Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Problemone

Problemone Opzioni
Topic Precedente · Topic Sucessivo
darz1983
Inviato: Tuesday, November 10, 2009 9:33:40 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
Salve ragazzi vi conosco da tanto ma solo ora vi parlo perche ho fatto qualche casino con il pc. In pratica quando vado su internet e scarico qualcosa mi si pianta tutto e firefox prende tutta la cpu. Anche se vado a vedere un video mi si pianta tutto. Credevo fosse avast allora ho messo avira ma nulla da fare. Per scaricare avira ho dovuto riavviare il mio portatile 2000 volte aiutatemi se potete.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.11.22, on 10/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Lexmark 3400 Series\ezprint.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EzPrint] "C:\Programmi\Lexmark 3400 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programmi\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - D:\Programmi1\mpe akai\AMVConverter\grab.html
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - D:\Programmi1\mpe akai\MediaManager\grab.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Programmi1\TV internet\PPlive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Programmi1\TV internet\PPlive\PPLive.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174152093648
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7119 bytes
Torna in alto
 
Sponsor
Inviato: Tuesday, November 10, 2009 9:33:40 PM

 
Torna in alto
 
r16
Inviato: Tuesday, November 10, 2009 9:39:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.
Torna in alto
 
darz1983
Inviato: Wednesday, November 11, 2009 7:45:33 AM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
r16 ha scritto:
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.


Ciao R16, allora ho pulito il registro ho fatto la scansione completa con windows avviato normalmente ed il risultato e' questo:

Malwarebytes' Anti-Malware 1.41
Versione del database: 3143
Windows 5.1.2600 Service Pack 2

11/11/2009 7.37.49
mbam-log-2009-11-11 (07-36-52).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 196846
Tempo trascorso: 3 hour(s), 8 minute(s), 44 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\ReinstallBackups\0021\DriverFiles\i386\atapi.sys (Rootkit) -> No action taken.

allora io non ho fatto ancora niente, cioe' ho ancora la finestra di malware aperta davanti a me; ora cosa devo fare? devo cancellare questo file infetto? aspetto delucidazioni da parte tua intanto lascio acceso il pc. Ciao e grazie

p.s. ho provato ad avviare emule e ho notato che dopo qualche minuto che scarica la cpu va al 100% e mi si pianta quindi deduco che ovunque scarico mi si pianta. Fra un po' vado a lavoro e torno stasera io malware l'ho lasciato sempre nella schermata del virus rilevato non sono uscito e non l'ho eliminato perche' ho paura di fare danni, aspetto una tua risposta R16. Ciao
Torna in alto
 
r16
Inviato: Wednesday, November 11, 2009 10:06:44 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Elimina quello che ha trovato Malwarebytes.

Per favore, non utilizzare il pc quando si è infetti, oppure durante la bonifica, in quanto si peggiora la situazione.
Specialmente non utilizzare E-Mule, o File Sharing.

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Disinstalla combofix in questo modo: (dopo che avrò visto il log)
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Torna in alto
 
darz1983
Inviato: Wednesday, November 11, 2009 11:06:09 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
Nulla da fare lo avvio e mi da un errore con segnalazione a microsoft un errore di nircmd.exe o una cosa del genere. Non so che fare... Ho chiuso tutto antivirus, firewall,non ho mosso il mouse ma ho solo risposto si alla richiesta di accettazione dei termini di contratto del programma. La domanda sulla console non me l'ha fatta, appena mi esce una piccola schermata blu mi da questo errore.
Torna in alto
 
r16
Inviato: Wednesday, November 11, 2009 11:14:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disistalla Combofix così:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Fai una pulizia con CCleaner.
Riavvia il pc.

Procedi a una nuova installazione di Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Durante lo scaricamento, prova a RINOMINARE combofix così: Combo-Fix.exe
Quando lo hai sul Desktop, fai così:
Start\Esegui\ copi-incolla questo comando:
"%userprofile%\desktop\Combo-Fix.exe" /KillAll (virgolette comprese)
Clicca Ok.
Dovrebbe partire.
Torna in alto
 
darz1983
Inviato: Wednesday, November 11, 2009 11:15:50 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
ok provo
Torna in alto
 
darz1983
Inviato: Thursday, November 12, 2009 1:38:28 AM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
Dopo tanti errori e un riavvio perche mi diceva combo ha rilevato un rootkik e quindi il pc deve essere riavviato, ho in mano un log da parte di combo e ora lo posto, R16 tocca a te...

ComboFix 09-11-11.02 - dario 12/11/2009 0.20.55.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.766.543 [GMT 1:00]
Eseguito da: c:\documents and settings\dario\desktop\Combo-Fix.exe
Opzioni usate :: /KillAll
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

La copia infetta di c:\windows\system32\drivers\atapi.sys è stata trovata e disinfettata
ipristinata copia da - Kitty ate it :p
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Service_oreans32


((((((((((((((((((((((((( Files Creati Da 2009-10-11 al 2009-11-11 )))))))))))))))))))))))))))))))))))
.

2009-11-11 00:53 . 2009-11-11 00:53 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\Malwarebytes
2009-11-11 00:53 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-11 00:53 . 2009-11-11 00:53 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-11-11 00:53 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-11 00:36 . 2009-11-11 00:36 -------- d-----w- c:\programmi\Yahoo!
2009-11-11 00:35 . 2009-11-11 00:36 -------- d-----w- c:\programmi\CCleaner
2009-11-10 20:10 . 2009-11-10 20:10 -------- d-----w- c:\programmi\Trend Micro
2009-11-08 22:00 . 2009-03-30 09:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-08 22:00 . 2009-02-13 11:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-08 22:00 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-08 22:00 . 2009-11-08 22:00 -------- d-----w- c:\programmi\Avira
2009-11-08 22:00 . 2009-11-08 22:00 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2009-11-08 11:07 . 2008-10-16 13:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-11-08 11:07 . 2008-10-16 13:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-11-08 09:18 . 2009-11-08 10:12 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\GlarySoft
2009-11-07 22:38 . 2009-11-07 22:38 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\Uniblue
2009-11-07 21:10 . 2009-11-07 21:10 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\Foxit
2009-11-07 20:55 . 2009-11-07 21:12 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NOS
2009-11-07 20:55 . 2009-09-23 15:37 34112 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg_bootstrap.exe
2009-11-07 20:55 . 2009-09-23 15:37 32448 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2009-11-07 20:55 . 2009-09-23 15:37 22352 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2009-11-07 16:49 . 2009-11-07 17:05 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\QuickScan
2009-11-07 16:48 . 2009-10-29 14:39 679936 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2009-11-07 16:48 . 2009-10-29 14:39 614400 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2009-11-05 13:44 . 2009-11-05 13:44 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2009-11-05 13:44 . 2009-11-05 13:44 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2009-11-05 13:44 . 2009-11-05 13:44 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing
2009-11-05 13:44 . 2009-11-05 13:44 -------- d-----w- c:\documents and settings\HelpAssistant\LocalLow
2009-11-05 13:44 . 2009-11-05 13:44 -------- d-----w- c:\documents and settings\HelpAssistant\Incomplete
2009-11-05 13:39 . 2009-11-05 13:39 -------- d-----w- c:\documents and settings\HelpAssistant\dwhelper
2009-11-05 13:20 . 2009-11-05 13:20 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts
2009-10-26 21:10 . 2009-10-26 21:13 4100096 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\PowerSoccer\PowerSoccer.exe
2009-10-18 15:38 . 2009-10-18 15:39 917504 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\PowerSoccer\TVE3.dll
2009-10-18 15:36 . 2009-10-18 15:36 253952 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\PowerSoccer\OpenAL32.dll
2009-10-18 15:36 . 2009-10-18 15:36 676464 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\PowerSoccer\DFEngine.dll
2009-10-18 15:33 . 2009-10-18 15:33 656088 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\loader8.dll
2009-10-18 15:33 . 2009-10-18 15:36 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge
2009-10-18 15:33 . 2009-10-18 15:33 -------- d-----w- c:\documents and settings\dario\Impostazioni locali\Dati applicazioni\PowerChallenge
2009-10-18 01:01 . 2009-10-18 01:01 152576 ----a-w- c:\documents and settings\dario\Dati applicazioni\Sun\Java\jre1.6.0_16\lzma.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-08 10:13 . 2007-11-26 20:05 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\uTorrent
2009-11-08 10:13 . 2007-04-11 14:08 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\BitTorrent
2009-11-08 10:08 . 2007-03-17 15:06 -------- d-----w- c:\programmi\Servizi in linea
2009-11-07 22:00 . 2007-03-17 16:54 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-11-07 20:29 . 2007-03-17 17:41 -------- d-----w- c:\programmi\File comuni\Adobe
2009-11-03 20:05 . 2007-03-19 22:22 -------- d-----w- c:\programmi\Mozilla Thunderbird
2009-10-26 09:57 . 2001-08-31 10:00 76970 ----a-w- c:\windows\system32\perfc010.dat
2009-10-26 09:57 . 2001-08-31 10:00 454368 ----a-w- c:\windows\system32\perfh010.dat
2009-10-23 14:28 . 2009-05-30 12:32 -------- d-----w- c:\documents and settings\dario\Dati applicazioni\xVideoServiceThief
2009-10-18 01:03 . 2007-03-26 20:27 -------- d-----w- c:\programmi\Java
2009-10-05 10:25 . 2007-03-18 00:04 64952 ----a-w- c:\documents and settings\dario\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-10-05 10:24 . 2009-10-05 10:16 -------- d-----w- c:\programmi\Windows Live
2009-10-05 10:24 . 2007-03-26 17:55 -------- d-----w- c:\programmi\Windows Live Toolbar
2009-10-05 10:23 . 2009-10-05 10:23 -------- d-----w- c:\programmi\Microsoft Sync Framework
2009-10-05 10:22 . 2007-03-26 17:53 -------- d-----w- c:\programmi\MSN Messenger
2009-10-05 10:17 . 2009-10-05 10:17 -------- d-----w- c:\programmi\Microsoft
2009-10-05 10:17 . 2009-10-05 10:17 -------- d-----w- c:\programmi\Windows Live SkyDrive
2009-10-05 10:10 . 2009-10-05 10:10 -------- d-----w- c:\programmi\File comuni\Windows Live
2009-09-21 08:50 . 2009-09-21 08:50 656088 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\loader.dll
2009-09-21 08:50 . 2009-09-21 08:50 266968 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\axpowerloader.dll
2009-09-21 08:50 . 2009-09-21 08:50 217816 ----a-w- c:\documents and settings\dario\Dati applicazioni\PowerChallenge\nppowerloader.dll
2009-09-17 15:54 . 2009-09-18 18:17 2491192 ----a-w- c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
2009-08-27 11:37 . 2009-08-27 11:37 152576 ----a-w- c:\documents and settings\dario\Dati applicazioni\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-16 18:04 . 2009-08-16 18:01 5519752 ----a-w- c:\documents and settings\dario\Dati applicazioni\TVU Networks\TVU AutoUpgrade\TVUPlayer2.4.7.2.exe
2009-11-11 21:42 . 2009-11-09 21:18 67688 ----a-w- c:\programmi\mozilla firefox\components\jar50.dll
2009-11-11 21:42 . 2009-11-09 21:18 54368 ----a-w- c:\programmi\mozilla firefox\components\jsd3250.dll
2009-11-11 21:42 . 2009-11-09 21:18 34944 ----a-w- c:\programmi\mozilla firefox\components\myspell.dll
2009-11-11 21:43 . 2009-11-09 21:19 46712 ----a-w- c:\programmi\mozilla firefox\components\spellchk.dll
2009-11-11 21:43 . 2009-11-09 21:19 172136 ----a-w- c:\programmi\mozilla firefox\components\xpinstal.dll
2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\programmi\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\programmi\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"EzPrint"="c:\programmi\Lexmark 3400 Series\ezprint.exe" [2006-02-07 98304]
"FaxCenterServer"="c:\programmi\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 290816]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-11-05 5406720]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="d:\programmi1\Antivirus\malwarebytes\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /p \??\H:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"lxcy_device"=3 (0x3)
"STI Simulator"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Giochi\\Empire earth\\Empire Earth.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"d:\\Programmi1\\Emule 0.47\\eMule\\emule.exe"=
"d:\\Giochi\\Empire Earth 1.5\\EE-AOC.exe"=
"d:\\Giochi\\aeo2\\age2_x1\\Age2_x1.exe"=
"d:\\Programmi1\\Bearshare\\BearShare.exe"=
"c:\\Documents and Settings\\dario\\Application Data\\PowerChallenge\\PowerFootball\\PowerFootball.exe"=
"c:\\Documents and Settings\\dario\\Application Data\\PowerChallenge\\PowerSoccer\\PowerSoccer.exe"=
"d:\\Programmi1\\BitTorrent\\bittorrent.exe"=
"d:\\Giochi\\Rise of Nation\\thrones.exe"=
"d:\\Giochi\\Rise of Nation\\rise.exe"=
"d:\\Programmi1\\TV internet\\Partite Gratis\\TVAnts\\Tvants.exe"=
"d:\\Programmi1\\TV internet\\SopCast\\SopCast.exe"=
"d:\\Programmi1\\TV internet\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programmi1\\TV internet\\PPlive\\PPLive.exe"=
"d:\\Programmi1\\TV internet\\PPStream\\PPStream\\PPStream.exe"=
"d:\\Programmi1\\TV internet\\TVU player\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\java.exe"=
"d:\\Programmi1\\Vlc\\vlc.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Documents and Settings\\dario\\Dati applicazioni\\PowerChallenge\\PowerSoccer\\PowerSoccer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule1
"4672:UDP"= 4672:UDP:emule2
"16243:TCP"= 16243:TCP:BitComet 16243 TCP
"16243:UDP"= 16243:UDP:BitComet 16243 UDP
"4662:UDP"= 4662:UDP:BitComet 4662 UDP
"10222:TCP"= 10222:TCP:BitComet 10222 TCP
"10222:UDP"= 10222:UDP:BitComet 10222 UDP
"3389:TCP"= 3389:TCP:Remote Desktop

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [08/11/2009 23.00.31 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [08/11/2009 23.00.30 45416]
S3 lxcy_device;lxcy_device;c:\windows\system32\lxcycoms.exe -service --> c:\windows\system32\lxcycoms.exe -service [?]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [24/02/2005 12.29.14 162176]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - MBR
*Deregistered* - mbr
.
Contenuto della cartella 'Scheduled Tasks'

2009-11-11 c:\windows\Tasks\GlaryInitialize.job
- d:\programmi1\Glary Utilities\initialize.exe [2009-11-08 18:27]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
IE: Add to AMV Converter... - d:\programmi1\mpe akai\AMVConverter\grab.html
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - d:\programmi1\mpe akai\MediaManager\grab.html
FF - ProfilePath - c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - component: c:\programmi\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\programmi\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll
FF - plugin: c:\docume~1\dario\DATIAP~1\POWERC~1\nppowerloader.dll
FF - plugin: c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\documents and settings\dario\Dati applicazioni\Mozilla\Firefox\Profiles\nlkw1gy0.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: d:\programmi1\Divx\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programmi1\Divx\DivX Web Player\npdivx32.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
SafeBoot-AVG Anti-Spyware Driver
SafeBoot-AVG Anti-Spyware Guard



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-12 00:54
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...


**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x822F8B00]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x822f8b00
\Driver\atapi -> 0x82e753b8
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> 0x82335200
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0BA4CF80
malicious code @ sector 0x0BA4CF83 !
PE file found in sector at 0x0BA4CF99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-299502267-1659004503-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*Æ*)* \OpenWithList]
@Class="Shell"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(2956)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Intel\Wireless\Bin\EvtEng.exe
c:\programmi\Intel\Wireless\Bin\S24EvMon.exe
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\LightScribe\LSSrvc.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\System32\nvsvc32.exe
c:\programmi\Intel\Wireless\Bin\RegSrvc.exe
c:\programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2009-11-11 1.22.48 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-11-12 00:21

Pre-Run: 38.464.094.208 byte disponibili
Post-Run: 38.344.663.040 byte disponibili

- - End Of File - - BA1A607B5A092343D700BAA7569E37FE
Torna in alto
 
cbbusto
Inviato: Thursday, November 12, 2009 11:02:05 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
In attesa di r16,
attento a questi programmi che sono molto pericolosi, parecchi utenti hanno avuto guai:

d:\\Programmi1\\TV internet\\Partite Gratis\\TVAnts\\Tvants.exe"=
"d:\\Programmi1\\TV internet\\SopCast\\SopCast.exe"=
"d:\\Programmi1\\TV internet\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programmi1\\TV internet\\PPlive\\PPLive.exe"=
"d:\\Programmi1\\TV internet\\PPStream\\PPStream\\PPStream.exe"=
"d:\\Programmi1\\TV internet\\TVU player\\TVUPlayer\\TVUPlayer.exe"=
Torna in alto
 
r16
Inviato: Thursday, November 12, 2009 1:02:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
C'è l'MBR da sistemare.

Scarica MBR:EXE direttamente nella Directory C:\ (Devi scaricarlo obligatoriamente in C: )

http://www2.gmer.net/mbr/mbr.exe

Clicca Start

Clicca Esegui...

Digita: cmd

si apre la finestra DOS, digita: CD \
premi invio

digita: mbr -f (fai il Copia-Incolla)
premi invio

Poi digita: exit
premi invio

Riavvia il pc

Posta qui il contenuto del log C:\mbr.log
Torna in alto
 
darz1983
Inviato: Thursday, November 12, 2009 2:46:37 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x822ebb00
\Driver\atapi -> 0x82f27278
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> 0x82328200
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0BA4CF80
malicious code @ sector 0x0BA4CF83 !
PE file found in sector at 0x0BA4CF99 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !


R16 ecco il log di mbr. Combo non l'ho disinstallato ancora. Grazie per il tempo che stai perdendo con me.
Torna in alto
 
r16
Inviato: Thursday, November 12, 2009 3:08:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok, l'MBR è a posto.
Dovrebbe andare meglio adesso il pc.
Torna in alto
 
darz1983
Inviato: Thursday, November 12, 2009 3:11:19 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
sembra di si, ma ora posso aggiornare firefox? posso mettere i plugin aggiuntivi (credo mi richieda il plugin di adobe o activx non ricordo) ? come faccio a cancellare combo? posso rimettere avast o secondo te e' meglio se lascio avira? dammi qualche consiglio per favore
Torna in alto
 
r16
Inviato: Thursday, November 12, 2009 3:15:25 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Certo che puoi aggiornare firefox.
Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, copia ed incolla questo comando: Combofix /u e premi Invio poi cancella le cartelle in "C" di Combofix e (qoobox)
Parere mio: tieni installato Avira.
Il problema, era tutto l'MBR, e un paio di servizi, che Combofix ha eliminato.
Risolto quello, dovresti avere il pc come prima.
Torna in alto
 
darz1983
Inviato: Thursday, November 12, 2009 3:17:04 PM
Rank: Newbie

Iscritto dal : 11/10/2009
Posts: 8
grazie sei stato un amico...
Torna in alto
 
r16
Inviato: Thursday, November 12, 2009 3:19:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Figurati...di niente.
Ciao!
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Problemone


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.