Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Logfile of Trend Micro HijackThis v2.0.2 Opzioni
fdaccc
Inviato: Monday, January 11, 2010 2:21:29 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Prima di fare cosi' attendi r16, NON eseguire nulla

Dovrai mettere le mani sull'Editor del Registro.
Start
> Esegui
> nella casella di dialogo digita regedit per accedere al Registro di Sistema, e segui questo percorso cliccando sul + di ogni voce:

> HKEY_LOCAL_MACHINE
> SOFTWARE
> Microsoft
> Windows NT
> CurrentVersion
> Winlogon

clicca sopra la cartellina winlogon una sola volta e, nella finestra di destra, individua questa chiave: (la trovi, quasi a fondo pagina)

UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,


clicca 2 volte su UserInit e, nella finestra di dialogo che si aprirà, cancella, manualmente solo questa parte di chiave:

C:\WINDOWS\system32\twext.exe,


Il risultato finale, deve essere questo:

Userinit

Dati valore:
C:\WINDOWS\system32\userinit.exe, (virgola finale compresa.)

conferma la modifica con OK

Poi:
Sempre nella stessa pagina, (poche voci sopra Userinit) trovi la voce :Shell=explorer.exe C:\WINDOWS\system32\twext.exe


Devi fare la stessa cosa: eliminare SOLO la voce in rosso:
C:\WINDOWS\system32\twext.exe

Il risultato finale deve essere:
Nome Valore:
Shell
Dati valore:
explorer.exe

Riavvia il pc.
Riaccedi all'Editor del registro, e controlla se la modifica, è avvenuta con successo.
Se commetti qualche errore, potresti NON poter più, accedere a Windows.
Se NON te la senti dimmelo, ma se segui ALLA LETTERA, e con attenzione le indicazioni, non puoi sbagliare.
Piuttosto, se hai dubbi, chiedi.


Dico bene r16?=)
cbbusto
Inviato: Monday, January 11, 2010 5:17:40 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
alesgiov
Inviato: Monday, January 11, 2010 7:36:27 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
Malwarebytes' Anti-Malware 1.44
Versione del database: 3515
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/01/2010 19.34.32
mbam-log-2010-01-11 (19-34-17).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|F:\|)
Elementi scansionati: 218444
Tempo trascorso: 5 hour(s), 22 minute(s), 17 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 6
Valori di registro infetti: 1
Elementi dato del registro infetti: 5
Cartelle infette: 6
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,) Good: (Userinit.exe) -> No action taken.

Cartelle infette:
C:\Documents and Settings\ANNA\Dati applicazioni\twain_32 (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\LocalService\Dati applicazioni\twain_32 (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\NetworkService\Dati applicazioni\twain_32 (Trojan.Zbot) -> No action taken.
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi (Adware.Zwunzi) -> No action taken.
C:\Programmi\Zwunzi (Adware.Zwunzi) -> No action taken.

File infetti:
C:\Driver\Crypt.dll (Hacktool) -> No action taken.
C:\System Volume Information\_restore{A79E2C19-E366-4D90-AD4C-0954E1043133}\RP338\A0185951.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{A79E2C19-E366-4D90-AD4C-0954E1043133}\RP346\A0188411.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\ANNA\Dati applicazioni\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\LocalService\Dati applicazioni\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\Documents and Settings\NetworkService\Dati applicazioni\twain_32\user.ds (Trojan.Zbot) -> No action taken.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\Zwunzi\zwunzi120.exe (Adware.Zwunzi) -> No action taken.
C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> No action taken.
alesgiov
Inviato: Monday, January 11, 2010 7:37:10 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
finita la scansione MBAM postati i risultati
bazzurlone
Inviato: Monday, January 11, 2010 8:26:57 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Fermati,hai visto il log di malawarebytes,hai una bella macedonia di fetecchioni. Qui ' è il caso di attendere r16
r16
Inviato: Monday, January 11, 2010 10:13:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@fdaccc :
Per favore, stai fermo, e non dare indicazioni, che farebbero disastri.
Se segue quelle indicazioni, il pc è fottuto.
Code:
Poi:
Sempre nella stessa pagina, (poche voci sopra Userinit) trovi la voce :[b]Shell[/b]=explorer.exe C:\WINDOWS\system32\twext.exe
Devi fare la stessa cosa: eliminare SOLO la voce in rosso:
C:\WINDOWS\system32\twext.exe
Il risultato finale deve essere:
Nome Valore:
[b]Shell[/b]
Dati valore:
explorer.exe

Cosa centra, la voce Shell con il problema di alesgiov ?

@alesgiov :
Elimina tutto quello che ha trovato Malwarebytes.
Riavvia il pc.
Fai una nuova scansione Completa e posta il log.
alesgiov
Inviato: Tuesday, January 12, 2010 8:23:20 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
Malwarebytes' Anti-Malware 1.44
Versione del database: 3515
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/01/2010 20.23.04
mbam-log-2010-01-12 (20-23-04).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|E:\|F:\|)
Elementi scansionati: 219470
Tempo trascorso: 5 hour(s), 35 minute(s), 47 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
alesgiov
Inviato: Tuesday, January 12, 2010 8:29:53 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
@ r16:
come mi avevi chiesto ho riavviato il computer e rifatto una scansione con MBAM e postato sopra il log...

Ho notato varie cose:
- durante la scansione della cartella C:/WINDOWS/System Volume information si sono aperti dei rilevamenti di virus trovati da Avira e presenti nella cartella stessa;
- nonostante tutte le scansioni (Hjt,MBAM) il computer è ancora lento, desidererei un consiglio.
panchoz
Inviato: Tuesday, January 12, 2010 8:43:38 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 2,452
"nonostante tutte le scansioni (Hjt,MBAM) il computer è ancora lento, desidererei un consiglio."

Calma.
r16
Inviato: Tuesday, January 12, 2010 8:52:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Posta un log aggiornato di hijackthis.
paolopa
Inviato: Tuesday, January 12, 2010 8:55:28 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
i virus trovati in volume information sono inattivi,sono nei punti di ripristino che il pc si crea per eventuali problemi,se non tocchi nulla non ti possono nuocere,se fai invece un ripristino ti ritrovi infettato.la procedura per eliminarli è semplice,ma aspetta che sia r16 a dirtela perchè magari non vuole ancora farti eliminare i punti di ripristino.e direi propio che ha ragione,visto quanto è semplice fare danni.

ops,stavo scrivendo e non ti avevo letto r16
alesgiov
Inviato: Tuesday, January 12, 2010 9:52:34 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
ecco il log di hjt
alesgiov
Inviato: Tuesday, January 12, 2010 9:53:07 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.53.39, on 12/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Avira\AntiVir Desktop\avscan.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programmi\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c98c21930495f0) (gupdate1c98c21930495f0) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5311 bytes
r16
Inviato: Tuesday, January 12, 2010 10:07:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok, Malwarebytes ha risolto un problema.
Vediamo se ce ne sono altri:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
alesgiov
Inviato: Tuesday, January 26, 2010 2:13:16 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
ComboFix 10-01-25.06 - Alessandro 26/01/2010 13.40.54.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.511.244 [GMT 1:00]
Eseguito da: c:\documents and settings\Alessandro\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {FFFFFFFC-0002-0000-6008-B00D4CEE1200}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Alessandro\Dati applicazioni\Desktopicon
c:\documents and settings\Alessandro\Dati applicazioni\Desktopicon\config.ini
c:\documents and settings\Alessandro\Impostazioni locali\Dati applicazioni\eieyoqo_nav.dat
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\QTWMCI32.DLL

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES


((((((((((((((((((((((((( Files Creati Da 2009-12-26 al 2010-01-26 )))))))))))))))))))))))))))))))))))
.

2010-01-23 14:22 . 2009-12-21 19:06 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-01-19 17:19 . 2010-01-19 17:19 -------- d--h--w- c:\windows\PIF
2010-01-12 20:29 . 2009-10-15 16:29 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-01-12 20:29 . 2009-10-15 16:29 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-01-12 18:34 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-11 13:18 . 2010-01-18 14:14 -------- d-----w- c:\programmi\SokkerViewer
2010-01-08 13:18 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-08 13:18 . 2010-01-08 13:18 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-01-08 13:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-08 13:13 . 2010-01-08 13:13 -------- d-----w- c:\programmi\Trend Micro
2010-01-06 17:10 . 2010-01-06 17:10 -------- d-----w- c:\documents and settings\ANNA\Dati applicazioni\OpenOffice.org

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-25 21:01 . 2009-01-14 13:32 -------- d-----w- c:\documents and settings\Alessandro\Dati applicazioni\uTorrent
2010-01-25 18:42 . 2009-02-11 08:18 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Google Updater
2010-01-21 13:43 . 2008-11-26 14:08 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-01-18 13:34 . 2008-10-28 18:09 -------- d-----w- c:\programmi\Google
2010-01-07 19:45 . 2001-12-04 12:00 79292 ----a-w- c:\windows\system32\perfc010.dat
2010-01-07 19:45 . 2001-12-04 12:00 478808 ----a-w- c:\windows\system32\perfh010.dat
2010-01-07 19:37 . 2009-11-04 17:29 -------- d-----w- c:\documents and settings\Alessandro\Dati applicazioni\KoshyJohn.com
2009-12-21 19:06 . 2001-12-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-19 13:05 . 2005-12-05 17:59 79744 -c--a-w- c:\documents and settings\Alessandro\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-12-18 18:40 . 2009-12-18 18:40 -------- d-----w- c:\documents and settings\Alessandro\Dati applicazioni\OpenOffice.org
2009-12-18 18:36 . 2009-12-18 18:36 -------- d-----w- c:\programmi\JRE
2009-12-18 18:36 . 2009-12-18 18:36 -------- d-----w- c:\programmi\OpenOffice.org 3
2009-12-18 18:34 . 2009-01-13 15:15 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-12-18 18:34 . 2009-12-18 18:34 -------- d-----w- c:\programmi\Java
2009-12-13 13:57 . 2009-12-13 13:57 -------- d-----w- c:\programmi\SigmaTel
2009-12-13 13:57 . 2005-11-28 18:43 -------- d--h--w- c:\programmi\InstallShield Installation Information
2009-12-10 17:56 . 2009-12-01 16:08 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-01 20:23 . 2008-09-01 16:01 -------- d-----w- c:\programmi\Idoru
2009-12-01 18:19 . 2009-12-01 18:19 -------- d-----w- c:\programmi\IObit
2009-12-01 16:08 . 2009-12-01 16:08 -------- d-----w- c:\programmi\Avira
2009-12-01 16:08 . 2009-12-01 16:08 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2009-11-29 16:20 . 2009-11-29 16:20 -------- d-----w- c:\documents and settings\Alessandro\Dati applicazioni\BERNINA My Label
2009-11-21 15:54 . 2001-12-04 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-13 13:31 . 2009-11-13 13:31 49152 ----a-r- c:\windows\system32\inetwh32.dll
2009-11-13 13:31 . 2009-11-13 13:31 1044480 ----a-r- c:\windows\system32\roboex32.dll
.

------- Sigcheck -------

[-] 2009-03-23 . 90F406811EE1EEE294792D00E21CA16C . 510464 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-13 . 9259170D29B5A256735FCB8B80280857 . 510464 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2005-11-28 . 1DBD3966123AC2F6ADE783F7F17F8C7F . 504832 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}]
2009-04-01 17:16 193472 ------w- c:\programmi\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\ANNA\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.1.lnk - c:\programmi\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sasnative32

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\combofix]
c:\combofix\CF24468.cfxxe [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX5000 Series]
2006-09-22 04:01 139264 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIBVE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2002-07-17 06:45 90112 ----a-w- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2002-07-17 06:59 143360 ----a-w- c:\windows\system32\igfxtray.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSN"=c:\programmi\MSN\MSNCoreFiles\MSN6.EXE -email
"DAEMON Tools Lite"="c:\programmi\DAEMON Tools Lite\daemon.exe" -autorun

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/01/2009 20.07.56 721904]
R2 athsgt;athsgt;c:\windows\system32\drivers\athsgt.sys [08/01/2006 20.18.39 164992]
R2 limsgt;limsgt;c:\windows\system32\drivers\limsgt.sys [08/01/2006 20.18.38 12544]
S2 gupdate1c98c21930495f0;Google Update Service (gupdate1c98c21930495f0);c:\programmi\Google\Update\GoogleUpdate.exe [11/02/2009 9.20.13 133104]
S3 iAimFP8;iAimFP8;c:\windows\system32\drivers\wADV11nt.sys [27/11/2005 19.43.23 11935]
S3 mousesystems;Windows Serial MouseSystems Mouse;c:\windows\system32\drivers\mousesys.sys [17/10/2006 18.24.14 14225]
S3 netr73;D-Link DWA-111 Wireless G USB Adapter Driver;c:\windows\system32\drivers\netr73.sys [15/11/2008 13.33.03 256000]
.
Contenuto della cartella 'Scheduled Tasks'

2010-01-26 c:\windows\Tasks\Google Software Updater.job
- c:\programmi\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-11 23:53]

2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-02-11 08:19]

2010-01-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmi\Google\Update\GoogleUpdate.exe [2009-02-11 08:19]

2009-12-01 c:\windows\Tasks\SmartDefrag.job
- c:\programmi\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-12-01 12:48]

2010-01-26 c:\windows\Tasks\Windows Messenger.job
- c:\progra~1\MESSEN~1\msmsgs.exe [2005-11-27 18:14]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Alessandro\Dati applicazioni\Mozilla\Firefox\Profiles\d5pc48v1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: browser.startup.homepage - hxxp://www.daemon-search.com/startpage
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\Alessandro\Dati applicazioni\Mozilla\Firefox\Profiles\d5pc48v1.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: c:\documents and settings\Alessandro\Dati applicazioni\Mozilla\Firefox\Profiles\d5pc48v1.default\extensions\{2bae58c2-79f9-45d1-a286-81f911301c3a}\components\FFAlert.dll
FF - component: c:\documents and settings\Alessandro\Dati applicazioni\Mozilla\Firefox\Profiles\d5pc48v1.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - plugin: c:\programmi\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programmi\Microsoft\Office Live\npOLW.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{2BAE58C2-79F9-45D1-A286-81F911301C3A} - (no file)
WebBrowser-{DA30EFF8-CCC6-4162-A20D-67402A26A215} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-HijackThis - d:\super_pi\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-26 14:03
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync04.sys atapi.sys spor.sys >>UNKNOWN [0x82F8E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8732f28
\Driver\ACPI -> ACPI.sys @ 0xf858ccb8
\Driver\atapi -> sfsync04.sys @ 0xf8564a7c
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Connessione di rete Intel(R) PRO/100 -> SendCompleteHandler -> NDIS.sys @ 0xf843ebb0
PacketIndicateHandler -> NDIS.sys @ 0xf844ba21
SendHandler -> NDIS.sys @ 0xf842987b
user & kernel MBR OK

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(644)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2392)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-01-26 14:13:12 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-01-26 13:13

Pre-Run: 21.098.024.960 byte disponibili
Post-Run: 21.306.114.048 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 0A9F5C95046676D8328FD928DAA2B243
alesgiov
Inviato: Tuesday, January 26, 2010 2:14:05 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
@r16

ecco un po' tanto in ritardo il log di ComboFix...=)
r16
Inviato: Tuesday, January 26, 2010 2:44:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su Remove selected

Fai una deframmentazione del HD.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Riferisci se riscontri problemi.
alesgiov
Inviato: Wednesday, January 27, 2010 8:04:17 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
ho fatto tutto quello che mi è stato chiesto, non capisco solo come creare un nuovo ripristino configurazione di sistema.
fdaccc
Inviato: Thursday, January 28, 2010 1:55:14 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
alesgiov
Inviato: Friday, February 05, 2010 4:01:25 PM
Rank: AiutAmico

Iscritto dal : 1/8/2010
Posts: 38
@ r16

ho finito tutte le operazioni...ho una domanda: sul pc ci sono 4 account. tutte queste scansioni le ho fatte sul mio account. adesso anche gli altri account dovrebbero funzionare?
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.