www.MegaLab.it

[Uomo_Senza_Sonno]

Beh se non ci fossero allora i tools come aswMBR e MBRScan avrebbero rilevato un MBR sano, ma in questo caso non è così, purtroppo. Per quanto riguarda lo script di combofix, prima che postassi il tuo ne è stato già eseguito uno, per cui forse è meglio fare un confronto con quello già eseguito

[GERONIMO*]

non ho capito cosa vuoi dire,spiegati meglio
per quanto riguarda il precedente script,l'ho visto,era incompleto,è si dovevano aggiungere anche le voci che poi ho creato io dopo
oltre che sbagliato,per questo combofix dava un messaggio di errore per l'eliminazione di una chiave di registro
e ho visto il secondo report postato dopo lo script,risultavano attive delle voci infette non messe nel primo script
tra cui un server fasullo creato dal virus

[hashcat]

non ho capito cosa vuoi dire,spiegati meglio

Cercherò di esprimermi in modo chiaro.

L'utente peolex4 ha segnalato due problemi:

tornanto dalle vacanze ho trovato il computer in stato pessimo,i sintomi iniziali sono stati di finestre di installazioni/opzioni/windows apparivano in grafica sgranata e senza scritte,le convenzionali soluzioni non sono risultate efficaci,ossia,antimalaware non trova niente e non è aggiornato perche i nuovi file di installazioni non partono,aprono solo finestre vuote,trasparenti,quindi ho provato ad installare doctor web,avira,ecc fino ad arrivare a combofix che ha effettutato l'analisi e mi ha restituito questo log,spero che mi possiate aiutare perche mi ritrovo senza poter utilizzare il mio pc che mi serve per lo studio

La nostra priorità è quella di individuare le cause di questi due problemi e (tentare) dì risolverli.

per quanto riguarda il precedente script,l'ho visto,era incompleto,è si dovevano aggiungere anche le voci che poi ho creato io dopo
oltre che sbagliato,per questo combofix dava un messaggio di errore per l'eliminazione di una chiave di registro
e ho visto il secondo report postato dopo lo script,risultavano attive delle voci infette non messe nel primo script
tra cui un server fasullo creato dal virus

Nel primo log non comparivano molte delle voci che tu hai inserito (presenti nel secondo), di cui, una buona parte superflua perché già rimosse da AdwCleaner (eseguito dopo la pulizia di Combofix) o di bassa gravità (contributo sempre apprezzato).
Le voci DDS e Firefox indicate nel tuo CFSript.txt di ComboFix erano già state corrette da AdwCleaner.

Per quanto riguarda i file di PowerOffer non ritenendo determinante eliminarli subito avevo già provveduto a creare uno script per eliminarne i servizi (pos_serv_fix.bat).

ho visto il secondo report postato dopo lo script,risultavano attive delle voci infette non messe nel primo script
tra cui un server fasullo creato dal virus

Potresti indicarmi la voce che marca la presenza del "server fasullo creato dal virus"?

Beh se non ci fossero allora i tools come aswMBR e MBRScan avrebbero rilevato un MBR sano, ma in questo caso non è così, purtroppo.

Io ed Uomo_Senza_Sonno stiamo tentando di venire a capo del problema, il MBR del computer in questione è alterato (come si può vedere dai log di MBRscan e aswMBR), Uomo_Senza_Sonno sta cercando di inviduare gli estremi delle partizioni per verificare se al di fuori di esse si "annidi" codice malevolo (se presente si provvederà ad "azzerare" i settori infetti e a ripristinare un MBR "sano").

P.S.: A tal proposito ti consiglio la lettura di Questo Articolo.

[GERONIMO*]

non voglio andare in ot,infatti chiudo qui,dicendo che se controlli bene già c'erano nel primo report postato

R2 PowerOffer Service;Pos Service;c:\users\Paolo\AppData\Local\PosService\Pos.exe [2011-12-16 164352]
R2 ServUpdater;Serv Updater;c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe [2011-12-16 156160]

è ritrovate anche nel secondo

server
TCP: Interfaces\{15069DBC-44D7-4FA8-9252-A089DA70883D}: NameServer = 176.31.229.24,176.31.229.25

[hashcat]

non voglio andare in ot,infatti chiudo qui,dicendo che se controlli bene già c'erano nel primo report postato

Hai ragione, con questo messaggio chiudo anch'io l'OT.

R2 PowerOffer Service;Pos Service;c:\users\Paolo\AppData\Local\PosService\Pos.exe [2011-12-16 164352]
R2 ServUpdater;Serv Updater;c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe [2011-12-16 156160][/b]

Rispondo quotando parte del mio precedente messaggio (notare l'utilizzo del partitivo 'molte' invece di 'tutte'):

Nel primo log non comparivano molte delle voci che tu hai inserito (presenti nel secondo).
Per quanto riguarda i file di PowerOffer non ritenendo determinante eliminarli subito avevo già provveduto a creare uno script per eliminarne i servizi (pos_serv_fix.bat).

è ritrovate anche nel secondo
server
TCP: Interfaces\{15069DBC-44D7-4FA8-9252-A089DA70883D}: NameServer = 176.31.229.24,176.31.229.25

Per quanto riguarda questa voce l'avevo già notata, ma non mi sembra nociva (relativa ai RapiDns).

[peolex4]

mi dispiace creare tensioni all'interno di un forum in cui ho trovato solo persone voltenterose ad aiutarmi nel risolvere il mio problema che purtroppo sermbra stabile in quanto al problema di fondo ossia delle finestre e nella grafica di alcuni programmi/giochi ma, da ieri ha cominciato a anche a modificarmi qualche parametro in firefox,mi spiego da qualche giorno firefox al suo avvio mi diche che non è piu configurato come browser principale, e prima all'avvio mi ha cercato di installare componenti tool bar che non ho capito bene cosa sia ma penso nulla di benevolo,comunque posto i riultati degli ultimi passi indicati ossia:
report combofix di geronimo:

ComboFix 12-04-20.03 - Paolo 26/04/2012 12:18:53.2.8 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.39.1040.18.8104.6380 [GMT 2:00]
Eseguito da: c:\users\Paolo\Desktop\ComboFix.exe
Opzioni usate :: c:\users\Paolo\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
- MODALITÀ CON FUNZIONALITÀ RIDOTTE -
.
FILE ::
"c:\program files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe"
"c:\users\Paolo\AppData\Local\PosService\Pos.exe"
"c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe"
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Paolo\AppData\Local\PosService
c:\users\Paolo\AppData\Local\PosService\7z.dll
c:\users\Paolo\AppData\Local\PosService\AppLib.Zip.dll
c:\users\Paolo\AppData\Local\PosService\Pos.exe
c:\users\Paolo\AppData\Local\PosService\Pos.InstallLog
c:\users\Paolo\AppData\Local\PosService\Pos.InstallState
c:\users\Paolo\AppData\Local\ServUpdater
c:\users\Paolo\AppData\Local\ServUpdater\7z.dll
c:\users\Paolo\AppData\Local\ServUpdater\AppLib.Zip.dll
c:\users\Paolo\AppData\Local\ServUpdater\InstallHelper.exe
c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe
c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.InstallLog
c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.InstallState
c:\users\Paolo\AppData\Local\ServUpdater\settings.ini
c:\users\Paolo\AppData\Local\ServUpdater\settings\settings.ini
c:\users\Paolo\AppData\Local\ServUpdater\upd.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-03-26 al 2012-04-26 )))))))))))))))))))))))))))))))))))
.
.
2012-04-26 10:21 . 2012-04-26 10:21 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2012-04-26 10:21 . 2012-04-26 10:21 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-04-25 01:02 . 2012-04-13 08:46 8917360 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{088EEB69-97CC-4EAD-A9E6-B0573B69680E}\mpengine.dll
2012-04-19 23:44 . 2012-04-19 23:48 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-04-17 09:04 . 2011-09-06 00:40 174640 ----a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS
2012-04-11 09:07 . 2012-03-01 06:46 23408 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-11 09:07 . 2012-03-01 06:33 81408 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-11 09:07 . 2012-03-01 05:33 159232 ----a-w- c:\windows\SysWow64\imagehlp.dll
2012-04-11 09:07 . 2012-03-01 06:38 220672 ----a-w- c:\windows\system32\wintrust.dll
2012-04-11 09:07 . 2012-03-01 06:28 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-11 09:07 . 2012-03-01 05:37 172544 ----a-w- c:\windows\SysWow64\wintrust.dll
2012-04-11 09:07 . 2012-03-01 05:29 5120 ----a-w- c:\windows\SysWow64\wmi.dll
2012-04-05 11:49 . 2012-04-05 12:17 -------- d-----w- c:\program files (x86)\iTunes
2012-04-05 11:49 . 2012-04-05 11:49 -------- d-----w- c:\program files\iTunes
2012-04-05 11:49 . 2012-04-05 11:49 -------- d-----w- c:\program files\iPod
2012-04-05 11:46 . 2012-04-05 11:46 -------- d-----w- c:\program files\Bonjour
2012-04-05 11:46 . 2012-04-05 11:46 -------- d-----w- c:\program files (x86)\Bonjour
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-19 03:06 . 2012-03-18 20:22 637848 ----a-w- c:\windows\SysWow64\npdeployJava1.dll
2012-03-19 03:06 . 2011-12-19 15:36 567696 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-03-05 15:19 . 2012-03-05 15:19 283200 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2012-02-23 08:18 . 2010-11-21 03:27 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-17 06:38 . 2012-03-14 13:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll
2012-02-17 05:34 . 2012-03-14 13:38 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll
2012-02-17 04:58 . 2012-03-14 13:38 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-02-17 04:57 . 2012-03-14 13:38 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-02-15 09:01 . 2012-02-15 09:01 52736 ----a-w- c:\windows\system32\drivers\usbaapl64.sys
2012-02-15 09:01 . 2012-02-15 09:01 4547944 ----a-w- c:\windows\system32\usbaaplrc.dll
2012-02-10 06:36 . 2012-03-14 13:40 1544192 ----a-w- c:\windows\system32\DWrite.dll
2012-02-10 05:38 . 2012-03-14 13:40 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
2012-02-08 08:57 . 2011-09-06 01:07 407040 ----a-w- c:\windows\HotfixChecker.exe
2012-02-08 08:56 . 2011-09-06 01:07 345600 ----a-w- c:\windows\SetLCDStretchMode.exe
2012-02-07 09:02 . 2012-02-07 09:02 1070352 ----a-w- c:\windows\SysWow64\MSCOMCTL.OCX
2012-02-03 04:34 . 2012-03-14 13:40 3145728 ----a-w- c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((( SnapShot@2012-04-20_18.57.00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-11-21 03:09 . 2012-04-26 10:09 53108 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2012-04-26 10:09 42416 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-12-06 19:28 . 2012-04-26 10:09 10296 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1739335617-45622530-1743251556-1001_UserData.bin
+ 2012-04-22 00:53 . 2012-04-22 00:53 65536 c:\windows\Installer\{33286280-8617-11E1-8FF6-B8AC6F97B88E}\UNINST_Uninstall_G_F6A848FB884248E6A4CDCBDCF41F6A74_1.exe
+ 2012-04-22 00:53 . 2012-04-22 00:53 65536 c:\windows\Installer\{33286280-8617-11E1-8FF6-B8AC6F97B88E}\ARPPRODUCTICON.exe
+ 2012-04-26 10:21 . 2012-04-26 10:21 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-04-20 18:55 . 2012-04-20 18:55 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2012-04-20 18:55 . 2012-04-20 18:55 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2012-04-26 10:21 . 2012-04-26 10:21 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-12-08 19:44 . 2012-04-22 11:42 192940 c:\windows\system32\wdi\SuspendPerformanceDiagnostics_SystemData_S4.bin
+ 2011-12-06 20:04 . 2012-04-24 00:31 323464 c:\windows\system32\wdi\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
+ 2011-09-06 05:15 . 2012-04-26 10:11 700718 c:\windows\system32\perfh010.dat
- 2011-09-06 05:15 . 2012-04-20 18:37 700718 c:\windows\system32\perfh010.dat
- 2009-07-14 02:36 . 2012-04-20 18:37 618156 c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2012-04-26 10:11 618156 c:\windows\system32\perfh009.dat
+ 2011-09-06 05:15 . 2012-04-26 10:11 128574 c:\windows\system32\perfc010.dat
- 2011-09-06 05:15 . 2012-04-20 18:37 128574 c:\windows\system32\perfc010.dat
+ 2009-07-14 02:36 . 2012-04-26 10:11 107198 c:\windows\system32\perfc009.dat
- 2009-07-14 02:36 . 2012-04-20 18:37 107198 c:\windows\system32\perfc009.dat
- 2009-07-14 05:01 . 2012-04-20 18:54 429824 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2012-04-26 10:21 429824 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2012-04-14 09:50 . 2012-04-14 09:50 927744 c:\windows\Installer\2405ab8.msi
+ 2011-12-06 23:49 . 2012-04-26 10:21 31561116 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-1739335617-45622530-1743251556-1001-8192.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-02-13 3481408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"PosService"="c:\users\Public\Documents\AppData\PoApp\PLauncher.exe" [2011-12-16 218624]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Servizio Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-07 136176]
R2 PowerOffer Service;Pos Service;c:\users\Paolo\AppData\Local\PosService\Pos.exe [x]
R2 ServUpdater;Serv Updater;c:\users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe [x]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2011-05-05 2656536]
R3 AMPPALP;Protocollo Intel(R) Centrino(R) Bluetooth 3.0 + High Speed;c:\windows\system32\DRIVERS\amppal.sys [x]
R3 btmaux;Intel Bluetooth Auxiliary Service;c:\windows\system32\DRIVERS\btmaux.sys [x]
R3 btmhsf;btmhsf;c:\windows\system32\DRIVERS\btmhsf.sys [x]
R3 gupdatem;Servizio Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-07 136176]
R3 iBtFltCoex;iBtFltCoex;c:\windows\system32\DRIVERS\iBtFltCoex.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 TurboBoost;Intel(R) Turbo Boost Technology Monitor 2.0;c:\program files\Intel\TurboBoost\TurboBoost.exe [2010-10-08 150016]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Servizio Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AMPPALR3;Intel® Centrino® Bluetooth 3.0 + High Speed Service;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe [2011-04-21 1136640]
S2 Bluetooth Device Monitor;Bluetooth Device Monitor;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe [2011-03-30 923984]
S2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe [2011-03-30 1001808]
S2 BTHSSecurityMgr;Intel(R) Centrino(R) Wireless Bluetooth(R) 3.0 + High Speed Security Service;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe [2011-04-21 134928]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-04 2009704]
S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [x]
S3 AMPPAL;Scheda virtuale Intel(R) Centrino(R) Bluetooth 3.0 + High Speed;c:\windows\system32\DRIVERS\AMPPAL.sys [x]
S3 Bluetooth Media Service;Bluetooth Media Service;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe [2011-03-30 1321296]
S3 clwvd;CyberLink WebCam Virtual Driver;c:\windows\system32\DRIVERS\clwvd.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [x]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MEIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;c:\windows\system32\DRIVERS\MijXfilt.sys [x]
S3 NETwNs64;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-04-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-07 16:57]
.
2012-04-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-07 16:57]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-06-25 11895400]
"BTMTrayAgent"="c:\program files (x86)\Intel\Bluetooth\btmshell.dll" [2011-03-30 10372368]
"ETDCtrl"="c:\program files (x86)\Elantech\ETDCtrl.exe" [BU]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Scansione supplementare -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr
mStart Page = hxxp://search.findeer.com
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&sporta in Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{328ECD19-C167-40eb-A0C7-16FE7634105E} - {94BB0C4C-B957-479A-85E4-42F53B89F681} - c:\program files\Samsung AnyWeb Print\W2PBrowser.dll
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{15069DBC-44D7-4FA8-9252-A089DA70883D}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{2C70DF46-61CC-4655-8F21-1A840527105F}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{E02088E9-47F0-4D18-918A-941C271634D4}: NameServer = 176.31.229.24,176.31.229.25
FF - ProfilePath - c:\users\Paolo\AppData\Roaming\Mozilla\Firefox\Profiles\ctg1tijk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: network.proxy.type - 0
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
Toolbar-Locked - (no file)
.
.
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\DbgagD\1*]
"value"="?\01\01\1e\0e%\00?"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
c:\program files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
c:\program files (x86)\Samsung\Easy Display Manager\WifiManager.exe
c:\program files (x86)\CyberLink\YouCam\YCMMirage.exe
c:\program files (x86)\Samsung\EasySpeedUpManager\EasySpeedUpManager2.exe
c:\users\Public\Documents\AppData\PoApp\PService.exe
c:\program files (x86)\Intel\Bluetooth\BTPlayerCtrl.exe
c:\program files (x86)\Samsung\Samsung Recovery Solution 5\WCScheduler.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Samsung\Movie Color Enhancer\MovieColorEnhancer.exe
c:\program files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe
.
**************************************************************************
.
Ora fine scansione: 2012-04-26 12:25:45 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2012-04-26 10:25
ComboFix2.txt 2012-04-20 19:01
ComboFix3.txt 2012-04-17 13:29
ComboFix4.txt 2012-04-16 23:59
.
Pre-Run: 148.457.037.824 byte disponibili
Post-Run: 148.216.221.696 byte disponibili
.
- - End Of File - - FC3027FC939E58767C48D66F65D9B543

e il settore apparso al termine dell'ultima scansione effettuata nella ricerca dei settore:

[GERONIMO*]

peolex4 tranquillo stiamo solo discutendo,solo opinioni
RapiDns,sembrerebbe poco attendibile,sfruttato da malware come il caso di power offer-search.rapidns.net
anche perché non li ha impostati lui manualmenti,ma se li e ritrovati sul pc,la cosa puzza

peolex4
posta anche un report di hijackthis

scarica HiJackThis da qui
http://www.trendmicro.it/prodotti/strum ... -gratuiti/
salvalo sul Desktop
installa HiJackThis
Esegui HijackThis tasto destro - Esegui come Amministratore per aprirlo
se la voce Esegui come Amministratore
non appare lancia HiJackThis da
da C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis
nella cartella dove e installato
e non dall'icona creata sul desktop
clicca sul pulsante Do a system scan and save a logfile
alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui

[hashcat]

peolex4 tranquillo stiamo solo discutendo,solo opinioni

RapiDns,sembrerebbe poco attendibile,sfruttato da malware come il caso di power offer-search.rapidns.net
anche perché non li ha impostati lui manualmenti,ma se li e ritrovati sul pc,la cosa puzza

@peolex4

Sostituisci i server DNS rapidns.net poiché (come suggerito da GERONIMO*) sono sospetti con questi (Norton DNS):

Procedura sostituzione DNS

Server DNS preferito: 198.153.192.40
Server DNS alternativo: 198.153.194.40

Visto che OTL non è utilizzabile vorrei consultare un log di DDS (non richiede intervento da parte dell'utente):

1. Scarica DDS da qui
2. Disabilita temporaneamente tutte le protezioni in tempo reale di programmi anti-spyware, antivirus, anti-malware, che possono influenzare DDS
3. Rinomina DDS con un nome fantasioso
4. Eseguilo facendo doppio click
5. Aspetta fino al completamento della scansione
6. Al termine della scansione verranno generati due log e appariranno due finestre del Blocco Note
7. Salva il log DDS come DDS.txt sul Desktop ed includilo nel tuo prossimo messaggio
8. Salva il log Attach come Attach.txt sul Desktop ed includilo nel tuo prossimo messaggio
9. Se i log dovessero eccedere il numero massimo di caratteri consentiti per messaggio caricali su paste2.org

[Uomo_Senza_Sonno]

Io invece suggerisco, visto che non riusciamo a trovare nulla, questa procedura di modo che così riesca con calma a trovare il settore che ci interessa senza dover postarne altri 10000.

1. Portati al settore 1465144392, poi vai in edit-->selezione blocco;
2. Si aprirà una finestra dove dovrai inserire dei valori: nel campo inizio inserisci AEA8A89000, nel campo fine scrivi AEA8C001FF (come lunghezza otterrai il valore 177200, pari ad una selezione di quasi 8MB);
3. verrà effettuata una selezione (tranquillo, in modalità sola lettura non verranno alterati in nessun modo i dati presenti nel disco) che dovrai copiare;
4. sempre in edit vai a copia come-->Vista editor: ho fatto due prove, una mi ha copiato tutto senza problemi, mentre in un'altra porzione del disco mi ha dato errore. Se a te va tutto bene, incolla tutto nel blocco note e salva il file in formato txt;
5. Da qui caricalo in un servizio hosting come http://www.hotfile.com/ ed una volta caricato inserisci il link per il download;

in questo modo potrò controllare i settori selezionati con calma, e spero di trovare il secondo estremo di partizione.

[peolex4]

hijackthis non è possibile installarlo :



si può arrivare a questo ma qui si blocca.

ho effettuato la scansione con ddr ed ecco i report:

DDS:

.
DDS (Ver_2011-08-26.01) - NTFSAMD64
Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 10.3.0
Run by Paolo at 14:28:20 on 2012-04-26
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.39.1040.18.8104.6640 [GMT 2:00]
.
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\windows\system32\wininit.exe
C:\windows\system32\lsm.exe
C:\windows\system32\svchost.exe -k DcomLaunch
C:\windows\system32\nvvsvc.exe
C:\windows\system32\svchost.exe -k RPCSS
C:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\windows\system32\svchost.exe -k netsvcs
C:\windows\system32\svchost.exe -k LocalService
C:\windows\system32\svchost.exe -k NetworkService
C:\windows\System32\spoolsv.exe
C:\windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe
C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe
C:\windows\system32\nvvsvc.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\svchost.exe -k bthsvcs
C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe
C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
C:\windows\System32\svchost.exe -k secsvcs
C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\windows\Explorer.EXE
C:\windows\System32\rundll32.exe
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
C:\Windows\System32\rundll32.exe
C:\windows\system32\taskeng.exe
C:\windows\system32\taskeng.exe
C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files (x86)\Samsung\Easy Display Manager\WifiManager.exe
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\windows\system32\SearchIndexer.exe
C:\Users\Public\Documents\AppData\PoApp\PService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\Intel\Bluetooth\mediasrv.exe
C:\windows\System32\svchost.exe -k LocalServicePeerNet
C:\Program Files\Elantech\ETDCtrlHelper.exe
C:\Program Files (x86)\Intel\Bluetooth\BTPlayerCtrl.exe
C:\windows\system32\DllHost.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
C:\windows\system32\igfxext.exe
C:\windows\system32\igfxsrvc.exe
C:\Program Files\Samsung\SamsungFastStart\SmartRestarter.exe
C:\windows\system32\svchost.exe -k imgsvc
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
C:\Program Files (x86)\Samsung\Movie Color Enhancer\MovieColorEnhancer.exe
C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\CyberLink\Media+Player10\Media+Player10Serv.exe
C:\windows\system32\hkcmd.exe
C:\windows\system32\igfxpers.exe
C:\Program Files (x86)\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files (x86)\Samsung\Samsung Update Plus\SUPBackground.exe
C:\windows\system32\svchost.exe -k SDRSVC
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\SearchFilterHost.exe
C:\windows\system32\DllHost.exe
C:\windows\system32\DllHost.exe
C:\windows\SysWOW64\cmd.exe
C:\windows\system32\conhost.exe
C:\windows\SysWOW64\cscript.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.fr
mStart Page = hxxp://search.findeer.com
uInternet Settings,ProxyOverride = *.local
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Samsung BHO Class: {aa609d72-8482-4076-8991-8cdae5b93bcb} - C:\Program Files\Samsung AnyWeb Print\W2PBrowser.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
uRun: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
mRun: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
mRun: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe
mPolicies-system: EnableUIADesktopToggle = 1 (0x1)
IE: E&sporta in Microsoft Excel - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
IE: {328ECD19-C167-40eb-A0C7-16FE7634105E} - {94BB0C4C-B957-479A-85E4-42F53B89F681} - C:\Program Files\Samsung AnyWeb Print\W2PBrowser.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0017-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinsta ... s-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{15069DBC-44D7-4FA8-9252-A089DA70883D} : NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{2C70DF46-61CC-4655-8F21-1A840527105F} : NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{E02088E9-47F0-4D18-918A-941C271634D4} : NameServer = 176.31.229.24,176.31.229.25
TCP: Interfaces\{F61441A1-F2F0-4D57-B367-5F890E43991A} : NameServer = 198.153.192.40,198.153.194.40
TCP: Interfaces\{F61441A1-F2F0-4D57-B367-5F890E43991A} : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{F61441A1-F2F0-4D57-B367-5F890E43991A}\9556C6C6F67702E456374702 : DhcpNameServer = 192.168.1.1
TCP: Interfaces\{F61441A1-F2F0-4D57-B367-5F890E43991A}\E4544574541425 : DhcpNameServer = 192.168.0.1
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3}
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}
{9030D464-4C02-4ABF-8ECC-5164760863C6}
{AA609D72-8482-4076-8991-8CDAE5B93BCB}
{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
{d2ce3e00-f94a-4740-988e-03dc2f38c34f}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{8dcb7100-df86-4384-8842-8fa844297b3f}
mRun-x64: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
mRun-x64: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
mRun-x64: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
mRun-x64: [PosService] C:\Users\Public\Documents\AppData\PoApp\PLauncher.exe
AppInit_DLLs-X64: C:\Windows\SysWOW64\nvinit.dll
SEH-X64: {B5A7F190-DDA6-4420-B3BA-52453494E6CD}: Groove GFS Stub Execution Hook
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Paolo\AppData\Roaming\Mozilla\Firefox\Profiles\ctg1tijk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - prefs.js: network.proxy.type - 0
FF - plugin: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: C:\windows\system32\npdeployJava1.dll
FF - plugin: C:\windows\system32\npmproxy.dll
FF - plugin: C:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
R0 nvpciflt;nvpciflt;C:\windows\system32\DRIVERS\nvpciflt.sys C:\windows\system32\DRIVERS\nvpciflt.sys
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\windows\system32\DRIVERS\dtsoftbus01.sys C:\windows\system32\DRIVERS\dtsoftbus01.sys
R1 SABI;SAMSUNG Kernel Driver For Windows 7;\??\C:\windows\system32\Drivers\SABI.sys C:\windows\system32\Drivers\SABI.sys
R1 vwififlt;Virtual WiFi Filter Driver;C:\windows\system32\DRIVERS\vwififlt.sys C:\windows\system32\DRIVERS\vwififlt.sys
R2 AMPPALR3;Intel® Centrino® Bluetooth 3.0 + High Speed Service;C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe [2011-4-21 1136640]
R2 Bluetooth Device Monitor;Bluetooth Device Monitor;C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe [2011-3-30 923984]
R2 Bluetooth OBEX Service;Bluetooth OBEX Service;C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe [2011-3-30 1001808]
R2 BTHSSecurityMgr;Intel(R) Centrino(R) Wireless Bluetooth(R) 3.0 + High Speed Security Service;C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe [2011-4-21 134928]
R2 nvUpdatusService;NVIDIA Update Service Daemon;C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-9-6 2009704]
R2 TurboB;Turbo Boost UI Monitor driver;C:\windows\system32\DRIVERS\TurboB.sys C:\windows\system32\DRIVERS\TurboB.sys
R2 UNS;Intel(R) Management and Security Application User Notification Service;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2011-9-6 2656536]
R3 AMPPAL;Scheda virtuale Intel(R) Centrino(R) Bluetooth 3.0 + High Speed;C:\windows\system32\DRIVERS\AMPPAL.sys C:\windows\system32\DRIVERS\AMPPAL.sys
R3 Bluetooth Media Service;Bluetooth Media Service;C:\Program Files (x86)\Intel\Bluetooth\mediasrv.exe [2011-3-30 1321296]
R3 clwvd;CyberLink WebCam Virtual Driver;C:\windows\system32\DRIVERS\clwvd.sys C:\windows\system32\DRIVERS\clwvd.sys
R3 ETD;ELAN PS/2 Port Input Device;C:\windows\system32\DRIVERS\ETD.sys C:\windows\system32\DRIVERS\ETD.sys
R3 IntcDAud;Intel(R) Display Audio;C:\windows\system32\DRIVERS\IntcDAud.sys C:\windows\system32\DRIVERS\IntcDAud.sys
R3 MEIx64;Intel(R) Management Engine Interface;C:\windows\system32\DRIVERS\HECIx64.sys C:\windows\system32\DRIVERS\HECIx64.sys
R3 MotioninJoyXFilter;MotioninJoy Virtual Xinput device Filter Driver;C:\windows\system32\DRIVERS\MijXfilt.sys C:\windows\system32\DRIVERS\MijXfilt.sys
R3 NETwNs64;___ Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows 7 - 64 Bit;C:\windows\system32\DRIVERS\NETwNs64.sys C:\windows\system32\DRIVERS\NETwNs64.sys
R3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\windows\system32\DRIVERS\vwifimp.sys C:\windows\system32\DRIVERS\vwifimp.sys
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 gupdate;Servizio Google Update (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-3-7 136176]
S2 PowerOffer Service;Pos Service;"C:\Users\Paolo\AppData\Local\PosService\Pos.exe" C:\Users\Paolo\AppData\Local\PosService\Pos.exe
S2 ServUpdater;Serv Updater;"C:\Users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe" C:\Users\Paolo\AppData\Local\ServUpdater\ServiceUpd.exe
S3 AMPPALP;Protocollo Intel(R) Centrino(R) Bluetooth 3.0 + High Speed;C:\windows\system32\DRIVERS\amppal.sys C:\windows\system32\DRIVERS\amppal.sys
S3 btmaux;Intel Bluetooth Auxiliary Service;C:\windows\system32\DRIVERS\btmaux.sys C:\windows\system32\DRIVERS\btmaux.sys
S3 btmhsf;btmhsf;C:\windows\system32\DRIVERS\btmhsf.sys C:\windows\system32\DRIVERS\btmhsf.sys
S3 gupdatem;Servizio Google Update (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-3-7 136176]
S3 iBtFltCoex;iBtFltCoex;C:\windows\system32\DRIVERS\iBtFltCoex.sys C:\windows\system32\DRIVERS\iBtFltCoex.sys
S3 RTL8167;Realtek 8167 NT Driver;C:\windows\system32\DRIVERS\Rt64win7.sys C:\windows\system32\DRIVERS\Rt64win7.sys
S3 Samsung UPD Service;Samsung UPD Service;"C:\windows\System32\SUPDSvc.exe" C:\windows\System32\SUPDSvc.exe
S3 TsUsbFlt;TsUsbFlt;C:\windows\system32\drivers\tsusbflt.sys C:\windows\system32\drivers\tsusbflt.sys
S3 TsUsbGD;Remote Desktop Generic USB Device;C:\windows\system32\drivers\TsUsbGD.sys C:\windows\system32\drivers\TsUsbGD.sys
S3 TurboBoost;Intel(R) Turbo Boost Technology Monitor 2.0;C:\Program Files\Intel\TurboBoost\TurboBoost.exe [2010-10-8 150016]
S3 USBAAPL64;Apple Mobile USB Driver;C:\windows\system32\Drivers\usbaapl64.sys C:\windows\system32\Drivers\usbaapl64.sys
S3 WatAdminSvc;Servizio Windows Activation Technologies;C:\windows\system32\Wat\WatAdminSvc.exe C:\windows\system32\Wat\WatAdminSvc.exe
S4 wlcrasvc;Windows Live Mesh remote connections service;C:\Program Files\Windows Live\Mesh\wlcrasvc.exe [2010-9-22 57184]
.
=============== Created Last 30 ================
.
2012-04-26 10:22:16 -------- d-----w- C:\$RECYCLE.BIN
2012-04-25 01:02:45 8917360 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{088EEB69-97CC-4EAD-A9E6-B0573B69680E}\mpengine.dll
2012-04-19 23:44:18 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-04-17 09:04:10 174640 ----a-w- C:\windows\System32\drivers\SYMEVENT64x86.SYS
2012-04-16 23:37:41 98816 ----a-w- C:\windows\sed.exe
2012-04-16 23:37:41 518144 ----a-w- C:\windows\SWREG.exe
2012-04-16 23:37:41 256000 ----a-w- C:\windows\PEV.exe
2012-04-16 23:37:41 208896 ----a-w- C:\windows\MBR.exe
2012-04-11 09:07:53 81408 ----a-w- C:\windows\System32\imagehlp.dll
2012-04-11 09:07:53 23408 ----a-w- C:\windows\System32\drivers\fs_rec.sys
2012-04-11 09:07:53 159232 ----a-w- C:\windows\SysWow64\imagehlp.dll
2012-04-11 09:07:52 5120 ----a-w- C:\windows\SysWow64\wmi.dll
2012-04-11 09:07:52 5120 ----a-w- C:\windows\System32\wmi.dll
2012-04-11 09:07:52 220672 ----a-w- C:\windows\System32\wintrust.dll
2012-04-11 09:07:52 172544 ----a-w- C:\windows\SysWow64\wintrust.dll
2012-04-05 11:49:18 -------- d-----w- C:\Program Files\iTunes
2012-04-05 11:49:18 -------- d-----w- C:\Program Files\iPod
2012-04-05 11:49:18 -------- d-----w- C:\Program Files (x86)\iTunes
2012-04-05 11:46:37 -------- d-----w- C:\Program Files\Bonjour
2012-04-05 11:46:37 -------- d-----w- C:\Program Files (x86)\Bonjour
.
==================== Find3M ====================
.
2012-03-19 03:06:49 637848 ----a-w- C:\windows\SysWow64\npdeployJava1.dll
2012-03-19 03:06:49 567696 ----a-w- C:\windows\SysWow64\deployJava1.dll
2012-03-06 06:53:37 5559152 ----a-w- C:\windows\System32\ntoskrnl.exe
2012-03-06 05:59:47 3968368 ----a-w- C:\windows\SysWow64\ntkrnlpa.exe
2012-03-06 05:59:41 3913072 ----a-w- C:\windows\SysWow64\ntoskrnl.exe
2012-03-05 15:19:38 283200 ----a-w- C:\windows\System32\drivers\dtsoftbus01.sys
2012-02-28 06:56:48 2311168 ----a-w- C:\windows\System32\jscript9.dll
2012-02-28 06:49:56 1390080 ----a-w- C:\windows\System32\wininet.dll
2012-02-28 06:48:57 1493504 ----a-w- C:\windows\System32\inetcpl.cpl
2012-02-28 06:42:55 2382848 ----a-w- C:\windows\System32\mshtml.tlb
2012-02-28 01:18:55 1799168 ----a-w- C:\windows\SysWow64\jscript9.dll
2012-02-28 01:11:21 1427456 ----a-w- C:\windows\SysWow64\inetcpl.cpl
2012-02-28 01:11:07 1127424 ----a-w- C:\windows\SysWow64\wininet.dll
2012-02-28 01:03:16 2382848 ----a-w- C:\windows\SysWow64\mshtml.tlb
2012-02-23 08:18:36 279656 ------w- C:\windows\System32\MpSigStub.exe
2012-02-17 06:38:26 1031680 ----a-w- C:\windows\System32\rdpcore.dll
2012-02-17 05:34:22 826880 ----a-w- C:\windows\SysWow64\rdpcore.dll
2012-02-17 04:58:24 210944 ----a-w- C:\windows\System32\drivers\rdpwd.sys
2012-02-17 04:57:32 23552 ----a-w- C:\windows\System32\drivers\tdtcp.sys
2012-02-15 09:01:50 52736 ----a-w- C:\windows\System32\drivers\usbaapl64.sys
2012-02-15 09:01:50 4547944 ----a-w- C:\windows\System32\usbaaplrc.dll
2012-02-10 06:36:07 1544192 ----a-w- C:\windows\System32\DWrite.dll
2012-02-10 05:38:43 1077248 ----a-w- C:\windows\SysWow64\DWrite.dll
2012-02-08 08:57:01 407040 ----a-w- C:\windows\HotfixChecker.exe
2012-02-08 08:56:00 345600 ----a-w- C:\windows\SetLCDStretchMode.exe
2012-02-07 09:02:40 1070352 ----a-w- C:\windows\SysWow64\MSCOMCTL.OCX
2012-02-03 04:34:34 3145728 ----a-w- C:\windows\System32\win32k.sys
.
============= FINISH: 14:28:32,98 ===============

[peolex4]

attach:

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows 7 Home Premium
Boot Device: \Device\HarddiskVolume1
Install Date: 06/12/2011 20:27:10
System Uptime: 26/04/2012 13:23:22 (1 hours ago)
.
Motherboard: SAMSUNG ELECTRONICS CO., LTD. | | RC530/RC730
Processor: Intel(R) Core(TM) i7-2670QM CPU @ 2.20GHz | CPU 1 | 2201/100mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 271 GiB total, 138,14 GiB free.
D: is FIXED (NTFS) - 404 GiB total, 296,716 GiB free.
E: is CDROM ()
F: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318}
Description: Realtek PCIe GBE Family Controller
Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_C0C1144D&REV_06\4&15999FDE&0&00E3
Manufacturer: Realtek
Name: Realtek PCIe GBE Family Controller
PNP Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_C0C1144D&REV_06\4&15999FDE&0&00E3
Service: RTL8167
.
==== System Restore Points ===================
.
RP144: 11/04/2012 11:07:40 - Windows Update
RP145: 17/04/2012 01:37:52 - ComboFix created restore point
RP146: 19/04/2012 16:13:08 - Installed HiJackThis
RP147: 19/04/2012 16:15:10 - Installed HiJackThis
RP148: 20/04/2012 12:28:28 - Windows Update
RP149: 25/04/2012 03:02:10 - Windows Update
.
==== Installed Programs ======================
.
Update for Microsoft Office 2007 (KB2508958)
???? ??? Windows Live
???? Windows Live
????? Windows Live
?????? ??????? ?? Windows Live
???????? ?????????? Windows Live
?????????? Windows Live
??????????? ?? Windows Live
Adobe Flash Player 10 ActiveX
Adobe Reader 9.5.1 - Italiano
Agatha Christie - Death on the Nile
Apple Application Support
Apple Software Update
„Windows Live Essentials“
„Windows Live Mail“
„Windows Live Messenger“
„Windows Live“ fotogalerija
Backgammon Classic 7.2
BatteryLifeExtender
Bejeweled 2 Deluxe
Bing Bar
Build-a-lot
ChargeableUSB
Chuzzle Deluxe
CyberLink Media Suite
CyberLink Media+ Player10
CyberLink MediaShow
CyberLink Power2Go
CyberLink PowerDirector
CyberLink YouCam
D3DX10
DAEMON Tools Lite
Diner Dash 2 Restaurant Rescue
Easy Content Share
Easy Display Manager
Easy Migration
Easy Network Manager
Easy SpeedUp Manager
EasyBatteryManager
EasyFileShare
eMule Plus 1.2e
Fantacalcio Manager 2006
Farm Frenzy
Fast Start
FIFA 12
FileZilla Client 3.5.3
Fotogalerija Windows Live
Fraps
Galeria de Fotografias do Windows Live
Galeria fotografii uslugi Windows Live
Galerie de photos Windows Live
Galerie foto Windows Live
Galería fotográfica de Windows Live
Google Earth Plug-in
Google Update Helper
Insaniquarium Deluxe
Intel PROSet Wireless
Intel(R) Control Center
Intel(R) Management Engine Components
Intel(R) Processor Graphics
Intel(R) Rapid Storage Technology
Java Auto Updater
Java(TM) 6 Update 31
Java(TM) 7 Update 3
Java(TM) SE Development Kit 7 Update 3
JCreator LE 5.00
John Deere Drive Green
Junk Mail filter update
KompoZer 0.8b3
Mass Effect™ 3 Demo
Max Payne 2
Mesh Runtime
Microsoft Office 2007 Service Pack 3 (SP3)
Microsoft Office 2010
Microsoft Office Access MUI (Italian) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel 2007 Help - Aggiornamento (KB963678)
Microsoft Office Excel MUI (Italian) 2007
Microsoft Office File Validation Add-In
Microsoft Office Groove MUI (Italian) 2007
Microsoft Office InfoPath MUI (Italian) 2007
Microsoft Office OneNote MUI (Italian) 2007
Microsoft Office Outlook 2007 Help - Aggiornamento (KB963677)
Microsoft Office Outlook MUI (Italian) 2007
Microsoft Office Powerpoint 2007 Help - Aggiornamento (KB963669)
Microsoft Office PowerPoint MUI (Italian) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (Italian) 2007
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
Microsoft Office Publisher MUI (Italian) 2007
Microsoft Office Shared MUI (Italian) 2007
Microsoft Office Word 2007 Help - Aggiornamento (KB963665)
Microsoft Office Word MUI (Italian) 2007
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft WSE 3.0 Runtime
Movie Color Enhancer
Mozilla Firefox 11.0 (x86 it)
MSVCRT
MSVCRT_amd64
Multimedia POP
NirSoft WirelessNetView
NVIDIA PhysX
Origin
Peggle
Penguins!
PhoneShare
Plants vs. Zombies
Poczta uslugi Windows Live
Podstawowe programy Windows Live
Polar Golfer
Pošta Windows Live
PowerOffer 2.0
Raccolta foto di Windows Live
Realtek Ethernet Controller Driver
Realtek High Definition Audio Driver
S?????? f?t???af??? t?? Windows Live
Samsung AnyWeb Print
Samsung Printer Live Update
Samsung Recovery Solution 5
Samsung Support Center 1.0
Samsung Universal Print Driver
Samsung Universal Scan Driver
Samsung Update Plus
SAS 9.2 (32)
SAS Deployment Tester - Client 1.3
SAS Enterprise Guide 4.2
SAS Formats
SAS Versioned Jar Repository 9.2
SAS/SECURE Java 9.2
Security Update for CAPICOM (KB931906)
Security Update for Microsoft .NET Framework 4 Client Profile - Language Pack (ITA) (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile - Language Pack (ITA) (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft Office 2007 suites (KB2596785) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2596871) 32-Bit Edition
Security Update for Microsoft Office 2007 suites (KB2598041) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596764) 32-Bit Edition
Security Update for Microsoft Office PowerPoint 2007 (KB2596912) 32-Bit Edition
Security Update for Microsoft Office Publisher 2007 (KB2596705) 32-Bit Edition
Skype Click to Call
Skype™ 5.5
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft Office 2007 suites (KB2596651) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2596789) 32-Bit Edition
Update for Microsoft Office 2007 suites (KB2598306) 32-Bit Edition
Update for Microsoft Office Excel 2007 (KB2596596) 32-Bit Edition
User Guide
VLC media player 2.0.1
WildTangent Games
WildTangent ORB Game Console
Windows Live
Windows Live ??
Windows Live ?? ???
Windows Live ???
Windows Live ????
Windows Live Communications Platform
Windows Live Essentials
Windows Live Fotótár
Windows Live Foto-galerija
Windows Live fotoattelu galerija
Windows Live Fotogalerie
Windows Live Fotogalleri
Windows Live Fotogaléria
Windows Live Fotograf Galerisi
Windows Live Galeria de Fotos
Windows Live Galerija fotografija
Windows Live Installer
Windows Live Mail
Windows Live Mesh
Windows Live Messenger
Windows Live Movie Maker
Windows Live Photo Common
Windows Live Photo Gallery
Windows Live PIMT Platform
Windows Live Pošta
Windows Live SOXE
Windows Live SOXE Definitions
Windows Live Temel Parçalar
Windows Live UX Platform
Windows Live UX Platform Language Pack
Windows Live Writer
Windows Live Writer Resources
Windows Liven asennustyökalu
Windows Liven sähköposti
Windows Liven valokuvavalikoima
WinRAR gestione archivi
WinZip 15.0
WordCaptureX Pro
Zuma Deluxe
.
==== End Of File ===========================

ora mi accingo ad effettuare la scansione del settore

[GERONIMO*]

bastava andare avanti seguendo il setup,cliccando sempre dove è marcata in azzurro
comunque segui hashcat per quanto riguarda DDS:

[peolex4]

scusa ma si vede che ho fatto la foto prima di cliccare appunto all'ultimo pulsante che avrebbe dovuto far partire l'installazione che appunto però come ho detto si blocca,non mi sono bloccato io.
comunque ho impostato i dns suggeriti!

invece nella selezione del codice nel momento del copia come vista editor da errore,impossibile effettuare operazione in virgola mobile

[GERONIMO*]

ok

dopo prendi in considerazione di installare il service pack 1,in windows update,compreso tutti gli aggiornamenti che rilascia

[Uomo_Senza_Sonno]

Facciamo questo tentativo: riavvia il pc e premi F8, verrà caricato un menu dove dovrai selezionare ripristina il computer; non verrà riportato alle condizioni di fabbrica ma caricherà la console di ripristino. Poi, procedi come in quest'articolo. Questa procedura serve per sovrascrivere il MBR, nella speranza che una volta ripristinato, ci dia i veri estremi di partizione.

[peolex4]

ripristinato ora per ricercare nuovamente gli estremi?

[Uomo_Senza_Sonno]

Vediamo nuovamente il settore 0

[peolex4]

[Uomo_Senza_Sonno]

Uhm, stando alla tabella di partizione gli estremi si trovano nel settore 2048 e nel settore 1465147391, ma mentre nel primo siamo certi che è presente, nel secondo è probabile trovare un settore pieno di zeri.

Ad ogni modo, ti chiedo di fare due cose: la prima è quella di effettuare una selezione dei blocchi 0-2048, inserendo nel campo inizio il valore 0 e nel campo fine il valore FFFFF, poi copi come vista editor e incolli su blocco note. Il file che verrà generato lo carichi anche qui, poi mi posti il link per il donwload, di modo che analizzi questi settori con calma.

La seconda cosa è controllare i settori 1465147391 e 1465147392, e nel caso siano scritti posta gli screenshot

[peolex4]

ecco i settori:

settori0-FFFFF.txt

purtroppo gli altri settori sono vuoti