Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

pc si spegne ma resta acceso in modalità provvisoria Opzioni
ceprovamo
Inviato: Sunday, June 19, 2011 12:39:01 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
buongiorno e buona domenica,
come consigliato invio log di hjt...
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.33.40, on 18/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17098)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Avira\AntiVir Desktop\avguard.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
D:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programmi\acer\Wireless\Utility\WlanUtil.exe
D:\Programmi\Avira\AntiVir Desktop\avgnt.exe
D:\Programmi\File comuni\Java\Java Update\jusched.exe
D:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
D:\Programmi\HP\HP Software Update\HPWuSchd2.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
D:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [acerWireless] D:\Programmi\acer\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\kikko\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = D:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Google Sidewiki... - res://D:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Unknown owner - D:\Programmi\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Unknown owner - D:\Programmi\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - D:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

--
End of file - 7012 bytes


spero tanto di trovare grazie a voi la soluzione.............
Sponsor
Inviato: Sunday, June 19, 2011 12:39:01 PM

 
tulliopinter
Inviato: Sunday, June 19, 2011 1:51:35 PM
Rank: AiutAmico

Iscritto dal : 6/13/2011
Posts: 67
Ciao.
Potresti iniziare disinstallando i software che potrebbero provocare conflitti, come Lavasoft Ad Aware, Spybot Search And Destroy.
Disinstalla anche la Google Toolbar, in caso tu non ne faccia utilizzo.

Poi, clicca su Start, scegli la voce esegui e digita:
sc delete gupdate

ancora start, esegui e digita:
sc delete gupdatem

Una volta eseguite le operazioni scritte sopra, prova a riavviare il sistema, e posta un log di Hijackthis, insieme ad uno di MalwareBytes:
Scarica Malwarebytes' Anti-Malware - Free Edition: http://www.malwarebytes.org
● doppio click su mbam-setup.exe per avviare il setup
● in fase di installazione, lascia la spunta alle voci b]Aggiorna Malwarebytes' Anti-Malware[/b] e Avvia Malwarebytes' Anti-Malware

Una volta eseguiti i passaggi indicati sopra:
● collega tutte le periferiche esterne che possiedi ( Chiavette USB, HDD Esterni, Lettori MP3... )
● verrà mostrata la schermata principale del tool: al messaggio che appare, clicca sul pulsante No
● clicca sul pulsante Scansione completa, e conferma cliccando il pulsante Scansione
● verrà richiesto quali drive scansionare; selezionali tutti, e clicca nuovamente su Scansione
● attendi pazientemente il termine della scansione
● una volta terminata, clicca sul pulsante OK e Mostra Risultati per visionare il Report
● verrà rilasciato automaticamente un file di testo: salvalo sul Desktop ed allegalo
● assicurati che tutte le voci siano selezionate, e clicca sul pulsante Rimuovi selezionati, in basso a sinistra
● il log può essere visionati cliccando sul tab Log dall'interfaccia principale del programma

Nota - riguardo al programma:
● se MalwareBytes incontrasse delle difficoltà nel rimuovere alcuni file, verranno mostrate delle finestre aggiuntive: clicca sul pulsante OK ad entrambi i messaggi, e lascia procedere il programma alla disinfezione. Se MalwareBytes chiedesse di riavviare il sistema, fallo immediatamente.
ceprovamo
Inviato: Saturday, June 25, 2011 12:59:58 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
Grazie dell'aiuto,
ho seguito tutte le istruzioni, sembrava avessi risolto il problema ma, di punto in bianco ha ricominciato a spegnersi...adesso sto in modalità provvisoria...allego il nuovo log fatto poco fa con hjt
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9.47.25, on 25/06/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17098)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir Desktop\sched.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Avira\AntiVir Desktop\avguard.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
D:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programmi\acer\Wireless\Utility\WlanUtil.exe
D:\Programmi\Avira\AntiVir Desktop\avgnt.exe
D:\Programmi\File comuni\Java\Java Update\jusched.exe
D:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
D:\Programmi\HP\HP Software Update\HPWuSchd2.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programmi\OpenOffice.org 3\program\soffice.exe
D:\Programmi\OpenOffice.org 3\program\soffice.bin
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.facebook.com/home.php?ref=hp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [acerWireless] D:\Programmi\acer\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] D:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\kikko\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.2.lnk = D:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Google Sidewiki... - res://D:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - D:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

--
End of file - 6250 bytes


analizzandolo direttamente dal sito di hjt vengono rilevati due file sospetti
D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
D:\Programmi\File comuni\Java\Java Update\jusched.exe

a questo punto...che faccio??
tulliopinter
Inviato: Saturday, June 25, 2011 5:18:43 PM
Rank: AiutAmico

Iscritto dal : 6/13/2011
Posts: 67
Ciao.
Disinstalla Ad Aware e allega il log di malwarebytes.

Se è una malware, è facilmente scovabile con questo programma:

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● segui le istruzioni che verranno rilasciate per eseguire la scansione
● in caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato da te dopo l'utilizzo del software stesso.
Lo stesso vale per me; questo tool non è un giocattolo e non è destinato all'utilizzo quotidiano. Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, sarai costretto ad avviarla dalle Risorse del computer. Una precauzione in più, una possibile minaccia in meno

Ciao e buon lavoro! ;)
maopapof
Inviato: Saturday, June 25, 2011 11:45:04 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,183
scusami se mi intrometto

..... adesso sto in modalità provvisoria...allego il nuovo log fatto poco fa con HijackThis v2.0.4 .... ma come hai fatto ad entrare in net ?


disinstalla spybot e segui la procedura per l'installazione ( no real time )

elimina ADWARE !


se è un netbook fai prima a formattare .... altrimenti pulisci da polvere tutto l'interno con fon .... ciao e fai sapere :O)



ceprovamo
Inviato: Thursday, June 30, 2011 1:16:57 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
ciao tulliopinter,
grazie per le risposte che mi stai dando
ho un piccolo problema con Combofix:
ho chiuso antivir guard come mi avevi detto tu ma quando apro combofix mi appare l'avviso che avira desktop è attivo...che devo fare per disattivarlo??
nel frattempo provo lo stesso ad avviare la scanzione con combofix..
thanks
ceprovamo
Inviato: Thursday, June 30, 2011 1:22:10 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
in risposta a maopapof
innanzitutto buongiorno, anzi, ormai buon pranzo!!
sono entrata in modalità provvisoria con rete...c'è l'opzione e io mi sono limitata a sceglierla Dancing
ceprovamo
Inviato: Thursday, June 30, 2011 4:39:22 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
aahiahahi.....
mi sono allontanata un attimo dal pc mentre faceva la scanzione combofix...sono tornata ed il pc si era spentoooo Brick wall
stavo provando a farla entrando nrmalmente...non so se il risultato è lo stesso cmq ora provo in mod provv
continuerò ad aggiornarvi
ciao ciao
tulliopinter
Inviato: Thursday, June 30, 2011 4:48:29 PM
Rank: AiutAmico

Iscritto dal : 6/13/2011
Posts: 67
Ciao. Se ricevi un messaggio da parte dell'antivirus in uso, prosegui normalmente cliccando su Ok.
Attendo il log, ciao! ;)
ceprovamo
Inviato: Thursday, June 30, 2011 5:30:29 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
ciao,
veramente è combofix che mi dice..attenzione!!!lo scanner(s) in real time su citato è ancora attivo ma combo fix continua la sua esecuzione. notate che lo state facendo a vostro rischio
cmq ho dato ok ed ora starò a vedere cosa succederà...
ceprovamo
Inviato: Thursday, June 30, 2011 6:24:25 PM
Rank: Member

Iscritto dal : 6/18/2011
Posts: 11
rieccomi
da modalità normale si è spento di nuovo così ho potuto farla solo da mod provv
ComboFix 11-06-30.02 - kikko 30/06/2011 18.12.18.2.2 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.502.234 [GMT 2:00]
Eseguito da: d:\documents and settings\kikko\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {00000002-0002-0000-6C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Outdated* {00000002-0002-0000-7C25-9E7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-14EF-9D7C08000A00}
AV: AntiVir Desktop *Enabled/Updated* {00000002-0002-0000-3C24-9E7C08000A00}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((( Files Creati Da 2011-05-28 al 2011-06-30 )))))))))))))))))))))))))))))))))))
.
.
2011-06-22 07:26 . 2011-06-22 07:26 -------- d-----w- d:\documents and settings\kikko\Dati applicazioni\Malwarebytes
2011-06-22 07:26 . 2011-05-29 07:11 39984 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2011-06-22 07:26 . 2011-06-22 07:26 -------- d-----w- d:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2011-06-22 07:26 . 2011-05-29 07:11 22712 ----a-w- d:\windows\system32\drivers\mbam.sys
2011-06-22 07:26 . 2011-06-22 11:01 -------- d-----w- d:\programmi\Malwarebytes' Anti-Malware
2011-06-17 10:34 . 2011-06-17 10:34 388096 ----a-r- d:\documents and settings\kikko\Dati applicazioni\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-06-17 10:34 . 2011-06-17 10:34 -------- d-----w- d:\programmi\Trend Micro
2011-06-16 06:46 . 2011-04-21 13:37 105472 -c----w- d:\windows\system32\dllcache\mup.sys
2011-06-14 08:05 . 2011-06-14 08:05 -------- d-----w- d:\documents and settings\kikko\Impostazioni locali\Dati applicazioni\Help
2011-06-14 08:01 . 2011-06-14 08:01 -------- d-----w- d:\documents and settings\kikko\Impostazioni locali\Dati applicazioni\Ilivid Player
2011-06-14 07:58 . 2011-06-14 07:58 -------- d-----w- d:\documents and settings\kikko\Impostazioni locali\Dati applicazioni\PackageAware
2011-06-14 07:37 . 2011-06-19 10:11 -------- d-----w- d:\documents and settings\All Users.WINDOWS\Dati applicazioni\SecTaskMan
2011-06-14 07:37 . 2011-06-14 08:05 -------- d-----w- d:\programmi\Security Task Manager
2011-06-14 07:30 . 2011-06-14 12:03 -------- d-----w- d:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Adobe
2011-06-09 17:41 . 2011-06-09 17:41 -------- d-----w- d:\programmi\microsoft frontpage
2011-06-09 10:46 . 2011-06-09 14:32 -------- d-----w- d:\documents and settings\Administrator
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2010-03-26 08:45 692736 ----a-w- d:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2004-08-19 12:00 151552 ----a-w- d:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-19 12:00 456320 ----a-w- d:\windows\system32\drivers\mrxsmb.sys
2011-04-25 15:45 . 2004-08-19 12:00 832512 ----a-w- d:\windows\system32\wininet.dll
2011-04-25 15:45 . 2004-08-19 12:00 1830912 ------w- d:\windows\system32\inetcpl.cpl
2011-04-25 15:45 . 2004-08-19 12:00 78336 ----a-w- d:\windows\system32\ieencode.dll
2011-04-25 15:45 . 2004-08-19 12:00 17408 ------w- d:\windows\system32\corpol.dll
2011-04-25 12:01 . 2004-08-19 12:00 389120 ----a-w- d:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-19 12:00 105472 ----a-w- d:\windows\system32\drivers\mup.sys
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"acerWireless"="d:\programmi\acer\Wireless\Utility\WlanUtil.exe" [2004-06-09 417792]
"avgnt"="d:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="d:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Adobe Reader Speed Launcher"="d:\programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="d:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"HP Software Update"="d:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
d:\documents and settings\kikko\Menu Avvio\Programmi\Esecuzione automatica\
OpenOffice.org 3.2.lnk - d:\programmi\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
d:\documents and settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - d:\programmi\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programmi\\eMule\\eMule.exe"=
"d:\\Programmi\\Messenger\\msmsgs.exe"=
"d:\\Programmi\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"d:\\Programmi\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programmi\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programmi\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"d:\\Programmi\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
.
S0 Lbd;Lbd;d:\windows\system32\DRIVERS\Lbd.sys --> d:\windows\system32\DRIVERS\Lbd.sys [?]
S2 Network WanMiniport First Position;Network WanMiniport First Position;d:\programmi\Telecom Italia\WanMiniport1st\srvany.exe [12/04/2011 12.06.25 8192]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\d:\programmi\Lavasoft\Ad-Aware\KernExplorer.sys --> d:\programmi\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 RTL8187B;Wireless Network USB Adapter 54g WL-168v1.004;d:\windows\system32\drivers\RTL8187B.sys [26/03/2010 13.20.02 264576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenuto della cartella 'Scheduled Tasks'
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: Google Sidewiki... - d:\programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
HKCU-Run-msnmsgr - d:\programmi\Windows Live\Messenger\msnmsgr.exe
HKLM-Run-hpqSRMon - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-30 18:17
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'explorer.exe'(1864)
d:\windows\system32\WININET.dll
.
Ora fine scansione: 2011-06-30 18:19:49
ComboFix-quarantined-files.txt 2011-06-30 16:19
.
Pre-Run: 17.842.327.552 byte disponibili
Post-Run: 19.342.196.736 byte disponibili
.
- - End Of File - - 1E5BF0E2791D6CC6F4E25097D499A221

tulliopinter
Inviato: Thursday, June 30, 2011 8:48:00 PM
Rank: AiutAmico

Iscritto dal : 6/13/2011
Posts: 67
Ciao. Disinstalla Security Task Manager e eMule (fonte di schifezze senza concorrenti).
Ora, provvediamo ad eliminare dei rimasugli di Ad Aware e i valori non aggiornati del tuo attuale antivirus.

Script personalizzato di ComboFix

Avviso: non eseguire ComboFix di tua iniziativa; questo tool non è un giocattolo e non è adatto ad un uso quotidiano.

Apri il Block Note: Start> Tutti i programmi> Accessori> Blocco note
● all'interno del nuovo documento di testo, copia ed incolla le seguenti righe:

Commenta:
File::
d:\programmi\Lavasoft\Ad-Aware\KernExplorer.sys
d:\windows\system32\DRIVERS\Lbd.sys

Driver::
Lavasoft Kernexplorer
Lbd

Folder::
d:\programmi\Lavasoft\Ad-Aware

SecCenter::
{00000002-0002-0000-7C25-9E7C08000A00}
{00000002-0002-0000-14EF-9D7C08000A00}
{00000002-0002-0000-3C24-9E7C08000A00}



● chiama questo file CFScript.txt, e posizionalo sul Desktop

Molto importante! Disabilita temporaneamente il tuo antivirus e firewall prima di seguire la procedura indicata. Potrebbero infatti interferire con ComboFix o rimuovere alcuni dei suoi file incorporati che possono portare a risultati imprevedibili.
Facendo riferimento all'immagine presente qui sotto, trascina con il puntatore del mouse CFScript.txt sull'icona di ComboFix
ComboFix ora eseguirà una scansione del tuo sistema. Una volta terminata, potrebbe riavviare automaticamente il sistema: in caso contrario, procedi tu manualmente.
A questo punto, il programma produrrà un Report. Copia ed incolla il log nel tuo prossimo post.

Nota - riguardo alla procedura:
● non toccare assolutamente il mouse e la tastiera durante la scansione: potrebbe interrompersi. Se dovesse succedere, apri il Task Manager (Ctrl + Alt + Canc), clicca sul tab Processi e termina tutti i processi findstr, find, sed o swreg. In tal modo ComboFix dovrebbe avviarsi correttamente
● se dovesse succedere ciò, vorrei sapere cortesemente quale processo hai dovuto terminare


Comunque al log non riscontro minacce attive. Comunica la situazione del PC postando un log aggiornato di Hijackthis, e uno di MalwareBytes.
Allega ovviamente anche il report di ComboFix.
r16
Inviato: Thursday, June 30, 2011 9:22:37 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@Fdac: alias tulliopinter
Allora, siamo alle solite.....
Il pc degli altri, deve essere a tua immagine e somiglianza? Think
Commenta:
Disinstalla Security Task Manager e eMule

Perchè? Think
Security Task Manager è un programma utile, che rileva malware sconosciuti e rootkit nascosti. (informati)
E-Mule, se lo vuole lo disistalla altrimenti lo lascia dove si trova.
Al massimo, lo puoi consigliare.
Non ordinare. (il pc non è tuo)

Commenta:
Potresti iniziare disinstallando i software che potrebbero provocare conflitti, come Lavasoft Ad Aware, Spybot Search And Destroy.

Non ti piace Spybot Search And Destroy ?
E allora dagli un'alternativa, perchè un antispyware gli serve.
Non ti piace Lavasoft Ad Aware ?
Idem con patate.
Quand'è che capirai che dirgli ad un utente di disistallare software di difesa, senza consigliargli un'alternativa valida, indebolisci i pc invece di rafforzarli? Shhh
Non mi sembra difficile da capire come concetto. Whistle

Code:
SecCenter::
{00000002-0002-0000-7C25-9E7C08000A00}
{00000002-0002-0000-14EF-9D7C08000A00}
{00000002-0002-0000-3C24-9E7C08000A00}

Sai cosa sono, e a cosa servono?
O li elimini solo perchè lo hai visto fare da altri? Sick
tulliopinter
Inviato: Thursday, June 30, 2011 9:30:02 PM
Rank: AiutAmico

Iscritto dal : 6/13/2011
Posts: 67
Ciao.
Ovviamente, decide lui se disinstallare o meno i vari programmi. Come ribadisci bene, io non posso ordinare nulla, ed hai ragione a dirlo.
Non mi piace Spybot Search And Destroy, nemmeno Ad Aware, se proprio devo dirla tutta.
Penso che, sui pc casalinghi, sia necessario un buon antivirus (come Avira et similia), eventualmente un leggero firewall (online armor o quello di comodo ben configurato) e nulla più. Perchè appesantire il sistema con software del genere, quando gli antivirus stessi svolgono la stessa funzione dei software sopra menzionati?
Sarebbe molto meglio avere installato MalwareBytes, dico bene?

Quei 3, sono valori di Aggiornamenti dell'antivirus in uso sul sistema, che vanno eliminati per un corretto funzionamento dell'AV.
Ovviamente, l'ho visto fare da altri (guardando si impara, e tu lo sai bene vero?) in diversi forum.

Se ti rode dentro, dimmelo. Se sbaglio, pure.

Drool
shapiro
Inviato: Thursday, June 30, 2011 9:56:58 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao r16 intervengo perche' fdacc alias 235 nick ce li ha veramente ''appesantiti''

Commenta:
Non mi piace Spybot Search And Destroy, nemmeno Ad Aware, se proprio devo dirla tutta.


non deve piacere a te fdac ma all'utente per cui ha ragione r16, perlomeno dovresti quantomeno chiederlo.....non pensi???

Commenta:
Quei 3, sono valori di Aggiornamenti dell'antivirus in uso sul sistema, che vanno eliminati per un corretto funzionamento dell'AV.



lo sai perche' lo hai studiato o perche' lo hai copiato, i comandi vanno usati con prudenza, soprattutto con combofix

Commenta:
Se ti rode dentro, dimmelo. Se sbaglio, pure.



sbagli fdac, r16 non ha bisogno delle tue cazzate, faresti bene a studiarle le cose che conosce lui invece di andare su tutti i forum nazonali, dove parecchi ti hanno gia' bannato per aver creato problemi



>>>>>> fdac ->>> la porta e' da quella parte
r16
Inviato: Thursday, June 30, 2011 9:58:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Non mi piace Spybot Search And Destroy, nemmeno Ad Aware, se proprio devo dirla tutta.

Non devono piacere a te.
E non metterla sul "piacere" oppure no.
Il discorso è un'altro:
Cosa installa al posto di SpyBot?
Cosa installa al post di Ad Aware?
E se non installa niente, non è forse meglio lasciarli installati, piuttosto che niente?
Ci arrivi? Think

Commenta:
Quei 3, sono valori di Aggiornamenti dell'antivirus in uso sul sistema, che vanno eliminati per un corretto funzionamento dell'AV.


Balle.
L'antivirus funziona correttamente lo stesso.

Commenta:
Ovviamente, l'ho visto fare da altri

E hai visto male probabilmente.
Tali valori vanno SOLO eliminati, se l'antivirus che è installato, è diverso dai valori elencati.
E basta.
E se hai visto qualcuno eliminarli come stai facendo, vuol dire che quel qualcuno non sà cosa elimina. (come te)

Commenta:
Se ti rode dentro, dimmelo.

Eccerto che mi rode dentro.
E sai perchè?
Perchè ormai ho perso le speranze che tu riesca a capirne qualcosa in questo campo.
Ormai, sarà più di un anno che ci provi in una dozzina di forum, e i risultati sono: "perchè l'ho visto fare da altri" Sick .
Per cui, cosa dovrei pensare se non che sei negato in questo campo?
Commenta:
(guardando si impara, e tu lo sai bene vero?)

Ti regalo un piccolo segreto:
Non ho imparato nei forum che frequenti tu.


@shapiro:
Opssss..
Ho risposto in ritardo.
In pratica ho ripetuto gli stessi concetti tuoi.Drool
bigelow
Inviato: Thursday, June 30, 2011 10:15:49 PM

Rank: AiutAmico

Iscritto dal : 6/4/2011
Posts: 149
@@ Non ho imparato nei forum che frequenti tu.
Quello che mi fa specie è che fa il professore su il software.it che è uno dei migliori forum in italia ed ancora, con tutte le cazzate che combina, agisce come un cane sciolto senza che nessuno intervenga.
Quardate questa banale discussione è dal giorno 22 che se la trascina dietro senza venirne a capo.
Stesse cose stessi copia e incolla e,, continua così.

http://www.ilsoftware.it/forum/viewtopic.php?f=32&t=82324
shapiro
Inviato: Thursday, June 30, 2011 10:26:50 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
fdac

per questo sei stato bannato da html


RILEGGITI TUTTA LA DISCUSSIONE!!!
r16
Inviato: Thursday, June 30, 2011 10:30:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ehm... piano ragazzi.
Perchè lo state facendo passare per martire. Whistle
E non è quello lo scopo dei miei rimbrotti, nei suoi confronti.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.