problemi veri e propi non mi sembra,solo sensazioni e un po di lentezza,ma con 512 di ram...
in c ho trovato questo che non so da dove è uscito,a un certo punyo dice che combo ha rilevato attivita rootkit,ma per me è arabo...
PUSHD "C:\32788R22FWJFW"
SET "Comspec=C:\WINDOWS\system32\cmd.execf"
IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT
VER 1>OsVer
GREP.cfxxe -F "5.1.2" OsVer 1>XP.mac
IF 0 == 0 GOTO NT
GREP.cfxxe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT
SET "Ver_CF=09-10-01.05"
IF NOT EXIST NircmdB.exe COPY /Y Nircmd.cfxxe NircmdB.exe
1 file copiati.
PEV UZIP License\pv_5_2_2.zip .\
MOVE /Y PV.exe PV.cfxxe
IF NOT EXIST PEV.cfxxe COPY /Y PEV.exe PEV.cfxxe
1 file copiati.
SED "/^PATH=/I!d; s///; s/\x22//g" Oripath 1>OriPath00
PEV -rtf -s+901 .\OriPath00 && (
SED -r "s/\x22//g; s/(.{900}).*/\1/; s/;[^;]*$//" OriPath00 1>OriPath01
FOR /F "TOKENS=*" %G IN (OriPath01) DO @SET "PATH=CDROM;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
)
IF NOT EXIST OriPath01 FOR /F "TOKENS=*" %G IN (OriPath00) DO SET "PATH=CDROM;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;%G"
SET "PATH=CDROM;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\;c:\Elements\1stBoot;"
Killing 'runonce.exe'
Killing 'grpconv.exe'
Killing 'procmon.exe'
Killing 'ANDRE.EXE'
Killing 'TOLO.exe'
Killing 'Merlin.scr'
Killing 'jalang.exe'
Killing 'jalangkung.exe'
Killing 'jantungan.exe'
Killing 'DOSEN.exe'
Killing 'C3W3K4MPUS.exe'
pv: No matching processes found
PEV -rtf --c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } 1>temp00 && (
PV -o%f * 1>temp01
PEV -tf -t!o --files:temp01 --c:##5#b#f# 1>temp02
GREP -Fif temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)
Tabella codici attiva: 1252
Impossibile trovare C:\32788R22FWJFW\AbortB
CALL :MDCheck
Impossibile trovare C:\32788R22FWJFW\md5sum00.pif
PEV -rtf -md5979B230F49C5822DE12A7FF1C7088151 .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif
PEV -tf --files:files.pif --c:##5#b#f# 1>mdCheck00.dat
GREP -vs "^!MD5:" mdCheck00.dat 1>mdCheck0a.dat
GREP -Fvf md5sum.pif mdCheck0a.dat 1>mdCheck01.dat && CALL :MDFaiL
GOTO :EOF
=============================================
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\paolo\Dati applicazioni
CD=CDROM
cfExt=cfxxe
CFLDR=32788R22FWJFW
Chksum=979B230F49C5822DE12A7FF1C7088151
CLIENTNAME=Console
Command switches used=Opzioni usate
CommonProgramFiles=C:\Programmi\File comuni
Completion time=Ora fine scansione
COMPUTERNAME=ACER-0PAPJVLNC4
ComSpec=C:\WINDOWS\system32\cmd.execf
Connecting to=Collegarsi a
Connecting to ComboFix servers=Collegamento al server di ComboFix
Cryptography Services Error=Cryptography Services Error
Disclaimer=Una guida sul corretto uso ComboFix può essere trovata qui:~n~nhttp://www.bleepingcomputer.com/combofix/how-to-use-combofix~n_________________________________________________________________________~n~nQuesto strumento è inteso per uso privato. Non dovrebbe essere mai usata in un ambiente non controllati.~nSe le infezioni sono trovati, sarà automaticamente il riavvio di Windows per completare il processo di rimozione.~n~nPer piacere, assicuratevi che tutte le finestre siano chiuse prima di procedere.~n_________________________________________________________________________~n~nIl software è fornito 'così com'è', senza garanzie di alcun tipo.~nTutte le garanzie espressamente implicite sono smentite.~n~nSe non siete d'accordo a termini di cui sopra, si prega di fare clic su 'No' per annullare." "ESONERO GARANZIE SUL SOFTWARE.
DLLs Loaded Under Running Processes=Dlls caricate dai processi in esecuzione
Drivers/Services=Driver/Servizi
Eng=REM
Fail2Delete=Eliminazione Fallita
File Associations=Associazioni dei file
File Replicators=File Replicators
Files Infected - Patched=File infetti - modificati
FIREFOX POLICIES=FIREFOX POLICIES
FP_NO_HOST_CHECK=NO
hidden files=Files nascosti
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\paolo
is infected=è infetto
is missing=è mancante
KMD=CF4069.exe
LANG_CF=IT
Line1=Attendere prego
Line10=Combofix ha rilevato la presenza di attività Rootkit ed è necessario riavviare il pc~nKAnnotare i nomi poichè potranno servirci dopo~n~n%~G" "Rootkit !!
Line10A=Combofix ha rilevato la presenza di attività Rootkit ed è necessario riavviare il pc" "Rootkit !!
Line11=Scansione dei files infetti. . .
Line12=Tipicamente non impiega pi— di 10 minuti
Line13=Su pc molto infetti il tempo di scansione pu• raddoppiare facilmente
Line14=%G ...... driver non caricato con successo.
Line15=Il driver Rootkit %G è ancora presente. Una scansione Rootkit è richiesta.
Line16=Combofix ha modificato le configurazioni dell'orologio.
Line17=Non modificate la configurazione. Verra ristabilit… dopo
Line18=ComboFix ha riscontrato l'errore Terminal!! Per piacere caricate il file- C:\ComboFix_error.dat
Line19=su:
http://www.bleepingcomputer.com/submit-malware.php?channel=4 Line2=Combofix Š pronto per lavorare.
Line20=Preparazione del report.
Line21=Non usate nessun programma finchŠ ComboFix non ha finito
Line22=Nessun nuovo file creato in questo arco di tempo
Line23=*Nota* i valori vuoti ^& legittimi/default non sono visualizzati.
Line24=Contenuto della cartella 'Scheduled Tasks'
Line25=Quasi Finito . . Questa finestra verrà chiusa
Line26=Attendete pochi secondi per il report a pop up
Line27=Il report di ComboFix si trova in C:\COMBOFIX.TXT
Line28=Riavvio di Windows . . . Attendere Prego
Line29=Per piacere, consentite a ComboFix di riavviare il vostro pc.
Line3=Avete bisogno dei privilegi di amministatore per far funzionare il tool" "No Admin !!
Line30=Overlay Annulata ... Per Piacere rieseguite ComboFix
Line31=Errore data: ~%CurrDate.yyyy-MM-dd%~n~nControlla le tue impostazioni" "Errore data
Line32=C:\WINDOWS\system32\Hal.dll mancante!!~n~nE 'importante che non riavviate o spegnete il pc ~n~nPostate nel forum per ricevere immediata assistenza. Non cliccate su OK per ricevere istruzioni" "CRITICAL WARNING!
Line33=Combofix necessita di inviare i files per ulteriori analisi.~n~nPer piacere, accertatevi che siete connessi ad internet prima di cliccare su Ok" "Inviate i files per ulteriori analisi
Line34=Inviate i malware a Bleeping Computer per un analisi.
Line35=Copia/incolla il percorso qui sotto nel box sopra e clicca su Invia.
Line36=La copia infetta di %~1 è stata trovata e disinfettata
Line36A=ipristinata copia da - %~2
Line37=%~1 . . . è infetto!!
Line38=((((((((((((((((((((((((( Files Creati Da %thirty% al %dateX% )))))))))))))))))))))))))))))))))))
Line39=(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
Line4=C:\WINDOWS\regedit.exe è mancante.~n~nCopiate il file da un altro pc" "Terminal Errore - File Mancante
Line40=Il sito appare temporaneamente off-line.~nPer aiutarla, ComboFix crea il form per l'invio qui at:~n~n* C:\CF-Submit.htm~n~nUsatelo per inviare i file in seguito . " "Upload Fallito!!
Line41=((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
Line42=((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
Line43=Eliminazione Files:
Line43A=Eliminazione Cartelle:
Line44=- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
Line45=La chiave di registro SafeBoot ha bisogno di essere riparata. Questo pc non può avviarsi in Modalità Provvisoria.
Line46=scansione processi nascosti ...
Line47=scansione entrate autostart nascoste ...
Line48=Scansione files nascosti ...
Line49=-- Snapshot per reimpostare la data corrente --
Line5=La data corrente è ~%CurrDate.yyyy-MM-dd%.Questa copia di ComboFix è scaduta.~n~nEliminate questa versione prima di scaricare la versione aggiornata" "TERMINA - %ver_CF%
Line50=ComboFix è stato disinstallato" "Info
Line51=Installare la Console di ripristino di emergenza per Windows XP
Line52=Le partizione di avvio non possono essere elencate correttamente
Line53=%BootDir%Boot.ini non è nel formato corretto
Line54=Questo pc ha già la Console di ripristino di emergenza installata.~n~nOperazione annullata
Line55=Si prega di fare cliccare su 'Sì' ... (EULA)" "Installazione della Console di ripristino di emergenza
Line56=Installazione file -%~G - non trovato
Line57=Non hai selezionato Sì~n~nL'installazione è interrotta
Line58=Il contenuto della %BootDir%cmdcons non è in ordine.~n~nPer piacere disattivate i vostro programmi di sicurezza prima di tentare nuovamente
Line59=La Console di ripristino di emergenza è stata installata con successo.~n~nFare clic sul pulsante 'Sì' per continuare la scansione malware per~n~nFare clic su No per uscire" "Qual è il prossimo?
Line6=Tentavate di far funzionare CFScript?~n~nIl nome, CFScript appare ortograficamente non coretto" "CFScript Errore Nome
Line60=Fare clic sul pulsante 'Sì' per continuare la scansione malware per~n~nFare clic su No per uscire" "Qual è il prossimo?
Line62=E' disponibile una versione più recente di ComboFix.~n~nVuoi aggiornare ComboFix?" "Aggiornamento
Line63=--- ATTENZIONE!! ---~n~nUn aggiornamento critico è obbligatorio.~n~nComboFix si aggiornerà ora~n~n--- ATTENZIONE!! ---" "Aggiornamento Critico
Line64=Impossibile aggiornare ComboFix.~n~Nsi continuerà con questa copia." "Impossibile Scaricare
Line65=ComboFix si riavvierà" "Aggiornato
Line66=Interferenze rilevate~n~nSi prega di eseguire una scansione Rootkit." "Abort!
Line67=Non è possibile rinominare ComboFix come %FileName%~n~nSi prega di utilizzare un altro nome, preferibilmente composto da caratteri alfanumerici
Line68=%cd% non previsto nella posizione~n~nInformare sUBs ora!!
Line69=ComboFix riparazione effettuata sul file mancante C:\WINDOWS\system32\hal.dll
Line7=Tentativo di creazione nuovo Punto di Ripristino
Line70=ComboFix ha rilevato che questa macchina non ha la 'Console di ripristino di emergenza' ~n~nSarebbe nel tuo interesse installarla. Vuoi farlo ora?~n~n* Nota *-Ciò richiede una connessione Internet attiva." "Domanda - Console di ripristino di emergenza
Line71=Fare clic su Sì se si tratta di *WINDOWS XP Home Edition*" "XP Home Edition
Line72=Impossibile scaricare i files richiesti. Annullare ... ~n~nContinuerà la scansione per i malware
Line73=Errore interno! Annullare ... Continuerà la scansione per i malware
Line74=Lei sembra non essere collegato a Internet. Si prega di connettersi prima di cliccare su 'OK'
Line75=I seguenti files tentano di attaccare ComboFix. Verranno disabilitati~nAnnotare i nomi poichè potranno servirci dopo~n~n%~G" "Parasites found !!
Line76=ComboFix ha rilevato che il seguente scanner(s) in real t ime è attivo :~n~n%G~n~nE' risaputo che gli antivirus e i software Hips interferiscono con ~nComboFix's se è in esecuzione. Questo potrebbe portare risultati imprevedibili o a ~nmachine danni. Per favore disabilitate gli scanner e cliccate su'OK'." "Attenzione !!
Line77=%G~n~nLo scanner(s) in real time su citato è ancora attivo ma ComboFix ~ncontinua la sua esecuzione. Notate che lo state facendo a vostro rischio" "Attenzione !!
Line78=%~1 was missing
Line79=%~1 . . . is missing!!
Line8=I formati Rich text (RTF) non sono accettati !!~n~nPer piacere, salvate i comandi CFScript come file di testo, usate Notepad.exe" "ERRORE - Il formato Script non è coretto
Line80=!! ALERT !! It is NOT SAFE to continue!~n~nThe contents of the ComboFix package has been compromised.~nPlease download a fresh copy from:~n~nhttp://www.bleepingcomputer.com/combofix/how-to-use-combofix~n~nNote: You may be infected with a file patching virus 'Virut'" "Error
Line81=ComboFix's script appears tampered. It is not safe to continue.~nComboFix shall now exit. Please inform the forum helper that's aiding~nyou. Unless further instructed to do so, do not run ComboFix again." "Failed Verification
Line82=Webserver appears to be temporarily inaccessible.~nFor your convenience, a zipped file has been created at:~n~nC:\CFCollect.zip~n~nPlease upload the file to BleepingComputer~n~nDo not forget to fill in the 'Comments' section" "Upload Failed!!
Line83=
NETSVCS REQUIRES REPAIRS - current entries shownLine84=http://download.bleepingcomputer.com/sUBs/ComboFix.exe~nhttp://www.forospyware.com/sUBs/ComboFix.exe~n~nComboFix.exe may be downloaded from any of the above sites. If you~nhave downloaded from some other site, there's a likely chance that it~nmay be tainted. For peace of mind, I suggest that you delete the current~ncopy and get a fresh one." "Caution
Line85=
Manual Fix is required for restoring CommonStartupLine9=Il driver Rootkit %G è presente. ... tentativo di disinfestazione
Line90=ComboFix needs to perform a deeper scan
Line91=This should not take more than 10-15 minutes
Line92=Infected HTML files detected.
Line93=ComboFix will now attempt to disinfect
Line94=This is going to take some time
Line95=Disinfection complete !!! ... continuing Log Report preparation
Line96=Recovery in Progress . . .
Line97=WARNING !! Do not manually reboot the machine yourself
LOCKED REGISTRY KEYS=CHIAVI DI REGISTRO BLOCCATE
LOGONSERVER=\\ACER-0PAPJVLNC4
machine was rebooted=Il pc è stato riavviato
MODEL=END1
not completed=non completata
NUMBER_OF_PROCESSORS=1
ORPHANS REMOVED=CHIAVI ORFANE RIMOSSE
OS=Windows_NT
Other Running Processes=Altri processi in esecuzione
Other Services/Drivers In Memory=Altri Servizi/Drivers In Memoria
Path=CDROM;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\;c:\Elements\1stBoot;
PATHEXT=.cfxxe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
Possible infected sites=Possibili siti infetti
Post-Run=Post-Run
Pre-Run=Pre-Run
Previous Run=Esecuzione precedente
PROCESS=PROCESSO
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 11 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0b01
ProgramFiles=C:\Programmi
PROMPT=$
Qrntn=C:\Qoobox\Quarantine
RecoveryConsole=ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
Resident AV is active=Resident AV is active
RestorePoint= * Creato nuovo punto di ripristino
RKEY_=hklm\software\microsoft\windows nt\currentversion\windows
Running from=Eseguito da
scan completed successfully=Scansione completata con successo
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\paolo\Desktop\ComboFix.exe" /u
sfxname=C:\Documents and Settings\paolo\Desktop\ComboFix.exe
Stage=Completato Stage_
Supplementary Scan=Scansione supplementare
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\paolo\IMPOST~1\Temp
The following files were disabled during the run=I seguenti file sono stati disabilitati durante la scansione
TMP=C:\DOCUME~1\paolo\IMPOST~1\Temp
Upload was successful=Caricamento effettuato con successo
Uploading files to server=Caricamento file sul server
USERDOMAIN=ACER-0PAPJVLNC4
USERNAME=paolo
USERPROFILE=C:\Documents and Settings\paolo
Ver_CF=09-10-01.05
windir=C:\WINDOWS
=============================================
IF NOT DEFINED sfxname GOTO END
GREP -F \ temp01 && CALL :Aux
GREP -Fi "C:\WINDOWS\system32\userinit.exe" Userinit00 || (SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\WINDOWS\system32\userinit.exe," )
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
SET SfxCmd 1>SET00
SED -r "/SfxCmd=/I!d; s///; s/\s*$//; s/^(\x22[^\x22]*\x22|[^\x22]\S*) +//; s/^\x22*C:\\Documents and Settings\\paolo\\Desktop\\ComboFix.exe\x22*//I; s/^([^\x22]\S*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" SET00 1>sfx.cmd
DEL /A/F SET00
ATTRIB +R "C:\Documents and Settings\paolo\Desktop\ComboFix.exe"
@SET SfxCmd="/u"
CALL sfx.cmd
CALL AV.cmd
SET /a AVCount+=1
NIRCMD EXEC HIDE PV -d9000 -kf CSCRIPT.EXE
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
PV -kf CSCRIPT.exe PV.*
Killing 'CSCRIPT.exe'
Killing 'PV.*'
IF NOT EXIST AvBlack00 GREP -Fsf AVBlack resident.txt 1>AvBlack00 && (
SED -r "s/\x22//g; s/.*\) //; s/.*(\{.{8}-.{4}-.{4}-.{4}-.{12}\}).*/\1/" AvBlack00 1>AvBlack01
FOR /F "TOKENS=*" %G IN (AvBlack01) DO @CSCRIPT.EXE //NOLOGO //E:VBSCRIPT //T:5 wmi_rem.vbs "%~G"
NIRCMD EXEC HIDE PV -d6000 -kf CSCRIPT.EXE
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
PV -kf CSCRIPT.exe PV.*
)
GREP -Fivf AVWhite resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix ha rilevato che il seguente scanner(s) in real t ime è attivo :~n~n%G~n~nE' risaputo che gli antivirus e i software Hips interferiscono con ~nComboFix's se è in esecuzione. Questo potrebbe portare risultati imprevedibili o a ~nmachine danni. Per favore disabilitate gli scanner e cliccate su'OK'." "Attenzione !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nLo scanner(s) in real time su citato è ancora attivo ma ComboFix ~ncontinua la sua esecuzione. Notate che lo state facendo a vostro rischio" "Attenzione !!" ""
)
DEL /A/F/Q AVChk? AvWhite AvBlack AvBlack0?
SET AVCount=
IF EXIST vista.mac CALL :Vista
GREP -Fx "REGEDIT4" Fin.dat || (
ECHO.1>"C:\DOCUME~1\paolo\IMPOST~1\Temp\tdsstdss"
PEV -rtf "C:\DOCUME~1\paolo\IMPOST~1\Temp\tdsstdss" || (
ECHO.1>wtf_tdssserv
CALL c.bat
GOTO END
)
GOTO AbortD
)
REGEDIT4
IF /I "CDROM" NEQ "C:\32788R22FWJFW" GOTO Abort
IF EXIST "C:\DOCUME~1\paolo\IMPOST~1\Temp\32788R22FWJFW32788R22FWJFW.log" GOTO AbortC
CALL NircmdB.exe INFOBOX "%cd% non previsto nella posizione~n~nInformare sUBs ora!!" ""
IF NOT DEFINED RKEY_ GOTO :EOF
IF /I "" EQU "RKEYB" GOTO RKEYB
IF EXIST "C:\WINDOWS\system32\cmd.execf" MOVE /Y "C:\WINDOWS\system32\cmd.execf" "C:\DOCUME~1\paolo\IMPOST~1\Temp"
CD ..
IF DEFINED cfldr START NIRCMD CMDWAIT 200 EXECMD " DEL /A/F Bug.txt && RD /S/Q "32788R22FWJFW" "
Impossibile trovare il file NIRCMD.
IF NOT DEFINED cfldr START NIRCMD CMDWAIT 200 EXECMD DEL /A/F Bug.txt
EXIT
