www.MegaLab.it

[mitrha]

Ciao a tutti,
appena 2 giorni fa ho collegato ad internet un vecchio pc che usavo per suonare e che nn era mai stato in rete e oplà è diventato un casino sebbene abbia istallato avira e comodo firewall.
Insomma ha iniziato a fare le bizze,così ho effettuato una scan con Avira Hijakthis e Malwarebites. allego i log.Vorrei avere un vs parere .Inoltre mi appare un messaggio appena si carica window : Server occupato... con tre opzioni :annulla riprova passa a.. . Poi ce n'è un'altra, se collego prima di accendere una delle 2 penne wi-fi ci mette mooolto di più ad avviarsi e una volta che appare la schermata di xp mi arrivano una sfilza di messaggi di errore del tipo address violation...ralink qualcosa. se serve sarò + preciso.Insomma da quello che potete capire è un po un casino. comunque bando alle ciance ecco i log:
Hijak

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.18.26, on 03/02/2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Manuel Valori.E774BAE2\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {41564952-412D-5637-4300-7A786E7484D7} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] C:\Programmi\COMODO\COMODO Internet Security\cistray.exe
O4 - HKLM\..\Run: [KORG USB-MIDI Driver] C:\Programmi\KORG\KORG USB-MIDI Driver\EsHelper2.exe /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Web Protection (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Virtual Service Manager (cmdvirth) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdvirth.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Programmi\RALINK\Common\RalinkRegistryWriter.exe
O23 - Service: Ralink UPnP Media Server (RaMediaServer) - Ralink - C:\Programmi\RALINK\Common\RaMediaServer.exe

--
End of file - 3808 bytes

Avira

Avira Free Antivirus
Data di creazione del file di report: lunedì 3 febbraio 2014 23:21


Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira Antivirus Free
Numero di serie : 0000149996-AVHOE-0000001
Piattaforma : Microsoft Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Modalità provvisoria
Nome utente : Fabio
Nome computer : E774BAE2

Informazioni sulla versione:
BUILD.DAT : 14.0.2.286 55547 Bytes 13/12/2013 15:04:00
AVSCAN.EXE : 14.0.2.254 1032760 Bytes 13/12/2013 14:04:42
AVSCANRC.DLL : 14.0.2.180 60472 Bytes 13/12/2013 14:04:42
LUKE.DLL : 14.0.2.234 65592 Bytes 13/12/2013 14:04:47
AVSCPLR.DLL : 14.0.2.254 124472 Bytes 13/12/2013 14:04:42
AVREG.DLL : 14.0.2.212 250424 Bytes 13/12/2013 14:04:42
avlode.dll : 14.0.2.254 540216 Bytes 13/12/2013 14:04:42
avlode.rdf : 13.0.1.70 56974 Bytes 01/02/2014 11:45:18
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/2013 14:04:50
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/2013 14:04:50
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/2013 14:04:50
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/2013 14:04:50
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/2013 14:04:50
VBASE005.VDF : 7.11.98.186 6822912 Bytes 29/08/2013 14:04:50
VBASE006.VDF : 7.11.103.230 2293248 Bytes 24/09/2013 14:04:50
VBASE007.VDF : 7.11.116.38 5485568 Bytes 28/11/2013 14:04:50
VBASE008.VDF : 7.11.126.50 3615744 Bytes 22/01/2014 11:44:56
VBASE009.VDF : 7.11.126.51 2048 Bytes 22/01/2014 11:44:56
VBASE010.VDF : 7.11.126.52 2048 Bytes 22/01/2014 11:44:56
VBASE011.VDF : 7.11.126.53 2048 Bytes 22/01/2014 11:44:56
VBASE012.VDF : 7.11.126.54 2048 Bytes 22/01/2014 11:44:56
VBASE013.VDF : 7.11.126.55 2048 Bytes 22/01/2014 11:44:56
VBASE014.VDF : 7.11.126.251 188928 Bytes 25/01/2014 11:44:57
VBASE015.VDF : 7.11.127.155 239616 Bytes 29/01/2014 11:44:58
VBASE016.VDF : 7.11.128.89 283136 Bytes 01/02/2014 11:45:00
VBASE017.VDF : 7.11.128.90 2048 Bytes 01/02/2014 11:45:00
VBASE018.VDF : 7.11.128.91 2048 Bytes 01/02/2014 11:45:00
VBASE019.VDF : 7.11.128.92 2048 Bytes 01/02/2014 11:45:00
VBASE020.VDF : 7.11.128.93 2048 Bytes 01/02/2014 11:45:00
VBASE021.VDF : 7.11.128.94 2048 Bytes 01/02/2014 11:45:01
VBASE022.VDF : 7.11.128.95 2048 Bytes 01/02/2014 11:45:01
VBASE023.VDF : 7.11.128.96 2048 Bytes 01/02/2014 11:45:01
VBASE024.VDF : 7.11.128.97 2048 Bytes 01/02/2014 11:45:01
VBASE025.VDF : 7.11.128.98 2048 Bytes 01/02/2014 11:45:01
VBASE026.VDF : 7.11.128.99 2048 Bytes 01/02/2014 11:45:01
VBASE027.VDF : 7.11.128.100 2048 Bytes 01/02/2014 11:45:01
VBASE028.VDF : 7.11.128.101 2048 Bytes 01/02/2014 11:45:01
VBASE029.VDF : 7.11.128.102 2048 Bytes 01/02/2014 11:45:02
VBASE030.VDF : 7.11.128.103 2048 Bytes 01/02/2014 11:45:02
VBASE031.VDF : 7.11.128.170 180736 Bytes 03/02/2014 12:54:30
Versione del motore : 8.2.12.180
AEVDF.DLL : 8.1.3.4 102774 Bytes 13/12/2013 14:04:41
AESCRIPT.DLL : 8.1.4.182 520574 Bytes 01/02/2014 11:45:14
AESCN.DLL : 8.1.10.6 131447 Bytes 13/12/2013 14:04:41
AESBX.DLL : 8.2.20.6 1331575 Bytes 01/02/2014 11:45:16
AERDL.DLL : 8.2.0.138 704888 Bytes 13/12/2013 14:04:41
AEPACK.DLL : 8.3.3.12 774521 Bytes 01/02/2014 11:45:13
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 13/12/2013 14:04:41
AEHEUR.DLL : 8.1.4.882 6451578 Bytes 01/02/2014 11:45:12
AEHELP.DLL : 8.1.27.10 266618 Bytes 13/12/2013 14:04:41
AEGEN.DLL : 8.1.7.22 446839 Bytes 01/02/2014 11:45:03
AEEXP.DLL : 8.4.1.176 418168 Bytes 01/02/2014 11:45:17
AEEMU.DLL : 8.1.3.2 393587 Bytes 13/12/2013 14:04:41
AECORE.DLL : 8.1.33.0 225657 Bytes 13/12/2013 14:04:41
AEBB.DLL : 8.1.1.4 53619 Bytes 13/12/2013 14:04:41
AVWINLL.DLL : 14.0.2.180 23608 Bytes 13/12/2013 14:04:43
AVPREF.DLL : 14.0.2.180 48696 Bytes 13/12/2013 14:04:42
AVREP.DLL : 14.0.2.180 175672 Bytes 13/12/2013 14:04:42
AVARKT.DLL : 14.0.2.254 256056 Bytes 13/12/2013 14:04:41
AVEVTLOG.DLL : 14.0.2.180 165944 Bytes 13/12/2013 14:04:41
SQLITE3.DLL : 3.7.0.1 394808 Bytes 13/12/2013 14:04:49
AVSMTP.DLL : 14.0.2.180 60472 Bytes 13/12/2013 14:04:42
NETNT.DLL : 14.0.2.180 13368 Bytes 13/12/2013 14:04:47
RCIMAGE.DLL : 14.0.2.180 4788792 Bytes 13/12/2013 14:04:48
RCTEXT.DLL : 14.0.2.264 74296 Bytes 13/12/2013 14:04:48

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Programmi\Avira\AntiVir Desktop\sysscan.avp
Funzione di log.............................: standard
Azione primaria.............................: interattivo
Azione secondaria...........................: Ignora
Scansione dei record master di avvio........: Attivo
Scansione dei record di avvio...............: Attivo
Record di avvio.............................: C:, L:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Scansiona tutti i file......................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macrovirus euristico........................: Attivo
File euristico..............................: avanzato
Categorie irregolari delle minacce..........: +PCK,+SPR,

Avvio della scansione: lunedì 3 febbraio 2014 23:21

Avvio della scansione dei record di avvio:
Record di avvio 'HDD0(C:)'
[INFO] Nessun virus è stato trovato!
Record di avvio 'HDD1(L:)'
[INFO] Nessun virus è stato trovato!

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

Avvio della scansione dei processi in esecuzione in corso:
Scansione del processo 'avscan.exe' - '87' modulo(i) scansionato(i)
Scansione del processo 'avcenter.exe' - '77' modulo(i) scansionato(i)
Scansione del processo 'Explorer.EXE' - '76' modulo(i) scansionato(i)
Scansione del processo 'svchost.exe' - '68' modulo(i) scansionato(i)
Scansione del processo 'svchost.exe' - '39' modulo(i) scansionato(i)
Scansione del processo 'svchost.exe' - '33' modulo(i) scansionato(i)
Scansione del processo 'lsass.exe' - '48' modulo(i) scansionato(i)
Scansione del processo 'services.exe' - '27' modulo(i) scansionato(i)
Scansione del processo 'winlogon.exe' - '61' modulo(i) scansionato(i)
Scansione del processo 'csrss.exe' - '12' modulo(i) scansionato(i)
Scansione del processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( '4899' file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\Documents and Settings\Manuel Valori.E774BAE2\Documenti\rpristino utility\Windows XP Service Pack 1.exe
[0] Tipo di archivio: NSIS
ProgramFilesDir/inst.exe
[RILEVAMENTO] Contiene modelli di riconoscimento dell'adware ADWARE/Solimba.GW
[AVVISO] I file infetti negli archivi non possono essere riparati
C:\Program Files\VSTPlugins\a-amm16a.zip
[0] Tipo di archivio: ZIP
a-amm16.rar
[1] Tipo di archivio: RAR
keygen.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Keygen.AD.4
[AVVISO] I file infetti negli archivi non possono essere riparati
C:\System Volume Information\_restore{2DA47B1E-AE8D-4449-81D3-DD9878F9265A}\RP185\A0038022.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
Inizia con la scansione di 'L:\' <Dico2>
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[RILEVAMENTO] Contiene il modello di rilevamento del worm WORM/Kido.ih

Avvio della disinfezione:
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
[RILEVAMENTO] Contiene il modello di rilevamento del worm WORM/Kido.ih
[AVVISO] Si è verificato un errore e il file non è stato cancellato. ID errore: 26003
[AVVISO] Impossibile eliminare il file!
[AVVISO] Impossibile selezionare il file per l'eliminazione dopo il riavvio. Possibile causa: Accesso negato.

[NOTA] Riavvia il computer per completare la riparazione.
C:\System Volume Information\_restore{2DA47B1E-AE8D-4449-81D3-DD9878F9265A}\RP185\A0038022.dll
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4e83bffa.qua'!
C:\Program Files\VSTPlugins\a-amm16a.zip
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Keygen.AD.4
[NOTA] Il file è stato spostato in quarantena con il nome '1cade510.qua'!
C:\Documents and Settings\Manuel Valori.E774BAE2\Documenti\rpristino utility\Windows XP Service Pack 1.exe
[RILEVAMENTO] Contiene modelli di riconoscimento dell'adware ADWARE/Solimba.GW
[NOTA] Il file è stato spostato in quarantena con il nome '7a95aa9e.qua'!


Fine della scansione: martedì 4 febbraio 2014 01:27
Tempo impiegato: 2:05:00 Ora(e)

La scansione è stata completamente eseguita.

11421 Directory scansionate
916786 I file sono stati scansionati
4 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
3 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
916782 File non infetti
18827 Gli archivi sono stati scansionati
3 Avvisi
4 Note

Grazie come sempre per il vostro aiuto

[Hironori]

se ho ben capito non è riuscito a eliminare il kido
provato in mod prov ?
Ci sarebbe da aggiornare win
Puoi provare questo tool di kasperski http://support.kaspersky.com/viruses/disinfection/1956

[mitrha]

Si si,ho fatto tutto in provvisoria ma...
per quanto riguarda gli agg di Win,sono andato diverse volte su Win update ma nn riesce ad istallarli

[gianpietro]

Ciao mitrha

Vedi questo post, potrebbe fare al caso tuo:

http://turbolab.it/50

[mitrha]

Intanto Ecco il log di MBAM:

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Versione database: v2014.02.01.07

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria)
Internet Explorer 8.0.6001.18702
Fabio :: E774BAE2 [amministratore]

05/02/2014 16.30.19
MBAM-log-2014-02-05 (17-27-29).txt

Tipo di scansione: Scansione completa (C:\|L:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM | P2P
Opzioni di scansione disattivate:
Elementi esaminati: 327380
Tempo impiegato: 49 minuti, 49 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 2
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Nessuna azione intrapresa.
L:\Sony Sound Forge 8.0a\keygen.exe (Trojan.Downloader) -> Nessuna azione intrapresa.

(fine)

Inoltre alcune precisazioni: all'avvio di Win appena appare il desk arrivano una sfilza di messaggi di avviso critico con questo testo:Access violation at address 00444483f module raUI.exe read of address 000003c8.Dopodichè un altro messaggio del tipo Server occupato impossibile completare l'operazione xchè l'altro programma è occupato scegliere passa a( ci sono tre pulsanti,passa a;annulla,riprova) cliccando su passa a si apre la finestra come se si clicca su start. poi tutto parte senza problemi. Preciso che prima di collegarlo a internet il PC nn faceva una piega

[mitrha]

Gianpietro Ho fatto come mi hai suggerito,digitando services nel prompt nn si apre niente ma da pannello di controllo ho comunque bloccato il servizio che nel mio pc nn è win update ma automatic updates(nn so se ciò possa fare differenze rispetto alla guida),rinominato la cartella software distr. ma niente nn si istallano comunque...questi sono alcuni degli agg che nn vanno a buon fine:Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2604092)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2729450)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2742596)
Aggiornamento della sicurezza per Microsoft .NET Framework 2.0 SP2 su Windows Server 2003 e Windows XP x86 (KB2789643)

[ilmito]

E' evidente una bella infezione in atto sul tuo pc e l'unica cosa che mi sento di dirti anzi , due cose sono :

Provare una nuova scansione con combofix ammesso che tu riesca a scaricarlo e ad usarlo vista la situazione critica.

Lo so è banale ma una bella formattazione a basso livello del tuo hard disk in modo da fare una bella tabula rasa.

[GERONIMO*]

mitrha segui tutta questa guida per ripulire il pc
quando dico tutta tutta anche fixconnessione
http://www.windoctor.it/sicurezza/come- ... i-i-virus/

[mitrha]

Ho effettuato ieri diverse scansioni,con Avire,combofix e malwarebite.
Avira nn riesce ad eliminare Kido.comunque ecco i log:
Combofix

ComboFix 14-02-03.01 - Fabio 06/02/2014 1.13.46.9.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.1023.761 [GMT 1:00]
Eseguito da: c:\documents and settings\Manuel Valori.E774BAE2\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {0012F2B4-5CE9-7C92-0300-000000000000}
AV: AntiVir Desktop *Disabled/Outdated* {7698207D-3A00-003E-AC1D-9876381E9876}
AV: AntiVir Desktop *Enabled/Updated* {0012F220-F65C-7C91-61F6-917C340000C0}
AV: Avira Desktop *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Esecuzione precedente -------
.
c:\documents and settings\All Users\Dati applicazioni\1391297522.bdinstall.bin
c:\documents and settings\All Users\Dati applicazioni\1391297752.bdinstall.bin
c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Propellerhead Software\ReCycle
c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Propellerhead Software\ReCycle\ReCycle Preferences File.prf
c:\windows\StiC1210.exe
c:\windows\StiD1210.exe
c:\windows\system32\lsprst7.dll
c:\windows\system32\ssprs.dll
.
.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_APPLICATION_POLICY_SERVICE
.
.
((((((((((((((((((((((((( Files Creati Da 2014-01-06 al 2014-02-06 )))))))))))))))))))))))))))))))))))
.
.
2014-02-05 18:26 . 2014-02-05 18:26 21361 ----a-w- c:\windows\system32\drivers\AegisP.sys
2014-02-05 18:26 . 2014-02-05 18:26 -------- d-----w- c:\windows\LastGood
2014-02-05 15:12 . 2014-02-05 15:12 -------- d--h--w- c:\documents and settings\Manuel Valori.E774BAE2\Risorse di stampa
2014-02-05 15:12 . 2014-02-05 15:12 -------- d--h--w- c:\documents and settings\Manuel Valori.E774BAE2\Modelli
2014-02-05 15:12 . 2014-02-05 15:12 -------- d-----w- c:\documents and settings\All Users\Preferiti
2014-02-03 20:31 . 2014-02-03 20:31 -------- d-----w- c:\windows\system32\wbem\Repository
2014-02-03 20:28 . 2014-02-03 20:28 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Ralink Driver
2014-02-03 20:28 . 2014-02-03 20:28 -------- d-----w- c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\InstallShield
2014-02-03 20:28 . 2014-02-03 20:28 -------- d-----w- c:\programmi\RALINK
2014-02-03 19:32 . 2008-06-16 13:57 4096 ----a-w- c:\windows\system32\drivers\rt2870.bin
2014-02-03 19:32 . 2005-11-30 10:33 2048 ----a-w- c:\windows\system32\drivers\rt73.bin
2014-02-02 05:00 . 2014-02-02 05:00 -------- d-----w- c:\documents and settings\Manuel Valori.E774BAE2\Impostazioni locali\Dati applicazioni\4kdownload.com
2014-02-02 04:40 . 2014-02-02 04:40 -------- d-----w- c:\programmi\4KDownload
2014-02-02 04:09 . 2014-02-02 04:09 -------- d-----w- c:\programmi\ScanSoft
2014-02-02 00:17 . 2014-02-02 00:17 -------- d-----w- c:\documents and settings\NetworkService\Impostazioni locali\Dati applicazioni\COMODO
2014-02-02 00:17 . 2014-02-02 00:17 0 ----a-w- c:\windows\ativpsrm.bin
2014-02-02 00:08 . 2014-02-03 20:40 -------- d-----w- c:\documents and settings\LocalService\Impostazioni locali\Dati applicazioni\Comodo
2014-02-02 00:06 . 2014-02-02 00:07 -------- d-s---w- c:\documents and settings\All Users\Dati applicazioni\Shared Space
2014-02-02 00:04 . 2014-02-02 00:04 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2014-02-02 00:00 . 2014-02-02 00:00 -------- d-----w- C:\first_launch
2014-02-02 00:00 . 2014-02-02 00:49 -------- d-----w- c:\documents and settings\Manuel Valori.E774BAE2\Impostazioni locali\Dati applicazioni\COMODO
2014-02-02 00:00 . 2014-02-02 00:00 48392 ----a-w- c:\windows\system32\certsentry.dll
2014-02-01 23:59 . 2014-02-02 00:49 -------- d-----w- c:\programmi\Comodo
2014-02-01 23:59 . 2014-02-01 23:59 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Comodo Downloader
2014-02-01 23:32 . 2014-02-01 23:32 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Bitdefender
2014-02-01 23:32 . 2014-02-02 16:19 -------- d-----w- c:\programmi\Bitdefender
2014-02-01 23:02 . 2014-02-01 23:02 -------- d-----w- c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Malwarebytes
2014-02-01 21:25 . 2014-02-01 21:25 -------- d-----w- c:\programmi\File comuni\Java
2014-02-01 21:25 . 2013-12-18 20:10 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-02-01 18:16 . 2014-02-01 18:16 -------- d-----w- c:\programmi\Yamaha
2014-02-01 18:16 . 2014-02-01 18:16 -------- d-----w- c:\programmi\File comuni\Steinberg
2014-02-01 12:12 . 2014-02-01 12:15 -------- d-----w- C:\AdwCleaner
2014-02-01 02:25 . 2014-02-01 02:25 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2014-02-01 02:25 . 2014-02-01 02:25 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2014-02-01 02:25 . 2013-04-04 13:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2014-02-01 00:13 . 2014-02-01 00:17 -------- d-----w- c:\windows\system32\MRT
2014-01-31 23:37 . 2014-01-31 23:37 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\AskPartnerNetwork
2014-01-31 20:07 . 2014-01-31 20:07 -------- d-----w- c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Avira
2014-01-31 19:56 . 2013-12-13 14:04 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2014-01-31 19:56 . 2013-12-13 14:04 90400 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2014-01-31 19:56 . 2013-12-13 14:04 135648 ----a-w- c:\windows\system32\drivers\avipbb.sys
2014-01-31 19:56 . 2014-01-31 19:56 -------- d-----w- c:\programmi\Avira
2014-01-31 19:45 . 2012-01-30 16:23 151552 ----a-w- c:\windows\system32\RalinkGina.dll
2014-01-31 19:45 . 2011-05-04 12:56 1608768 ----a-w- c:\windows\system32\RaCertMgr.dll
2014-01-31 19:45 . 2011-05-04 12:47 2178112 ----a-w- c:\windows\system32\Scutum.dll
2014-01-31 19:45 . 2010-07-01 16:09 185696 ----a-w- c:\windows\system32\W32N55.dll
2014-01-31 19:45 . 2010-06-29 09:34 480608 ----a-w- c:\windows\system32\DiagFunc.dll
2014-01-31 19:45 . 2009-11-13 12:42 34080 ----a-w- c:\windows\system32\CTAAEI.dll
2014-01-31 19:45 . 2009-04-21 14:31 19072 ----a-w- c:\windows\system32\drivers\Scutum50.sys
2014-01-31 19:44 . 2011-12-26 10:02 238944 ----a-w- c:\windows\system32\RaCoInst.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-31 00:18 . 2013-12-30 23:57 45056 ----a-r- c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Microsoft\Installer\{597BF944-30BE-4E43-854E-F11D066CEC5B}\ARPPRODUCTICON.exe
2013-12-18 19:46 . 2011-05-28 22:04 145408 ----a-w- c:\windows\system32\javacpl.cpl
2013-11-27 20:21 . 2006-03-02 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2013-11-14 10:38 . 2013-11-14 10:38 587864 ----a-w- c:\windows\system32\drivers\cmdGuard.sys
2013-11-14 10:38 . 2013-11-14 10:38 36000 ----a-w- c:\windows\system32\cmdcsr.dll
2013-11-13 02:59 . 2006-03-02 12:00 150528 ----a-w- c:\windows\system32\imagehlp.dll
2012-07-22 16:37 . 2012-07-22 16:37 136672 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2013-12-13 684600]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2013-07-02 254336]
"COMODO Internet Security"="c:\programmi\COMODO\COMODO Internet Security\cistray.exe" [2013-11-11 1576152]
"KORG USB-MIDI Driver"="c:\programmi\KORG\KORG USB-MIDI Driver\EsHelper2.exe" [2013-10-03 394096]
.
c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Ralink Wireless Utility.lnk - c:\programmi\RALINK\Common\RaUI.exe -s [2014-1-31 15621008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"= 0 (0x0)
"NoSimpleStartMenu"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programmi\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi"=KORGUMDD.DRV
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ dfboottime \??\c:\windows\System32\dfboottime.cfg\0autocheck autochk *
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 17:14 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KORG USB-MIDI Driver]
2013-10-03 00:05 394096 ----a-w- c:\programmi\KORG\KORG USB-MIDI Driver\EsHelper2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\RALINK\\Common\\ApUI.exe"=
"c:\\Programmi\\RALINK\\Common\\RaMediaServer.exe"=
"c:\\Programmi\\RALINK\\Common\\RaUI.exe"=
.
R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [24/09/2013 10.54.00 15704]
S0 27670172;27670172 Boot Guard Driver;c:\windows\system32\DRIVERS\27670172.sys c:\windows\system32\DRIVERS\27670172.sys
S0 38155282;38155282 Boot Guard Driver;c:\windows\system32\DRIVERS\38155282.sys c:\windows\system32\DRIVERS\38155282.sys
S0 44449212;44449212 Boot Guard Driver;c:\windows\system32\DRIVERS\44449212.sys c:\windows\system32\DRIVERS\44449212.sys
S0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys
S1 27670171;27670171;c:\windows\system32\DRIVERS\27670171.sys c:\windows\system32\DRIVERS\27670171.sys
S1 44449211;44449211;c:\windows\system32\DRIVERS\44449211.sys c:\windows\system32\DRIVERS\44449211.sys
S1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [31/01/2014 20.56.22 37352]
S1 cmdGuard;COMODO Internet Security Driver;c:\windows\system32\drivers\cmdGuard.sys [14/11/2013 11.38.08 587864]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [24/09/2013 10.54.00 30552]
S1 setup_9.0.0.722_22.05.2011_10-14drv;setup_9.0.0.722_22.05.2011_10-14drv;c:\windows\system32\DRIVERS\4444921.sys c:\windows\system32\DRIVERS\4444921.sys
S1 setup_9.0.0.722_26.05.2011_14-12drv;setup_9.0.0.722_26.05.2011_14-12drv;c:\windows\system32\drivers\2767017.sys [26/05/2011 11.59.38 315408]
S2 AntiVirSchedulerService;Avira Pianificatore;c:\programmi\Avira\AntiVir Desktop\sched.exe [31/01/2014 20.56.28 440376]
S2 AntiVirWebService;Avira Web Protection;c:\programmi\Avira\AntiVir Desktop\avwebgrd.exe [31/01/2014 20.56.23 1011768]
S2 RaMediaServer;Ralink UPnP Media Server;c:\programmi\RALINK\Common\RaMediaServer.exe [31/01/2014 20.45.14 1863680]
S2 Scutum50;Scutum50 NDIS Protocol Driver;c:\windows\system32\drivers\Scutum50.sys [31/01/2014 20.45.10 19072]
S2 ubsbm;Unibrain 1394 SBM Driver;c:\windows\system32\drivers\UBSBM.sys [19/01/2012 21.51.14 17408]
S2 ubumapi;Unibrain 1394 FireAPI Driver;c:\windows\system32\drivers\UBUMAPI.sys [19/01/2012 21.51.14 46592]
S3 cmdvirth;COMODO Virtual Service Manager;c:\programmi\Comodo\COMODO Internet Security\cmdvirth.exe [24/09/2013 10.53.28 131288]
S3 KeyControl25;Service for KeyControl25 Driver (WDM);c:\windows\system32\drivers\esikey25.sys [29/07/2012 10.56.14 52608]
S3 KORGUMDS;KORG USB-MIDI Driver for Windows;c:\windows\system32\drivers\KORGUMDS.SYS [05/10/2012 1.14.00 24536]
S3 NvnUsbAudio;Novation USB Audio Driver;c:\windows\system32\drivers\nvnusbaudio.sys [19/08/2012 12.31.19 41944]
S3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [22/06/2011 22.55.10 47360]
S3 RDID1064;Roland MC-808;c:\windows\system32\drivers\Rdwm1064.sys [02/01/2014 4.02.21 79153]
S3 ubohci;Unibrain 1394 OHCI Driver;c:\windows\system32\drivers\ubohci.sys [19/01/2012 21.51.14 116224]
S3 usbaucmd;usbaucmd;c:\windows\system32\drivers\usbaucmd.sys c:\windows\system32\drivers\usbaucmd.sys
S3 ysusb32;Yamaha Steinberg USB Audio;c:\windows\system32\drivers\ysusb32.sys [27/09/2012 11.38.38 91624]
.
--- Altri Servizi/Drivers In Memoria ---
.
*NewlyCreated* - AEGISP
*NewlyCreated* - UBOHCI
.
Contenuto della cartella 'Scheduled Tasks'
.
2014-02-05 c:\windows\Tasks\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85}.job
- c:\programmi\COMODO\COMODO Internet Security\cfpconfg.exe [2013-11-11 13:58]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com
LSP: c:\programmi\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\documents and settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\
FF - prefs.js: browser.search.selectedEngine - YouTube
FF - prefs.js: browser.startup.homepage - http://www.google.it
FF - prefs.js: network.proxy.type - 0
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
Toolbar-{41564952-412D-5637-4300-7A786E7484D7} - (no file)
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-02-06 01:20
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_USERS\S-1-5-21-2000478354-261903793-839522115-1008\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{85931272-7482-A030-A61B-2BDAA8BBE72F}*]
"hanmfcpejindfapk"=hex:69,61,65,65,64,65,68,6e,6a,61,6a,6f,6e,65,67,66,61,62,
00,00
"iapmpdpihbehbaipoa"=hex:69,61,65,65,64,65,68,6e,6a,61,6a,6f,6e,65,67,66,61,62,
00,00
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*’|8[]]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"="\16"
"MFG"="?????"
"ReinstallString"="c:\\WINDOWS\\System32\\ReinstallBackups\\]???\\DriverFiles\\.INF"
"DeviceInstanceIds"=multi:"\0c\00"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*’|`³g]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"=""
"MFG"="?????"
"ReinstallString"="c:\\WINDOWS\\System32\\ReinstallBackups\\]???\\DriverFiles\\.INF"
"DeviceInstanceIds"=multi:"\0c\00"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(232)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(924)
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2014-02-06 01:23:28
ComboFix-quarantined-files.txt 2014-02-06 00:23
.
Pre-Run: 70 433 087 488 byte disponibili
Post-Run: 70 392 590 336 byte disponibili
.
- - End Of File - - 5DB32A7DAFD3FE1BFB364310FD762921
828E02D5C4A4FBE53441EE9DBEE51F43

MbAm

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Versione database: v2014.02.05.09

Windows XP Service Pack 3 x86 NTFS (Modalità provvisoria)
Internet Explorer 8.0.6001.18702
Fabio :: E774BAE2 [amministratore]

06/02/2014 1.49.15
mbam-log-2014-02-06 (01-49-15).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM | P2P
Opzioni di scansione disattivate:
Elementi esaminati: 313105
Tempo impiegato: 42 minuti, 46 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

Avira nn trova i file di log comunque ha trovato appunto il worm Kido che nn riesce ad eliminare.
Ora inizierò la guida di Geronimo...

[mitrha]

Internet mi funziona e sembra che riesco a scaricare tutto ma...il file fixconnessione mi da errore 404!!!

[mitrha]

risolto e scaricato il file fixconnessione

[mitrha]

Ecco i primi log,questo è ADWcleaner:

# AdwCleaner v3.018 - Report created 06/02/2014 at 18:00:28
# Updated 28/01/2014 by Xplode
# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : Fabio - E774BAE2
# Running from : C:\Documents and Settings\Manuel Valori.E774BAE2\desktop\adwcleaner.exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****


***** [ Browsers ] *****

-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v14.0.1 (it)

[ File : C:\Documents and Settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\prefs.js ]


[ File : C:\Documents and Settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\prefs.js ]


[ File : C:\Documents and Settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\prefs.js ]


[ File : C:\Documents and Settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\prefs.js ]


[ File : C:\Documents and Settings\Manuel Valori.E774BAE2\Dati applicazioni\Mozilla\Firefox\Profiles\noojsmhu.default\prefs.js ]


*************************

AdwCleaner[R1].txt - [1375 octets] - [06/02/2014 17:59:30]
AdwCleaner[S1].txt - [1296 octets] - [06/02/2014 18:00:28]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1356 octets] ##########

scansione con MBAM:

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Versione database: v2014.02.06.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabio :: E774BAE2 [amministratore]

06/02/2014 18.13.36
mbam-log-2014-02-06 (18-13-36).txt

Tipo di scansione: Scansione completa (C:\|)
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File di sistema | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 309175
Tempo impiegato: 1 ore, 19 minuti, 3 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)

[mitrha]

nn so come postare il log di tdss perché troppo lungo comunque trova solo un file sospetto

[GERONIMO*]

fai la scansione anche con Hitmanpro

poi una con KidoKiller di Kaspersky
http://support.kaspersky.com/downloads/utils/kk.zip

Scarica e installa
Microsoft Security Bulletin MS08-067 – Critical
http://www.microsoft.com/technet/securi ... 8-067.mspx
scegliere il file in base al propio sistema operativo

[mitrha]

ho problemi durante la scansione con hitman...durante la scansione appare la schermata blu e devo riavviare

[GERONIMO*]

hai installato hitmanpro a 32 bit?
no a 64 bit

se si
prova ad aprirlo così
tieni premuto fisso il tasto Ctrl sulla tastiera
lancia hitmanpro con doppio click e lascia il tasto solo quando si è aperto
deve apparire così con scritto Forza violazione hitmanpro ha terminato xx processi

[mitrha]

hitman tutto ok ho fatto tutto l'unico problema è con combo fix che nn si avvia,per la precisione nn riesce a terminare l'estrazione delle cartelle.strano perché prima che lo rinominassi funzionava.comunque Ho eseguito anche Kido Killer ora? e l'aggiornamento kb...

[mitrha]

Ho provato a lanciare combofix facendo copia incolla del comando cosi come indicatomi dalla guida ma mi esce un messaggio di errore: impossibile trovare il file c:document verificare che il percorso e il nome siano corretti e roprovare...

[GERONIMO*]

lascia perdere combofix,già lo hai lanciato
mica deci lanciarlo sempre?

riporta eventuali problemi che hai al pc ,se ne hai ancora

poi o disinstalli Avira o comodo internet security
non puoi avere 2 antivirus sul pc

[mitrha]

combofix ha lavorato finalmente in provvisoria e ha finito la scansione, nn ho più avuto messaggi di errore relativi all'access violation address raUi.exe, e nemmeno quello relativo al server occupato. Per quanto riguarda Avira ho l'antivirus mentre Comodo è il firewall devo disistallare qualcosa?