www.MegaLab.it

[giovannino60]

1) Attenzione sul computer con Windows 2000 ha solo il disco C e D e nessun disco esterno, quindi il procedimento che ho fatto non ha lacune.
2) Detto quanto al punto 1) faccio lo stesso il procedimento con CFS Script.txt o lascio perdere?
3) Il superantiSpyware mi individuato questo per la seconda volta nel cpu windows2000, l'ho cancello e si ripropone : "Unclassifed Oreans32 (26 items)".

Attendo

[ste_95]

Credevo che almeno Avira (che sia tu che Crazy spacciate come il miglior antivirus) potesse essere attendibile
http://www.avira.com/it/threats/section ... r.boa.html

http://forum.kaspersky.com/lofiversion/ ... 25243.html
http://www.hwupgrade.it/forum/showthrea ... id=1279170
http://www.bleepingcomputer.com/startup ... 15732.html

[giovannino60]

Cosa devo fare adesso?

Sono nel PANICO qui non va più nulla, ne stampante, ne scanner, ne rete, ne internet.

Adesso con pc windows2000 se devo fare qualcosa devo farlo il cd perché non riesco a scaricare nulla da internet.

[giovannino60]

Non ho capito cosa devo fare questo Oreans32 devo cancellarlo con Superantispyware?

[Amantide]

1) Attenzione sul computer con Windows 2000 ha solo il disco C e D e nessun disco esterno, quindi il procedimento che ho fatto non ha lacune.

Prima avevi parlato di un hard disk esterno

Non ho ancora provato se collegando un disco esterno mi avvisa tramite Avast che ha trovato un worn autorun.it, come è da un mese mi succede, tutte le volte cancellavo il messaggio e tutte le volte che lo collegavo si ripresentava.

Ne sei proprio sicuro che questo disco esterno non è mai entrato in contatto con il pc con il win2000 installato? perché questo disco esterno sarebbe comunque da disinfettare, essendo il propagatore di virus. Per caso tra i 2 computer hai creato una rete interna con le cartelle condivise? In questo caso basta collegare hard disk esterno al pc con XP per infettarlo e quello a sua volta reinfetterà il pc con win2000 tramite la rete locale.

2) Detto quanto al punto 1) faccio lo stesso il procedimento con CFS Script.txt o lascio perdere?
3) Il superantiSpyware mi individuato questo per la seconda volta nel cpu windows2000, l'ho cancello e si ripropone : "Unclassifed Oreans32 (26 items)".

Per quanto riguarda questo, affidiamoci a Ste, pare che questo file si installa non solo con i virus ma anche con alcuni programmi sicuri. La prossima volta che te lo rileverà, mettilo nella lista delle esclusioni.

Quindi procedi con l'ultima scansione con Combofix (senza creare il file CFScript.txt) e McAfee Avenger, postando entrambi log qui. Vedi anche se avviando il Gmer non ti rileverà qualche rootkit indicato in rosso.

A questo punto ti consiglio anche di disinstallare Avast (visto che non è servito a nulla), sostituendolo con Avira e facendo la scansione anche con quest'ultimo.

EDIT:
Prima di fare tutto questo, ripostami però l'immagine che hai fatto al registro, in qualità decente però. Carica il file sul sito indicato prima e copia qui il link all'immagine ricevuto.

[lorenaino]

ciao,prova ad installare prevx,anche se è a pagamento,la scansione puoi farla lo stesso,solo non puoi eliminare le eventuali "infezioni" che troverà,ma potrebbe servire per individuare il problema:

http://info.prevx.com/downloadcsi.asp

[giovannino60]

1) Immagine del registro per verificare dove sono i file da cancellare che non trovo ;
2) Prevx non parte su windows2000 invece ho provato su windowsxp si, wuindi dove serve non è partito;
3) Gmere non ha evidenziato file in rosso;
4) Log Combofix

[ComboFix 09-08-28.04 - Administrator 30/08/2009 21.22.08.4.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.39.1040.18.480.113 [GMT 2:00]
Eseguito da: c:\antivi~1\Rootkit\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.





.
((((((((((((((((((((((((((((((((((((((( Driver/Servizi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SERV-U
-------\Service_Serv-U
-------\Legacy_OREANS32
-------\Service_oreans32
-------\Legacy_OREANS32
-------\Service_oreans32


((((((((((((((((((((((((( Files Creati Da 2009-07-28 al 2009-08-30 )))))))))))))))))))))))))))))))))))
.

2009-08-30 19:38 . 2009-08-30 19:38 33952 ----a-w- c:\winnt\system32\drivers\oreans32.sys
2009-08-30 19:36 . 2009-08-30 19:36 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_1f0.dat
2009-08-30 19:36 . 2009-08-30 19:36 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_21c.dat
2009-08-30 19:36 . 2009-08-30 19:36 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_24c.dat
2009-08-29 16:16 . 2009-08-29 16:16 -------- d-----w- C:\VundoFix Backups
2009-08-17 17:26 . 2008-04-13 10:07 519374 --sha-r- C:\hhnehs.exe
2009-08-15 13:52 . 2009-08-15 13:52 0 ----a-w- c:\winnt\nsreg.dat
2009-08-15 13:52 . 2009-08-15 13:52 -------- d-----w- c:\documents and settings\Administrator\Impostazioni locali\Dati applicazioni\Mozilla
2009-08-15 13:39 . 2009-08-15 13:39 7868464 ----a-w- C:\Firefox Setup 3.5.2.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 07:19 . 2008-01-25 13:16 -------- d-----w- c:\programmi\SUPERAntiSpyware
2009-08-29 06:53 . 2008-05-03 21:56 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-08-15 01:02 . 2008-01-25 13:23 -------- d-----w- c:\programmi\XoftSpySE
2006-07-07 09:11 . 2006-06-09 05:34 3057 ----a-w- c:\programmi\installvariables.properties
2006-07-07 09:11 . 2006-06-09 05:34 146190 ----a-w- c:\programmi\.com.zerog.registry.xml
2006-07-07 09:11 . 2006-06-09 05:34 17795 ----a-w- c:\programmi\InstallScript.iap_xml
2006-07-07 09:11 . 2006-06-09 05:34 3787 ----a-w- c:\programmi\Uninstall ModuliControllo2006.lax
2006-07-07 09:11 . 2006-06-09 05:34 112640 ----a-w- c:\programmi\Uninstall ModuliControllo2006.exe
2006-07-07 09:11 . 2006-06-09 05:34 1198455 ----a-w- c:\programmi\uninstaller.jar
2004-05-08 19:48 . 2004-05-08 19:48 22075 ---h--w- c:\programmi\folder.htt
.

------- Sigcheck -------


[-] 2001-02-20 11:09 8192 D36A33C21EEED5A6C1DAECB7C80A1909 c:\winnt\system32\CTFMON.EXE





c:\winnt\system32\drivers\ip6fw.sys ... è mancante !!
c:\winnt\system32\termsrv.dll ... è mancante !!
c:\winnt\system32\comres.dll ... è mancante !!
c:\winnt\system32\mspmsnsv.dll ... è mancante !!
c:\winnt\system32\xmlprov.dll ... è mancante !!
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-25 476702]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe" [2009-02-17 162744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="c:\winnt\system32\sistray.EXE" [2001-10-11 319488]
"SiS KHooker"="c:\winnt\system32\khooker.exe" [2001-12-13 290816]
"SiS7012Utility"="c:\winnt\system32\SiSAudUt.exe" [2001-11-21 294912]
"Multimedir KBD"="c:\programmi\SAMSUNG\Samsung Internet Keyboard\MMKbd.exe" [2001-11-27 1212416]
"MemoREX"="c:\progra~1\MemoRex\MemoRexStart.exe" [2003-07-29 332288]
"Privacy"="c:\programmi\pfw\pfw.exe" [2002-01-23 1126400]
"HPUsageTracking"="c:\programmi\Hewlett-Packard\HP UT\bin\hppusg.exe" [BU]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2004-05-09 77824]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-05-25 148888]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-26 111376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring"="c:\winnt\system32\mdm.exe" [BU]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2003-06-26 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programmi\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-26 188176]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - c:\programmi\Alice ti aiuta\bin\matcli.exe [2008-1-9 212992]
HP Digital Imaging Monitor.lnk - c:\programmi\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
msupdate.exe [2007-10-8 2478080]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmi\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 11:41 294912 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnOEUNE]
OEUNE.dll [BU]

R1 aswSP;avast! Self Protection;c:\winnt\system32\drivers\aswSP.sys [05/08/2008 16.53.02 114768]
R1 oreans32;oreans32;c:\winnt\system32\drivers\oreans32.sys [30/08/2009 21.38.57 33952]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [10/10/2006 13.53.48 5632]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [27/02/2007 12.39.26 32256]
R2 aswFsBlk;aswFsBlk;c:\winnt\system32\drivers\aswFsBlk.sys [05/08/2008 16.53.02 20560]
R2 aswMon;avast! Standard Shield Support;c:\winnt\system32\drivers\aswmon.sys [05/08/2008 16.53.02 93296]
R2 cpwnt;cpwnt;c:\winnt\system32\drivers\Cpwnt.sys [09/05/2004 9.21.48 21824]
R2 eusk2par;EUTRON SmartKey Parallel Driver;c:\winnt\system32\drivers\eusk2par.sys [29/09/2006 18.37.26 16695]
R2 PPPoEService;PPPoE Service;c:\progra~1\Alice\ALICEE~1\app\pppoeservice.exe [09/01/2008 20.38.27 49152]
R3 NTSPPPOE;Efficient Networks Enternet P.P.P.o.E LAN Miniport Driver;c:\winnt\system32\drivers\ntspppoe.sys [09/01/2008 20.38.18 161640]
R3 openhci;Driver controller host USB Open Microsoft ;c:\winnt\system32\drivers\openhci.sys [26/06/2003 14.00.00 24784]
R3 SASENUM;SASENUM;c:\programmi\SUPERAntiSpyware\SASENUM.SYS [16/02/2006 17.51.08 4096]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [08/05/2004 22.00.04 165760]
S2 CPUSB;CPUsb.Sys driver;c:\winnt\system32\drivers\CPUSB.sys [04/02/2005 9.37.01 17080]
S2 Microsoft PowerPoint Application;Microsoft PowerPoint Application;"c:\winnt\system32\dllcache\winppa.exe" c:\winnt\system32\dllcache\winppa.exe
S3 NTSTPL1;NTSTPL1;c:\progra~1\Alice\ALICEE~1\app\NTSTPL1.SYS [09/01/2008 20.38.27 16096]
S3 RAWESR;RAWESR;c:\progra~1\Alice\ALICEE~1\app\RAWESR.SYS [09/01/2008 20.38.26 12924]
S3 Slnt7554;USB Soft Modem Driver;c:\winnt\system32\drivers\slnt7554.sys [09/08/2006 15.28.19 205080]
S3 TAPBIND;TAPBIND;c:\progra~1\Alice\ALICEE~1\app\TAPBIND1.SYS [07/12/2006 18.31.44 44544]
S3 usb_rndisy;USB RNDIS Adapter;c:\winnt\system32\drivers\usb8023y.sys [29/11/2005 14.58.14 14336]
S3 V90drv;v90drv;c:\winnt\system32\drivers\v90drv.sys [09/08/2006 15.28.20 1266592]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - OREANS32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gfqkd
pvwlxwhs
jxigky
lueanqqiv
.
Contenuto della cartella 'Scheduled Tasks'

2009-08-29 c:\winnt\Tasks\XoftSpySE 2.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]

2009-08-15 c:\winnt\Tasks\XoftSpySE.job
- c:\programmi\XoftSpySE\XoftSpy.exe [2008-01-25 16:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

BHO-{45FDC90F-49F6-4119-8605-003140779B91} - (no file)
BHO-{7321D151-F956-4C57-8BC8-5893AC2C63F8} - (no file)


.
------- Scansione supplementare -------
.
uStart Page = hxxp://virgilio.alice.it/indexbb.html
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mStart Page = hxxp://www.alice.it/
uInternet Settings,ProxyOverride = 127.0.0.1;<local>
IE: Converti destinazione link in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti destinazione link in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti i link selezionati in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Converti i link selezionati in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Converti in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti nel file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Converti selezione in Adobe PDF - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Converti selezione in file PDF esistente - c:\programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Administrator\Dati applicazioni\Mozilla\Firefox\Profiles\c95j22zs.default\
FF - prefs.js: browser.startup.homepage - http:/alice.it
FF - plugin: c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava11.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava12.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava13.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava14.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJava32.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPJPI150_16.dll
FF - plugin: c:\programmi\Java\jre1.5.0_16\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programmi\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
.
------- Associazioni dei file -------
.
exefile=c:\documents and settings\all users\menu avvio\programmi\esecuzione automatica\msupdate.exe "%1 %*"
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-30 21:38
Windows 5.0.2195 Service Pack 4 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:00000020

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000004
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000003
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
"Name"="NPW"
"Param1"="NPW"
"Type"="wellknown"
"Order"=dword:00000002
"State"=dword:0000000b

[HKEY_USERS\S-1-5-21-776561741-1220945662-725345543-500\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:00000013
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(188)
c:\programmi\SUPERAntiSpyware\SASWINLO.dll
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1432)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\OLEACC.dll
c:\winnt\system32\SHDOCVW.DLL
c:\programmi\Microsoft Office\OFFICE11\msohev.dll
.
Ora fine scansione: 2009-08-30 21.45.20 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-08-30 19:45
ComboFix2.txt 2009-08-30 08:22
ComboFix3.txt 2009-08-29 13:17
ComboFix4.txt 2009-08-29 07:02

Pre-Run: 10.751.049.728 byte disponibili
Post-Run: 10.737.164.288 byte disponibili

266
/LOG]
5) Log Avenger [LOG][Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows 2000

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate./LOG]
6) Log McAfee [LOG]McAfee® Stinger Version 10.0.1.624 built on Jul 6 2009

Copyright © 2009 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Jul 6 2009.

Ready to scan for 897 viruses, trojans and variants.



Scan initiated on Sun Aug 30 21:50:35 2009

Number of clean files: 247886

7) Cosa vuol dire mettere nella lista delle esclusioni? Eliminarlo? perché si ripresenta?
8) Ripeto nel computer windows2000 non altri dischi esterni, i dischi esterni li ho con windowsxp ma sono stati scansionati. Però i due computer sono in rete con le stampanti condivise.
ATTENDO NOTIZIE

[Amantide]

Allora, mente guardo il log di Combofix tu riprova con il registro, che forse ho capito dov'è il problema. Evidentemente su XP il doppio clic corrisponde alla voce Modifica del menu contestuale, mentre su Win2000 corrisponde a Modifica dati binari.
Quindi, riapri il registro, ma questa volta anzichè fare il doppio clic con il tasto sinistro sul valore netsvcs, clicca sopra con il tasto destro e seleziona Modifica.

7) Cosa vuol dire mettere nella lista delle esclusioni? Eliminarlo? perché si ripresenta?

Devi semplicemente ignorarlo e spuntare la voce per ricordare la scelta.

[giovannino60]

1) Con il tasto destro si entra ancora in quella strana tabella con numeri e lettere e basta.
2) In superantispyware compare alla fine della scansione uno schermo bianco con un quadratino vuoto e poi scritto Oreans32, cosa faccio metto la V sul quadratino oppure proseguo senza mettere nulla?

[Amantide]

1) Con il tasto destro si entra ancora in quella strana tabella con numeri e lettere e basta.

E vabbè, lasciamo per il momento il registro.

2) In superantispyware compare alla fine della scansione uno schermo bianco con un quadratino vuoto e poi scritto Oreans32, cosa faccio metto la V sul quadratino oppure proseguo senza mettere nulla?

Non uso Superantispyware e quindi non saprei, però ti consiglio di leggere questo articolo http://www.MegaLab.it/2964/3/guida-comp ... ntispyware , soprattutto la parte dove c'è scritto Allow/Trust Item, per aggiungere l'oggetto alla lista di quelli sicuri (utile in caso di falso positivo).

Torniamo invece alla questione file mancanti, visto che questo è l'unico messaggio ricorrente in Combofix
Tramite la funzione cerca vedi se riesci a trovare da qualche altra parte questi file indicati in blu (ricordati di abilitare la ricerca anche tra i file nascosti e di sistema). Se riuscirai a trovarli, allora copiali ed incollali nella posizione dove risultano essere mancanti:

c:\winnt\system32\drivers\ip6fw.sys ... è mancante !!
c:\winnt\system32\termsrv.dll ... è mancante !!
c:\winnt\system32\comres.dll ... è mancante !!
c:\winnt\system32\mspmsnsv.dll ... è mancante !!
c:\winnt\system32\xmlprov.dll ... è mancante !!

Fatto questo, disinstalla Avast, installa Avira ed esegui la scansione completa del sistema.

[giovannino60]

1) Evira lo trovo in questo sito http://www.free-av.com/en/trialpay_down ... virus.html, se va bene, cosa devo compilare a lato destro: first nome, last nome, e-mail, qusti dati per forza?
2) Come si fa ad usare questo programma è tutto in inglese?
3) AVG si disinstalla normalmente oppure bisogna scaricare un file di disinstallazione?
4) Con Windows2000 non riesco a trovare ricerca anche file nascosti ma solo sottocartelle, maiuscole e minuscole, file lenti. Tu sai se c'è questa opzione?
5) I file non li trovo, adesso cosa devo fare, dove posso trovarli?
6) Non ho più il cd di windows, ma solo un vecchissimo Ghost del 2004;
7) Posso cercarli in un altro computer con windows2000 e dopo trasportali in questo oppure e rischioso perché non sono uguali?
8) Tu sai a cosa servono questi file, che funzioni hanno?
9) Perche non riesco più ad entrare con windows2000 nella cartella sistema?

[Al3x]

1) Evira lo trovo in questo sito http://www.free-av.com/en/trialpay_down ... virus.html, se va bene, cosa devo compilare a lato destro: first nome, last nome, e-mail, qusti dati per forza?

mi domando dove tu abbia letto Evira l'antivirus si chiama Avira. Non devi compilare nessun form, è sufficiente fare clic sul pulsante a sinistra "Avvia download di html.it"

3) AVG si disinstalla normalmente oppure bisogna scaricare un file di disinstallazione?

"Pannello di controllo>Installazione applicazioni" come per tutti gli altri programmi

5) I file non li trovo, adesso cosa devo fare, dove posso trovarli?

prova a recuperarli dall'immagine fatta con Ghost

7) Posso cercarli in un altro computer con windows2000

si

9) Perche non riesco più ad entrare con windows2000 nella cartella sistema?

che significa non riesci ad entrare? ricevi un qualche messaggio d'errore specifico?

Per come la vedo io, un bel formattone sarebbe la soluzione migliore

[giovannino60]

1) Come faccio a recuperare i file dall'immagine da Ghost;
2) Se clicco su sistema non si apre nulla inizia qualcosa poi si interrompe;
3) Ma lasciando stare tutto con il virus all'interno, considerato che mi funzionava tutto tranne che non potevo entrare nei siti della sicurezza, cosa poteva succedere in futuro?
4) L'antivirus Avira potrebbe sistemarmi qualcosa oppure no?
5) Avira avrebbe intercettato i Virus trovati da Combofix? Cioè un domani sono ancora a rischio, come posso fare per evitare tali attacchi?

Grazie

[ste_95]

2) Se clicco su sistema non si apre nulla inizia qualcosa poi si interrompe;

Sistema dove e cosa?

3) Ma lasciando stare tutto con il virus all'interno, considerato che mi funzionava tutto tranne che non potevo entrare nei siti della sicurezza, cosa poteva succedere in futuro?

Non avresti potuto aggiornare gli antivirus e scaricarne di nuovi.

4) L'antivirus Avira potrebbe sistemarmi qualcosa oppure no?

Non sembra che ci siano più file infetti, quindi direi di no.

5) Avira avrebbe intercettato i Virus trovati da Combofix? Cioè un domani sono ancora a rischio, come posso fare per evitare tali attacchi?

Avrebbe dovuto, ma ricorda comunque che la migliore protezione è la tua testa.

[Al3x]

1) Come faccio a recuperare i file dall'immagine da Ghost;

leggi qui

4) L'antivirus Avira potrebbe sistemarmi qualcosa oppure no?
5) Avira avrebbe intercettato i Virus trovati da Combofix? Cioè un domani sono ancora a rischio, come posso fare per evitare tali attacchi?

Mi spieghi perché ti fai tutti questi problemi? Ti è stato consigliato di cambiare antivirus perché quello attuale non è all'altezza di Avira, punto! Se non serve ora potrebbe rivelarsi utile in futuro quindi procedi pure con la sostituzione.

Tenersi un computer infetto è come avere la micosi allo scroto e non curarsene, è una questione di igiene del proprio ambiente di lavoro

[giovannino60]

Ho trovato il cd di windows professional sp4, posso fare una verifica del sistema per individuare file mancanti o danneggiati con questo comando:
strat, esegui, SFC /scanow, apri, ok, riavviare il computer. E' un comando che funziona anche con windows2000?
Grazie

[ste_95]

strat, esegui, SFC /scanow, apri, ok, riavviare il computer. E' un comando che funziona anche con windows2000?

Sì.

[giovannino60]

No non funziona sul mio pc ma la cosa strana e che sul cd di windows2000 professional sp4 non trovo questi file, non ne ho travato uno, siamo sicuri che sono di windows? Oppure la ricerca fatta con trova non va bene, o visto infatti che alcune cartelle di i386 sono compresse. Grazie

Ho trovato a fare il comando con il computer windows2000xp inizia la procedura mi ha chiesto il cd ma dice che non è il cd giusto eppure è il cd windows sp2.

Grazie

[giovannino60]

Ho provato a cercare la cartella System32 per mettere i file che ho trovato, ma la cartella non c'è in winnt, ma vedi immagine.
Pertanto la devo creare io la cartella che è stata spostata System32 in Winnt?