Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

problema Opzioni
marimossi
Inviato: Saturday, June 05, 2010 2:58:07 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10.39.34, on 05/06/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\System Volume Information\Microsoft\smss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Iconoid\iconoid.exe
C:\Programmi\RocketDock\RocketDock.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVGLS\avgssie.dll (file missing)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\SpyBot\SDHelper.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [SpywareGuard] C:\\Programmi\\SpywareGuard\\sgmain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Iconoid] "C:\Programmi\Iconoid\iconoid.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6292 bytes



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

05/06/2010 14.57.12
mbam-log-2010-06-05 (14-57-12).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 161880
Tempo trascorso: 24 minuti, 3 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 4
Cartelle infette: 0
File infetti: 1

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\WINDOWS\SETUP.BAT (Trojan.Banker) -> No action taken.
Sponsor
Inviato: Saturday, June 05, 2010 2:58:07 PM

 
r16
Inviato: Saturday, June 05, 2010 3:04:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
"problema"

Un pò avaro di info. Sick
Magari spiegare che "problema"....Whistle

Elimina quello che ha trovato Malwarebytes.

Esegui questa scansione:
Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è importante)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (comparirà una videata.)

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.
bazzurlone
Inviato: Saturday, June 05, 2010 3:29:17 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
Per r16
Questi sono i guai che rileva l'amico. aveva aperto un topic in un'altra sezione

Salve, ho un problema e vi prego di aiutarmi. Da qualche giorno il mio pc gestisce autonomamente il volume, ovvero il volume si abbassa improvvisamente (la barra del wave) e poi mi compare la finestra di explorer che mi chiede se voglio usare explorer come browser predefinito e subito dopo si apre anche una pagina di explorer con la scritta HTTP 404 (io non uso mai explorer, ma solo firefox). Ho fatto delle scansioni con più antivirus, solo malwarebytes è riuscito a trovare un file infetto in C: un troyan.banker identificato come startup.bat, ma quel file c'è sempre stato. Ho anche fatto un ripristino con acronis, ma non è cambiato nulla. Quale potrebbe essere il problema?
grazie

r16
Inviato: Saturday, June 05, 2010 3:35:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Bazz. (e grazie)
Vediamo cosa dice Combofix.
marimossi
Inviato: Saturday, June 05, 2010 3:54:01 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
scusate!!!avevo dimenticato di copiare il primo post :)
comunque ho un problema con combofix. Quando provo ad aprirlo mi compare la finestra di errore:
Some files could not be created
Please close all applications, reboot windows and restart this installation

Ho riprovato...ma niente!!
marimossi
Inviato: Saturday, June 05, 2010 3:57:11 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
e non riesco neanche ad eliminarlo. continua a ripetermi: accesso negato
marimossi
Inviato: Saturday, June 05, 2010 5:27:45 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
c'è nessuno?
bazzurlone
Inviato: Saturday, June 05, 2010 7:35:41 PM

Rank: AiutAmico

Iscritto dal : 1/20/2005
Posts: 1,537
E' l'infezione che blocca combofix.rinominalo in "abc.exe"poi fallo partire. Per eliminarlo servira' una utility apposita,ma questo dopo....
r16
Inviato: Saturday, June 05, 2010 9:04:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
bazzurlone ha scritto:
E' l'infezione che blocca combofix.rinominalo in "abc.exe"poi fallo partire. Per eliminarlo servira' una utility apposita,ma questo dopo....

No, per scaricare una nuova versione di Combofix, bisogna eliminare la vecchia;
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Scarica questa versione:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
In fase di scaricamento, lo RINOMINI con un nome di fantasia. (ad esempio cambiagli il nome in COMBO-FIX.EXE oppure come ha detto bazz, abc.exe)

marimossi
Inviato: Saturday, June 05, 2010 10:23:17 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
aiuto!! dopo la scansione di combofix il pc ha deciso che explorer doveva essere il mio browser. Provo ad aprire mozilla, ma al suo posto apre explorer

ComboFix 10-06-03.01 - Administrator 05/06/2010 22.10.51.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1022.686 [GMT 2:00]
Eseguito da: c:\documents and settings\Administrator\Desktop\ComboFix1.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\SHELLLNK.TLB

.
((((((((((((((((((((((((( Files Creati Da 2010-05-05 al 2010-06-05 )))))))))))))))))))))))))))))))))))
.

2010-06-05 20:00 . 2010-06-05 20:00 -------- d-----w- c:\programmi\File comuni\Java
2010-06-05 20:00 . 2010-06-05 20:00 503808 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1c59315c-n\msvcp71.dll
2010-06-05 20:00 . 2010-06-05 20:00 499712 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1c59315c-n\jmc.dll
2010-06-05 20:00 . 2010-06-05 20:00 348160 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-1c59315c-n\msvcr71.dll
2010-06-05 20:00 . 2010-06-05 20:00 61440 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-35b845ed-n\decora-sse.dll
2010-06-05 20:00 . 2010-06-05 20:00 12800 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-35b845ed-n\decora-d3d.dll
2010-06-05 20:00 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-05 19:52 . 2010-06-05 19:52 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-06-05 19:52 . 2010-06-05 19:52 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-06-05 19:35 . 2010-06-05 19:35 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\Malwarebytes
2010-06-05 19:35 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-05 19:35 . 2010-06-05 19:36 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-06-05 19:35 . 2010-06-05 19:35 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-06-05 19:35 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-05 18:42 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-06-05 18:31 . 2010-06-05 18:31 503808 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6a28f2af-n\msvcp71.dll
2010-06-05 18:31 . 2010-06-05 18:31 499712 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6a28f2af-n\jmc.dll
2010-06-05 18:31 . 2010-06-05 18:31 348160 ----a-w- c:\documents and settings\Administrator\Dati applicazioni\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6a28f2af-n\msvcr71.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 20:11 . 2001-08-31 15:00 64576 ----a-w- c:\windows\system32\perfc010.dat
2010-06-05 20:11 . 2001-08-31 15:00 428898 ----a-w- c:\windows\system32\perfh010.dat
2010-06-05 20:00 . 2007-09-30 23:01 19776 -c--a-w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-06-05 20:00 . 2008-01-14 16:33 -------- d-----w- c:\programmi\Java
2010-06-05 19:36 . 2007-10-01 00:09 -------- d-----w- c:\documents and settings\Administrator\Dati applicazioni\uTorrent
2010-06-05 17:55 . 2007-10-01 02:55 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Messenger Plus!
2010-06-05 17:54 . 2007-10-01 02:37 -------- d-----w- c:\programmi\Messenger Plus! Live
2010-03-10 06:15 . 2004-08-19 16:39 420352 ----a-w- c:\windows\system32\vbscript.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\programmi\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"Iconoid"="c:\programmi\Iconoid\iconoid.exe" [2005-12-03 180736]
"RocketDock"="c:\programmi\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"IntelZeroConfig"="c:\programmi\Intel\Wireless\bin\ZCfgSvc.exe" [2005-11-28 667718]
"IntelWireless"="c:\programmi\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"EOUApp"="c:\programmi\Intel\Wireless\Bin\EOUWiz.exe" [2005-11-28 569413]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-01-08 102491]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-01-08 692315]
"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-03-30 471040]
"SpywareGuard"="c:\\Programmi\\SpywareGuard\\sgmain.exe" [2003-08-29 360448]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programmi\\uTorrent\\utorrent.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [01/10/2007 3.34.19 5504]
R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [01/10/2007 1.10.31 1088896]
S0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [01/10/2007 3.34.19 140800]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {EDA04982-A1E8-48DC-BD82-B59040DA612C} = 212.216.112.222,212.216.172.162
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\ogbt9zrl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - plugin: c:\programmi\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programmi\QuickTime Alternative\Plugins\npqtplugin.dll
FF - plugin: c:\programmi\QuickTime Alternative\Plugins\npqtplugin2.dll
FF - plugin: c:\programmi\QuickTime Alternative\Plugins\npqtplugin3.dll
FF - plugin: c:\programmi\QuickTime Alternative\Plugins\npqtplugin4.dll
FF - plugin: c:\programmi\QuickTime Alternative\Plugins\npqtplugin5.dll

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - truec:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 22:13
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,bd,96,e9,51,d9,f0,86,44,af,4c,fa,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,bd,96,e9,51,d9,f0,86,44,af,4c,fa,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(792)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2010-06-05 22:14:09
ComboFix-quarantined-files.txt 2010-06-05 20:14

Pre-Run: 3.632.754.688 byte disponibili
Post-Run: 3.698.827.264 byte disponibili

- - End Of File - - AE5C9D20368660CB071DF83D44E576E7
marimossi
Inviato: Saturday, June 05, 2010 10:28:54 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
ma non capisco...il vrus è in C o in D?
r16
Inviato: Saturday, June 05, 2010 10:30:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Spegni il pc.
Avvia il pc.
Vedi se tutto è tornato normale.
Intanto controllo il log.
marimossi
Inviato: Saturday, June 05, 2010 10:39:38 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
non mi sembra che sia tornato tutto alla normalità...
r16
Inviato: Saturday, June 05, 2010 10:43:39 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Per eliminare i vari Tooll scaricati: (combofix)
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.

Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie)

Poi:
Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp. (non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Fai una deframmentazione del HD.
Esegui anche uno Scandisk.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Noto ora:
Commenta:
Ho anche fatto un ripristino con acronis, ma non è cambiato nulla. Quale potrebbe essere il problema?

Può essere solo un problema hardware.
Se hai ripristinato Windows, con un'immagine (presumo pulita) con acronis e il problema persiste, dipende esclusivamente da qualche componente hardware.
marimossi
Inviato: Saturday, June 05, 2010 11:22:48 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
sono ferma al punto: elimina temp. non vuole eliminarli in nessun modo
marimossi
Inviato: Saturday, June 05, 2010 11:28:28 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
è possibile che il problema sia negli aggiornamenti che faccio dopo il ripristino?ricordo che tra questi ce n'è anche uno di explorer.
nessun miglioramento
r16
Inviato: Saturday, June 05, 2010 11:28:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
marimossi ha scritto:
sono ferma al punto: elimina temp. non vuole eliminarli in nessun modo

E và beh....salta ai punti successivi.
Caso mai prova a eliminarli in Modalità provvisoria.
Comunque ti ripeto:
Se hai ripristinato Windows, con Acronis, non dipende da un virus, o file , ma da qualche componente Hardware.
Semprechè, l'immagine che hai ripristinato, sei sicuro, che fosse pulita da virus.
In ogni caso, il log di Combofix, non presenta infezioni.
marimossi
Inviato: Saturday, June 05, 2010 11:33:12 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
il virus non potrebbe essere in D??
marimossi
Inviato: Saturday, June 05, 2010 11:39:27 PM
Rank: Member

Iscritto dal : 6/4/2010
Posts: 17
ho controllato anche le finestra di gestione periferiche, nessun punto interrogativo, mi sembra tutto in ordine. é possibile che siano realmente gli aggiornamenti?
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.