HijackThis bloccato - Sicurezza VIRUS - Aiutamici Forum

Aiutamici Forum

Benvenuto Ospite

Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » HijackThis bloccato

2 pages: [1] 2

HijackThis bloccato

Opzioni

Topic Precedente · Topic Sucessivo

musatti

Inviato: Monday, March 01, 2010 9:06:11 AM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Buongiorno!
Poiché ho un forte rallentamento sul pc, ho provato a lanciare HijackThis, ma quando lo apro mi dà il messaggio: Error HijackThis è già in funzione, e la pagina principale non si avvia.
L'ultimo programma che ho installato è Solsuite per il bluetooth, dopo il quale il rallentamento si è accentuato (anche se il trasferimento ha funzionato). Il venditore mi consigliava di disabilitare il firewall prima di installare il programma, ma io non l'ho fatto.
Ho Avira Antivir, Outpost firewall e Spybot S&D attivati. Ho avuto in passato allarmi su virus e ho scelto, consigliato dall'antivirus, la funzione "blocca".
Grazie per un consiglio

Sponsor

Inviato: Monday, March 01, 2010 9:06:11 AM

paolopa

Inviato: Monday, March 01, 2010 9:17:26 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777

hai installato spybot con il teatimer?

musatti

Inviato: Monday, March 01, 2010 10:51:54 AM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

No

paolopa

Inviato: Monday, March 01, 2010 10:57:02 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777

prova,se riesci,a fare una scansione con mbam: http://software.aiutamici.com/software?ID=80346
lo scarichi,lo AGGIORNI,e fai una scansione COMPLETA.

shapiro

Inviato: Tuesday, March 02, 2010 12:22:31 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

apri task manager (ctrl+alt+canc) e termina l'operazione di hijackthis

lancialo di nuovo e vedi se funziona

musatti

Inviato: Tuesday, March 02, 2010 2:33:47 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Sì, in effetti ora ha funzionato, la scansione di mbam va avanti (ora sarà anche finita ma non sono a casa); dal Hijack ho cancellato le voci relativi a Solsuite e devo dire che il pc è un po' meno lento... vi posterò i log stasera, grazie per ora

musatti

Inviato: Tuesday, March 02, 2010 9:47:17 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Vi posto i log di HT e di mbam; mentre la scansione di mbam stava finendo, il programma si è bloccato (messaggio: non risponde) e mi sono comparsi due messaggi dell'antivirus relativi ad un Trojan con la scelta predeterminata "blocca l'accesso" che ho modificato in : "quarantena". Poi mbam ha ripreso a funzionare e ha finito la scansione. Mentre la scansione proseguiva ho visto mbam fermarsi a lungo su alcuni task ....job, dai nomi fantasiosi, ma evidentemente non li ha considerati malaware...

Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/03/2010 15.24.03
mbam-log-2010-03-02 (15-23-41).txt

Tipo di scansione: Scansione completa (C:\|E:\|F:\|)
Elementi scansionati: 184510
Tempo trascorso: 16 hour(s), 57 minute(s), 6 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.41.19, on 02/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F430F96E-593E-4128-B887-1D3D3F974800}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4508 bytes

Vi dò anche gli eventi di Avira (non ricordo il nome del Trojan):

Esporta eventi:

02/03/2010 15.15 [Guard] Trovato malware
Nel file 'F:\ErrorKiller\ErrorKiller.exe'
è stato rilevato un virus o programma indesiderato 'TR/Fake.ErrorSmar.B'
[trojan].
Azione eseguita: Sposta file in quarantena

02/03/2010 15.15 [Guard] Trovato malware
Nel file 'F:\ErrorKiller\ErrorKiller.exe'
è stato rilevato un virus o programma indesiderato 'TR/Fake.ErrorSmar.B'
[trojan].
Azione eseguita: Nega accesso

evidentemente mi sono dimenticato questa volta di cambiare l'azione.

Poiché ho mbam ancora aperto (non ho fatto niente) è il caso di fare elimina\ripara?
Grazie dei suggerimenti, ma r16 non c'è?

paolopa

Inviato: Wednesday, March 03, 2010 6:47:55 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777

elimina cio che ti ha trovato mbam,e vediamo di andare un poco piu' a fondo:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante:dopo aver scaricato COMBOFIX, chiudi la connessione,disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso)

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

r16

Inviato: Wednesday, March 03, 2010 2:05:31 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

musatti ha scritto:

Grazie dei suggerimenti, ma r16 non c'è?

Ci sono.

Whistle

Ma esegui le indicazioni di paolopa.
Poi ti controllo il log di Combofix.

musatti

Inviato: Wednesday, March 03, 2010 10:19:38 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Premetto che non sono riuscito a chiudere del tutto avira. Dove è il comando? comunque, disattivando il Guard, ho pensato che non poteva fare niente...
Una domanda, cosa è la consolle del ripristino di emergenza?
Grazie r 16!

ComboFix 10-03-03.03 - USER 03/03/2010 21.42.06.2.1 - x86
Eseguito da: c:\documents and settings\USER\Desktop\Combofix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-3C24-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}
FW: Outpost Firewall *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\EventSystem.log

.
((((((((((((((((((((((((( Files Creati Da 2010-02-03 al 2010-03-03 )))))))))))))))))))))))))))))))))))
.

2010-03-01 19:47 . 2010-03-01 19:47 5115824 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-23 21:57 . 2010-02-23 22:02 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Bluetooth
2010-02-23 21:04 . 2010-02-23 21:04 -------- d-----w- c:\programmi\IVT Corporation
2010-02-23 20:34 . 2008-04-14 03:13 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2010-02-23 20:34 . 2008-04-14 03:13 8192 ----a-w- c:\windows\system32\wshirda.dll
2010-02-23 20:34 . 2008-04-14 03:13 29696 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2010-02-23 20:34 . 2008-04-14 03:13 29696 ----a-w- c:\windows\system32\irmon.dll
2010-02-23 20:34 . 2008-04-14 03:14 152576 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2010-02-23 20:34 . 2008-04-14 03:14 152576 ----a-w- c:\windows\system32\irftp.exe
2010-02-16 21:22 . 2010-02-16 21:22 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-11 20:44 . 2010-02-11 20:44 -------- d-----w- c:\documents and settings\USER\.fontconfig
2010-02-09 20:25 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 21:09 . 2009-08-21 21:29 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-02-23 20:36 . 2002-09-13 14:22 70742 ----a-w- c:\windows\system32\perfc010.dat
2010-02-23 20:36 . 2002-09-13 14:22 411620 ----a-w- c:\windows\system32\perfh010.dat
2010-01-07 15:07 . 2009-08-21 21:32 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-08-21 21:31 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 21:33 . 2010-01-04 21:33 -------- d-----w- c:\documents and settings\USER\Dati applicazioni\Windows Live Writer
2009-12-31 16:50 . 2002-09-13 14:22 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 23:10 . 2007-07-06 21:19 1852 ----a-w- c:\windows\system32\d3d9caps.dat
2009-12-28 19:32 . 2007-06-08 15:30 24488 ----a-w- c:\documents and settings\USER\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-12-21 19:06 . 2002-09-09 11:51 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2007-06-08 14:19 346112 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2002-09-09 11:50 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 22:25 . 2009-08-25 20:37 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:07 . 2002-09-09 13:34 2069760 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:07 . 2002-09-09 11:34 2192896 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2002-08-28 23:59 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2008-08-25 21:48 . 2008-08-25 21:47 15898368 ----a-w- c:\programmi\TU2008TrialIT.exe
2008-05-07 13:15 . 2008-05-07 13:14 3357696 ----a-w- c:\programmi\VersionTracker_Pro_Windows_4_1_cn0074.msi
.

Code:

<pre>
c:\programmi\ThreatFire\TFTray .exe
</pre>

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-08 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\programmi\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

R3 3dfxvs;3dfxvs;c:\windows\system32\drivers\3dfxvsm.sys [08/06/2007 16.15.05 148352]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [27/08/2009 23.06.44 31128]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [27/08/2009 23.09.21 257432]
R3 NtApm;Driver interfaccia NT Apm/Legacy;c:\windows\system32\drivers\NtApm.sys [08/06/2007 16.15.54 9472]
S3 ham50;Trust 56K PCI Modem;c:\windows\system32\drivers\ham50.sys [20/11/2000 12.46.06 366173]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2.tmp --> c:\windows\system32\2.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.libero.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
Trusted Zone: microsoft.com\office
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

Notify-WgaLogon - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 21:56
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2.tmp"
.
Ora fine scansione: 2010-03-03 22:06:07
ComboFix-quarantined-files.txt 2010-03-03 21:05

Pre-Run: 29.989.003.264 byte disponibili
Post-Run: 29.965.582.336 byte disponibili

- - End Of File - - 24475B1382D21BB50A4BDB272732BCEA

r16

Inviato: Wednesday, March 03, 2010 10:37:50 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:

File::
c:\windows\system32\2.tmp

Registry::
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]

Driver::
MEMSWEEP2

e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix.
Posta anche un log di HijackThis (dopo quello di Combofix)

Dimenticavo:
Ecco a cosa serve la LA CONSOLE DI RIPRISTINO DI EMERGENZA
http://www.recuperare-dati.com/ripristino-emergenza.html

musatti

Inviato: Thursday, March 04, 2010 12:10:12 AM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Questa volta ho commesso lo sbaglio di non uscire dal firewall ma solo di disattivarlo, col risultato che quando il pc si è riavviato è rientrato in funzione; allora l'ho nuovamente disattivato e combo ha potuto fare il report; anche avira si è riattivato col guard al riavvio, e l'ho disabilitato. Spero che questo non abbia compromesso il tutto.

ComboFix 10-03-03.03 - USER 03/03/2010 23.11.20.3.1 - x86
Eseguito da: c:\documents and settings\USER\Desktop\Combofix.exe
Opzioni usate :: c:\documents and settings\USER\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-3C24-9E7C08000A00}
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {00000002-0002-0000-6C25-9E7C08000A00}
FW: Outpost Firewall *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
"c:\windows\system32\2.tmp"
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MEMSWEEP2
-------\Service_MEMSWEEP2

((((((((((((((((((((((((( Files Creati Da 2010-02-03 al 2010-03-03 )))))))))))))))))))))))))))))))))))
.

2010-03-01 19:47 . 2010-03-01 19:47 5115824 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-23 21:57 . 2010-02-23 22:02 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Bluetooth
2010-02-23 21:04 . 2010-02-23 21:04 -------- d-----w- c:\programmi\IVT Corporation
2010-02-23 20:34 . 2008-04-14 03:13 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll
2010-02-23 20:34 . 2008-04-14 03:13 8192 ----a-w- c:\windows\system32\wshirda.dll
2010-02-23 20:34 . 2008-04-14 03:13 29696 -c--a-w- c:\windows\system32\dllcache\irmon.dll
2010-02-23 20:34 . 2008-04-14 03:13 29696 ----a-w- c:\windows\system32\irmon.dll
2010-02-23 20:34 . 2008-04-14 03:14 152576 -c--a-w- c:\windows\system32\dllcache\irftp.exe
2010-02-23 20:34 . 2008-04-14 03:14 152576 ----a-w- c:\windows\system32\irftp.exe
2010-02-16 21:22 . 2010-02-16 21:22 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-11 20:44 . 2010-02-11 20:44 -------- d-----w- c:\documents and settings\USER\.fontconfig
2010-02-09 20:25 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-01 21:09 . 2009-08-21 21:29 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-02-23 20:36 . 2002-09-13 14:22 70742 ----a-w- c:\windows\system32\perfc010.dat
2010-02-23 20:36 . 2002-09-13 14:22 411620 ----a-w- c:\windows\system32\perfh010.dat
2010-01-07 15:07 . 2009-08-21 21:32 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-08-21 21:31 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-04 21:33 . 2010-01-04 21:33 -------- d-----w- c:\documents and settings\USER\Dati applicazioni\Windows Live Writer
2009-12-31 16:50 . 2002-09-13 14:22 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 23:10 . 2007-07-06 21:19 1852 ----a-w- c:\windows\system32\d3d9caps.dat
2009-12-28 19:32 . 2007-06-08 15:30 24488 ----a-w- c:\documents and settings\USER\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2009-12-21 19:06 . 2002-09-09 11:51 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2007-06-08 14:19 346112 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2002-09-09 11:50 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-10 22:25 . 2009-08-25 20:37 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-09 10:07 . 2002-09-09 13:34 2069760 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:07 . 2002-09-09 11:34 2192896 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2002-08-28 23:59 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2008-08-25 21:48 . 2008-08-25 21:47 15898368 ----a-w- c:\programmi\TU2008TrialIT.exe
2008-05-07 13:15 . 2008-05-07 13:14 3357696 ----a-w- c:\programmi\VersionTracker_Pro_Windows_4_1_cn0074.msi
.

Code:

<pre>
c:\programmi\ThreatFire\TFTray .exe
</pre>

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-11-08 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\programmi\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-04-28 1195008]
R3 ham50;Trust 56K PCI Modem;c:\windows\system32\DRIVERS\ham50.sys [2000-11-20 366173]
R3 RegGuard;RegGuard;c:\windows\system32\Drivers\regguard.sys [2007-07-08 25837]
R4 Start BT in service;Start BT in service;c:\programmi\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2008-03-19 51816]
S1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2009-04-06 704384]
S3 3dfxvs;3dfxvs;c:\windows\system32\DRIVERS\3dfxvsm.sys [2001-08-17 148352]
S3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2009-02-18 31128]
S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-02-10 257432]
S3 NtApm;Driver interfaccia NT Apm/Legacy;c:\windows\system32\DRIVERS\NtApm.sys [2001-08-30 9472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.libero.it/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
Trusted Zone: microsoft.com\office
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 23:44
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(1520)
c:\windows\system32\WININET.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\System32\msdtc.exe
c:\windows\System32\snmp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-03-03 23:56:06 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-03-03 22:55
ComboFix2.txt 2010-03-03 21:06

Pre-Run: 29.976.748.032 byte disponibili
Post-Run: 29.930.713.088 byte disponibili

- - End Of File - - 7883AD576C88970021C8AE8929B2B592

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.08.52, on 04/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\internet explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\internet explorer\iexplore.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F430F96E-593E-4128-B887-1D3D3F974800}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 4386 bytes

Devo dire che anche prima di questi due interventi il pc sta funzionando meglio...

musatti

Inviato: Thursday, March 04, 2010 10:53:29 AM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Non so il perché dell'ultima voce 023, io uso Google a volte ma la barra non mi pare di averla installata, si è installata da sé?, è un virus?

r16

Inviato: Thursday, March 04, 2010 1:27:29 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Commenta:

Non so il perché dell'ultima voce 023, io uso Google a volte ma la barra non mi pare di averla installata, si è installata da sé?, è un virus?

No, non è un virus.
E' solo l'update di Google.
Puoi anche disattivarlo.

Fai queste operazioni di pulizia generale:
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Per eliminare i vari Tooll scaricati:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Fai una deframmentazione del HD.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Se il pc funziona bene, direi che abbiamo finito.

musatti

Inviato: Thursday, March 04, 2010 2:55:50 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Grazie, farò così. Delle cose scaricate conviene eliminare qualcosa o tenerle? Ma in sostanza, cos'è successo, rodtkit, virus?
Ti darò un messaggio quando tutto riparato, grazie ancora....

r16

Inviato: Thursday, March 04, 2010 3:03:06 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Tieni installato solo Malwarebytes. (ricorda di aggiornarlo, prima di ogni scansione)
Per il resto, aspettiamo un pò, prima di cantare vittoria.
Stranamente, le eliminazioni che sono state fatte, non rappresentavano grossi pericoli, al massimo,dei conflitti con altri programmi.

musatti

Inviato: Thursday, March 04, 2010 11:28:49 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

r16, mi ero dimenticato di eseguire il %temp% e l'ho fatto ora, ma alcuni file me li dà come non cancellabili, come mai? sono relativi ai programmi paerti (internet, ecc.?)

r16

Inviato: Thursday, March 04, 2010 11:32:36 PM

Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

Non importa, basta che non siano eseguibili. (.exe)
Funziona decentemente il pc?

musatti

Inviato: Thursday, March 04, 2010 11:47:17 PM

Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314

Sì, direi di sì. Non avendo molta ram non è una schioppettata, ma questo lo so. Qualche volta mi capita (e mi capitava anche prima) che cliccando su un'icona se ne apre un'altra, ma non credo che sia molto grave (la chiudo e la riapro) e anche che mi si sospende la connessione. Quelli del provider mi hanno detto che dovrei reinstallare il programma di connessione, ma sono pigro (comunque non avviene mai il cambio d'0indirizzo o cose simili). Senti, l'altra volta mi hai fattop installare Spybot, ma devo usarlo ogni tanto o fa tutto da sè?

Utenti presenti in questo topic

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » HijackThis bloccato

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS :

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded