Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Ogni 30 minuti mi si apre un popup di explorer senza che io faccia nulla! Opzioni
burla
Inviato: Saturday, March 13, 2010 5:22:17 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
Ciao a tutti..
E' la prima volta che scrivo qui quindi non so se è il posto giusto o se dovrei chiedere a qualcuno di preciso.
Ad ogni modo io posto qui!
Ho il problema che ho indicato nel titolo, non sono molto esperto di computer ma credo che il mio pc sia infetto.
vi copio il file .log che ho ottenuto con hijackthis!
se sapete dirmi qualcosa vi sono molto grato!!!!!


Burla.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.12.41, on 13/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Jhecoa.exe
C:\WINDOWS\system32\csrcs.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\mdm.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
D:\Programmi\CCleaner\CCleaner.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\DOCUME~1\Riccardo\IMPOST~1\Temp\Jpr.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOY5KNQ8OC] C:\DOCUME~1\Riccardo\IMPOST~1\Temp\Jpr.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {15D151C8-5180-43C1-9360-4D794663BD6E} (Posto di Lavoro del Cittadino - Attestazione) - http://www.crs.regione.lombardia.it/components/OcsKitCittadino.cab
O16 - DPF: {3263F297-5CB9-4D8C-A2DB-CDFB8C69CB6D} (Posto di Lavoro del Cittadino - Autenticazione utente) - http://www.crs.regione.lombardia.it/components/OcxCertUpdate.cab
O16 - DPF: {4384AA75-43AB-4095-84F9-C5B35EC62B5D} (Posto di Lavoro del Cittadino - Interprete dati) - http://www.crs.regione.lombardia.it/components/OcxCrsInfo.cab
O16 - DPF: {877E14A6-0ACF-4509-8CF3-E4A0F4ED46F4} (Postazione di Lavoro del Cittadino 3.0) - http://supportsiss.lispa.it/components/pdlc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553550000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - D:\Riccardo\Programmi\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8618 bytes
Sponsor
Inviato: Saturday, March 13, 2010 5:22:17 PM

 
paolopa
Inviato: Saturday, March 13, 2010 5:32:22 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
hai visto giusto...scarica ed installa mbam,lo aggiorni e fai una scansione completa,poi dovrai installare un firewall,visto che quello di win in xp è una cioffeca,e aggiornare l antivirus ,sei fermo all 8 ed è uscito il 9 da un po.questo è il link per mbam:
http://software.aiutamici.com/software?ID=80346
posta il log che ti rilascera'.
fdaccc
Inviato: Saturday, March 13, 2010 6:50:27 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
nono voglio impicciarmi paolo ma che ne pensate tu e r16 di queste voci?

questa è sconosciuta al web
C:\WINDOWS\Jhecoa.exe

questa mi è sconosciuta
O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore

queste 2 mi insospettiscono, soprattutto la prima
O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe

e queste 2 pure
O4 - HKCU\..\Run: [TOY5KNQ8OC] C:\DOCUME~1\Riccardo\IMPOST~1\Temp\Jpr.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
paolopa
Inviato: Saturday, March 13, 2010 7:04:49 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@fdaccc:se volevo intervenire facendogli fixare le voci con hijack l avrei fatto.preferisco che siano i software ad occuparsene,o r16 o qualcuno AUTORIZZATO da alfonso.per la cronaca ne hai pure saltata qualcuna.
monsee
Inviato: Saturday, March 13, 2010 8:52:57 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Perdona la curiosità, ma potrebbe rivelarsi utilissimo saperlo: quale pop-up ti appare, esattamente? Think
fdaccc
Inviato: Sunday, March 14, 2010 11:25:01 AM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
solo 1, la f2.
simo95
Inviato: Sunday, March 14, 2010 11:44:17 AM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
fdaccc ha scritto:

queste 2 mi insospettiscono, soprattutto la prima
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe



E' una voce RunOnce (esegue il comando solo al primo riavvio del pc, nei riavvi successivi, viene ignorata). Comunque non è pericolosa perchè dal nome dell'eseguibile penso si riferisca all'aggiornamento microsoft Choice Screen, rilasciato poco fa (quello relativo alla scelta del broswer per gli utenti dell'UE).

Ciao

Edit, riporto il Knowledge Base: http://support.microsoft.com/kb/976002
fdaccc
Inviato: Sunday, March 14, 2010 1:34:24 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
grazie della segnalazione simo :)
thepiratebay
Inviato: Sunday, March 14, 2010 2:14:41 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
paolopa ha scritto:
@fdaccc:se volevo intervenire facendogli fixare le voci con hijack l avrei fatto.preferisco che siano i software ad occuparsene,o r16 o qualcuno AUTORIZZATO da alfonso.per la cronaca ne hai pure saltata qualcuna.


riquoto :-) è un giovane intrappendente con la voglia di inparare questo credo che gli faccia onore
ma altretanto credo che non capisca o non voglia capire la gravità di consigli che da visto che parliamo di cancellare voci quoto il webmaster

@ paolopa leggendo i tuoi post mi senbri molto conpetente anche "virus": poi se è una tua libera scelta conprendo

be autoriuzzato mi senbra una frase ristretta alla famosa lista ma ben venga una tua o ltra qualsiasi opinione qualificata in merito .
ciao
burla
Inviato: Sunday, March 14, 2010 6:59:10 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
simo95 ha scritto:
fdaccc ha scritto:

queste 2 mi insospettiscono, soprattutto la prima
O4 - HKLM\..\RunOnce: [KB976002-v5] C:\WINDOWS\system32\browserchoice.exe



E' una voce RunOnce (esegue il comando solo al primo riavvio del pc, nei riavvi successivi, viene ignorata). Comunque non è pericolosa perchè dal nome dell'eseguibile penso si riferisca all'aggiornamento microsoft Choice Screen, rilasciato poco fa (quello relativo alla scelta del broswer per gli utenti dell'UE).

Ciao

Edit, riporto il Knowledge Base: http://support.microsoft.com/kb/976002


Confermo! negli aggiornamenti mi si è scaricato 'sto coso che mi dice di scegliere il browser che voglio usare..
ma mi si blocca se lo faccio..
mancava anche questa! -.-"


monsee ha scritto:
Perdona la curiosità, ma potrebbe rivelarsi utilissimo saperlo: quale pop-up ti appare, esattamente? Think


in effetti non so se "popup" è il termine esatto..
comunque ti faccio un esempio:
avevo aperto un gioco, questo di punto in bianco mi si riduce ad icona e mi si apre una finestra
di explorer con un sito pubblicitario (mi è poi successo altre 3-4 volte e i siti cambiavano sempre!)

Comunque sto facendo or ora la scansione con Malwarebytes.
Appena finisce posto il risultato!


Burla.


P.s. il mio antivirus ha iniziato a dare segni di vita e ogni 2 per 3 rileva delle minacce!
burla
Inviato: Sunday, March 14, 2010 7:37:35 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
Ecco qui!
rimuovo i 13 file infetti che mi dice d'aver trovato?


Burla.

Code:
Malwarebytes' Anti-Malware 1.44
Versione del database: 3863
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/03/2010 19.35.44
mbam-log-2010-03-14 (19-35-37).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 327157
Tempo trascorso: 43 minute(s), 15 second(s)

Processi delle memoria infetti: 1
Moduli della memoria infetti: 0
Chiavi di registro infette: 6
Valori di registro infetti: 2
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 3

Processi delle memoria infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\toy5knq8oc (Trojan.FakeAlert) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
paolopa
Inviato: Sunday, March 14, 2010 7:53:39 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
elimina cio' che ti ha rilevato mbam,poi:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: dopo aver scaricato COMBOFIX disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
burla
Inviato: Sunday, March 14, 2010 8:35:19 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
Perfetto adesso lo scarico!
Comunque ho eliminato i file infetti, poi ho riavviato
e mi è apparso questo:



è grave?


Burla.
paolopa
Inviato: Sunday, March 14, 2010 8:37:07 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
non si vede nulla,non hai postato immagini...
burla
Inviato: Sunday, March 14, 2010 8:52:31 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
ups!
nell'anteprima si vedeva! adesso riprovo!
comunque ecco il responso di combofix.


Code:
ComboFix 10-03-14.01 - Riccardo 14/03/2010  20.41.45.1.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.39.1040.18.3327.2763 [GMT 1:00]
Eseguito da: c:\documents and settings\Riccardo\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\bit4cnsp.dll
c:\windows\system32\SIntf16.dll

.
(((((((((((((((((((((((((((((((((((((((   Driver/Servizi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((((   Files Creati Da 2010-02-14 al 2010-03-14  )))))))))))))))))))))))))))))))))))
.

2010-03-13 18:48 . 2010-03-13 18:48    --------    d-----w-    c:\documents and settings\Riccardo\Dati applicazioni\Malwarebytes
2010-03-13 18:48 . 2010-01-07 15:07    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-13 18:48 . 2010-03-13 18:48    --------    d-----w-    c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-03-13 18:48 . 2010-01-07 15:07    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-03-13 14:02 . 2010-02-12 10:03    293376    ------w-    c:\windows\system32\browserchoice.exe
2010-03-13 10:39 . 2010-03-13 10:39    156160    ----a-w-    c:\windows\Jhecoa.exe
2010-03-11 07:05 . 2009-10-23 15:28    3558912    -c----w-    c:\windows\system32\dllcache\moviemk.exe

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-14 17:51 . 2008-10-20 16:15    --------    d-----w-    c:\documents and settings\All Users\Dati applicazioni\avg8
2010-03-14 17:33 . 2009-09-21 19:25    --------    d-----w-    c:\documents and settings\Riccardo\Dati applicazioni\vlc
2010-02-24 23:37 . 2009-06-25 16:48    --------    d-----w-    c:\programmi\Creative
2010-02-08 18:03 . 2008-10-21 00:19    --------    d-----w-    c:\documents and settings\All Users\Dati applicazioni\Messenger Plus!
2010-02-08 18:01 . 2008-10-20 17:05    --------    d-----w-    c:\programmi\Messenger Plus! Live
2010-02-02 13:25 . 2010-02-02 13:25    0    ----a-w-    c:\windows\nsreg.dat
2010-01-31 19:16 . 2010-01-31 19:16    --------    d-----w-    c:\documents and settings\All Users\Dati applicazioni\BioWare
2010-01-31 16:41 . 2008-11-21 12:38    --------    d-----w-    c:\programmi\File comuni\Wise Installation Wizard
2010-01-31 16:41 . 2010-01-31 16:29    --------    d-----w-    c:\programmi\File comuni\BioWare
2010-01-29 20:40 . 2009-06-29 09:04    --------    d-----w-    c:\documents and settings\All Users\Dati applicazioni\AVG Security Toolbar
2010-01-12 20:05 . 2010-01-12 20:05    65024    ----a-w-    c:\windows\IFinst26.exe
2009-12-31 16:50 . 2004-08-03 21:14    353792    ----a-w-    c:\windows\system32\drivers\srv.sys
2009-12-21 19:06 . 2004-08-19 13:39    916480    ----a-w-    c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2008-10-20 15:06    346112    ----a-w-    c:\windows\system32\mspaint.exe
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-11-25 12:01    1230080    ----a-w-    c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmi\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-12 2043160]
"MULTIMEDIA KEYBOARD"="c:\programmi\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-07-22 167936]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-09 13680640]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-27 11:49    11952    ----a-w-    c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk *\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Tasto di scelta rapida per l'avvio di AutoCAD.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Tasto di scelta rapida per l'avvio di AutoCAD.lnk
backup=c:\windows\pss\Tasto di scelta rapida per l'avvio di AutoCAD.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10    35696    ----a-w-    c:\programmi\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43    69632    ------r-    c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:14    15360    ------w-    c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2004-06-16 05:03    221184    ----a-w-    c:\progra~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2004-06-16 05:03    81920    ----a-w-    c:\programmi\File comuni\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2009-02-09 12:18    13680640    ----a-w-    c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-02-09 12:18    86016    ----a-w-    c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2009-02-09 12:18    1657376    ----a-w-    c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
2008-09-04 05:01    2524416    ----a-w-    c:\windows\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
2003-02-27 04:31    69632    ----a-w-    c:\programmi\File comuni\Roxio Shared\System\EngUtil.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2008-05-16 06:39    16862720    ------r-    c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSLEmptyCache]
2008-05-21 08:07    57344    ----a-w-    c:\windows\system32\SSLEmptyCache.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"TomTomHOMEService"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"ose"=3 (0x3)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"gupdate1c98ac0fd03ac00"=2 (0x2)
"FLEXnet Licensing Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Autodesk Licensing Service"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programmi\\AVG\\AVG8\\avgupd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Riccardo\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"d:\\Riccardo\\Programmi\\Deep Silver\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=
"d:\\Riccardo\\Programmi\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Riccardo\\Programmi\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Riccardo\\Programmi\\Far Cry 2\\bin\\FarCry2.exe"=
"d:\\Riccardo\\Programmi\\Far Cry 2\\bin\\FC2Launcher.exe"=
"d:\\Riccardo\\Programmi\\Far Cry 2\\bin\\FC2Editor.exe"=
"d:\\Riccardo\\Programmi\\Aspyr\\Guitar Hero III\\GH3.exe"=
"d:\\Riccardo\\Programmi\\Sacred\\sacred.exe"=
"d:\\Riccardo\\Programmi\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Riccardo\\Programmi\\Sierra\\Empire Earth\\Empire Earth.exe"=
"d:\\Riccardo\\Programmi\\Activision\\Prototype\\prototypef.exe"=
"d:\\Riccardo\\Programmi\\Sacred\\GameServer.exe"=
"d:\\Riccardo\\Programmi\\Deep Silver\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Riccardo\\Programmi\\Dragon Age\\bin_ship\\daorigins.exe"=
"d:\\Riccardo\\Programmi\\Dragon Age\\DAOriginsLauncher.exe"=
"d:\\Riccardo\\Programmi\\Dragon Age\\bin_ship\\daupdatersvc.service.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"2006:TCP"= 2006:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"2005:TCP"= 2005:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"2007:TCP"= 2007:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"2008:TCP"= 2008:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"2009:TCP"= 2009:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"2010:TCP"= 2010:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"7064:TCP"= 7064:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"7066:TCP"= 7066:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe
"12300:TCP"= 12300:TCP:d:\\Riccardo\\Programmi\\Sacred\\Sacred.exe

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [20/10/2008 19.57.23 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [20/10/2008 19.57.23 5248]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [10/06/2008 11.33.10 150568]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [20/10/2008 17.15.50 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [20/10/2008 17.15.53 108552]
R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [21/10/2008 18.10.04 6656]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [20/10/2008 17.15.48 908056]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [20/10/2008 17.15.48 297752]
R2 nhksrv;Netropa NHK Server;c:\programmi\Netropa\Multimedia Keyboard\nhksrv.exe [21/10/2008 18.10.04 28672]
R2 TomTomHOMEService;TomTomHOMEService;d:\programmi\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 12.31.14 92008]
S2 jmyhzjbgu;Config Installer;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 14.39.46 14336]
S2 pmplqmu;Center Network;c:\windows\system32\svchost.exe -k netsvcs [19/08/2004 14.39.46 14336]
S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usbxp.sys [08/11/2008 13.31.18 24832]
S3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;d:\riccardo\Programmi\Dragon Age\bin_ship\daupdatersvc.service.exe [31/01/2010 17.35.57 25832]
S3 PciCon;PciCon;\??\e:\pcicon.sys --> e:\PciCon.sys [?]
S4 gupdate1c98ac0fd03ac00;Google Update Service (gupdate1c98ac0fd03ac00);c:\programmi\Google\Update\GoogleUpdate.exe [09/02/2009 15.16.22 133104]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
jmyhzjbgu
pmplqmu
.
Contenuto della cartella 'Scheduled Tasks'

2010-03-14 c:\windows\Tasks\User_Feed_Synchronization-{D8227DEA-264E-4ED0-ACD9-62F743389F0F}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Scansione supplementare -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {15D151C8-5180-43C1-9360-4D794663BD6E} - hxxp://www.crs.regione.lombardia.it/components/OcsKitCittadino.cab
DPF: {3263F297-5CB9-4D8C-A2DB-CDFB8C69CB6D} - hxxp://www.crs.regione.lombardia.it/components/OcxCertUpdate.cab
DPF: {4384AA75-43AB-4095-84F9-C5B35EC62B5D} - hxxp://www.crs.regione.lombardia.it/components/OcxCrsInfo.cab
DPF: {877E14A6-0ACF-4509-8CF3-E4A0F4ED46F4} - hxxp://supportsiss.lispa.it/components/pdlc.cab
FF - ProfilePath - c:\documents and settings\Riccardo\Dati applicazioni\Mozilla\Firefox\Profiles\w2as9d1d.default\
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programmi\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
d:\programmi\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
d:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-bit4id store register - c:\windows\system32\bit4cnsp.dll
MSConfigStartUp-AdobeCS4ServiceManager - c:\programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-14 20:48
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jmyhzjbgu]
"ServiceDll"="c:\windows\system32\rlflpqr.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pmplqmu]
"ServiceDll"="c:\windows\system32\rlflpqr.dll"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-1659004503-1078081533-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:34,ae,46,68,dc,54,bb,fc,b2,91,cf,1d,df,ce,65,4f,84,fc,c4,dd,1e,0d,1d,
   74,60,5d,ce,8b,14,c5,73,7e,3d,fb,a7,00,4d,e4,d4,b9,d9,3c,02,a0,bb,d7,f4,90,\
"??"=hex:6f,c6,cb,90,f7,12,80,e5,d9,07,0f,2f,5a,a9,fd,2c

[HKEY_USERS\S-1-5-21-1659004503-1078081533-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:25,74,8f,c0,ce,dd,ca,17,d0,df,5a,60,44,70,41,71,21,a3,2e,28,77,
   ed,96,bd,68,72,4a,30,f0,95,a6,a4,e3,e2,01,dd,15,62,4a,77,a1,99,b4,68,8d,24,\
"rkeysecu"=hex:16,54,4b,84,f0,17,52,bf,8b,9a,0a,13,57,1f,fd,f6

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"01403E1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="C6A24054183F68FB8CCE649E9A94D26BD5A91960FD7CB8E076E25F0CA618C338D6371148EE7B5A5CC9F5E382E3EF4862AF972D1C4FD7A73C6DD8F61A1692A9EF2DF2717466F99F6CF3D920E031EBDEE60A936E42F66370452A167D1FE5A7932309BBD2A1C6808A5A28475032B686BEA4FBF37B2036F7AECA619793D404A7AF5FDCD8FE9A4CF8FE13346F01739F61218DD3F24401450E90DDFB422E7AD60744F94FF88DAF286DF7CD1E6711A409C254D610AE8CB74F45DA54195E9751B4DDA7093BA9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC79335D575E7D6A3B9808A9C6AECB7A5D140788C5C608F2ECACF97CDB4EB3CD52E929C3DE2A17321CBF4204696D6AA5311E8E9451794B0D23077014E6D9A473695396D2B6722E14B3C7380BE2F9F0BF45F970650649650A68829958ADF41FCCE506434BDBBA03749884B31325BF94250D027A364E9ACFA62A7513888930152CF3959892BAE1A0595CE684CACB8998AE98A2061A18C324329AE8613D5B8E19740AC7E2644237B25C5112612F7813614CBDFCD175530FA0103119EADF8409E11F5D18D14FE6808AAA8FDC629550907A7E95E5810076BB293728F87B2C6B8B4EB7E8B37AB4A0769D04F4D386A57A2791DD7DE41A467C7E44B1FB2E42B5FB75DBDE6D7DD4CCE94783C09FB52D5AA47177921637852BE07C9CA0EF91D2E1249AAFC8EB0CBD224292F947F5F51E847EFCA2DB45CC93E0275281B789B125EAD5C310BDADAAF414AE6D61969E3D0147BD4B2C0BB34B76F1548C653B144E94DD082DEA99BB579F533661C03F06E5E29A1AD3D3884E0BC2BAF0B160891D5E5F1CB58650CD6745C669646BBDE5DC7F374AD07EFACB471775EB0CB5AB90768BA95DDDF3725DC258D42F497CA6C416CE5275A2AB266592B1EB8A3705A653B6B17B29828DA9E0242E1C5478796D2AEA496D91D32C8076E94E686E877ED5E9B7E3BE5E2B5EF105A7154F5B093C2575D71DA5642E46D6B5C996114617F45DFE9668C42E61676B092D0D881B1690099C1C27FC0B7CB31CEC74E4F11103AF0BD23836BF9F349CDAC356CE433DC038F2283BFC59F411A2E67BEDCBF6A36DE9CBB6C07C460B37E5261A8B44DE42AC6866B77EE403663F356F52801073277BD1B2949A9DD51F001FDB0BF68C22FB80C987F9725A2776E081947839291E19D78A7765F3AC4C5DA919A82588F8B39168F81F35E58ED8905111578768439249AF2C74B9BF75ED1CD196630E7211217E93071AC26EE28BF4F1635F2F243F4C5DB3412933B2F361849B50027CAC0F5990367A0890E3EF9AB7A868F43044B2B04D1A49B70CC75B3293AFF2A1BEF2E032E987CA9F1EE102C1C0DB878562E6E404661E36670E3E8E509C369C81B2C2"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3928)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\oodag.exe
c:\progra~1\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programmi\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programmi\Netropa\Multimedia Keyboard\TrayMon.exe
c:\programmi\Netropa\Onscreen Display\OSD.exe
.
**************************************************************************
.
Ora fine scansione: 2010-03-14  20:50:51 - Il pc è stato riavviato
ComboFix-quarantined-files.txt  2010-03-14 19:50

Pre-Run: 2.535.575.552 byte disponibili
Post-Run: 2.614.046.720 byte disponibili

- - End Of File - - 68D0B92EF07CD90A00FD1CF5025E13F5




Burla.
burla
Inviato: Sunday, March 14, 2010 8:54:59 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
Metto il link dell'immagine!

http://burla.altervista.org/Immagine.JPG


Burla.
paolopa
Inviato: Sunday, March 14, 2010 9:01:00 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
combofix ha effettuato ulteriori eliminazioni,
ora aspetta che r16 ti analizzi a fondo il log e ti faccia,se è il caso,eseguire uno script.
io purtroppo non sono in grado di farlo.potresti,intanto che aspetti,ripostare un log di hijack,
cosi' vediamo se la situazione si è normalizzata o se bisognera'intervenire anche da li.non disinstallare combo momentaneamente,potrebbe servire ad r16.
burla
Inviato: Sunday, March 14, 2010 9:39:30 PM
Rank: Member

Iscritto dal : 3/13/2010
Posts: 11
ecco qui il nuovo log.

Burla.



Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.39.19, on 14/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
D:\Programmi\TomTom HOME 2\TomTomHOMEService.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {15D151C8-5180-43C1-9360-4D794663BD6E} (Posto di Lavoro del Cittadino - Attestazione) - http://www.crs.regione.lombardia.it/components/OcsKitCittadino.cab
O16 - DPF: {3263F297-5CB9-4D8C-A2DB-CDFB8C69CB6D} (Posto di Lavoro del Cittadino - Autenticazione utente) - http://www.crs.regione.lombardia.it/components/OcxCertUpdate.cab
O16 - DPF: {4384AA75-43AB-4095-84F9-C5B35EC62B5D} (Posto di Lavoro del Cittadino - Interprete dati) - http://www.crs.regione.lombardia.it/components/OcxCrsInfo.cab
O16 - DPF: {877E14A6-0ACF-4509-8CF3-E4A0F4ED46F4} (Postazione di Lavoro del Cittadino 3.0) - http://supportsiss.lispa.it/components/pdlc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553550000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - D:\Riccardo\Programmi\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Programmi\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 7638 bytes
r16
Inviato: Sunday, March 14, 2010 9:45:14 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe e poi clicca Ok
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Code:
KillAll::

NetSvcs::
jmyhzjbgu
pmplqmu

File::
c:\windows\system32\rlflpqr.dll

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jmyhzjbgu]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pmplqmu]

Driver::
jmyhzjbgu
pmplqmu


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.