Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

x r16 log malwarebytes Opzioni
angelo_blù
Inviato: Friday, April 16, 2010 4:05:36 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
Un saluto a tutti gli amici del forum, ho notato che in malwarebytes-quarantena ci 7 file che io non ho mai messo così ho fatto una scansione ed ecco il log


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3995

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2010 15.50.58
mbam-log-2010-04-16 (15-50-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 139987
Tempo trascorso: 1 ore, 19 minuti, 22 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Documents and Settings\Utente\Impostazioni locali\Temporary Internet Files\Content.IE5\GKXN1DOY\x3Codec-1.5.0.0-setup[1].exe (Adware.NaviPromo) -> No action taken.
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org


Sponsor
Inviato: Friday, April 16, 2010 4:05:36 PM

 
r16
Inviato: Friday, April 16, 2010 4:36:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Commenta:
ho notato che in malwarebytes-quarantena ci 7 file che io non ho mai messo così ho fatto una scansione ed ecco il log

Qualcuno di sicuro li ha messi.
Sei l'unico che usa quel pc?

Comunque elimina quello che ha trovato Malwarebytes.

Fai questa scansione:

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
angelo_blù
Inviato: Friday, April 16, 2010 6:42:51 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
si il pc lo uso solo io, ho notato che anche nel potatile di mia figlia ci sono file in quarantena che nessuno ci ha messo con data anche di un anno fà.

ComboFix 10-04-15.05 - Utente 16/04/2010 18.20.15.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1536.1130 [GMT 2:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2010-03-16 al 2010-04-16 )))))))))))))))))))))))))))))))))))
.

2010-04-15 12:53 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-03-31 17:41 . 2010-03-31 17:41 -------- d-----w- c:\programmi\File comuni\Java
2010-03-31 17:41 . 2010-03-31 17:41 503808 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-3ec3564c-n\msvcp71.dll
2010-03-31 17:41 . 2010-03-31 17:41 61440 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-36992b61-n\decora-sse.dll
2010-03-31 17:41 . 2010-03-31 17:41 499712 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-3ec3564c-n\jmc.dll
2010-03-31 17:41 . 2010-03-31 17:41 348160 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-3ec3564c-n\msvcr71.dll
2010-03-31 17:41 . 2010-03-31 17:41 12800 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-36992b61-n\decora-d3d.dll
2010-03-31 17:35 . 2010-03-31 17:35 79488 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_19\gtapi.dll
2010-03-31 17:35 . 2010-03-31 17:35 152576 ----a-w- c:\documents and settings\Utente\Dati applicazioni\Sun\Java\jre1.6.0_19\lzma.dll
2010-03-22 17:44 . 2010-02-10 17:13 165376 ----a-w- c:\windows\system32\unrar.dll
2010-03-22 17:44 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2010-03-22 17:44 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2010-03-22 17:44 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-03-22 17:44 . 2010-03-14 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-16 16:29 . 2009-10-20 15:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2010-04-16 12:10 . 2009-10-20 16:38 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2010-04-16 12:10 . 2009-10-20 16:38 -------- d-----w- c:\programmi\SpywareBlaster
2010-04-15 13:14 . 2009-12-13 00:23 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Babylon
2010-04-15 12:53 . 2009-11-05 16:03 -------- d-----w- c:\programmi\Java
2010-04-12 09:53 . 2009-10-24 15:48 -------- d-----w- c:\programmi\Unlocker
2010-03-30 16:52 . 2009-10-24 10:06 -------- d-----r- c:\programmi\emule0.49c-Xtreme7.2
2010-03-30 12:38 . 2009-10-25 08:41 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-03-30 11:05 . 2008-04-14 12:00 64156 ----a-w- c:\windows\system32\perfc010.dat
2010-03-30 11:05 . 2008-04-14 12:00 428288 ----a-w- c:\windows\system32\perfh010.dat
2010-03-29 16:33 . 2009-10-20 15:35 -------- d-----w- c:\programmi\CCleaner
2010-03-29 13:24 . 2009-10-25 08:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 13:24 . 2009-10-25 08:41 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-22 17:45 . 2009-10-20 16:30 -------- d-----w- c:\programmi\K-Lite Codec Pack
2010-03-10 06:15 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:16 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-24 11:45 . 2009-10-24 10:33 -------- d-----w- c:\programmi\AM-DeadLink
2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr
2010-02-16 19:05 . 2008-04-14 12:00 2149888 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:05 . 2008-04-13 18:55 2028032 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 15:44 . 2010-02-12 15:44 80400 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-02-12 15:44 . 2010-02-12 15:44 315408 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys
2010-02-12 15:44 . 2010-02-12 15:44 109072 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll
2010-02-12 15:44 . 2010-02-12 15:44 109072 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll
2010-02-12 15:44 . 2010-02-12 15:44 80400 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-02-12 15:44 . 2010-02-12 15:44 315408 ----a-w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys
2010-02-12 15:28 . 2010-02-12 15:28 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2010-02-12 15:28 . 2010-02-12 15:28 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2010-02-12 10:03 . 2010-03-16 15:36 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-09 10:23 . 2009-10-20 17:36 63712 ----a-w- c:\documents and settings\Utente\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programmi\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAlarm"="c:\programmi\WinAlarm\WinAlarm.exe" [2007-12-26 353280]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"TrueImageMonitor.exe"="c:\programmi\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-10-06 5076088]
"Servizio Acronis Scheduler2"="c:\programmi\File comuni\Acronis\Schedule2\schedhlp.exe" [2009-10-06 357688]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe" [2009-10-20 340456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0auto_reactivate \\?\Volume{b9532a6f-bd61-11de-be9b-806d6172696f}\bootwiz\asrm.bin

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\emule0.49c-Xtreme7.2\\emule.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 22.18.34 36880]
R0 tdrpman255;Acronis Try&Decide and Restore Points filter (build 255);c:\windows\system32\drivers\tdrpm255.sys [10/11/2009 13.17.01 911552]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/10/20 18:56];c:\programmi\CyberLink\PowerDVD9\000.fcl [28/02/2009 19.40.18 87536]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programmi\File comuni\Acronis\CDP\afcdpsrv.exe [10/11/2009 17.42.15 2326920]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [10/11/2009 17.42.18 159168]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 15.42.46 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 20.39.44 19472]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'

2010-04-16 c:\windows\Tasks\Manutenzione in 1 clic.job
- c:\programmi\TuneUp Utilities 2009\OneClickStarter.exe [2009-11-16 16:38]

2010-04-16 c:\windows\Tasks\User_Feed_Synchronization-{AF9B547E-CECD-42A3-A6B9-9842DFBD142E}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.it/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Translate this web page with Babylon - c:\programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-16 18:29
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\programmi\CyberLink\PowerDVD9\000.fcl"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'explorer.exe'(3748)
c:\windows\system32\WININET.dll
c:\programmi\RocketDock\RocketDock.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Acronis\Schedule2\schedul2.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\System32\TUProgSt.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-04-16 18:34:41 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-04-16 16:34

Pre-Run: 54.900.850.688 byte disponibili
Post-Run: 54.798.348.288 byte disponibili

- - End Of File - - BF6BEF77BFB3139A8AD3AEB1620E00C9
r16
Inviato: Friday, April 16, 2010 7:24:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il log non presenta anomalie.
Elimina tutta la quarantena di Malwarebytes, e poi controlla se si verificano ancora quelle stranezze.

Per eliminare Combofix:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.
paolopa
Inviato: Friday, April 16, 2010 7:47:56 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
ciao,scusa l intromissione r16,volevo solo dire che probabilmente qualsiasi pendrive o hd esterno angeloblu ha collegato al pc probabilmente sara' infetta dall autorun.inf,e che se dovesse ricollegarla reinfetterebbe il pc.dovra' bonificarle prima di riusarle,sempre che siano state usate.
fdaccc
Inviato: Friday, April 16, 2010 8:03:12 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
scusate, OTC serve per eliminare combofix e quali altri tools?
meme1580
Inviato: Friday, April 16, 2010 8:29:08 PM

Rank: AiutAmico

Iscritto dal : 3/25/2008
Posts: 170
Avenger

Brute Force Uninstaller

Combofix

Deckard's System Scanner

FindAWF

FixwareOut

gmer

haxfix

KillBox

NoLop

OTList

OTMoveIt

Random's System Information Tool
r16
Inviato: Friday, April 16, 2010 8:53:33 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
paolopa ha scritto:
ciao,scusa l intromissione r16,volevo solo dire che probabilmente qualsiasi pendrive o hd esterno angeloblu ha collegato al pc probabilmente sara' infetta dall autorun.inf,e che se dovesse ricollegarla reinfetterebbe il pc.dovra' bonificarle prima di riusarle,sempre che siano state usate.

E' possibile Paolo.
Ma, l'Autorun.inf, non è sempre un virus.
L'Autorun.inf, non è altro che un semplice file di testo, con scritto dei comandi, a seconda di quello che si vuole eseguire.
Combofix, lo elimina,(per sicurezza) indipendentemente che sia legittimo, oppure no.
Questo per spiegarti, che non è detto che le periferiche di angelo_blù , siano infette.
Comunque, una scansione specifica, di dette periferiche,male non farà di sicuro.
A te la procedura. Drool



paolopa
Inviato: Friday, April 16, 2010 9:05:00 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
si,ma io quando lo vedo vado nel panico....hai bonificato tu il pc di mia sorella che continuava a rimpallarselo e non ne veniva piu' fuori,da allora sono un po prevenuto... :-)
nel caso vuoi scansionare pendrive o hd esterni .....
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
http://www.microsoft.com/windowsxp/downloads/powertoys/xppowertoys.mspx
Una volta installato, eseguilo e procedi con questi passaggi:

Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette (o HDD) e fai un check delle stesse con il tuo antivirus. (fallo anche con Malwarebytes' Anti-MalwareMalwarebyte
Quando sei sicuro che tutto è a posto,e cioè l'antivirus ha eliminato il malware, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
E' chiaro, che se con questo procedimento, hai DISABILITATO le periferiche USB, facendo lo stesso procedimento AL CONTRARIO, le RIATTIVERAI.
In pratica, per Riattivarle, devi Mettere il segno di spunta a Enable Autoplay for removable drives
(spudoratamente e senza ritegno copiato da un post di r16)
angelo_blù
Inviato: Friday, April 16, 2010 9:57:11 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
ciao paolopa, adesso il pc va molto meglio
se lo ritenete necessario posso provarci, debbo collegare hd esterno e tutte le chiavette contemporaneamente se o ben capito
paolopa
Inviato: Friday, April 16, 2010 10:03:09 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
si,esegui la procedura descritta sopra,di modo che si disabiliti l autoplay,le colleghi,vai in risorse del computer,clicchi col dx sulle periferiche da controllare e scegli sacansiona con....malwarebytes e il tuo av,tanto ci mette pochissimo.almeno sei tranquillo.comunque molto probabilmente ha ragione r16,altrimenti anche mbam avrebbe trovato un autorun.inf,ma costa poco farlo e sei tranquillo.ciao.
angelo_blù
Inviato: Friday, April 16, 2010 10:10:52 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
scusa ma ce ne sono 2
Tweak UI
Tweak UI for Itanium™-based systems
quale? ciao
r16
Inviato: Friday, April 16, 2010 10:36:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
angelo_blù
Inviato: Friday, April 16, 2010 11:22:27 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
ok fatto, l'antivirus non ha trovato niente
sull'hd esterno Malwarebytes ha trovato questi

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3995

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2010 22.54.01
mbam-log-2010-04-16 (22-54-01).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 17812
Tempo trascorso: 7 minuti, 18 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
F:\System Volume Information\_restore{E15E8359-49FE-42F3-AEF6-472B11AC6519}\RP55\A0011243.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{FE2BDA75-39D0-49F5-B14E-E7AC935DC936}\RP65\A0012314.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
angelo_blù
Inviato: Saturday, April 17, 2010 12:19:47 AM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
dopo il riavvio x completare l'eliminazione di Malwarebytes' il pc non carica i prog
schermo nero
che faccio?
paolopa
Inviato: Saturday, April 17, 2010 7:13:17 AM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
la cartella restore è quella dove vengono "stivati" i punti di ripristino,mi sembra strano che dipenda da questo.cosa ci faccia poi in un hd esterno....hai qualche immagine del so nell hd esterno?per risolvere potresti provare con "ultima configurazione sicuramente funzionante",ma io al posto tuo aspetterei il parere di r16 che di certo ne sa piu' di me.
angelo_blù
Inviato: Saturday, April 17, 2010 11:18:56 AM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
ciao paolopa, nessuna immagine salvata su HD esterno
dopo svariati tentativi sono riuscito ad entrare in mod provvisoria e riattivare le periferiche con Twak Ui e dopo il riavvio mi e uscita una pag che non so cos'era, non sapendo cosa fare x non sbagliare ho spento (tolto la corrente).
adesso: all'avvio il pc rumina parecchio, lentezza nel caricare le pag con IE 8 e autoplay che non funziona ( che credo di poter risolvere con "autofix").
aspetto consigli da r16
paolopa
Inviato: Saturday, April 17, 2010 12:25:29 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
senti angeloblu'.tanto per agevolargli il compito(e anche perchè sono curioso),proveresti a postare un log hijack?
ps:quando succede qualcosa che non capisci non spegnere immediatamente il pc,nel caso di un infezione,per esempio,gli renderesti la vita molto piu' facile.
angelo_blù
Inviato: Saturday, April 17, 2010 12:58:04 PM

Rank: AiutAmico

Iscritto dal : 9/24/2007
Posts: 96
ciao paolopa, io non ho subito spento il pc, sono stato dalle 23,30 alle 3,30 di questa mattina x cercare una soluzione e non vedendo vie d'uscita..
comunque se il problema (secondo me) erano le periferiche disattivate, forse era meglio specificarlo che bisognava riattivarle prima di fare un riavvio (visto che mba spesso x completare una disinfettazione lo richiede), questo è un mio modesto parere.
ho rilanciato mba e non ha trovato nulla
ho fatto tutte le varie pulizie che r16 consiglia di solito e sembra che adesso il pc va un pò meglio

ecco il log file

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.35.57, on 17/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WinAlarm\WinAlarm.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Documents and Settings\Utente\Documenti\x Pulizia x\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinAlarm] C:\Programmi\WinAlarm\WinAlarm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Servizio Acronis Scheduler2] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256112690609
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Servizio Acronis Scheduler2 (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programmi\File comuni\Acronis\CDP\afcdpsrv.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6843 bytes
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.