Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Invio log richiesto Opzioni
frafiore
Inviato: Wednesday, June 08, 2011 12:03:31 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Grazie per la risposta cbbusto di seguito il log che mi hai richiesto, attenzione quello che vedi come CoCreate è tutto ok si tratta di un programma cad che uso per lavoro.
Grazie

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11.55.09, on 08/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\Lenovo\TrackPoint\tp4serv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programmi\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Programmi\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos-beta/OnlineScanner.cab
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CoCreate License Server - Unknown owner - C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\abc31944a\pev.cfxxe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 6713 bytes
Sponsor
Inviato: Wednesday, June 08, 2011 12:03:31 PM

 
cbbusto
Inviato: Wednesday, June 08, 2011 2:28:00 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Doppione ELIMINATO.
cbbusto
Inviato: Wednesday, June 08, 2011 2:29:26 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Intanto una precisazione, non aprire nuove discussioni ad ogni risposta ma rispondi sempre in una altrimenti si crea confusione, ora rimaniamo sempre qui, vai sotto e clicca su Add Reply.
Per prima cosa disattiva il TeaTimer in Spybot, spesso crea problemi, fai così:

Per disattivare TeaTimer apri Spybot, vai sulla barra di sinistra e imposta la MODALITA' AVANZATA dal menu MODALITA'...
Ora sempre dalla barra sinistra, clicca sul bottone UTILITA', quindi clicca su RESIDENT
al centro vedi una opzione relativa al TeaTimer...disattivala.
Conosci questo IP o dominio ? 208.67.222.222 - Address: 410 Townsend St, Suite 250, se non lo conosci
fixa ed elimina queste voci relative:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

Poi chiudi tutti i programmi e disconnesso, fixa ed elimina questa voce:
O23 - Service: PEVSystemStart - Unknown owner - C:\abc31944a\pev.cfxxe (file missing)

Ora facciamo un pò di pulizie, installa QUESTO sw lo
aggiorni e poi fai una scansione CoMPLETA non veloce, elimina tutto quello che trova, posta il log.
Fai una pulizia con Ccleaner compreso il registro.
Vai in C:\windows, cerca la cartella Prefetch aprila e svuotala completamente.
Disattiva il ripristino configurazione del sistema, riavvia il pc e poi lo riattivi e crea un nuovo punto di ripristino.
Scarica QUESTO programma lo installi all'apertura clic su Avvia, lascia fare fino alla fine potrebbe impiegarci diversi minuti, questo sw pulisce e ripara molti problemi di windows. Dimmi come va il pc, ci aggiorniamo questa sera.
Ciao
frafiore
Inviato: Wednesday, June 08, 2011 3:42:43 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Grazie e scusa per l'apertura della nuova discussione me ne sono reso conto troppo tardi quando oramai l'avevo inviata.
Allora a noi ti rispondo punto per punto poi quando stasera dopo le 18.00 quando sarò libero da impegni (ora sono al lavoro) seguirò passo passo la procedura che mi hai indicato:
Conosci questo IP o dominio ? 208.67.222.222 - Address: 410 Townsend St, Suite 250 = No non ho la più pallida idea di cosa sia, l'importante è che non sia qualcosa che riguardi il programma di disegno che uso
altrimenti sarei un pò nei casini.
Mi dici di Fixare ed eliminare queste voci, (017) come devo fare?
Stesso per la voce 023 come faccio a fixare ed elinimarla?
Per il resto ok penso di aver capito cosa devo fare ci sentiamo sera
Ciao.

p.s. scusa per le domande forse per te scontate ma io non sono un mago del pc..!
cbbusto
Inviato: Wednesday, June 08, 2011 7:23:37 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Per fixare le varie voci fai così:
Avvia hijackthis, clicca sul secondo pulsante Do a system scan only, poi con molta attenzione inserisci il segno di spunta nel quadratino davanti alla riga indicata, poi con tutte le applicazioni chiuse e disconnesso da internet, clicca il tasto Fix checked per procedere all'eliminazione, comparirà una finestra, clicca su SI per accettare e l'operazione è conclusa.

Per gli indirizzi IP non riguarda certo il tuo programma, potrebbero essere dei DNS forniti da Open DNS che sostituiscono i tuoi, comunque lasciali e fixa solo la voce 023.
Ciao

frafiore
Inviato: Wednesday, June 08, 2011 9:46:02 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Ciao cbbusto..eccoci qua allora.. si scusa per le domande poco ovvie che ti ho fatto,poi riflettendo era ovvio che dovevo fare come mi hai scritto, quindi mi trovo a postarti quello che mi hai chiesto, ho rispettato passo passo quello che hai scritto e fatto tutto esattamente in sequenza come hai indicato nel precedente post, ti allego di seguito il log generato da malwarebyts solo che c'è stato un problema con la scansione di cleanup nel senso che l'ho scaricato lanciato fatto lavorare per più di un'ora ma niente si è piantato per ben due volte senza procedere oltre.
E' comparsa una piccola finestra che diceva di attendere in quanto il programma impiegava di più del tempo previsto, poi sulla schermata principale del programma dopo un pò compariva una scritta in inglese che diceva che il programma era in stallo.
CtrlAlt+canc ho chiuso il programma ho riprovato ha lanciarlo e stessa cosa.
Questo mi fa pensare perchè nei giorni scorsi ho provato a lanciare in tutti i modi il programma combofix e accadeva in pratica la stessa cosa, il programma non riusciva ad analizzare il sistema.
Io credo che sia qualcosa che disturba il SO e fà "piantare" ogni esecutivo che cerca di mettere il naso dove forse il virus non vuole che si vada a sbirciare..!! tu che pensi?

posto il log:


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Versione database: 6810

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/06/2011 17.58.29
mbam-log-2011-06-08 (17-58-29).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 224538
Tempo impiegato: 20 minuti, 3 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
cbbusto
Inviato: Wednesday, June 08, 2011 11:57:54 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Comunque sia HJT che Malwarebytes hanno fatto il loro lavoro, mbam non ha trovato niente.
Cleanup non rimuove le infezioni ma serve a correggere alcuni difetti di Windows, alle volte si blocca perchè non riesce a sistemare qualche errore.
Come va il pc è cambiato qualcosa o è tutto come prima ?
Per caso usi Nero o lo hai usato, ci sono 2 voci che lo riguardano e non servono, NMBgMonitor .exe può anche creare dei problemi, fammi sapere.
Altra cosa hai installato SpyBot e Spyware Terminator, sono due programmi simili uno dei 2 eliminalo.
frafiore
Inviato: Thursday, June 09, 2011 8:28:32 AM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Ciao, il pc è come prima nel senso che funziona come prima con il solo difetto che ti ho detto nei precedenti post ovvero le cartelle vuote sotto start.
Tutto il resto funziona correttamente, non riesco proprio a capire..
Si ho il programma nero e in passato a volte l'ho usato che devo fare?
Per quanto riguarda spybot e spyware si lo so che sono quasi uguali ma la cosa buffa è che vorrei disistallare spyware ma ho problemi in quanto
andando in pannello di controllo poi installazioni e applicazioni lui nella lista delle applicazioni non risulta presente eppure c'è..!!! come devo fare per disistallarlo correttamente.?
Ciao.
cbbusto
Inviato: Thursday, June 09, 2011 12:30:39 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Dunque se Nero non lo usi molto, rimuovilo, ha quel programma che controlla il monitor che potrebbe esere la causa del problema. Se ti occorre un programma per masterizzare ce ne sono free molto validi.
Spyware Terminator dovrebbe trovarsi nelle installazioni applicazioni.
Puoi provare a reinstallarlo su se stesso, poi riavvia il PC e disinstalla regolarmente, potrebbe avere anche un suo uninstaller, non posso essere preciso perchè sia Spyware che Spybot sono programmi che non uso.
Eliminati i 2 programmi fai una pulizia con Ccleaner compreso il Registro.
Ci risentiamo.
frafiore
Inviato: Thursday, June 09, 2011 2:54:45 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Ciao, ho fatto quanto ha detto ma il problema di vedere le cartelle sotto start (vuote) permane lo stesso.
Ho eliminato sia nero che spyware (spywarware l'ho dovuto reistallare poi disistallare) poi ho provato a lanciare Ccleaner..."piantato li" come al solito non si muove.
Allora per curiosità ho cercato on line qualche programma che scansionasse in maniera approfondita il sistema e in un forum si parlava di un certo "gmer" programma a detta di molti molto
valido per la ricerca di Rookit che si insediano nel SO rimanendo nascosti anche ai più efficaci programmi antivirus.
L'ho scaricato lanciato ed ho fatto fare una scansione approfondita al sistema..sorpresa qualcosina che non và c'è lui oltre a evidenziarti eventuali virus controlla anche tutte le chiavi di registro
e ti evidenzia quali di esse sono state modificate, ovviamente non ti fixa nulla nel senso che non ti corregge in automatico però ti indica il percorso della chiave modificata.
Io ovviamente non ho toccato nulla in quanto so che per mettere le mani li, bisogna sapere molto bene cosa fare e io non ho la competenza necessaria.
Poi ti da anche una lista dei servizi che partono in automatico ed anche qui ho trovato qualcosa di irregolare.
Insomma a mio avviso il pc ha subito qualche modifica che ha disattivato qualche servizio e probabilmente c'è qualcosa che parte in automatico e va a
modificare la configurazione del desktop ma a questo punto mi arrendo.
Toccare oltre senza cognizione di causa si rischia di compromettere ulteriormente il SO quindi che si fà secondo te??
cbbusto
Inviato: Thursday, June 09, 2011 5:57:49 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Quello dei rootkit è un dubbio che mi era venuto, Gmer lo conosco individua l'infezione ma non la rimuove, ci sono altro programmi che scovano e rimuovono i Rootkit, però io non ho mai usato questi programmi quindi non vorrei farti fare manovre sbagliate, attendi la risposta del ns esperto r16, ora lo contatto e ti faccio rispondere.
Se il problema fosse causato da programmi in Avvio prova ad avviare il pc in modalità provvisoria, in questo
modo viene caricato solo l'indispensabile, vedi se il problema permane.
r16
Inviato: Thursday, June 09, 2011 7:05:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao a tutti.
Il problema dei file che non trovi in "Tutti programmi" è riconducibile al virus \Fake "Windows Recovery".
Mi sembra che hai detto che il virus lo hai eliminato.
Per non ripetere le scansioni che hai fatto, riferiscimi quali software hai usato, per la sua eliminazione.
frafiore
Inviato: Thursday, June 09, 2011 8:34:16 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Per prima cosa ringrazio cbbusto per avermi guidato fin qui, e ringrazio anche r16 per l'interessamento..allora veniamo al dunque, ho preso per l'appunto il virus windows recovery un paio di settimane fà e dopo molti smanettamenti credo di essere riuscito ad eliminarlo (almeno credo) con il solo inconveniente però che dal pulsante start andando su programmi trovo tutte le cartelle correttamente ma cliccandoci sopra non accade nulla.
L'icona giochi per esempio c'è, ma cliccandoci sopra non accade nulla e risulta vuota, mentre sotto c: ricercando si trovano tutti i giochi.
Insomma per farla breve mancano tutti i collegamenti tra queste cartelle e il disco c:.
Venendo ai programmi usati fin qui..vediamo allora ora non ricordo perfettamente i nomi perchè ho seguito i passaggi su un'altro forum comunque: combofix (ma non sono mai riuscito a farlo lavorare ho provato in tutti i modi),Kaspersky TDSS Killer,Kaspersky Virus Removal Tool,OTL By OldTimer,malwarebytes,Unhide,Defogger,aswmbr,Eset.
Tutti i programmi sopra generavano log positivi e davano comunque come ok il sistema operativo.
In ultimo oggi ho scaricato Gmer che analizza parecchie cose tra cui le chiavi di registro modificate, e qui ho trovato parecchie cose che a mio avviso non vanno, allego il report dellechiavi cha secondo il programma risultano variate:

HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x26 0xC9 0xD2 0x48 ...
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xF7 0x53 0x00 0x00 ...
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCD 0x29 0x0C ...
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
gHKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x26 0xC9 0xD2 0x48 ...
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xF7 0x53 0x00 0x00 ...
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCD 0x29 0x0C ...
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x26 0xC9 0xD2 0x48 ...
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xF7 0x53 0x00 0x00 ...
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCD 0x29 0x0C ...
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x26 0xC9 0xD2 0x48 ...
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xF7 0x53 0x00 0x00 ...
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xE0 0xCD 0x29 0x0C ...
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
r16
Inviato: Thursday, June 09, 2011 8:53:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora:
Il log di Gmer, non presenta nessun rootkit, o infezioni.
Tutte quelle voci sono legittime.
Gmer li segnala come "nascosti" non come infetti.
E sono nascosti, perchè è il sistema (Windows) che li tiene nascosti.
Commenta:
combofix (ma non sono mai riuscito a farlo lavorare ho provato in tutti i modi)

Probabilmente, il responsabile, è Spyware Terminator.
Essendo un software in "tempo reale" andava in conflitto con Combofix.
Oppure il "Tea Timer di SpyBOT. (visto che hai scaricato anche "Defogger")
Commenta:
mentre sotto c: ricercando si trovano tutti i giochi.

Ecco:
Devi copiare l'eseguibile (.exe) di ogni gioco, che trovi in C: e copiarlo nella cartella vuota.
Prova.
frafiore
Inviato: Friday, June 10, 2011 2:32:23 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Buongiorno, tanto per cominciare ieri sera sul tardi ho ribeccato il maledetto virus windows recovery, solamente che questa volta
non mi sono fatto fregare, sono riuscito rapidamente a spegnere il pc ed a riavviarlo in modalità provvisoria e da li anzichè prendere
un punto di ripristino valido che avevo fatto qualche giorno fa, ho optato per far girare antivirus e programmi vari ed ho eliminato almeno sembra
il virus.
Ora sono in modalità normale,ed ho rilanciato antivirus mi ha trovato ancora un virus che ho eliminato.
Dovrebbe essere tutto a posto..
Va bene per il discorso icone che risultano vuote farò come dici tu anche se i collegamenti da ripristinare sono molti non solo quelli sotto giochi,
ma anche tutti gli altri.
Per combofix non credo sia entrato in conflitto con i due che hai indicato, in quanto prima di lanciarlo ovviamente disattivavo antivirus e quant'altro.
Per ora grazie ti farò sapere se ci sono novità.
r16
Inviato: Friday, June 10, 2011 7:46:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
tanto per cominciare ieri sera sul tardi ho ribeccato il maledetto virus windows recovery

Mi sembra che quel virus lo becchi un giorno sì e l'altro pure.....Whistle
Forse dovresti rivedere il tuo modo di navigare in internet.
Ho l'impressione che hai una navigazione piuttosto "allegra e spensierata"Think
Commenta:
Va bene per il discorso icone che risultano vuote farò come dici tu anche se i collegamenti da ripristinare sono molti non solo quelli sotto giochi,

Armati di santa pazienza.


frafiore
Inviato: Friday, June 10, 2011 7:53:30 PM
Rank: Member

Iscritto dal : 6/8/2011
Posts: 11
Oltre che Allegra..Divertente..aggiungerei.!!
Comunque non è tutta colpa mia..., perdonami ma se esistono gli antivirus evidentemente un motivo ci sarà e non credo sia solo colpa di quelli che navigano allegri..o no?
Torniamo alle cose serie gentilmente ti va di perdere qualche minuto per darmi una controllata al log che posto di seguito il pc a parte le cartelle ancora vuote ora sembra di nuovo OK.
Grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.43.44, on 10/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Windows Live\installer\WLSetupSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lenovo\TrackPoint\tp4serv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programmi\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Scheduler.lnk = C:\Programmi\3B Software\Common\Scheduler\wcomschd.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos-beta/OnlineScanner.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CoCreate License Server - Unknown owner - C:\Programmi\CoCreate\CoCreate License Server 2008\MEls32.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: PEVSystemStart - Unknown owner - C:\abc31944a\pev.cfxxe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5637 bytes
r16
Inviato: Friday, June 10, 2011 9:05:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Oltre che Allegra..Divertente..aggiungerei.!!

Contento tu.....contenti tutti.Whistle
Commenta:
Comunque non è tutta colpa mia

No no, solo in gran parte.
Commenta:
perdonami ma se esistono gli antivirus evidentemente un motivo ci sarà e non credo sia solo colpa di quelli che navigano allegri..o no?

Ah no ?
Vuoi vedere che è anche colpa mia.....Drool
Commenta:
a parte le cartelle ancora vuote

Perchè non vuoi seguire le indicazioni date.
Non vuoi capire, che non sempre si possono sistemare le cose con dei tool o programmi.
Alle volte si deve intervenire manualmente per risolvere i problemi.

Commenta:
Torniamo alle cose serie

Ecco sì....
Fai Start\Esegui\ digita questo comando:
cmd
Ti esce una finestra Dos.
Digita:
sc delete PEVSystemStart
Clicca Invio.
Chiudi la finestra Dos.
Riavvia il pc.

Disattiva il Tea Timer di SpyBot: (serve solo a creare problemi)
Apri SpyBot in modalità avanzata (menù modalità - avanzata) poi vai in utilità - resident e togli la spunta a TeaTimer, e riavvia il pc.

Dopo queste indicazioni, sono mezzo convinto che Combofix partirebbe senza problemi.
In ogni caso lascia perdere, visto che il pc funziona bene.

Posta un nuovo log di HijackThis. (e aggiornalo, che hai una versione obsoleta)
cbbusto
Inviato: Friday, June 10, 2011 11:01:00 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao frafiore, nella mia risposta di mercoledì ore 14.29.26 la prima operazione che ti avevo indicato era quella di disattivare il Tea Timer di SpyBot spiegando anche come fare ed anche di eliminare la voce 023 Service: PEVSystemStart, vedo che non l'hai fatto.
Avere un antivirus installato non vuol dire essere protetti in toto da infezioni, sarebbe bello ma non è così,
se guardi un questa sezione quante richieste di aiuto per infezioni ci sono e tutti hanno installato un antivirus,
se non si sta attenti dove si naviga e cosa si scarica ci saranno sempre guai. ATTENZIONE.
Ciao
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.