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: C8714E.lnk = C:\WINDOWS\system32\05CB30\C8714E.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: DeviceManager - Unknown owner - C:\Programmi\File comuni\DeviceHelper\DeviceManager.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5102 bytes
r16
Inviato: Friday, October 09, 2009 3:07:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: C8714E.lnk = C:\WINDOWS\system32\05CB30\C8714E.EXE

N.B:
Accertati che questa voce NON si rigeneri: (è importante)
O4 - Startup: C8714E.lnk = C:\WINDOWS\system32\05CB30\C8714E.EXE

Solita pulizia con CCleaner. (registro compreso)

Riavvia il pc.

Usiamo un'altro sistema per prevenire infezioni da HD esterni, e chiavette USB, o periferiche, in genere.


Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:

http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI


Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai una scansione delle stesse, con il tuo antivirus. (o Malwarebytes)
Quando sei sicura che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato. (al contrario naturalmente)
Come avrai capito, queste operazioni, impediranno, agli eventuali file infetti che si trovano nelle periferiche esterne, di infettare in automatico il pc.
E, nello stesso tempo, potrai far scansionare (da un antivirus serio) tali periferiche, senza nessun rischio.
maura50
Inviato: Friday, October 09, 2009 9:35:14 PM
Rank: Member

Iscritto dal : 9/8/2009
Posts: 16
ciao.ho pulito come suggerito e quel file non si è rigenerato.
Ho scaricato TweakUI, poi, dovendo verificare anche dei CD ho tolto la spunta anche a CD e DVD.. spero di non aver sbagliato..
Ancora una domanda: tu, al mio posto che antivirus metteresti? devo disattivare il mio? eventualmente sai dirmi dove, come scaricarlo e dove trovare il manuale delle configurazioni ottimali?
Scusa, come vedi, continuo ad approfittare... e continuo ad essere stupita della disponibilità e delle competenze delle persone di aiutamici...Buon fine settimana.
r16
Inviato: Friday, October 09, 2009 9:42:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Ho scaricato TweakUI, poi, dovendo verificare anche dei CD ho tolto la spunta anche a CD e DVD.. spero di non aver sbagliato..

No, non hai sbagliato.

Questo a mio avviso è migliore di AVG.
Scarica Avira:
http://www.aiutamici.com/software?ID=10908

Lo configuri esattamente come in questa guida, in formato PDF:

http://www.zeusnews.it/zz_upload/PSV/Guida%20completa%20di%20%20AVIRA%20Antivir%209.pdf

Le voci indicate nella prima immagine a pagina 11 della Guida, spuntale tutte (nell'immagine non lo sono).
*********************************************************************************
Prima di disistallare AVG cessane l'esecuzione dalla traybar (quella vicino all'orologio di windows )
Poi usa questo Tooll per rimuovere eventuali "rimasugli":
http://www.grisoft.cz/filedir/util/avg_arm_sup_____.dir/avgremover.exe
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.