Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Sospetto virus

2 pages: [1] 2
Sospetto virus Opzioni
Topic Precedente · Topic Sucessivo
telemaco01
Inviato: Friday, November 06, 2009 2:02:53 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Potete per cortesia controllarmi il log di hijackthis? Grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.23.38, on 06/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\VMware\VMware Workstation\vmware-tray.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ .exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\Programmi\freepops\freepopsd.exe
C:\Acer\Empowering Technology\eRecovery\Monitor .exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp .exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Ufficio\OpenOffice.org 3\program\soffice.exe
C:\Programmi\Ufficio\OpenOffice.org 3\program\soffice.bin
C:\Programmi\National Instruments\MAX\nimxs.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\WINDOWS\system32\icardagt.exe
C:\Programmi\Manutenzione\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Programmi\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Manutenzione\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\Ufficio\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Ufficio\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Collegamento a freepopsd.lnk = C:\Programmi\freepops\freepopsd.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Ufficio\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Visualizza o nasconde HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programmi\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programmi\National Instruments\MAX\nimxs.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments, Inc. - C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programmi\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 14105 bytes
Torna in alto
 
Sponsor
Inviato: Friday, November 06, 2009 2:02:53 PM

 
Torna in alto
 
dario-vr
Inviato: Friday, November 06, 2009 3:30:24 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
Ciao il tuo log non credo abbia grossi problemi, ma fintanto che attendi l'opionione degli amici esperti perché non fai una scansione completa con questo programma:

http://software.aiutamici.com/software?ID=80346

Non eliminare nulla ma posta il report della scansione.
Torna in alto
 
telemaco01
Inviato: Friday, November 06, 2009 6:18:52 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
grazie dario-vr, domani quando sono a casa provo a fare come dici tu!
Torna in alto
 
telemaco01
Inviato: Friday, November 06, 2009 7:19:08 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Ho già fattplo scanner con malwarebytes ma mi dava un errore sull'aggiornasmento definizioni virus che sono riuscito a sistemare. Quando l'ho rifatto con aggiornamento fatto, mi dice che è tutto pulito appena arrivo a casa se vuoi ti posto il log.
Il problema che mi si presentava era che dopo aver scaricato un file da internet, mi sono ritrovato pieno di cavalli di troia del tipo ctv seguito da un numero dot EXE ed ogni tanto mi si apriva una pagina di IE di pubblicità.
Torna in alto
 
dario-vr
Inviato: Friday, November 06, 2009 7:50:33 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
In ogni caso fai una scansione con Systemscan:
SYSTEM SCAN

scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now"
Finita la scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

Poi aspetta e chiedi aiuto a qualche amico molto più esperto nel forum perchè questo programma da moltissime informazioni.
NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
telemaco01
Inviato: Saturday, November 07, 2009 10:32:21 AM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Ho tentato di scaricare Systemscan, ma norton mi impedisce di continuare a scaricare inoltre non è attiva la possibilità di disattivare norton. Allora ho fatto lo scan con malwarebytes, trovando i soliti file (cavalli di troia). Guardando nelle cartelle documenti di due utenti ho trovato questi file che negli altri utenti non esistono:

Amministratore
EXCEL.box
rundll32.exe syspower
rundll32.exe syspower.dll,modeagent
soundman
soundman

giampaolo
rundll32.exe syspower
rundll32.exe syspower.dll,modeagent
soundman
soundman

Questo è il log di malwarebytes
Malwarebytes' Anti-Malware 1.41
Database version: 3109
Windows 5.1.2600 Service Pack 3

07/11/2009 10.08.05
mbam-log-2009-11-07 (10-07-55).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 285059
Time elapsed: 36 minute(s), 38 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 6

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv2137.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv3058.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv1215.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv3982.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv4905.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Amministratore\Impostazioni locali\Temp\ctv5839.exe (Trojan.Dropper) -> No action taken.

Dove caspita si è nascosto questo programma generatore dei cavalli di troia?
Torna in alto
 
telemaco01
Inviato: Sunday, November 08, 2009 11:32:33 AM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Sono riuscito a scaricare systemscan ed a farlo girare. come richiesto da dario-vr, ecco il log.
report.txt
Torna in alto
 
r16
Inviato: Sunday, November 08, 2009 1:46:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Elimina quello che ha trovato Malwarebytes.

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul Desktop

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Torna in alto
 
telemaco01
Inviato: Sunday, November 08, 2009 5:37:26 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Eccomi con il report di combofix. Attendo fiducioso e ringrazio per l'aiuto.

ComboFix 09-11-07.04 - Amministratore 08/11/2009 16.36.40.2.1 - FAT32x86
Eseguito da: c:\documents and settings\Amministratore\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Amministratore\rundll32.exe sispower .exe
c:\documents and settings\Amministratore\soundman .exe
c:\documents and settings\Amministratore\soundman.exe
c:\documents and settings\Giampaolo\rundll32.exe sispower .exe
c:\documents and settings\Giampaolo\soundman .exe
c:\documents and settings\Giampaolo\soundman.exe
c:\windows\system32\ctfmon .exe

.
((((((((((((((((((((((((( Files Creati Da 2009-10-08 al 2009-11-08 )))))))))))))))))))))))))))))))))))
.

2009-11-08 12:26 . 2009-11-08 12:26 -------- d--h--w- c:\windows\PIF
2009-11-05 11:24 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-05 11:24 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-05 10:16 . 2009-11-05 10:16 -------- d-----w- c:\documents and settings\Amministratore\.housecall6.6
2009-11-05 10:13 . 2009-11-05 10:13 -------- d-----w- c:\windows\Sun
2009-11-03 20:21 . 2009-11-03 20:21 -------- d-----w- c:\documents and settings\Augusta\Dati applicazioni\Yahoo!
2009-11-03 20:21 . 2009-11-03 20:21 -------- d-----w- c:\documents and settings\Augusta\Dati applicazioni\HPAppData
2009-11-03 20:21 . 2009-11-03 20:21 -------- d-----w- c:\documents and settings\Augusta\Dati applicazioni\.clamwin
2009-11-03 06:25 . 2009-11-03 06:25 -------- d-sh--w- c:\documents and settings\Amministratore\IECompatCache
2009-11-03 05:07 . 2009-11-03 05:07 -------- d-----w- c:\programmi\Spybot - Search & Destroy
2009-11-03 05:07 . 2009-11-03 05:07 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2009-11-01 19:47 . 2009-11-01 19:47 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\.clamwin
2009-10-31 06:57 . 2009-10-31 06:57 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\.clamwin
2009-10-31 06:57 . 2009-10-31 06:57 -------- d-----w- c:\programmi\ClamWin
2009-10-31 06:57 . 2009-10-31 06:57 -------- d-----w- c:\documents and settings\All Users\.clamwin
2009-10-29 10:20 . 2009-10-29 10:20 -------- d-sh--w- c:\documents and settings\Giampaolo\IECompatCache
2009-10-28 07:42 . 2009-10-28 07:43 -------- d-----w- c:\documents and settings\LocalService\Dati applicazioni\Softland
2009-10-27 10:37 . 2009-10-27 10:37 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\Temp
2009-10-24 08:26 . 2009-10-29 10:38 165232 ---ha-w- c:\documents and settings\Giampaolo\Dati applicazioni\Microsoft\Virtual PC\VPCKeyboard.dll
2009-10-24 08:25 . 2009-10-24 08:25 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\VMware
2009-10-23 09:27 . 2009-10-23 09:27 -------- d-----w- C:\Virtual_Machine
2009-10-23 08:28 . 2001-08-17 20:53 3328 ----a-w- c:\windows\system32\drivers\qv2kux.sys
2009-10-23 08:28 . 2001-08-17 20:53 3328 ----a-w- c:\windows\system32\dllcache\qv2kux.sys
2009-10-23 08:07 . 2008-09-18 15:49 31280 ----a-r- c:\windows\system32\drivers\vmusb.sys
2009-10-23 07:15 . 2008-09-18 15:49 55856 ----a-r- c:\windows\system32\vnetinst.dll
2009-10-23 07:15 . 2008-09-18 15:49 16560 ----a-r- c:\windows\system32\drivers\vmnetadapter.sys
2009-10-23 07:15 . 2008-09-18 22:11 326192 ----a-w- c:\windows\system32\vmnetdhcp.exe
2009-10-23 07:15 . 2008-09-18 22:12 26288 ----a-w- c:\windows\system32\drivers\vmnetuserif.sys
2009-10-23 07:15 . 2008-09-18 22:11 399920 ----a-w- c:\windows\system32\vmnat.exe
2009-10-23 07:15 . 2008-09-18 15:49 50736 ----a-r- c:\windows\system32\vmnetbridge.dll
2009-10-23 07:15 . 2008-09-18 15:49 31280 ----a-r- c:\windows\system32\drivers\vmnetbridge.sys
2009-10-23 07:15 . 2008-09-18 15:49 18736 ----a-r- c:\windows\system32\drivers\vmnet.sys
2009-10-23 07:15 . 2008-09-18 22:11 723504 ----a-w- c:\windows\system32\vnetlib.dll
2009-10-23 07:14 . 2008-09-18 22:12 23216 ----a-w- c:\windows\system32\drivers\VMkbd.sys
2009-10-23 07:12 . 2009-10-23 07:12 -------- d-----w- c:\programmi\VMware
2009-10-22 13:50 . 2009-10-30 08:34 165232 ---ha-w- c:\documents and settings\Amministratore\Dati applicazioni\Microsoft\Virtual PC\VPCKeyboard.dll
2009-10-22 13:49 . 2009-10-22 13:49 -------- d-----w- c:\programmi\Microsoft Virtual PC
2009-10-21 17:13 . 2009-10-21 17:13 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\WinZip
2009-10-21 17:07 . 2009-10-21 17:07 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\Uniblue
2009-10-21 17:07 . 2009-10-21 17:07 -------- d-----w- c:\documents and settings\Amministratore\Impostazioni locali\Dati applicazioni\WinZip
2009-10-21 17:06 . 2009-10-21 17:06 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\WinZip
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\NorthWind
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\MdiFavorites
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\MdiBrowser
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\IsapiFilter
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\IntelliSense
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\FormatCodes
2009-10-21 12:09 . 2009-10-21 12:09 -------- d-----w- c:\documents and settings\Amministratore\EditAndContinue
2009-10-20 11:17 . 2009-10-20 11:17 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\Media Player Classic
2009-10-20 11:14 . 2009-10-20 11:14 -------- d-----w- c:\programmi\XP Codec Pack
2009-10-20 11:06 . 2009-10-20 11:06 -------- d-----w- c:\programmi\pdfsam
2009-10-20 11:05 . 2008-10-08 12:43 20120 ----a-w- c:\windows\system32\dopdfmn6.dll
2009-10-20 11:05 . 2008-10-08 12:43 18072 ----a-w- c:\windows\system32\dopdfmi6.dll
2009-10-20 11:05 . 2009-10-20 11:05 -------- d-----w- c:\programmi\Softland
2009-10-20 10:05 . 2009-10-20 10:05 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\CyberLink
2009-10-20 10:05 . 2009-10-20 10:05 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\CyberLink
2009-10-20 09:28 . 2009-10-20 09:28 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\VMware
2009-10-20 09:26 . 2009-10-20 09:26 -------- d-----w- c:\documents and settings\Amministratore\Impostazioni locali\Dati applicazioni\Temp
2009-10-20 09:26 . 2009-10-20 09:26 -------- d-----w- c:\documents and settings\LocalService\Dati applicazioni\VMware
2009-10-20 09:23 . 2009-10-20 09:23 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\VMware
2009-10-19 13:08 . 2009-10-19 13:08 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Macrovision
2009-10-19 12:50 . 2009-10-19 12:50 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\National Instruments
2009-10-19 12:47 . 2009-10-19 12:47 -------- d-----w- c:\windows\system32\cvirte
2009-10-19 12:46 . 2009-10-19 12:46 -------- d-----w- c:\programmi\National Instruments
2009-10-19 07:18 . 2009-10-19 07:18 -------- d-----w- c:\programmi\TopOCR
2009-10-19 07:06 . 2009-10-19 07:06 -------- d-----w- c:\programmi\Softi Software
2009-10-19 07:06 . 2009-10-19 07:06 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\Softi Software
2009-10-16 10:23 . 2009-10-16 10:23 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\HpUpdate
2009-10-16 10:21 . 2009-10-16 10:21 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\HpUpdate
2009-10-16 10:21 . 2009-10-16 10:21 -------- d-----w- c:\windows\Hewlett-Packard
2009-10-16 07:55 . 2009-10-16 07:55 -------- d-----w- c:\programmi\MSXML 4.0
2009-10-14 07:03 . 2009-10-14 07:03 -------- d-----w- c:\windows\l2schemas
2009-10-14 07:03 . 2009-10-14 07:03 -------- d-----w- c:\windows\system32\it
2009-10-14 07:03 . 2009-10-14 07:03 -------- d-----w- c:\windows\system32\bits
2009-10-14 06:54 . 2009-10-14 06:55 -------- d-----w- c:\windows\EHome
2009-10-13 21:09 . 2009-10-13 21:09 -------- d-----w- c:\documents and settings\Augusta\Impostazioni locali\Dati applicazioni\Identities
2009-10-13 19:52 . 2009-10-13 19:52 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\Identities
2009-10-13 19:49 . 2009-10-13 19:49 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\Adobe
2009-10-13 19:44 . 2009-10-13 19:44 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\HP
2009-10-13 19:43 . 2009-10-13 19:43 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\HP
2009-10-13 19:22 . 2009-10-13 19:22 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\Yahoo!
2009-10-13 19:22 . 2009-10-13 19:22 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\HPAppData
2009-10-13 18:26 . 2009-10-13 18:26 -------- d-----w- c:\programmi\Microsoft
2009-10-13 18:26 . 2009-10-13 18:26 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-10-13 18:26 . 2009-10-13 18:26 -------- d-----w- c:\programmi\Windows Live
2009-10-13 18:25 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-10-13 18:25 . 2009-10-13 18:25 -------- d-----w- c:\programmi\Microsoft SQL Server Compact Edition
2009-10-13 18:24 . 2009-10-13 18:24 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\HPAppData
2009-10-13 18:21 . 2009-10-13 18:21 -------- d-----w- c:\programmi\File comuni\Windows Live
2009-10-13 18:21 . 2009-10-13 18:21 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\WEBREG
2009-10-13 18:21 . 2009-10-13 18:21 -------- d-----w- c:\documents and settings\Amministratore\Impostazioni locali\Dati applicazioni\HP
2009-10-13 18:08 . 2009-10-13 18:08 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\HP
2009-10-13 17:58 . 2008-10-28 11:31 16496 ----a-r- c:\windows\system32\drivers\HPZipr12.sys
2009-10-13 17:58 . 2008-10-28 11:31 49920 ----a-r- c:\windows\system32\drivers\HPZid412.sys
2009-10-13 17:58 . 2008-10-29 19:56 271704 ----a-r- c:\windows\system32\hpzids01.dll
2009-10-13 17:58 . 2008-10-06 14:38 121344 ----a-w- c:\windows\system32\hpf3l083.dll
2009-10-13 17:58 . 2008-10-28 11:31 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2009-10-13 17:57 . 2008-10-29 19:57 307200 ----a-r- c:\windows\system32\hposc_p02a.dll
2009-10-13 17:57 . 2008-10-28 11:31 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2009-10-13 17:57 . 2008-10-28 11:31 309760 ----a-r- c:\windows\system32\difxapi.dll
2009-10-13 17:57 . 2008-10-29 19:57 974848 ----a-r- c:\windows\system32\hpost_p02b.dll
2009-10-13 17:57 . 2008-10-29 19:57 737280 ----a-r- c:\windows\system32\hposwia_p02b.dll
2009-10-13 17:56 . 2009-10-13 17:56 -------- d-----w- c:\documents and settings\Amministratore\Dati applicazioni\Yahoo!
2009-10-13 17:56 . 2009-10-13 17:56 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Yahoo! Companion
2009-10-13 17:56 . 2009-10-13 17:56 -------- d-----w- c:\programmi\Yahoo!
2009-10-13 17:54 . 2009-10-13 17:54 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\HP Product Assistant
2009-10-13 17:52 . 2009-10-13 17:52 -------- d-----w- c:\programmi\File comuni\HP
2009-10-13 17:51 . 2009-10-13 17:51 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\HP
2009-10-13 17:50 . 2009-10-13 17:50 -------- d-----w- c:\programmi\File comuni\Hewlett-Packard
2009-10-13 17:49 . 2009-10-13 17:49 -------- d-----w- c:\windows\system32\DRVSTORE
2009-10-13 17:48 . 2009-10-13 17:48 -------- d-----w- c:\programmi\HP
2009-10-13 17:48 . 2008-04-13 19:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-10-13 17:48 . 2008-04-13 19:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-10-13 17:46 . 2009-10-13 18:21 169199 ----a-w- c:\windows\hpoins36.dat
2009-10-13 17:46 . 2009-06-24 10:40 652 ------w- c:\windows\hpomdl36.dat
2009-10-13 10:58 . 2009-10-13 10:59 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\IsolatedStorage
2009-10-13 10:39 . 2009-10-13 10:39 -------- d-sh--w- c:\documents and settings\Giampaolo\PrivacIE
2009-10-13 10:16 . 2009-10-13 10:16 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\Microsoft Help
2009-10-13 08:15 . 2009-10-13 19:43 120712 ----a-w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-10-13 08:15 . 2009-10-13 08:15 -------- d-----w- c:\documents and settings\Giampaolo\Impostazioni locali\Dati applicazioni\Autodesk
2009-10-13 08:15 . 2009-10-13 08:15 -------- d-----w- c:\documents and settings\Giampaolo\Dati applicazioni\Autodesk
2009-10-13 08:14 . 2009-10-13 08:14 -------- d-sh--w- c:\documents and settings\Giampaolo\IETldCache
2009-10-13 07:36 . 2009-10-13 07:36 -------- d-----w- c:\programmi\AnswerWorks 4.0
2009-10-13 07:34 . 2009-10-13 07:34 -------- d-----w- c:\programmi\AutoCAD 2007
2009-10-13 07:34 . 2009-10-13 07:34 -------- d-----w- c:\documents and settings\Amministratore\Impostazioni locali\Dati applicazioni\Autodesk

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-23 07:14 . 2005-11-03 12:03 550550 ----a-w- c:\windows\system32\perfh010.dat
2009-10-23 07:14 . 2005-11-03 12:03 108458 ----a-w- c:\windows\system32\perfc010.dat
2009-10-14 07:06 . 2005-11-03 11:43 76875 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-13 18:30 . 2009-10-09 10:29 120712 ----a-w- c:\documents and settings\Amministratore\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-10-12 08:58 . 2009-10-12 08:58 -------- d-----w- c:\documents and settings\Telemaco\Dati applicazioni\Malwarebytes
2009-10-10 11:18 . 2009-10-10 11:18 -------- d-----w- c:\documents and settings\Augusta\Dati applicazioni\Malwarebytes
2009-10-09 13:33 . 2009-10-09 13:33 -------- d-----w- c:\programmi\Pubblicazione guidata
2009-10-09 12:35 . 2009-10-09 12:35 -------- d-----w- c:\programmi\Ufficio
2009-10-09 12:30 . 2009-10-09 12:30 -------- d-----w- c:\documents and settings\LocalService\Dati applicazioni\Symantec
2009-10-09 10:31 . 2009-10-09 10:31 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-09 10:31 . 2009-10-09 10:31 152576 ----a-w- c:\documents and settings\Amministratore\Dati applicazioni\Sun\Java\jre1.6.0_15\lzma.dll
2009-10-09 10:25 . 2009-10-09 10:25 -------- d-----w- c:\programmi\SymNetDrv
2009-10-09 09:44 . 2009-10-09 09:44 -------- d-----w- c:\programmi\Java
2009-10-09 09:44 . 2009-10-09 09:44 -------- d-----w- c:\programmi\File comuni\Java
2009-10-09 09:34 . 2009-10-09 09:34 -------- d-----w- c:\programmi\SiSLan
2009-09-11 15:17 . 2004-08-19 04:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 22:03 . 2004-08-19 04:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 08:56 . 2005-07-03 02:15 916480 ------w- c:\windows\system32\wininet.dll
2009-08-26 09:00 . 2004-08-19 04:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2005-10-12 14:04 . 2005-10-12 14:04 131072 ----a-w- c:\programmi\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 13:40 . 2006-06-07 13:40 132848 ----a-w- c:\programmi\internet explorer\plugins\LV82ActiveXControl.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-11 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ntiMUI"="c:\programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2009-11-08 36878]
"RemoteControl"="c:\programmi\CyberLink\PowerDVD\PDVDServ.exe" [2009-11-08 36878]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2008-01-31 58728]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2009-11-08 36878]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-10-09 149280]
"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2009-10-09 100056]
"GhostStartTrayApp"="c:\programmi\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2009-11-08 36878]
"HP Software Update"="c:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2009-11-08 36878]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"vmware-tray"="c:\programmi\VMware\VMware Workstation\vmware-tray.exe" [2008-09-18 84528]
"ClamWin"="c:\programmi\ClamWin\bin\ClamTray.exe" [2009-06-11 86016]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Manutenzione\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SiSPower"="SiSPower.dll" - c:\windows\system32\SiSPower.dll [2005-07-13 49152]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2005-08-17 90112]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programmi\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programmi\\National Instruments\\LabVIEW 8.2\\LabVIEW.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programmi\\VMware\\VMware Workstation\\vmware-authd.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe [2008-04-14 14336]
R4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\programmi\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-12-09 2799808]
S1 GhPciScan;GhostPciScanner;c:\programmi\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]
S2 Utilità di pianificazione di LiveUpdate automatico;Utilità di pianificazione di LiveUpdate automatico;c:\programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 100032]
S2 vmci;VMware vmci;c:\windows\system32\Drivers\vmci.sys [2008-09-18 54960]


--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - INT15.SYS
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'

2009-10-09 c:\windows\Tasks\Norton AntiVirus - Scansione del computer - Amministratore.job
- c:\progra~1\NORTON~1\Navw32.exe [2004-08-24 12:26]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\Ufficio\MICROS~1\Office10\EXCEL.EXE/3000
LSP: c:\programmi\VMware\VMware Workstation\vsocklib.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-08 16:50
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-3237291647-1294369284-1593085102-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(444)
c:\windows\system32\sxs.dll
.
Ora fine scansione: 2009-11-08 17.21.58
ComboFix-quarantined-files.txt 2009-11-08 16:21
ComboFix2.txt 2009-11-05 12:08

Pre-Run: 52.811.202.560 byte disponibili
Post-Run: 52.795.801.600 byte disponibili

- - End Of File - - 420E873F678E40236D52BEEF60472482

P.S. Dopo dovrò controllare anche il portatile!!! (una cosa alla volta)
Torna in alto
 
r16
Inviato: Sunday, November 08, 2009 9:47:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Sono stati eliminati degli eseguibili infetti.
Ci sono ancora problemi?
Torna in alto
 
telemaco01
Inviato: Monday, November 09, 2009 8:07:25 AM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Buona giornata a tutti
Si, R16!

Il report di combofix dice che sono stati cancellati, però alla riaccensione della macchina stamattina mi sono ritrovato:

c:\documents and settings\Amministratore\rundll32.exe sispower .exe
c:\documents and settings\Amministratore\soundman .exe
c:\documents and settings\Amministratore\soundman.exe
c:\documents and settings\Giampaolo\rundll32.exe sispower .exe

inoltre mi si apre sempre la pagina pubblicitaria di IE e , prima, si apre una finestra del debug di visual studio con: errore nello script e che non è possibile aprire una seconda istanza del debug.
Torna in alto
 
telemaco01
Inviato: Tuesday, November 10, 2009 1:50:04 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Mi è chiaro che oramai ho del malware nel computer. Che dite? Formatto tutto per l'ennesima volta?

Ciao
Torna in alto
 
dario-vr
Inviato: Tuesday, November 10, 2009 1:53:36 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
telemaco01 ha scritto:
Mi è chiaro che oramai ho del malware nel computer. Che dite? Formatto tutto per l'ennesima volta?

Ciao


Ciao fossi in te pazienterei un po prima di formattare, aspetta con fiducia i suggerimenti dell'amico r16.

una domanda banale: ma quando hai eseguito la procedura di Combofix avevi tolto il ripristino configurazione di sistema?
Se non lo avevi fatto meglio tu rifaccia la procedura disattivando il ripristino.
Se invece sì aspetta r16, magari ti fa eseguire qualche altra scansione.
Torna in alto
 
telemaco01
Inviato: Tuesday, November 10, 2009 1:57:56 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Grazie della dritta dario-vr, come tu hai infdicato avevo fatto combofix senza disinstallare il ripristino della configurazione. Vado ad eseguire
Grazie di nuovo.
Torna in alto
 
dario-vr
Inviato: Tuesday, November 10, 2009 2:06:00 PM

Rank: AiutAmico

Iscritto dal : 3/28/2007
Posts: 633
telemaco01 ha scritto:
Grazie della dritta dario-vr, come tu hai infdicato avevo fatto combofix senza disinstallare il ripristino della configurazione. Vado ad eseguire
Grazie di nuovo.


Angel

Dopo aver fatto la scansione con Combofix riposta il log qui.

Ps è normale dopo aver eseguito Combofix ritrovare il ripristino configurazione riattivato, lo fa di procedura Combofix
Torna in alto
 
telemaco01
Inviato: Tuesday, November 10, 2009 2:13:28 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Ops! Non so come fare per disabilitare il ripristino della configurazione di sistema.
Qualcuno me puà gentilmente indicare?
Grazie
Torna in alto
 
r16
Inviato: Tuesday, November 10, 2009 2:23:22 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai prima questa operazione:
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

Pulisci con CCleaner.
Riavvia il pc, e vedi se cambia la "solfa".
Se non funziona proveremo con le "cattive maniere".
Torna in alto
 
telemaco01
Inviato: Tuesday, November 10, 2009 2:31:00 PM

Rank: Member

Iscritto dal : 1/30/2009
Posts: 22
Ok R16, vado ad eseguire!

P.S. Ho trovato come fare per disattivare il ripristino della configurazione di sistema. Sono stato troppo frettoloso a fare il post.
Torna in alto
 
simo95
Inviato: Tuesday, November 10, 2009 2:32:46 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
Dal menù start di xp, clicchi col destro su Risorse del computer, e scegli Propietà.
Spostati nella tab Ripristino configurazione di sistema e metti la spunta a: disattiva ripristino cnf. di sistema.
Dai Applica ed esci.
Riavvia il pc, ed esegui la scansione.
Ciao
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Sospetto virus


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.