Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Trojan Rootkit-Agent.EU Aiuto Opzioni
r16
Inviato: Thursday, December 02, 2010 5:42:13 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
lellovitti ha scritto:
Mi è rimasto un ultimo dubbio: posso svuotare la quarantena di AVG e di Mbam? O lascio tutto così?

Aspetta 3-4 giorni, e vedi se il pc và bene.
Poi, puoi svuotare le quarantene di AVG e Mbam.
Ciao!
lellovitti
Inviato: Sunday, December 05, 2010 9:10:03 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16,
ti aggiorno sulla situazione: sia ieri che oggi all'accensione il PC si riavvia da solo 4, 5 o 6 volte e poi esce la maschera sfondo nero scritte bianche ....avvio windows normale ..... oppure avvia con ultima configurazione valida o andata a buon fine. Se avvio con windows normale mi rifà lo stesso scherzetto; se invece opto per l'ultima configurazione valida allora tutto OK. Le scansioni complete con AVG, Spybot e Mbam non trovano nulla. Naturalmente NON ho cancellato nessuna quarantena.
Ti ringrazio per la disponibilità e ti auguro una buona settimana.
r16
Inviato: Sunday, December 05, 2010 9:24:45 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Disistalla Avg.
Vai in Installazione applicazioni, e lo rimuovi.
Poi:
Scarica questo tool : ( serve per eliminare i "rimasugli" rimasti).
http://download.avg.com/filedir/util/support/avg_remover_stf_x86_2011_1165.exe
Riavvia in modalità provvisoria
Esegui il tool .
Riavvia il computer in modalità normale .

Scarica e installa Avira:
http://www.aiutamici.com/software?ID=10908
Fai una scansione completa.
posta il log.



lellovitti
Inviato: Tuesday, December 07, 2010 3:22:12 AM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16, scusami per il ritardo ma ieri me la sono vista brutta perchè il PC dopo aver fatto i soliti riavvii si è bloccato ad una pagina nera con due frasi che dicevano di specificare il boot device o di usare un boot disk e non andava più avanti. Dopo diversi tentativi è ripartito ed ho potuto fare quello che mi hai indicato,
Già dopo la disintallazione di AVG l'avvio è stato normale e poi sempre meglio. Comunque ti allego il report di AVIRA scansione completa:


Avira AntiVir Personal
Data del file di report: martedì 7 dicembre 2010 02:24

Ricerca di 3124289 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-CASA

Informazioni sulla versione:
BUILD.DAT : 10.0.0.48 31820 Bytes 01/09/2010 15:00:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/09/2010 13:22:02
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/2010 13:50:16
LUKE.DLL : 10.0.2.3 104296 Bytes 01/09/2010 13:22:12
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:22:15
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:22:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 13:22:19
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 01:19:38
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02/11/2010 01:19:48
VBASE010.VDF : 7.10.13.81 2048 Bytes 02/11/2010 01:19:49
VBASE011.VDF : 7.10.13.82 2048 Bytes 02/11/2010 01:19:49
VBASE012.VDF : 7.10.13.83 2048 Bytes 02/11/2010 01:19:49
VBASE013.VDF : 7.10.13.116 147968 Bytes 04/11/2010 01:19:49
VBASE014.VDF : 7.10.13.147 146944 Bytes 07/11/2010 01:19:50
VBASE015.VDF : 7.10.13.180 123904 Bytes 09/11/2010 01:19:51
VBASE016.VDF : 7.10.13.211 122368 Bytes 11/11/2010 01:19:51
VBASE017.VDF : 7.10.13.243 147456 Bytes 15/11/2010 01:19:52
VBASE018.VDF : 7.10.14.15 142848 Bytes 17/11/2010 01:19:53
VBASE019.VDF : 7.10.14.41 134144 Bytes 19/11/2010 01:19:53
VBASE020.VDF : 7.10.14.63 128000 Bytes 22/11/2010 01:19:54
VBASE021.VDF : 7.10.14.87 143872 Bytes 24/11/2010 01:19:55
VBASE022.VDF : 7.10.14.116 140800 Bytes 26/11/2010 01:19:55
VBASE023.VDF : 7.10.14.147 150528 Bytes 30/11/2010 01:19:56
VBASE024.VDF : 7.10.14.175 126464 Bytes 03/12/2010 01:19:57
VBASE025.VDF : 7.10.14.176 2048 Bytes 03/12/2010 01:19:57
VBASE026.VDF : 7.10.14.177 2048 Bytes 03/12/2010 01:19:57
VBASE027.VDF : 7.10.14.178 2048 Bytes 03/12/2010 01:19:57
VBASE028.VDF : 7.10.14.179 2048 Bytes 03/12/2010 01:19:57
VBASE029.VDF : 7.10.14.180 2048 Bytes 03/12/2010 01:19:57
VBASE030.VDF : 7.10.14.181 2048 Bytes 03/12/2010 01:19:57
VBASE031.VDF : 7.10.14.201 119296 Bytes 06/12/2010 01:19:58
Motore : 8.2.4.120
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/2010 13:21:59
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 07/12/2010 01:20:14
AESCN.DLL : 8.1.7.2 127349 Bytes 07/12/2010 01:20:12
AESBX.DLL : 8.1.3.2 254324 Bytes 07/12/2010 01:20:14
AERDL.DLL : 8.1.9.2 635252 Bytes 07/12/2010 01:20:12
AEPACK.DLL : 8.2.4.1 512375 Bytes 07/12/2010 01:20:10
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 07/12/2010 01:20:09
AEHEUR.DLL : 8.1.2.52 3109238 Bytes 07/12/2010 01:20:09
AEHELP.DLL : 8.1.16.0 246136 Bytes 07/12/2010 01:20:02
AEGEN.DLL : 8.1.5.0 397685 Bytes 07/12/2010 01:20:01
AEEMU.DLL : 8.1.3.0 393589 Bytes 07/12/2010 01:20:00
AECORE.DLL : 8.1.19.0 196984 Bytes 07/12/2010 01:20:00
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2010 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/2010 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/2010 13:22:02
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:28:11
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/2010 13:22:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/09/2010 13:22:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01/09/2010 13:22:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/2010 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/2010 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/2010 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: martedì 7 dicembre 2010 02:24

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\oalimdonnkhfjokbiiddbngleoaagl
[NOTA] L'inserimento della registrazione non è visibile.
HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\nafhciadmapbklmldmfllkpiicln
[NOTA] L'inserimento della registrazione non è visibile.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '64' modulo(i) scansionato(i)
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '53' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'BTTray.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'ALCMTR.EXE' - '31' modulo(i) scansionato(i)
Scansione processo 'WZCSLDR2.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'AirPlusCFG.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '116' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '88' modulo(i) scansionato(i)
Scansione processo 'CTsvcCDA.EXE' - '9' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'LEXPPS.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '79' modulo(i) scansionato(i)
Scansione processo 'LEXBCES.EXE' - '27' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '18' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '162' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 1706 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Documents and Settings\Giuseppe\Documenti\Musica\giovanni allevi - Aria 4.mp3
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/ASF.GetCodec.Gen
C:\pass3000\prog\mxserver.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
Inizia con la scansione di 'D:\'
D:\pass3000\prog\mxserver.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen

Avvio della disinfezione:
D:\pass3000\prog\mxserver.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4e123c84.qua'!
C:\pass3000\prog\mxserver.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '56851323.qua'!
C:\Documents and Settings\Giuseppe\Documenti\Musica\giovanni allevi - Aria 4.mp3
[RILEVAMENTO] Contiene il modello di rilevamento dell'exploit EXP/ASF.GetCodec.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '04c649dc.qua'!


Fine della scansione: martedì 7 dicembre 2010 03:10
Tempo impiegato: 44:43 Minuto(i)

La scansione è stata completamente eseguita.

7037 Directory scansionate
430507 I file sono stati scansionati
3 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
3 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
430504 File non infetti
4707 Archivi scansionati
0 Avvisi
3 Note
597212 Oggetti scansionati durante la scansione dei rootkit
2 Sono stati rilevati oggetti nascosti

Grazie e per te buon giorno e per me buona notte!
lellovitti
Inviato: Tuesday, December 07, 2010 1:55:27 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16, aggiornamento. Stamattina ho riacceso il PC che si è completamente bloccato nel senso che nemmeno il monitor si accendeva ( no signal detected ); visto che spegnendo con l'interruttore non si avviava ho fatto il reset. Si è avviato ma quasi subito il bios mi diceva di caricare i parametri di default; fatto si è avviato normalmente. Ho avviato avira e nella maschera principale antivir guard NON risultava ATTIVATO ma SCONOSCIUTO. Allora ho disintallato avira, ho reinstallato, aggiornato e fatto scansione completa di cui ti allego il report:


Avira AntiVir Personal
Data del file di report: martedì 7 dicembre 2010 12:44

Ricerca di 3124361 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-CASA

Informazioni sulla versione:
BUILD.DAT : 10.0.0.48 31820 Bytes 01/09/2010 15:00:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/09/2010 13:22:02
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/2010 13:50:16
LUKE.DLL : 10.0.2.3 104296 Bytes 01/09/2010 13:22:12
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:22:15
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:22:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 13:22:19
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:39:40
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02/11/2010 11:39:50
VBASE010.VDF : 7.10.13.81 2048 Bytes 02/11/2010 11:39:50
VBASE011.VDF : 7.10.13.82 2048 Bytes 02/11/2010 11:39:50
VBASE012.VDF : 7.10.13.83 2048 Bytes 02/11/2010 11:39:51
VBASE013.VDF : 7.10.13.116 147968 Bytes 04/11/2010 11:39:51
VBASE014.VDF : 7.10.13.147 146944 Bytes 07/11/2010 11:39:52
VBASE015.VDF : 7.10.13.180 123904 Bytes 09/11/2010 11:39:53
VBASE016.VDF : 7.10.13.211 122368 Bytes 11/11/2010 11:39:53
VBASE017.VDF : 7.10.13.243 147456 Bytes 15/11/2010 11:39:54
VBASE018.VDF : 7.10.14.15 142848 Bytes 17/11/2010 11:39:55
VBASE019.VDF : 7.10.14.41 134144 Bytes 19/11/2010 11:39:55
VBASE020.VDF : 7.10.14.63 128000 Bytes 22/11/2010 11:39:56
VBASE021.VDF : 7.10.14.87 143872 Bytes 24/11/2010 11:39:57
VBASE022.VDF : 7.10.14.116 140800 Bytes 26/11/2010 11:39:57
VBASE023.VDF : 7.10.14.147 150528 Bytes 30/11/2010 11:39:58
VBASE024.VDF : 7.10.14.175 126464 Bytes 03/12/2010 11:39:59
VBASE025.VDF : 7.10.14.203 120320 Bytes 07/12/2010 11:39:59
VBASE026.VDF : 7.10.14.204 2048 Bytes 07/12/2010 11:39:59
VBASE027.VDF : 7.10.14.205 2048 Bytes 07/12/2010 11:39:59
VBASE028.VDF : 7.10.14.206 2048 Bytes 07/12/2010 11:39:59
VBASE029.VDF : 7.10.14.207 2048 Bytes 07/12/2010 11:39:59
VBASE030.VDF : 7.10.14.208 2048 Bytes 07/12/2010 11:40:00
VBASE031.VDF : 7.10.14.209 2048 Bytes 07/12/2010 11:40:00
Motore : 8.2.4.120
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/2010 13:21:59
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 07/12/2010 11:40:15
AESCN.DLL : 8.1.7.2 127349 Bytes 07/12/2010 11:40:13
AESBX.DLL : 8.1.3.2 254324 Bytes 07/12/2010 11:40:15
AERDL.DLL : 8.1.9.2 635252 Bytes 07/12/2010 11:40:13
AEPACK.DLL : 8.2.4.1 512375 Bytes 07/12/2010 11:40:11
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 07/12/2010 11:40:10
AEHEUR.DLL : 8.1.2.52 3109238 Bytes 07/12/2010 11:40:10
AEHELP.DLL : 8.1.16.0 246136 Bytes 07/12/2010 11:40:03
AEGEN.DLL : 8.1.5.0 397685 Bytes 07/12/2010 11:40:03
AEEMU.DLL : 8.1.3.0 393589 Bytes 07/12/2010 11:40:02
AECORE.DLL : 8.1.19.0 196984 Bytes 07/12/2010 11:40:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2010 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/2010 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/2010 13:22:02
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:28:11
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/2010 13:22:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/09/2010 13:22:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01/09/2010 13:22:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/2010 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/2010 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/2010 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio

Avvio della scansione: martedì 7 dicembre 2010 12:44

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\oalimdonnkhfjokbiiddbngleoaagl
[NOTA] L'inserimento della registrazione non è visibile.
HKEY_USERS\S-1-5-21-1\nafhciadmapbklmldmfllkpiicln
[NOTA] L'inserimento della registrazione non è visibile.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '115' modulo(i) scansionato(i)
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'BTTray.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'ALCMTR.EXE' - '31' modulo(i) scansionato(i)
Scansione processo 'WZCSLDR2.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'AirPlusCFG.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '113' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '88' modulo(i) scansionato(i)
Scansione processo 'CTsvcCDA.EXE' - '9' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '79' modulo(i) scansionato(i)
Scansione processo 'LEXPPS.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'LEXBCES.EXE' - '27' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '18' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '162' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 1706 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\System Volume Information\_restore{7C0F49B8-4B5A-4AB9-961F-725B45FCE84D}\RP17\A0007025.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
Inizia con la scansione di 'D:\'
D:\System Volume Information\_restore{7C0F49B8-4B5A-4AB9-961F-725B45FCE84D}\RP17\A0007024.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen

Avvio della disinfezione:
D:\System Volume Information\_restore{7C0F49B8-4B5A-4AB9-961F-725B45FCE84D}\RP17\A0007024.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4e4c8d62.qua'!
C:\System Volume Information\_restore{7C0F49B8-4B5A-4AB9-961F-725B45FCE84D}\RP17\A0007025.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Spy.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '56dba2c5.qua'!


Fine della scansione: martedì 7 dicembre 2010 13:34
Tempo impiegato: 43:32 Minuto(i)

La scansione è stata completamente eseguita.

7027 Directory scansionate
429478 I file sono stati scansionati
2 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
2 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
429476 File non infetti
4708 Archivi scansionati
0 Avvisi
2 Note
596550 Oggetti scansionati durante la scansione dei rootkit
2 Sono stati rilevati oggetti nascosti


In questo momento AVIRA è completamente OK. Spero di essere stato utile, ti saluto molto cordialmente e ti ringrazio per l'attenzione.
lellovitti
Inviato: Tuesday, December 07, 2010 4:06:54 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16, ti aggiorno. Poco fa ho riacceso il PC - idem come stamattina con la scritta " Reboot and select proper Boot device or Insert Boot Media in selected Boot device and press a key". Naturalmente premendo qualunque tasto mi dava sempre la stessa scritta. Credo che non riesca a rilevare i dischi fissi; ho fatto Control-alt-canc e sono andato nel bios e infatti non sono rilevati i dischi fissi; caricato parametri di default e si è riavviato: niente. Spento PC con interruttore; riavviato è partito regolarmente tanto che ti posso scrivere. AVIRA mi segnala che tutto è OK, cioè che antivir guard è attivo e tutto il resto è aggiornato.
Ora navigo normalmente senza alcun problema nè rallentamento. Attendo fiducioso.
r16
Inviato: Wednesday, December 08, 2010 4:27:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
lellovitti ha scritto:
Attendo fiducioso.

Attendi....Drool e spera che continui a funzionare bene.
Commenta:
Spento PC con interruttore; riavviato è partito regolarmente tanto che ti posso scrivere

Questo tipo di spegnimento, probabilmente lo ha resettato meglio.

Disattiva ancora il Ripristino configurazione sistema.
Spegni il pc.
Avvia il pc, e riattiva il Ripristino configurazione sistema.
Tieni aggiornato Avira, e fai scansioni giornaliere, per almeno una settimana.
lellovitti
Inviato: Thursday, December 09, 2010 6:17:30 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16, fatto tutto: avvio liscio come l'olio.
Aggiornato AVIRA e fatta scansione completa che ti allego.
Prima di allegarti il report ti segnalo che già da mercoledi e anche oggi dopo la scansione, AVIRA non mi fa partire un gestionale di contabilità dando un messaggio:
C:\pass3000\prog\mxserve.dll
è stato trovato un virus o un programma indesiderato 'TR/Spy.Gen.'
L'accesso a tale file è stato negato.
Se disattivo AVIRA, il programma parte regolarmente.
Il programma in questione è da considerarsi sicuro al 100%; credo che sia un falso positivo per AVIRA.



Avira AntiVir Personal
Data del file di report: giovedì 9 dicembre 2010 17:12

Ricerca di 3136039 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-CASA

Informazioni sulla versione:
BUILD.DAT : 10.0.0.48 31820 Bytes 01/09/2010 15:00:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/09/2010 13:22:02
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/2010 13:50:16
LUKE.DLL : 10.0.2.3 104296 Bytes 01/09/2010 13:22:12
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:22:15
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:22:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 13:22:19
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:39:40
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02/11/2010 11:39:50
VBASE010.VDF : 7.10.13.81 2048 Bytes 02/11/2010 11:39:50
VBASE011.VDF : 7.10.13.82 2048 Bytes 02/11/2010 11:39:50
VBASE012.VDF : 7.10.13.83 2048 Bytes 02/11/2010 11:39:51
VBASE013.VDF : 7.10.13.116 147968 Bytes 04/11/2010 11:39:51
VBASE014.VDF : 7.10.13.147 146944 Bytes 07/11/2010 11:39:52
VBASE015.VDF : 7.10.13.180 123904 Bytes 09/11/2010 11:39:53
VBASE016.VDF : 7.10.13.211 122368 Bytes 11/11/2010 11:39:53
VBASE017.VDF : 7.10.13.243 147456 Bytes 15/11/2010 11:39:54
VBASE018.VDF : 7.10.14.15 142848 Bytes 17/11/2010 11:39:55
VBASE019.VDF : 7.10.14.41 134144 Bytes 19/11/2010 11:39:55
VBASE020.VDF : 7.10.14.63 128000 Bytes 22/11/2010 11:39:56
VBASE021.VDF : 7.10.14.87 143872 Bytes 24/11/2010 11:39:57
VBASE022.VDF : 7.10.14.116 140800 Bytes 26/11/2010 11:39:57
VBASE023.VDF : 7.10.14.147 150528 Bytes 30/11/2010 11:39:58
VBASE024.VDF : 7.10.14.175 126464 Bytes 03/12/2010 11:39:59
VBASE025.VDF : 7.10.14.203 120320 Bytes 07/12/2010 11:39:59
VBASE026.VDF : 7.10.14.230 137216 Bytes 09/12/2010 16:11:20
VBASE027.VDF : 7.10.14.231 2048 Bytes 09/12/2010 16:11:20
VBASE028.VDF : 7.10.14.232 2048 Bytes 09/12/2010 16:11:20
VBASE029.VDF : 7.10.14.233 2048 Bytes 09/12/2010 16:11:21
VBASE030.VDF : 7.10.14.234 2048 Bytes 09/12/2010 16:11:21
VBASE031.VDF : 7.10.14.241 39424 Bytes 09/12/2010 16:11:23
Motore : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/2010 13:21:59
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 07/12/2010 11:40:15
AESCN.DLL : 8.1.7.2 127349 Bytes 07/12/2010 11:40:13
AESBX.DLL : 8.1.3.2 254324 Bytes 07/12/2010 11:40:15
AERDL.DLL : 8.1.9.2 635252 Bytes 07/12/2010 11:40:13
AEPACK.DLL : 8.2.4.1 512375 Bytes 07/12/2010 11:40:11
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 07/12/2010 11:40:10
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 07/12/2010 18:58:51
AEHELP.DLL : 8.1.16.0 246136 Bytes 07/12/2010 11:40:03
AEGEN.DLL : 8.1.5.0 397685 Bytes 07/12/2010 11:40:03
AEEMU.DLL : 8.1.3.0 393589 Bytes 07/12/2010 11:40:02
AECORE.DLL : 8.1.19.0 196984 Bytes 07/12/2010 11:40:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2010 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/2010 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/2010 13:22:02
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:28:11
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/2010 13:22:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/09/2010 13:22:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01/09/2010 13:22:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/2010 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/2010 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/2010 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
File da omettere............................: C:\pass3000\prog\mxserver.dll,

Avvio della scansione: giovedì 9 dicembre 2010 17:12

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\oalimdonnkhfjokbiiddbngleoaagl
[NOTA] L'inserimento della registrazione non è visibile.
HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\nafhciadmapbklmldmfllkpiicln
[NOTA] L'inserimento della registrazione non è visibile.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '64' modulo(i) scansionato(i)
Scansione processo 'msimn.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'BTTray.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'ALCMTR.EXE' - '31' modulo(i) scansionato(i)
Scansione processo 'WZCSLDR2.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'AirPlusCFG.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '88' modulo(i) scansionato(i)
Scansione processo 'CTsvcCDA.EXE' - '9' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '94' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '43' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '79' modulo(i) scansionato(i)
Scansione processo 'LEXPPS.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'LEXBCES.EXE' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '36' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '18' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '163' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '46' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 1705 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
Inizia con la scansione di 'D:\'


Fine della scansione: giovedì 9 dicembre 2010 17:52
Tempo impiegato: 40:06 Minuto(i)

La scansione è stata completamente eseguita.

7022 Directory scansionate
414115 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
414115 File non infetti
3806 Archivi scansionati
0 Avvisi
0 Note
599544 Oggetti scansionati durante la scansione dei rootkit
2 Sono stati rilevati oggetti nascosti

Farò come mi dici per una settimana ogni giorno e se ritieni ti allegherei il report solo in caso di rilevamento di qualcosa. Grazie ancora e buona serata.
r16
Inviato: Thursday, December 09, 2010 7:08:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
e se ritieni ti allegherei il report solo in caso di rilevamento di qualcosa.

Ha già trovato "qualcosa"....Whistle
Avira ti ha trovato 2 rootkit che non ha eliminato.
E non centrano nulla con il "gestionale di contabilità" .

HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\oalimdonnkhfjokbiiddbngleoaagl

HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}\nafhciadmapbklmldmfllkpiicln

Le voci random scritte in rosso, sono rootkit nascosti.

Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e continua la scansione.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.
lellovitti
Inviato: Thursday, December 09, 2010 9:32:59 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Eccolo:

ComboFix 10-12-08.04 - Giuseppe 09/12/2010 19.48.12.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2047.1510 [GMT 1:00]
Eseguito da: c:\documents and settings\Giuseppe\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {0012F2B4-5CE9-7C92-0300-000000000000}
FW: Outpost Firewall *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\install.exe

.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CDFSS
-------\Legacy_WCSCD
-------\Service_cdfss


((((((((((((((((((((((((( Files Creati Da 2010-11-09 al 2010-12-09 )))))))))))))))))))))))))))))))))))
.

2010-12-09 18:13 . 2009-04-06 10:37 704384 ----a-w- c:\windows\system32\drivers\SandBox.sys
2010-12-09 18:13 . 2009-02-10 15:15 257432 ----a-w- c:\windows\system32\drivers\afwcore.sys
2010-12-09 18:11 . 2009-02-18 16:30 31128 ----a-w- c:\windows\system32\drivers\afw.sys
2010-12-09 18:11 . 2010-12-09 18:11 -------- d-----w- c:\programmi\Agnitum
2010-12-09 18:11 . 2010-12-09 18:11 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Agnitum
2010-12-09 17:42 . 2010-12-09 17:45 -------- d-----w- c:\programmi\SpywareBlaster
2010-12-07 11:42 . 2010-12-07 11:42 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Avira
2010-12-07 11:38 . 2010-09-01 13:22 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-07 11:38 . 2010-09-01 13:22 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-07 11:38 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-12-07 11:38 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-12-07 11:38 . 2010-12-07 11:38 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2010-12-07 11:38 . 2010-12-07 11:38 -------- d-----w- c:\programmi\Avira
2010-12-07 01:44 . 2010-12-07 01:44 -------- d-----r- c:\documents and settings\LocalService\Preferiti
2010-12-07 01:21 . 2010-12-09 16:47 -------- d-----w- c:\windows\system32\NtmsData
2010-12-02 16:36 . 2008-04-13 19:40 62976 -c--a-w- c:\windows\system32\dllcache\cdrom.sys
2010-12-02 16:36 . 2008-04-13 19:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-12-01 18:46 . 2010-12-01 18:46 -------- d-sh--w- c:\documents and settings\Giuseppe\IECompatCache
2010-12-01 18:44 . 2010-12-01 18:44 -------- d-sh--w- c:\documents and settings\Giuseppe\PrivacIE
2010-12-01 18:43 . 2010-12-01 18:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-12-01 18:42 . 2010-12-01 18:42 -------- d-sh--w- c:\documents and settings\Giuseppe\IETldCache
2010-12-01 18:38 . 2010-12-01 18:39 -------- dc-h--w- c:\windows\ie8
2010-12-01 18:36 . 2010-10-18 11:10 7680 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-12-01 18:35 . 2010-09-10 05:49 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-12-01 18:35 . 2010-09-10 05:49 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-12-01 18:35 . 2010-09-10 05:49 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-12-01 18:35 . 2010-09-10 05:49 1986560 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-12-01 18:35 . 2010-09-10 05:49 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-12-01 18:35 . 2010-09-10 05:49 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-12-01 18:35 . 2010-09-10 05:49 11080192 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-11-26 17:45 . 2010-11-26 17:45 388096 ----a-r- c:\documents and settings\Giuseppe\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-11-26 17:45 . 2010-11-26 17:45 -------- d-----w- c:\programmi\Trend Micro
2010-11-26 16:38 . 2010-11-26 16:38 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Danea
2010-11-26 16:06 . 2010-11-26 16:07 -------- d-----w- c:\programmi\Panda Security
2010-11-26 13:21 . 2010-11-26 13:21 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Malwarebytes
2010-11-26 13:21 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 13:21 . 2010-12-01 00:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-11-26 13:21 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-26 13:21 . 2010-11-26 13:21 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-11-25 16:55 . 2010-12-02 15:30 -------- d-----w- c:\programmi\ClamWin
2010-11-25 14:54 . 2010-12-07 01:04 -------- d-----w- c:\documents and settings\Administrator
2010-11-25 11:24 . 2010-11-25 11:24 -------- d-----w- c:\programmi\Sophos

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-09 19:08 . 2010-02-06 19:43 60416 ----a-w- c:\windows\ALCFDRTM.VER
2010-09-18 10:23 . 2004-08-19 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-19 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-19 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-19 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" [2004-07-01 73728]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"D-Link AirPlus XtremeG Utility"="c:\programmi\Wireless USB adapter Alice G-132\AirPlusCFG.exe" [2006-11-20 1728512]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\programmi\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - c:\programmi\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-27 561213]

[HKLM\~\startupfolder\C:^Documents and Settings^Giuseppe^Menu Avvio^Programmi^Esecuzione automatica^OpenOffice.org 3.1.lnk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=c:\programmi\Creative\MediaSource\Detector\CTDetect.exe /R
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe"
"Lexmark 2200 Series"="c:\programmi\Lexmark 2200 Series\lxbvbmgr.exe"
"DNS7reminder"="c:\programmi\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "c:\documents and settings\All Users\Dati applicazioni\Nuance\NaturallySpeaking10\Ereg.ini
"FaxCenterServer"="c:\programmi\Lexmark Fax Solutions\fm3032.exe" /s
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ISUSPM Startup"=c:\progra~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
"AlcWzrd"=ALCWZRD.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\Giuseppe\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [07/11/2009 9.59.04 24971]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/10/2009 10.02.12 716272]
R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [09/12/2010 19.13.28 704384]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [09/12/2010 19.11.49 1195008]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [09/12/2010 19.11.52 31128]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [09/12/2010 19.13.17 257432]
S2 gupdate1ca94a3a6b02fe8;Servizio di Google Update (gupdate1ca94a3a6b02fe8); [x]
S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\A5AGU.sys [21/09/2006 10.19.04 347648]
S3 maconfservice;Ma-Config Service;c:\programmi\ma-config.com\maconfservice.exe [17/12/2009 19.00.28 243056]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\7.tmp --> c:\windows\system32\7.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenuto della cartella 'Scheduled Tasks'

2010-12-09 c:\windows\Tasks\User_Feed_Synchronization-{2F4D0430-51A6-4DD0-9729-EE368A304078}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Invia a periferica &Bluetooth... - c:\programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-09 19:53
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet015\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\7.tmp"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oalimdonnkhfjokbiiddbngleoaagl"=hex:6b,61,61,6f,6f,6f,62,6c,67,6c,67,62,68,6a,
6c,69,65,70,6b,62,66,6b,00,00
"nafhciadmapbklmldmfllkpiicln"=hex:6b,61,61,6f,6f,6f,62,6c,67,6c,67,62,68,6a,
6c,69,65,70,6b,62,66,6b,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2440)
c:\windows\system32\WININET.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTsvcCDA.EXE
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Avira\AntiVir Desktop\avshadow.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-12-09 19:56:33 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-12-09 18:56

Pre-Run: 194.730.422.272 byte disponibili
Post-Run: 194.657.722.368 byte disponibili

Current=15 Default=15 Failed=14 LastKnownGood=16 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16
- - End Of File - - 8F46BCBEAEA33E15E7F3E915A4328637

Ciao.
r16
Inviato: Thursday, December 09, 2010 10:01:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Apri un file di testo con il Block Note sul Desktop
Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt
Code:
KillAll::

RegNull::
[HKEY_USERS\S-1-5-21-1343024091-838170752-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A8FFB7C4-1DAD-3080-15A4-3B05588F2068}*]

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]


e trascinalo sull'icona di ComboFix.
Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
Posta il log aggiornato di combofix
lellovitti
Inviato: Thursday, December 09, 2010 10:49:04 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Fatto. Eccoti il nuovo combofix.txt:


ComboFix 10-12-08.04 - Giuseppe 09/12/2010 22.29.20.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2047.1554 [GMT 1:00]
Eseguito da: c:\documents and settings\Giuseppe\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Giuseppe\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {0012F2B4-5CE9-7C92-0300-000000000000}
FW: Outpost Firewall *enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2010-11-09 al 2010-12-09 )))))))))))))))))))))))))))))))))))
.

2010-12-09 20:25 . 2009-04-06 10:37 704384 ----a-w- c:\windows\system32\drivers\SandBox.sys
2010-12-09 20:24 . 2009-02-10 15:15 257432 ----a-w- c:\windows\system32\drivers\afwcore.sys
2010-12-09 20:23 . 2009-02-18 16:30 31128 ----a-w- c:\windows\system32\drivers\afw.sys
2010-12-09 20:23 . 2010-12-09 20:23 -------- d-----w- c:\programmi\Agnitum
2010-12-09 18:11 . 2010-12-09 20:22 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Agnitum
2010-12-09 17:42 . 2010-12-09 17:45 -------- d-----w- c:\programmi\SpywareBlaster
2010-12-07 11:42 . 2010-12-07 11:42 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Avira
2010-12-07 11:38 . 2010-09-01 13:22 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-07 11:38 . 2010-09-01 13:22 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-07 11:38 . 2010-06-17 14:28 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-12-07 11:38 . 2010-06-17 14:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-12-07 11:38 . 2010-12-07 11:38 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Avira
2010-12-07 11:38 . 2010-12-07 11:38 -------- d-----w- c:\programmi\Avira
2010-12-07 01:44 . 2010-12-07 01:44 -------- d-----r- c:\documents and settings\LocalService\Preferiti
2010-12-07 01:21 . 2010-12-09 16:47 -------- d-----w- c:\windows\system32\NtmsData
2010-12-02 16:36 . 2008-04-13 19:40 62976 -c--a-w- c:\windows\system32\dllcache\cdrom.sys
2010-12-02 16:36 . 2008-04-13 19:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-12-01 18:46 . 2010-12-01 18:46 -------- d-sh--w- c:\documents and settings\Giuseppe\IECompatCache
2010-12-01 18:44 . 2010-12-01 18:44 -------- d-sh--w- c:\documents and settings\Giuseppe\PrivacIE
2010-12-01 18:43 . 2010-12-01 18:43 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-12-01 18:42 . 2010-12-01 18:42 -------- d-sh--w- c:\documents and settings\Giuseppe\IETldCache
2010-12-01 18:38 . 2010-12-01 18:39 -------- dc-h--w- c:\windows\ie8
2010-12-01 18:36 . 2010-10-18 11:10 7680 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-12-01 18:35 . 2010-09-10 05:49 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-12-01 18:35 . 2010-09-10 05:49 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-12-01 18:35 . 2010-09-10 05:49 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-12-01 18:35 . 2010-09-10 05:49 1986560 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-12-01 18:35 . 2010-09-10 05:49 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-12-01 18:35 . 2010-09-10 05:49 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
2010-12-01 18:35 . 2010-09-10 05:49 11080192 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-11-26 17:45 . 2010-11-26 17:45 388096 ----a-r- c:\documents and settings\Giuseppe\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-11-26 17:45 . 2010-11-26 17:45 -------- d-----w- c:\programmi\Trend Micro
2010-11-26 16:38 . 2010-11-26 16:38 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Danea
2010-11-26 16:06 . 2010-11-26 16:07 -------- d-----w- c:\programmi\Panda Security
2010-11-26 13:21 . 2010-11-26 13:21 -------- d-----w- c:\documents and settings\Giuseppe\Dati applicazioni\Malwarebytes
2010-11-26 13:21 . 2010-11-29 16:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-26 13:21 . 2010-12-01 00:58 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2010-11-26 13:21 . 2010-11-29 16:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-26 13:21 . 2010-11-26 13:21 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2010-11-25 16:55 . 2010-12-02 15:30 -------- d-----w- c:\programmi\ClamWin
2010-11-25 14:54 . 2010-12-07 01:04 -------- d-----w- c:\documents and settings\Administrator
2010-11-25 11:24 . 2010-11-25 11:24 -------- d-----w- c:\programmi\Sophos

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-09 19:08 . 2010-02-06 19:43 60416 ----a-w- c:\windows\ALCFDRTM.VER
2010-09-18 10:23 . 2004-08-19 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-19 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-19 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-19 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-12-09_18.53.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-09 21:34 . 2010-12-09 21:34 16384 c:\windows\temp\Perflib_Perfdata_138.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" [2004-07-01 73728]
"SSBkgdUpdate"="c:\programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"D-Link AirPlus XtremeG Utility"="c:\programmi\Wireless USB adapter Alice G-132\AirPlusCFG.exe" [2006-11-20 1728512]
"ANIWZCS2Service"="c:\programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2010-09-01 281768]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\programmi\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BTTray.lnk - c:\programmi\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-27 561213]

[HKLM\~\startupfolder\C:^Documents and Settings^Giuseppe^Menu Avvio^Programmi^Esecuzione automatica^OpenOffice.org 3.1.lnk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Creative Detector"=c:\programmi\Creative\MediaSource\Detector\CTDetect.exe /R
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe"
"Lexmark 2200 Series"="c:\programmi\Lexmark 2200 Series\lxbvbmgr.exe"
"DNS7reminder"="c:\programmi\Nuance\NaturallySpeaking10\Ereg\Ereg.exe" -r "c:\documents and settings\All Users\Dati applicazioni\Nuance\NaturallySpeaking10\Ereg.ini
"FaxCenterServer"="c:\programmi\Lexmark Fax Solutions\fm3032.exe" /s
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"ISUSPM Startup"=c:\progra~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="c:\programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
"AlcWzrd"=ALCWZRD.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\Giuseppe\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\drivers\iteraid.sys [07/11/2009 9.59.04 24971]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/10/2009 10.02.12 716272]
R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [09/12/2010 21.25.13 704384]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [09/12/2010 21.23.35 1195008]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [09/12/2010 21.23.38 31128]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [09/12/2010 21.24.52 257432]
S2 gupdate1ca94a3a6b02fe8;Servizio di Google Update (gupdate1ca94a3a6b02fe8); [x]
S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\A5AGU.sys [21/09/2006 10.19.04 347648]
S3 maconfservice;Ma-Config Service;c:\programmi\ma-config.com\maconfservice.exe [17/12/2009 19.00.28 243056]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\7.tmp --> c:\windows\system32\7.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenuto della cartella 'Scheduled Tasks'

2010-12-09 c:\windows\Tasks\User_Feed_Synchronization-{2F4D0430-51A6-4DD0-9729-EE368A304078}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Invia a periferica &Bluetooth... - c:\programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-09 22:34
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet015\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\7.tmp"
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(912)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(144)
c:\windows\system32\WININET.dll
c:\windows\system32\btmmhook.dll
c:\programmi\Creative\Creative Zen Micro\Zen Micro Media Explorer\CTJBNS2.dll
c:\programmi\Creative\Creative Zen Micro\Zen Micro Media Explorer\CTIntrfc.dll
c:\programmi\Creative\Creative Zen Micro\Zen Micro Media Explorer\CTConfig.DLL
c:\programmi\Creative\Creative Zen Micro\Zen Micro Media Explorer\JBNSRES.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\LEXPPS.EXE
c:\programmi\Avira\AntiVir Desktop\sched.exe
c:\programmi\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTsvcCDA.EXE
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\Avira\AntiVir Desktop\avshadow.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Ora fine scansione: 2010-12-09 22:38:18 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-12-09 21:38
ComboFix2.txt 2010-12-09 18:56

Pre-Run: 194.570.080.256 byte disponibili
Post-Run: 194.561.302.528 byte disponibili

Current=15 Default=15 Failed=14 LastKnownGood=16 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16
- - End Of File - - 22C2DF94339DD9472DA2DC1A122671AF

Ciao r16.


r16
Inviato: Thursday, December 09, 2010 11:00:41 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Bene.
Fai una scansione completa con Avira, e vedo se rileva ancora quei rootkit. (non dovrebbe)
Posta il log.
lellovitti
Inviato: Friday, December 10, 2010 12:02:05 AM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ecco il Log di Avira:



Avira AntiVir Personal
Data del file di report: giovedì 9 dicembre 2010 23:03

Ricerca di 3136039 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : PC-CASA

Informazioni sulla versione:
BUILD.DAT : 10.0.0.48 31820 Bytes 01/09/2010 15:00:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 01/09/2010 13:22:02
AVSCAN.DLL : 10.0.3.0 54120 Bytes 01/09/2010 13:50:16
LUKE.DLL : 10.0.2.3 104296 Bytes 01/09/2010 13:22:12
LUKERES.DLL : 10.0.0.0 13160 Bytes 16/02/2010 09:15:20
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 09:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 19:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 16:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 11:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:22:15
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 13:22:16
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 13:22:19
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:39:40
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02/11/2010 11:39:50
VBASE010.VDF : 7.10.13.81 2048 Bytes 02/11/2010 11:39:50
VBASE011.VDF : 7.10.13.82 2048 Bytes 02/11/2010 11:39:50
VBASE012.VDF : 7.10.13.83 2048 Bytes 02/11/2010 11:39:51
VBASE013.VDF : 7.10.13.116 147968 Bytes 04/11/2010 11:39:51
VBASE014.VDF : 7.10.13.147 146944 Bytes 07/11/2010 11:39:52
VBASE015.VDF : 7.10.13.180 123904 Bytes 09/11/2010 11:39:53
VBASE016.VDF : 7.10.13.211 122368 Bytes 11/11/2010 11:39:53
VBASE017.VDF : 7.10.13.243 147456 Bytes 15/11/2010 11:39:54
VBASE018.VDF : 7.10.14.15 142848 Bytes 17/11/2010 11:39:55
VBASE019.VDF : 7.10.14.41 134144 Bytes 19/11/2010 11:39:55
VBASE020.VDF : 7.10.14.63 128000 Bytes 22/11/2010 11:39:56
VBASE021.VDF : 7.10.14.87 143872 Bytes 24/11/2010 11:39:57
VBASE022.VDF : 7.10.14.116 140800 Bytes 26/11/2010 11:39:57
VBASE023.VDF : 7.10.14.147 150528 Bytes 30/11/2010 11:39:58
VBASE024.VDF : 7.10.14.175 126464 Bytes 03/12/2010 11:39:59
VBASE025.VDF : 7.10.14.203 120320 Bytes 07/12/2010 11:39:59
VBASE026.VDF : 7.10.14.230 137216 Bytes 09/12/2010 16:11:20
VBASE027.VDF : 7.10.14.231 2048 Bytes 09/12/2010 16:11:20
VBASE028.VDF : 7.10.14.232 2048 Bytes 09/12/2010 16:11:20
VBASE029.VDF : 7.10.14.233 2048 Bytes 09/12/2010 16:11:21
VBASE030.VDF : 7.10.14.234 2048 Bytes 09/12/2010 16:11:21
VBASE031.VDF : 7.10.14.241 39424 Bytes 09/12/2010 16:11:23
Motore : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 01/09/2010 13:21:59
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 07/12/2010 11:40:15
AESCN.DLL : 8.1.7.2 127349 Bytes 07/12/2010 11:40:13
AESBX.DLL : 8.1.3.2 254324 Bytes 07/12/2010 11:40:15
AERDL.DLL : 8.1.9.2 635252 Bytes 07/12/2010 11:40:13
AEPACK.DLL : 8.2.4.1 512375 Bytes 07/12/2010 11:40:11
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 07/12/2010 11:40:10
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 07/12/2010 18:58:51
AEHELP.DLL : 8.1.16.0 246136 Bytes 07/12/2010 11:40:03
AEGEN.DLL : 8.1.5.0 397685 Bytes 07/12/2010 11:40:03
AEEMU.DLL : 8.1.3.0 393589 Bytes 07/12/2010 11:40:02
AECORE.DLL : 8.1.19.0 196984 Bytes 07/12/2010 11:40:01
AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2010 13:21:51
AVWINLL.DLL : 10.0.0.0 19304 Bytes 01/09/2010 13:22:03
AVPREF.DLL : 10.0.0.0 44904 Bytes 01/09/2010 13:22:02
AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:28:11
AVREG.DLL : 10.0.3.2 53096 Bytes 01/09/2010 13:22:02
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 01/09/2010 13:22:02
AVARKT.DLL : 10.0.0.14 227176 Bytes 01/09/2010 13:22:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 01/09/2010 13:22:01
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:20
AVSMTP.DLL : 10.0.0.17 63848 Bytes 01/09/2010 13:22:02
NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:20
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 12/02/2010 13:11:56
RCTEXT.DLL : 10.0.58.0 98664 Bytes 01/09/2010 13:22:22

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
File da omettere............................: C:\pass3000\prog\mxserver.dll,

Avvio della scansione: giovedì 9 dicembre 2010 23:03

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Nel modulo AVARKT.DLL si è verificata un'eccezione.
Richiamo della funzione ARK_Scan
Descrizione errore: ACCESS_VIOLATION
EAX = 04FA6008 EBX = 0000BBCC
ECX = 0000BBCC EDX = 00340608
ESI = 03A1E29C EDI = 05024f98
EIP = 02E3625E EBP = 03A1DFC4
ESP = 03A1DFAC Flg = 00010202
CS = 00000023 SS = 0000001B

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'IEXPLORE.EXE' - '114' modulo(i) scansionato(i)
Scansione processo 'IEXPLORE.EXE' - '89' modulo(i) scansionato(i)
Scansione processo 'msdtc.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '59' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'vssvc.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '67' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '64' modulo(i) scansionato(i)
Scansione processo 'msimn.exe' - '80' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '136' modulo(i) scansionato(i)
Scansione processo 'BTTray.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'WZCSLDR2.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'AirPlusCFG.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'SOUNDMAN.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '20' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '88' modulo(i) scansionato(i)
Scansione processo 'CTsvcCDA.EXE' - '9' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '54' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'LEXPPS.EXE' - '24' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '79' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '37' modulo(i) scansionato(i)
Scansione processo 'LEXBCES.EXE' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '18' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '157' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '48' modulo(i) scansionato(i)
Scansione processo 'Ati2evxx.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '58' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '27' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!
Record master di avvio dell'Hard Disk 1
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 1710 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
Inizia con la scansione di 'D:\'


Fine della scansione: giovedì 9 dicembre 2010 23:53
Tempo impiegato: 50:35 Minuto(i)

La scansione è stata completamente eseguita.

7050 Directory scansionate
415807 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
415807 File non infetti
3821 Archivi scansionati
0 Avvisi
0 Note
624459 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti


Buona notte r16 e grazie ancora.
r16
Inviato: Friday, December 10, 2010 5:27:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Il log è pulito.
Elimina Combofix così:
Scarica OTC by OldTimer sul desktop:
http://oldtimer.geekstogo.com/OTC.exe
doppio clic per eseguirlo
Clicca su CleanUp.
Ti chiederà di riavviare il pc.
Clicca sì.
lellovitti
Inviato: Saturday, December 11, 2010 12:32:17 AM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Scusami per non averti risposto prima. Tutto fatto con OTC: OK.
Per il fatto che avira non mi permette di far partire il gestionale contabilità devo diminuire la sensibilità? Mi puoi dare un consiglio o vado avanti per il momento disattivando provvisoriamente AVIRA?
Devo mantenere AVIRA o posso reinstallare AVG o altro per non avere quel problema?
Comunque grazie infinite per la pazienza e per il grande aiuto.
r16
Inviato: Saturday, December 11, 2010 11:41:32 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Per il fatto che avira non mi permette di far partire il gestionale contabilità devo diminuire la sensibilità?

Prova così:
Clicca con tasto destro sull'icona della barra.
Clicca "Configura Antivir".
Si apre il programma
Spunta su expert mode.
Clicca sul + di guard c'è la voce scansione.
Clicca sul +, e tra le varie voci c'è Eccezzioni.
Clicca sopra Eccezzioni.
Aggiungi il processo
Aggiungi il file, che vuoi estromettere .
lellovitti
Inviato: Sunday, December 12, 2010 5:27:45 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
PERFETTO! Risolto anche questo. Mi rimane solo il fatto che alla prima accensione si blocca e con il reset si riavvia bene. Anche ieri fatta scansione completa con Avira: tutto OK.
Ciao r16 e ...grazie,grazie....grazie!
r16
Inviato: Sunday, December 12, 2010 10:04:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Mi rimane solo il fatto che alla prima accensione si blocca e con il reset si riavvia bene.

Non dipende da virus o infezioni.
Comunque prova così:
Clicca su "risorse del computer" con il tasto destro e poi
clicca "Proprietà".
Seleziona il Tab "Avanzate", poi, su "Avvio e ripristino" --> "Impostazioni"
Dal Menu a tendina seleziona il sistema che vuoi far avviare come predefinito,quindi togli il segno di spunta da "Visualizza elenco sistemi operativi per..."
Clicca ok.
Nella finestra che rimane, clicca "Applica" e poi OK.
Riavvia il pc.
lellovitti
Inviato: Tuesday, December 14, 2010 7:11:41 PM
Rank: AiutAmico

Iscritto dal : 11/25/2010
Posts: 36
Ciao r16, fatto tutto quello che mi hai consigliato.
Stasera ho acceso il PC: niente; reset: niente; forzato spegnimento e riaccensione: niente; reset: partito ed uscita la maschera con le seguenti scritte:
Oveclocking Failed-Please enter Setup to re-configure your system.
Press F1 to run Setup.
Press F2 to load default values and continue.
Ho premuto F2 ed ora ti posso scrivere.
Ho l'impressione che sia un fatto di hardware anche perchè quella maschera è già uscita un'altra volta; che ne pensi?
Buona serata.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.