forse Master Boot Record "rootkit". - Sicurezza VIRUS - Aiutamici Forum

Aiutamici Forum

Benvenuto Ospite

Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » forse Master Boot Record "rootkit".

4 pages: [1] 2 3 4

forse Master Boot Record "rootkit".

Opzioni

Topic Precedente · Topic Sucessivo

pittina

Inviato: Sunday, August 14, 2011 6:29:42 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Buongiorno a tutti, da un po’ di giorni mi succede che il pc (S.O. Windows XP) mi va in crash, mi
si apre il programma Maxthon da sé (in Hey Local Machine\.........\CurrentVersion\Run non compare), non trova più la stampante, quando cerco di mandare in stampa un documento (Epson Stylus C60) mi dice servizio spooler non attivato: anche se ho messo il servizio in automatico devo avviarlo a mano in continuazione. Allora ho cercato di rimettere i driver al che compare questo messaggio:
> Sottosistema Windows 16 bit
> NTVDM ha rilevato un errore di sistema.
> NTVDM ha rilevato un errore di sistema c0h. Scegliere "Chiudi" per
> terminare.

Ho provato: a fare il ripristino un punto precedente, ma quando riavvia mi da errore e non riesce a ripristinare nessun punto
Ho mandato Eset nod32 e stinger ma non ho risolto niente.
Ho utilizzato il cd di Avira anti-vir Rescue System anche questo senza risultati

Da un ricerca sul web sembra abbia preso un Master Boot Record "rootkit". Pensate sia così ? spero di no perché mi sembra molto complicato “debellarlo”, nello stesso tempo mi starebbe molto pensiero formattare il tutto.
Potete darmi una mano a risolvere questo problema ?
Grazie mille a tutti in anticipo

Pittina

Sponsor

Inviato: Sunday, August 14, 2011 6:29:42 PM

shapiro

Inviato: Sunday, August 14, 2011 6:46:17 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

inizia col fare questo controllo se mmai dopo ti segue r16

scarica mbr direttamente nella Directory C:\

Da Start - Esegui - digita C:\mbr.exe <<< ( fai copia incolla) e clicca su OK
La scansione dura pochi secondi.
Posta il log che troverai in C:\ come mbr.log

pittina

Inviato: Sunday, August 14, 2011 7:06:09 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Eccolo:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD1600AAJS-60M0A0 rev.02.03E02 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP4T0L0-12

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Mi sono dimenticata di dire che sullo stesso HD ho anche Linus, che tra l'altro voglio togliere perchè messo un hd separato.
Grazie

shapiro

Inviato: Sunday, August 14, 2011 7:08:46 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

l'mbr sembra a posto guarda

Code:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

facciamo il primo controllo di routine

scarica hijackthis da qui
lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"

Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup

Posta il log che ti rilascia

pittina

Inviato: Sunday, August 14, 2011 7:23:52 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Shapiro non so come ringraziarti. Ecco il log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19.22.47, on 14/08/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\7zS2.tmp\App\ObjectDock.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
G:\PORTATILI\Firefox4_Plus_Portable_ita\Bin\Main.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Programmi\HJ\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://roonic.com/results.html?q=%s&sa=Search&cx=partner-pub-0345395751421741:y8d2vrh2u6t&cof=FORID:10&ie=UTF-8
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.asf.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbhelper.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll
O2 - BHO: revenuestreaming browser enhancer - {50D548A0-D022-8FA3-8C90-BD2359CDE031} - C:\WINDOWS\system32\dvuqrlupourgp.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: yourprofitclub - {e8287f00-9faa-8d88-517e-9b7df4879163} - C:\WINDOWS\system32\4c5b95a0.dll (file missing)
O2 - BHO: TBSB07458 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O3 - Toolbar: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
O3 - Toolbar: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AT Notes] C:\Programmi\PORTATILI\X-AtNotes_9.5_rev2\X-ATnotes.exe
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [etyxqcocgbdwvve] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\dvuqrlupourgp.dll"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Tesseract-OCR] C:\Programmi\Tesseract-OCR\tesseract.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Documents and Settings\Administrator\Impostazioni locali\Temp\7zS2.tmp\App\ObjectDock.exe
O8 - Extra context menu item: Scarica con Mipony - file://C:\Programmi\MiPony\Browser\IEContext.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O9 - Extra 'Tools' menuitem: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\Browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\Browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 8586 bytes

shapiro

Inviato: Sunday, August 14, 2011 7:36:52 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

pittina c'e' questa dll che non sembra niente di buono >>> dvuqrlupourgp.dll

ora segui questi passaggi vediamo se e' solo un problema virale o anche hardware

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked

Code:

O2 - BHO: revenuestreaming browser enhancer - {50D548A0-D022-8FA3-8C90-BD2359CDE031} - C:\WINDOWS\system32\dvuqrlupourgp.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: yourprofitclub - {e8287f00-9faa-8d88-517e-9b7df4879163} - C:\WINDOWS\system32\4c5b95a0.dll (file missing)

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programmi\ConduitEngine\ConduitEngin0.dll

O4 - HKLM\..\Run: [etyxqcocgbdwvve] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\dvuqrlupourgp.dll"

Scarica e installa malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

edit

pittina ho dimenticato di inserire queste al fix di hjt

Code:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://roonic.com/results.html?q=%s&sa=Search&cx=partner-pub-0345395751421741:y8 d2vrh2u6t&cof=FORID:10&ie=UTF-8

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbhelper.dll

pittina

Inviato: Sunday, August 14, 2011 8:11:43 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

HiJackThis mi ha cancellato tutte le righe che hai detto e che ho spuntato. Ti serve il nuovo log?
Ho mandato poi il malwarebytes che sta andando. Durante l'installazione mi è comparso questo messaggio: l'istruzione a "0xffffff" ha fatto riferimento alla memoria "0xffffff". La memoria non poteva essere "written". Fare click su OK per terminare l'applicazione. Comunque è partito lo stesso, appena termina posto il rapporto.

shapiro

Inviato: Sunday, August 14, 2011 8:25:48 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

quell'errore riguarda un componente hardware probabilmente

lascia andare la scansione dopo facciamo un controllo nel registro degli eventi

pittina

Inviato: Sunday, August 14, 2011 8:57:04 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Metto sotto il risultato, poi riavvio e ritorno:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Versione database: 7466

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

14/08/2011 20.53.54
mbam-log-2011-08-14 (20-53-36).txt

Tipo di scansione: Scansione completa (A:\|C:\|D:\|E:\|F:\|G:\|)
Elementi esaminati: 283271
Tempo impiegato: 44 minuti, 25 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 3
Cartelle infette: 0
File infetti: 108

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\f6770539 (Adware.Adrotator) -> No action taken.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\documents and settings\administrator\dati applicazioni\thinstall\adobe acrobat 8 professional - english, français, deutsch\400000a500003h\fnplicensingservice.exe.vir (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000002ca00002h\OffDiag.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000005700002h\WINWORD.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000007300002h\POWERPNT.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\30000000d900002h\DW20.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\4000005200002h\AcroRd32.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\administrator\dati applicazioni\thinstall\morpheus photo animation suite v3.15\1000000b00002i\verclsid.exe.vir (Trojan.IRCBot) -> No action taken.
c:\documents and settings\administrator\Desktop\evid4226patch223d-en\evid4226patch.exe.vir (Malware.Tool) -> No action taken.
c:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\38b730f8742126d4517341db4dcecb17c449f12e\liveupdate.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\4f1bc880865a3a851b9ad2d55fc5ffdb24446de\splash screen.exe.vir (Trojan.Backdoor) -> No action taken.
c:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\74da67fa3811add9b71b4cdd1824a312e47208a\drivergenius.exe (Trojan.Backdoor) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP304\A0056285.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP304\A0056286.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP305\A0058288.exe (PUP.SmsPay.PGen) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP306\A0060061.exe (PUP.SmsPay.PGen) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP306\A0060172.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP306\A0060174.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP306\A0060658.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP306\A0060659.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP307\A0061325.exe (PUP.SmsPay.PGen) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP307\A0061435.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP307\A0061437.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP307\A0061921.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP307\A0061922.exe (Adware.Adrotator) -> No action taken.
c:\system volume information\_restore{fc4334e6-676d-4309-bfce-c79573ecff81}\RP308\A0062595.exe (PUP.SmsPay.PGen) -> No action taken.
c:\WINDOWS\system32\f6770539.exe (Adware.Adrotator) -> No action taken.
c:\WINDOWS\system32\qtybqgmripfhxge.exe (Adware.Adrotator) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\adobe acrobat 8 professional - english, français, deutsch\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\adobe acrobat 8 professional - english, français, deutsch\400000500002h\acrobatinfo.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\adobe acrobat 8 professional - english, français, deutsch\400000a500003h\fnplicensingservice.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\1000000b00002h\rundll32.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000002ca00002h\OffDiag.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000005700002h\WINWORD.EXE (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\300000007300002h\POWERPNT.EXE (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\30000000d900002h\DW20.EXE (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\dati applicazioni\thinstall\microsoft office enterprise 2007\40000032200002h\Maxthon.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\evid4226patch223d-en\evid4226patch.exe (Malware.Tool) -> No action taken.
e:\documents and settings\administrator\Desktop\FLASH8\macromedia_flash_8_by_ale4utv\macromedia flash 8 by ale4utv\Keygen\keygen.exe (Riskware.Tool.CK) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\gnumeric plus\App\Gnumeric\lib\gnumeric\1.9.3\plugins\fn-tsa\plugin.dll (Trojan.Downloader) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\ccleaner portable\unicows.dll (Malware.Packer.Gen) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\free download manager\dbghelp.dll (Malware.Packer.Gen) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\free download manager\msvcp60.dll (Malware.Packer.Gen) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\recuva portable\unicows.dll (Malware.Packer.Gen) -> No action taken.
e:\documents and settings\administrator\Desktop\lupo pensuite v6.64 full\Apps\smplayer plus\mplayer\codecs\msh261.drv (Malware.Packer.Gen) -> No action taken.
e:\documents and settings\administrator\Desktop\nuova cartella (2)\installer_scan_to_pdf_italiano_italian.exe (PUP.SmsPay.pns) -> No action taken.
e:\documents and settings\administrator\Desktop\nuova cartella (2)\scan.to.pdf.v3.2.0.6.incl.keygen-lz0\Lz0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\formatfactory.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\ffmodules\mencoder.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\ffmodules\mplayer.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\magic video converter\magic video converter 8.0.10.28\magic video converter.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\magic video converter\magic video converter 8.0.10.28\Stubs\bfd26d349fb0e3c579711e96b2cc4da3917d162c\avcore.dll (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\portable aneesoft 3d flash gallery v2.2.0\portable aneesoft 3d flash gallery v2.2.0.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\portable_magic_swf2avi_v6[1].1.9.525\portable_magic_swf2avi_v6.1.9.525.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\portatili\poweriso 4.3\Stubs\bbfdb7463f75b08b82aa89d22bfb20f1bd847dba\regsvr32.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\Desktop\portzumadeluxe-fk\zuma deluxe\program data\zuma deluxe\40000032200002i\Maxthon.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\PULCINO\aiseesofttotalvideoconverterv4.0.06_portable_www.dl4all.com\aiseesoft_total_video_converter.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\Desktop\PULCINO\x-3116tvc\4easysoft total video converter v3.1.16\Data\Virtual\STUBEXE\@programfiles@\4easysoft studio\4easysoft total video converter\4easysoft total video converter.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\scantopdf\scan.to.pdf.v3.2.0.6.incl.keygen\KeyGen\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
e:\documents and settings\administrator\Desktop\RSP\portable_ad0be\portable_ad0be_acr0bat_8_downarchive\portable adobe acrobat 8 usbtools\thinstall\acrobat 8 pro intel\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\RSP\portable_ad0be\portable_ad0be_acr0bat_8_downarchive\portable adobe acrobat 8 usbtools\thinstall\acrobat 8 pro intel\400000500002h\acrobatinfo.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\RSP\portable_ad0be\portable_ad0be_acr0bat_8_downarchive\portable adobe acrobat 8 usbtools\thinstall\acrobat 8 pro intel\400000a500003h\fnplicensingservice.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\RSP\portable_ad0be\portable_ad0be_acr0bat_8_downarchive\portable adobe acrobat 8 usbtools\thinstall\acrobat 8 pro intel\400000b400002h\adobecollabsync.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\Desktop\RSP\rapidup_by_orlando\RapidUp.exe (Trojan.Banker) -> No action taken.
e:\documents and settings\administrator\documenti\Download\portable aneesoft 3d flash gallery v2.2.0\portable aneesoft 3d flash gallery v2.2.0.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\documenti\downloads\i[1].pd.edit.pro.v3.32\patch\patch.exe (Trojan.Agent) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\36f88845108d55da51495c5716f361d2ef9a7a\acservice.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\38b730f8742126d4517341db4dcecb17c449f12e\liveupdate.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\74da67fa3811add9b71b4cdd1824a312e47208a\drivergenius.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\7b25ce61d7f7ce85ea9e06280a7268252d3eec\ophistory.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\819fc651329b41381e96dabcd649bf4d4b264fc\arcmediaservice.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\administrator\impostazioni locali\dati applicazioni\thinstall\Cache\Stubs\b7fa5d8dda3ab32e63bfcc556bbbe4baa2253\drivergenius.exe (Trojan.Backdoor) -> No action taken.
e:\documents and settings\sara ambrogetti\Desktop\jdownloader 0.6.193\downloads\cryptload_1.1.6\router\fritz!box\nc.exe (PUP.KeyLogger) -> No action taken.
e:\documents and settings\sara ambrogetti\Desktop\jdownloader 0.6.193\downloads\router\fritz!box\nc.exe (PUP.KeyLogger) -> No action taken.
e:\documents and settings\sara ambrogetti\Desktop\jdownloader 0.6.193\downloads\solidconverterpdf6_0build669inclpatch\patch\solid.converter.pdf-patch.exe (PUP.Hacktool.Patcher) -> No action taken.
f:\DATI win\programmi\FLASH8\macromedia_flash_8_by_ale4utv\macromedia flash 8 by ale4utv\Keygen\keygen.exe (Riskware.Tool.CK) -> No action taken.
g:\C BACKUP\MUSICA\FLASH8\macromedia_flash_8_by_ale4utv\macromedia flash 8 by ale4utv\Keygen\keygen.exe (Riskware.Tool.CK) -> No action taken.
g:\MAGUSTO\datiwin (f)\DATI win\programmi\FLASH8\macromedia_flash_8_by_ale4utv\macromedia flash 8 by ale4utv\Keygen\keygen.exe (Riskware.Tool.CK) -> No action taken.
g:\portatili\autogk v2.55\AutoGK.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Native\STUBEXE\@SYSTEM@\cmd.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\AutoGK.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\DGMPGDec\DGIndex.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\tools\azid_P4.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\tools\mediainfo.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\tools\normalize.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\tools\vstrip_ifo.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\tools\lame\lame.exe (Trojan.Agent) -> No action taken.
g:\portatili\autogk v2.55\Data\Virtual\STUBEXE\@programfiles@\AutoGK\VDubMod\virtualdubmod.exe (Trojan.Agent) -> No action taken.
g:\portatili\dvd shrink 3.2.0.15\dvd shrink 3.2.exe (Trojan.Agent) -> No action taken.
g:\portatili\dvd shrink 3.2.0.15\Data\Virtual\STUBEXE\@programfiles@\dvd shrink\dvd shrink 3.2.exe (Trojan.Agent) -> No action taken.
g:\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Native\STUBEXE\@SYSTEM@\cmd.exe (Trojan.Agent) -> No action taken.
g:\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Native\STUBEXE\@WINDIR@\regedit.exe (Trojan.Agent) -> No action taken.
g:\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\formatfactory.exe (Trojan.Agent) -> No action taken.
g:\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\ffmodules\mencoder.exe (Trojan.Agent) -> No action taken.
g:\portatili\formatfactory220-portable\Cache\format factory portable\Settings\Virtual\STUBEXE\@programfiles@\FreeTime\formatfactory\ffmodules\mplayer.exe (Trojan.Agent) -> No action taken.
g:\portatili\free studio manager 4.2.4.69\Data\Virtual\STUBEXE\@programfilescommon@\dvdvideosoft\freestudiomanager.exe (Trojan.Agent) -> No action taken.
g:\portatili\magic_swf2avi_v6[1].1.9.525\portable_magic_swf2avi_v6.1.9.525.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable aimp v2.61.583 +skins + tools by birungueta\aimp2 advanced tag editor.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable aimp v2.61.583 +skins + tools by birungueta\aimp2 audio converter.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable aimp v2.61.583 +skins + tools by birungueta\aimp2 audio recorder.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable aimp v2.61.583 +skins + tools by birungueta\portable aimp v2.61.583.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable aneesoft 3d flash gallery v2.2.0\portable aneesoft 3d flash gallery v2.2.0.exe (Trojan.Agent) -> No action taken.
g:\portatili\portable soulseek\portable soulseek.exe (Trojan.IRCBot) -> No action taken.
g:\portatili\poweriso 4.3\Stubs\8568c6e7d51e7e4351dcc0d64deb2aa1c136\Start.exe (Trojan.Backdoor) -> No action taken.
g:\portatili\poweriso 4.3\Stubs\bbfdb7463f75b08b82aa89d22bfb20f1bd847dba\regsvr32.exe (Trojan.Backdoor) -> No action taken.
g:\portatili\rapidup_by_orlando\RapidUp.exe (Trojan.Banker) -> No action taken.
c:\WINDOWS\system32\4c5b95a0.dll.vir (Trojan.Vundo) -> No action taken.

shapiro

Inviato: Sunday, August 14, 2011 9:10:36 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

Evidenzia gli elementi trovati da malwarebyts e premi "Rimuovi elementi selezionati".

Installa Ccleaner

ccleaner

durante l’installazione deseleziona l’opzione per la barra di Yahoo, lo apri, vai in Opzioni>Avanzate, togli la spunta a “Cancella file temp diwindows solo se più vecchi di 48 ore”, poi avvialo, seleziona "Analizza" ed alla fine dell'analisi premi "Avvia pulizia''

clicca su Registro, nella pagina successiva clicca Trova problemi, poi al termine dello scan clicca su Ripara selezionati , risposndi di sì alla richiesta di salvare il backup (salvalo in una cartella a piacimento) poi ripara tutti gli elementi trovati.

scarica atf cleaner

non ha bisogno di installazione

Avvia ATF Cleaner.exe con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

disattiva il ripristino

Code:

Start/tasto destro del mouse su risorse del computer/proprietà/Ripristino configurazione del sistema/e metti la spunta su "disattiva ripristino configurazione del sistema"

riavvia il pc

riattiva il ripristino

prova a stampare un documento, vedi se riesci a farlo altrimenti continuiamo

pittina

Inviato: Sunday, August 14, 2011 9:41:34 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Shapiro grazie mille davvero.
Ora stampo, non si apre più il prog. Maxthon e non ho avuto più crash. Quello che non capisco è perchè quando clicco sul setup dei driver della stampante mi viene ancora fuori il messaggio "Sottosistema Windows 16 bit
NTVDM ha rilevato un errore di sistema.
NTVDM ha rilevato un errore di sistema c0h. Scegliere "Chiudi" perterminare.
Ultima cosa, pensi possa andare bene tenere eset nod32 e Malwarebytes' Anti-Malware o mi suggerisci anche qualcos'altro ?

shapiro

Inviato: Sunday, August 14, 2011 9:47:29 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

per quell'errore prova a leggere questa discussione

dobiamo controllare nel registro degli eventi

mi posti nel frattempo un nuovo log di hjt?

pittina

Inviato: Sunday, August 14, 2011 9:56:57 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Ecco il nuovo log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21.55.16, on 14/08/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\7zS2.tmp\App\ObjectDock.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
G:\PORTATILI\Firefox4_Plus_Portable_ita\Bin\Main.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programmi\HJ\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.asf.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: TBSB07458 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O3 - Toolbar: mipony-plugin Toolbar - {90d46c30-9f25-4104-aea9-35c3f84477ff} - C:\Programmi\mipony-plugin\tbmip1.dll
O3 - Toolbar: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Documents and Settings\Administrator\Impostazioni locali\Temp\7zS2.tmp\App\ObjectDock.exe
O8 - Extra context menu item: Scarica con Mipony - file://C:\Programmi\MiPony\Browser\IEContext.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O9 - Extra 'Tools' menuitem: Free software Gooofull toolbar - {C86FF9FA-AEED-451B-A9CC-39A53173AE2E} - C:\Programmi\AIMP Portable 2.51 Build 328\mybarnsm987.tmp\tbcore3.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\Browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\Browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 7344 bytes

Intanto vado a leggere la discussione.......

dottorserpente

Inviato: Sunday, August 14, 2011 10:12:24 PM

Rank: AiutAmico

Iscritto dal : 9/6/2010
Posts: 2,017

pittina ha scritto:

Buongiorno a tutti, da un po’ di giorni mi succede che il pc (S.O. Windows XP) mi va in crash, mi
si apre il programma Maxthon da sé (in Hey Local Machine\.........\CurrentVersion\Run non compare), non trova più la stampante, quando cerco di mandare in stampa un documento (Epson Stylus C60) mi dice servizio spooler non attivato: anche se ho messo il servizio in automatico devo avviarlo a mano in continuazione. Allora ho cercato di rimettere i driver al che compare questo messaggio:
> Sottosistema Windows 16 bit
> NTVDM ha rilevato un errore di sistema.
> NTVDM ha rilevato un errore di sistema c0h. Scegliere "Chiudi" per
> terminare.

Ho provato: a fare il ripristino un punto precedente, ma quando riavvia mi da errore e non riesce a ripristinare nessun punto
Ho mandato Eset nod32 e stinger ma non ho risolto niente.
Ho utilizzato il cd di Avira anti-vir Rescue System anche questo senza risultati

Da un ricerca sul web sembra abbia preso un Master Boot Record "rootkit". Pensate sia così ? spero di no perché mi sembra molto complicato “debellarlo”, nello stesso tempo mi starebbe molto pensiero formattare il tutto.
Potete darmi una mano a risolvere questo problema ?
Grazie mille a tutti in anticipo

Pittina

Commenta:

mi sembra molto complicato “debellarlo”, nello stesso tempo mi starebbe molto pensiero formattare il tutto.

Secondo me dovresti prendere in considerazione una tale, logica scelta. Fatto questo crei una bella immagine del sistema e la tieni da parte, pronta, in casi come questi.

pittina

Inviato: Sunday, August 14, 2011 10:28:23 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

te più che un dottore mi sembri un chirurgo !!!! sto scherzando naturalmente...................
a dire il vero ce l'ho acronis ......ma solo l'idea di ricominciare quadi daccapo mi fa venire la pelle d'oca. Nel remoto caso in cui...........se faccio un'immagine e la salvo in un hd diverso la posso importare al bisogno, cioè il programma mi vede tutti di hd collegati alla scheda madre o solo quello dove c'è il s.o. ?

dottorserpente

Inviato: Sunday, August 14, 2011 10:37:45 PM

Rank: AiutAmico

Iscritto dal : 9/6/2010
Posts: 2,017

pittina ha scritto:

te più che un dottore mi sembri un chirurgo !!!! sto scherzando naturalmente...................
a dire il vero ce l'ho acronis ......ma solo l'idea di ricominciare quadi daccapo mi fa venire la pelle d'oca. Nel remoto caso in cui...........se faccio un'immagine e la salvo in un hd diverso la posso importare al bisogno, cioè il programma mi vede tutti di hd collegati alla scheda madre o solo quello dove c'è il s.o. ?

Capito, lo prendo come un complimento ovviamente. Angel

Angel

Angel

Commenta:

a dire il vero ce l'ho acronis

Se dovessi decidere di usare Acronis ti conviene dopo una installazione, nuova, con il sistema pulito.
L'immagine pulita la salvi su un supporto esterno che puo essere un HD USB oppure un paio di DVD.

Commenta:

se faccio un'immagine e la salvo in un hd diverso la posso importare al bisogno, cioè il programma mi vede tutti di hd collegati alla scheda madre

Acronis vede tutti gli HD collegati al computer. Ma bada il mio è solo un suggerimento. Chi ti sta seguendo potrebbe anche lui suggerirti la stessa scelta in caso di non risoluzione.

pittina

Inviato: Sunday, August 14, 2011 10:43:01 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

ok, grazie, terrò presente il suggerimento; comunque speriamo di poter concludere diversamente :-):-)

shapiro

Inviato: Sunday, August 14, 2011 11:28:05 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164

controlliamo qual'e' l'errore che lo provoca

start, esegui, digita eventvwr e premi ok, oppure pannello di
controllo, strumenti di amministrazione, visualizzatore eventi.
In Applicazioni o Sistema dovresti trovare un errore in corrispondenza del
problema, aiutati con la data e l'ora.
Doppio click per aprirlo e click sull'icona sotto le frecce per
copiarlo.... incollalo in blocco note e lo posti qui

pittina

Inviato: Sunday, August 14, 2011 11:53:31 PM

Rank: AiutAmico

Iscritto dal : 5/15/2010
Posts: 230

Spero di non aver capito male su come fare. Mi vine questo

Tipo evento: Informazioni
Origine evento: Application Popup
Categoria evento: Nessuno
ID evento: 26
Data: 14/08/2011
Ora: 22.10.00
Utente: N/D
Computer: MAGUSTO
Descrizione:
Popup dell'applicazione: Sottosistema Windows a 16 bit : NTVDM ha rilevato un errore di sistema
NTVDM ha rilevato un errore di sistema c0h Scegliere "Chiudi" per terminare l'applicazione.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.

Utenti presenti in questo topic

4 pages: [1] 2 3 4

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » forse Master Boot Record "rootkit".

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS :

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded