www.MegaLab.it

da **francesco.com** » mar feb 10, 2009 4:03 pm

Salve a tutti. Premettendo che sono un principiante vi porgo il mio problema: sul mio portatile Acer Aspire 5672 (1Gb di RAM) dopo una mezz'ora che navigo il monitor perde di luminosità e inizia a lampeggiare. Aprendo il Task Manager mi sono accorto che la cpu è al max e tra i processi c'è la voce CLI.EXE che compare innumerevoli volte, tutte le funzioni sono rallentate. Dopo aver aggiornato e scansionato più volte con Kaspersky2009, rileva 7 minacce (5 con criticità: molto pericolosa) senza però fare alcunché. Vi mando la scansione fatta con hijackthis e Karspersky.
Potete risolvermi, gentilmente, questo problema?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.56.01, on 09/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe [faq]

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/ ... ontrol.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/ ... 586-jc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Programmi\AGI\common\win32\PythonService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 11703 bytes

RAPPORTO KASPERSKY:

Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
10/02/2009 15.47.01 Attività completata
10/02/2009 15.44.37 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
09/02/2009 16.20.51 Attività completata
09/02/2009 16.15.02 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
08/02/2009 19.42.18 Attività completata
08/02/2009 19.40.20 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
08/02/2009 18.43.17 Attività completata
08/02/2009 17.58.51 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\FrWrkITA.dll
08/02/2009 17.58.50 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\iFrmewrk.exe
08/02/2009 17.57.16 Rilevato: http://www.viruslist.com/it/advisories/31744 C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
08/02/2009 17.37.26 Rilevato: http://www.viruslist.com/it/advisories/26003 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
08/02/2009 17.18.06 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
08/02/2009 17.18.06 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
08/02/2009 17.17.07 Rilevato: http://www.viruslist.com/it/advisories/32270 C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
08/02/2009 15.55.58 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
08/02/2009 15.17.49 Attività completata
08/02/2009 15.15.17 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
07/02/2009 21.15.54 Attività completata
07/02/2009 19.58.47 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\FrWrkITA.dll
07/02/2009 19.57.11 Rilevato: http://www.viruslist.com/it/advisories/31744 C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
07/02/2009 19.39.51 Rilevato: http://www.viruslist.com/it/advisories/26003 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
07/02/2009 19.33.04 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
07/02/2009 19.33.04 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
07/02/2009 19.31.58 Rilevato: http://www.viruslist.com/it/advisories/32270 C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
07/02/2009 19.12.52 Non isolati: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe Rimandato
07/02/2009 19.12.51 Rilevato: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe
07/02/2009 18.40.29 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
07/02/2009 9.29.26 Attività completata
07/02/2009 9.23.38 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
06/02/2009 18.11.39 Attività completata
06/02/2009 18.11.37 Non isolati: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe Scritto nel rapporto
06/02/2009 18.11.37 Rilevato: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe
06/02/2009 17.30.21 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\FrWrkITA.dll
06/02/2009 17.28.44 Rilevato: http://www.viruslist.com/it/advisories/31744 C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
06/02/2009 17.22.39 Rilevato: http://www.viruslist.com/it/advisories/26003 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
06/02/2009 17.18.22 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
06/02/2009 17.18.22 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
06/02/2009 17.16.49 Rilevato: http://www.viruslist.com/it/advisories/32270 C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
06/02/2009 17.06.45 Non isolati: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe Rimandato
06/02/2009 17.06.45 Rilevato: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe
06/02/2009 16.52.50 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
04/02/2009 21.39.22 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 21.48.21 Attività completata
03/02/2009 21.48.16 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 20.42.15 Attività completata
03/02/2009 20.42.13 Eliminati: Trojan-Dropper.Win32.Agent.aang C:\Programmi\eMule\Incoming\Real Player 11.0.0.373 keygenerator-W0rking.rar/Setup+Patch.exe
03/02/2009 20.42.12 Rilevato: Trojan-Dropper.Win32.Agent.aang C:\Programmi\eMule\Incoming\Real Player 11.0.0.373 keygenerator-W0rking.rar/Setup+Patch.exe
03/02/2009 20.27.44 Non isolati: Trojan-Dropper.Win32.Agent.aang C:\Programmi\eMule\Incoming\Real Player 11.0.0.373 keygenerator-W0rking.rar/Setup+Patch.exe Rimandato
03/02/2009 20.27.43 Rilevato: Trojan-Dropper.Win32.Agent.aang C:\Programmi\eMule\Incoming\Real Player 11.0.0.373 keygenerator-W0rking.rar/Setup+Patch.exe
03/02/2009 19.59.57 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\FrWrkITA.dll
03/02/2009 19.57.36 Rilevato: http://www.viruslist.com/it/advisories/31744 C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
03/02/2009 19.43.12 Rilevato: http://www.viruslist.com/it/advisories/26003 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
03/02/2009 19.39.48 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
03/02/2009 19.39.48 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
03/02/2009 19.38.18 Rilevato: http://www.viruslist.com/it/advisories/32270 C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
03/02/2009 19.19.31 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 18.33.13 Attività completata
03/02/2009 18.33.12 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 18.31.40 Attività completata
03/02/2009 18.31.40 Eliminati: P2P-Worm.Win32.Agent.ge C:\Programmi\eMule\Incoming\.Real Player 11.0.0.375 Crack-W0rking.rar/Installer-Crack-Keygen.exe
03/02/2009 18.31.40 Rilevato: P2P-Worm.Win32.Agent.ge C:\Programmi\eMule\Incoming\.Real Player 11.0.0.375 Crack-W0rking.rar/Installer-Crack-Keygen.exe/Armadillo
03/02/2009 18.31.40 Non isolati: P2P-Worm.Win32.Agent.ge C:\Programmi\eMule\Incoming\.Real Player 11.0.0.375 Crack-W0rking.rar/Installer-Crack-Keygen.exe/Armadillo Rimandato
03/02/2009 18.31.40 Rilevato: P2P-Worm.Win32.Agent.ge C:\Programmi\eMule\Incoming\.Real Player 11.0.0.375 Crack-W0rking.rar/Installer-Crack-Keygen.exe/Armadillo
03/02/2009 18.31.40 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 18.26.56 Attività completata
03/02/2009 18.26.53 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
03/02/2009 18.25.52 Attività completata
03/02/2009 18.25.42 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
30/01/2009 11.23.45 Attività completata
30/01/2009 11.23.43 Non isolati: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe Scritto nel rapporto
30/01/2009 11.23.43 Rilevato: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe
30/01/2009 11.23.43 Spostato in Quarantena: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\SPYWARE DOCTOR\serial spyware doctor 6.0.0.386 genuine.advantage.validation.rar/Setup.exe
30/01/2009 11.23.43 Rilevato: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\SPYWARE DOCTOR\serial spyware doctor 6.0.0.386 genuine.advantage.validation.rar/Setup.exe/data0000.cab/win32.exe
30/01/2009 11.23.42 Eliminati: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe
30/01/2009 11.23.42 Rilevato: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe
30/01/2009 11.23.42 Rilevato: Trojan.Win32.Pakes.miu C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe/#
30/01/2009 11.23.41 Eliminati: Trojan.Win32.Monder.agpi C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\a0026688.exe
30/01/2009 11.23.41 Rilevato: Trojan.Win32.Monder.agpi C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\A0026688.exe/data0000.cab/LC_BAB~1.EXE/data0000.cab/is173713.exe
30/01/2009 11.23.39 Rilevato: Trojan-Downloader.Win32.AutoIt.il C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\A0026688.exe/data0000.cab/Empty_25.exe
30/01/2009 11.23.39 Non isolati: Trojan-Spy.Win32.Ardamax.t C:\Programmi\eMule\Incoming\Nod 32 v3.0.566 + crack.7z/Nod 32 v3.0.566 + crack/Crack/NOD32.FiX.v3.0-aRC-ReXBR-nsane.exe Ignorato dall'utente
30/01/2009 11.23.39 Rilevato: Trojan-Spy.Win32.Ardamax.t C:\Programmi\eMule\Incoming\Nod 32 v3.0.566 + crack.7z/Nod 32 v3.0.566 + crack/Crack/NOD32.FiX.v3.0-aRC-ReXBR-nsane.exe
30/01/2009 11.23.32 Spostato in Quarantena: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Francesco\Impostazioni locali\Temp\install\setup.exe
30/01/2009 11.23.32 Rilevato: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Francesco\Impostazioni locali\Temp\install\Setup.exe/data0000.cab/win32.exe
30/01/2009 11.23.32 Eliminati: Trojan.Win32.Monder.agpi C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe
30/01/2009 11.23.32 Rilevato: Trojan.Win32.Monder.agpi C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe/data0000.cab/LC_BAB~1.EXE/data0000.cab/is173713.exe
30/01/2009 11.23.16 Rilevato: Trojan-Downloader.Win32.AutoIt.il C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe/data0000.cab/Empty_25.exe
30/01/2009 11.07.51 Non isolati: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\SPYWARE DOCTOR\serial spyware doctor 6.0.0.386 genuine.advantage.validation.rar/Setup.exe/data0000.cab/win32.exe Rimandato
30/01/2009 11.07.51 Rilevato: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\SPYWARE DOCTOR\serial spyware doctor 6.0.0.386 genuine.advantage.validation.rar/Setup.exe/data0000.cab/win32.exe
30/01/2009 10.57.30 Rilevato: Trojan.Win32.Monder.agpi C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\A0026688.exe/data0000.cab/LC_BAB~1.EXE/data0000.cab/is173713.exe
30/01/2009 10.57.19 Non isolati: Trojan-Downloader.Win32.AutoIt.il C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\A0026688.exe/data0000.cab/Empty_25.exe Rimandato
30/01/2009 10.57.18 Rilevato: Trojan-Downloader.Win32.AutoIt.il C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP119\A0026688.exe/data0000.cab/Empty_25.exe
30/01/2009 10.51.52 Rilevato: HEUR:Trojan.Win32.Generic C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe
30/01/2009 10.51.51 Non isolati: Trojan.Win32.Pakes.miu C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe/# Rimandato
30/01/2009 10.51.51 Rilevato: Trojan.Win32.Pakes.miu C:\Programmi\eMule\Incoming\Serial Quad Registry Cleaner No Serial(Crack).rar/Setup.exe/#
30/01/2009 10.48.43 Non isolati: Trojan-Spy.Win32.Ardamax.t C:\Programmi\eMule\Incoming\Nod 32 v3.0.566 + crack.7z/Nod 32 v3.0.566 + crack/Crack/NOD32.FiX.v3.0-aRC-ReXBR-nsane.exe Rimandato
30/01/2009 10.48.43 Rilevato: Trojan-Spy.Win32.Ardamax.t C:\Programmi\eMule\Incoming\Nod 32 v3.0.566 + crack.7z/Nod 32 v3.0.566 + crack/Crack/NOD32.FiX.v3.0-aRC-ReXBR-nsane.exe
30/01/2009 10.43.42 Rilevato: http://www.viruslist.com/it/advisories/20001 C:\Programmi\Intel\Wireless\Bin\FrWrkITA.dll
30/01/2009 10.42.52 Rilevato: http://www.viruslist.com/it/advisories/31744 C:\Programmi\File comuni\Microsoft Shared\Office10\MSO.DLL
30/01/2009 10.42.49 Rilevato: Trojan.Win32.Monder.agpi C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe/data0000.cab/LC_BAB~1.EXE/data0000.cab/is173713.exe
30/01/2009 10.42.45 Non isolati: Trojan-Downloader.Win32.AutoIt.il C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe/data0000.cab/Empty_25.exe Rimandato
30/01/2009 10.42.36 Rilevato: Trojan-Downloader.Win32.AutoIt.il C:\Documents and Settings\Francesco\DoctorWeb\Quarantine\key quad registry cleaner crack(no cd).exe/data0000.cab/Empty_25.exe
30/01/2009 10.38.46 Non isolati: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Francesco\Impostazioni locali\Temp\install\Setup.exe/data0000.cab/win32.exe Rimandato
30/01/2009 10.38.45 Rilevato: HEUR:Trojan.Win32.Generic C:\Documents and Settings\Francesco\Impostazioni locali\Temp\install\Setup.exe/data0000.cab/win32.exe
30/01/2009 10.35.33 Rilevato: http://www.viruslist.com/it/advisories/26003 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_wp.exe
30/01/2009 10.32.07 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\msxml4.dll
30/01/2009 10.32.07 Rilevato: http://www.viruslist.com/it/advisories/23655 C:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9818.0_x-ww_8ff50c5d\msxml4.dll
30/01/2009 10.31.29 Rilevato: http://www.viruslist.com/it/advisories/32270 C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
30/01/2009 10.23.32 Non isolati: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe Rimandato
30/01/2009 10.23.31 Rilevato: HEUR:Trojan.Win32.Generic C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP118\A0026259.exe
30/01/2009 10.23.25 Non isolati: Trojan.Win32.Monderb.acvx C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP117\A0025109.dll Rimandato
30/01/2009 10.23.23 Rilevato: Trojan.Win32.Monderb.acvx C:\System Volume Information\_restore{6199CBFC-D270-41B1-9A40-43F9DDBA3C18}\RP117\A0025109.dll
30/01/2009 10.15.03 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
29/01/2009 23.31.40 Attività interrotta
29/01/2009 23.24.04 Operazione avviata
Scansione rapida: completato 10/02/2009 15.47.01 (eventi: , oggetti: , time: 00.00.00)
29/01/2009 22.33.20 Attività completata
29/01/2009 22.31.15 Operazione avviata

da **crazy.cat** » mar feb 10, 2009 4:41 pm

cli.exe è un processo legato alle schede video ati. Se hai una di queste schede video scaricati gli ultimi dirver aggiornati, disinstalla gli attuali e prova a reinstallarli.

Intanto disattiva il ripristino della configurazione e riavvia il pc
http://www.MegaLab.it/2330/come-disatti ... di-sistema

Poi vedi come hai settato kaspersky e rifai un controllo dopo averlo settato al meglio.
http://www.MegaLab.it/3974/kaspersky-anti-virus-2009

Riposta un log della scansione dopo queste operazioni e dopo aver visto come si comporta il pc.

da **francesco.com** » lun feb 16, 2009 8:39 pm

Ho eseguito alla lettera quanto istruitomi, ma non ho ricevuto alcun risultato. Puodarsi Kaspersky non stii funzionando a dovere? Inoltre per maggiore sicurezza, potreste scrivermi il link preciso dove scaricare il driver della scheda video: ATI Mobility Radeon X1400, io già l'ho scaricato però non ottengo risultati? Il mio sistema operativo è Windows XP. Ciao, grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.30.14, on 16/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Windows Live\Toolbar\wltuser.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/ ... ontrol.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/ ... 586-jc.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Programmi\AGI\common\win32\PythonService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 11594 bytes

da **[Claudio]** » lun feb 16, 2009 9:12 pm

francesco.com ha scritto:Inoltre per maggiore sicurezza, potreste scrivermi il link preciso dove scaricare il driver della scheda video: ATI Mobility Radeon X1400..........

Quello è il problema minore.

Rilancia Hijckthis, spunta le voci indicate sotto; una volta spuntate tutte le voci, chiudi, completamente, il browser di navigazione e fixale cliccando sulla voce Fixchecked:

R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Programmi\AGI\common\agcutils.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKCU\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/ ... ontrol.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

Poi:
Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
Start
tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di sistema
spunta la voce Disattiva Ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

Svuota del suo contenuto la cartella Prefetch procedendo in questa maniera:
Start
clicca su Risorse del Computer
clicca su Disco locale
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Lancia Hthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Scarica ed installa MalwareBytes: clicca qui per il download
esegui una scansione completa del sistema e, una volta terminata la scansione, allega il log che verrà rilasciato

Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

RIlancia Hijackthis:
clicca su Do a system scan and save a logfile
finita la scansione verrà rilasciato un il log
salva il log sul ed allegalo.

da **francesco.com** » mar feb 17, 2009 7:52 pm

Salve

Ho eseguito alla lettera i primi tre punti senza problemi,
al quarto:
"Lancia Hthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected"

quando ho cliccato su Open ads spy, in HijackThis, ho ricevuto questo messaggio: Alternate Data Streams (ADS) are only possible on NTFS systems. Since there are no NTFS volumes on this system, ADS Spy will not function. Ho cliccato su ok e poi non mi si permette di cliccare su SCAN.

Inoltre quando salvo i file di HijackThis, sul desktop mi appare un file sconosciuto, lo apro con blocco note e lo riesco a vedere, però se lo salvo in questo formato continua a essere un file sconosciuto e poi comunque non lo riesco ad allegare direttamente alla discussione del forum.

Al quinto punto, dopo aver eseguito l'intera scansione ho salvato il log senza cancellare i files infetti. Allego il file di scansione di Malwarebytes' Anti-Malware.

Con CCleaner tutto ok

Nell'eseguire l'ultimo punto non vale quanto detto sopra, l'ho salvato con il nome HijackthisBIS e lo mando in formato doc.

Grazie, a presto!

da **[Claudio]** » mar feb 17, 2009 8:30 pm

Infetto da vundo/virtumonde.

Scarica Combofix: clicca qui per il download
crea una cartella apposita sul Desktop e, al suo interno, posiziona, l'exe di COMBOFIX che hai scaricato
accedi al sistema in modalità provvisoria con l'account Amministraore
lancia ComboFix e segui le istruzioni che verranno rilasciate per eseguire la scansione
se verrano rilevate traccie di Vundo, il tool procederà alla rimozione ed eventualmente il sistema verrà riavviato automaticamente
se non sono state rilevate traccie di Vundo, a fine scansione apparirà automaticamente il log

Durante la scansione:
verranno creati alcuni file sul desktop e poi eliminati
spariranno, per un attimo, tutte le icone presenti sul Desktop
il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver (consentire)
verranno creati due log in C:\ : combofix.txt e ComboFix-quarantined-files.txt
riavvia il sistema in modalità normale ed allega i due log

Poi disinstalla ComboFix in questa maniera:
Start
Esegui
nella casella di dlialogo digita oppure copia ed incolla questo comando: combofix /u
vai in Disco Locale C: e, elimina questa cartella: QooBox
elimina, anche, la cartella che avevi creato sul Desktop

da **Amantide** » mer feb 18, 2009 1:41 pm

Ciao Francesco.
Innanzitutto rifai la scansione con Malwarebytes e rimuovi tutte le voci da lui rilevate, se non l'hai ancora fatto.

Dopo esegui la scansione con Combofix, e mi raccomando, posta qui il suo report ed aspetta la nostra risposta prima di procedere con la sua rimozione.

da **francesco.com** » gio feb 19, 2009 9:47 pm

Salve a tutti, ho eseguito tutto come da istruzioni vi allego i due log di ComboFix.
Inoltre vorrei chiedervi perché mi succede questo:

"Lancia Hthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected"

quando ho cliccato su Open ads spy, in HijackThis, ho ricevuto questo messaggio: Alternate Data Streams (ADS) are only possible on NTFS systems. Since there are no NTFS volumes on this system, ADS Spy will not function. Ho cliccato su ok e poi non mi si permette di cliccare su SCAN

ComboFix 09-02-18.01 - Administrator 2009-02-19 21:14:13.2 - [color=red]FAT32x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.1022.836 [GMT 1:00]
Eseguito da: c:\documents and settings\Francesco\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning enabled* (Updated)
AV: Sistema Antivirus NOD32 2.70 *On-access scanning enabled* (Updated)
FW: Kaspersky Internet Security *enabled*

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((( Files Creati Da 2009-01-19 al 2009-02-19 )))))))))))))))))))))))))))))))))))
.

2009-02-18 19:56 . 2009-02-18 19:56 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Office Genuine Advantage
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> d--h----- c:\documents and settings\Administrator\Risorse di stampa
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> d--h----- c:\documents and settings\Administrator\Risorse di rete
2009-02-18 15:58 . 2003-04-05 05:54 <DIR> dr------- c:\documents and settings\Administrator\Preferiti
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> d--h----- c:\documents and settings\Administrator\Modelli
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> dr------- c:\documents and settings\Administrator\Menu Avvio
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> d--h----- c:\documents and settings\Administrator\Impostazioni locali
2009-02-18 15:58 . 2003-04-05 05:54 <DIR> dr------- c:\documents and settings\Administrator\Documenti
2009-02-18 15:58 . 2003-04-09 01:26 <DIR> d-------- c:\documents and settings\Administrator\Dati applicazioni\ATI
2009-02-18 15:58 . 2003-04-05 05:38 <DIR> dr-h----- c:\documents and settings\Administrator\Dati applicazioni
2009-02-18 15:58 . 2009-02-18 15:58 <DIR> d-------- c:\documents and settings\Administrator
2009-02-17 14:16 . 2009-02-17 14:16 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-02-17 14:16 . 2009-02-17 14:16 <DIR> d-------- c:\documents and settings\Francesco\Dati applicazioni\Malwarebytes
2009-02-17 14:16 . 2009-02-17 14:16 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-02-17 14:16 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-17 14:16 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-15 18:10 . 2009-02-15 18:10 <DIR> d-------- c:\documents and settings\Francesco\Dati applicazioni\Uniblue
2009-02-15 18:10 . 2009-02-15 18:10 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\DriverScanner
2009-02-12 22:54 . 2009-02-12 22:54 <DIR> d-------- C:\ATI
2009-02-03 19:52 . 2009-02-03 19:52 <DIR> d-------- c:\programmi\File comuni\xing shared
2009-02-03 18:59 . 2009-02-03 18:59 <DIR> d--hs---- C:\FOUND.001
2009-01-30 12:28 . 2009-01-30 12:28 <DIR> d--hs---- C:\FOUND.000
2009-01-29 23:34 . 2009-02-16 14:01 794 --a------ c:\windows\system32\%LocalXml%
2009-01-29 22:23 . 2009-01-29 22:23 <DIR> d-------- c:\programmi\Kaspersky Lab
2009-01-29 22:23 . 2009-01-29 22:23 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-01-29 22:23 . 2009-02-03 18:35 101,287 --a------ c:\windows\system32\drivers\klin.dat
2009-01-29 22:23 . 2009-02-03 18:35 89,601 --a------ c:\windows\system32\drivers\klick.dat
2009-01-29 22:23 . 2009-02-19 20:57 32 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-01-29 22:23 . 2009-02-19 20:57 32 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-01-29 22:23 . 2009-02-19 20:57 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-29 22:23 . 2009-02-19 20:57 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-28 19:46 . 2009-01-28 19:46 <DIR> d-------- c:\documents and settings\Francesco\Dati applicazioni\Babylon
2009-01-28 19:46 . 2009-01-28 19:46 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Babylon
2009-01-23 16:18 . 2009-01-23 16:18 <DIR> d-------- c:\programmi\IObit
2009-01-23 16:18 . 2009-01-23 16:18 <DIR> d-------- c:\documents and settings\Francesco\Dati applicazioni\IObit
2009-01-23 15:21 . 2009-01-23 15:21 <DIR> d-------- c:\programmi\Ashampoo
2009-01-22 17:23 . 2009-01-22 17:24 <DIR> d-------- c:\programmi\MSECache
2009-01-22 17:15 . 2009-01-22 17:15 <DIR> d-------- c:\documents and settings\Francesco\Dati applicazioni\U3

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 12:30 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-02-03 18:50 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-16 20:15 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2009-01-14 16:37 --------- d-----w c:\programmi\File comuni\Real
2009-01-10 18:39 --------- d-----w c:\programmi\Microsoft Office Outlook Connector
2009-01-10 18:36 --------- d-----w c:\programmi\Microsoft Sync Framework
2009-01-10 18:32 --------- d-----w c:\programmi\Windows Live SkyDrive
2009-01-10 18:32 --------- d-----w c:\programmi\Microsoft
2009-01-10 18:11 --------- d-----w c:\programmi\File comuni\Windows Live
2008-12-31 16:04 691,560 ----a-w c:\windows\system32\OGACheckControl.dll
2008-12-31 16:04 528,744 ----a-w c:\windows\system32\OGAVerify.exe
2008-12-31 16:04 502,120 ----a-w c:\windows\system32\OGAAddin.dll
2008-12-24 15:49 --------- d-----w c:\documents and settings\Francesco\Dati applicazioni\dvdcss
2008-12-22 23:10 --------- d-----w c:\documents and settings\Francesco\Dati applicazioni\vlc
2008-12-22 23:06 --------- d-----w c:\programmi\VideoLAN
2008-12-20 22:30 63,488 ------w c:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w c:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ------w c:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ------w c:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w c:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ------w c:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w c:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ------w c:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ------w c:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ------w c:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ------w c:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ------w c:\windows\system32\dllcache\advpack.dll
2008-12-19 09:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys
2008-12-04 23:38 308,072 ----a-w c:\windows\WLXPGSS.SCR
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
2008-11-28 22:55 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-11-28 22:55 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-11-28 22:55 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-11-03 11:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008102720081103\index.dat
2008-11-03 11:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008110320081104\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-11-02 102491]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-11-02 692315]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"ATICCC"="c:\programmi\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-10-19 69632]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-11-30 225280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"c:\\WINDOWS\\System32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\Messenger\\MSMSGS.EXE"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2327:UDP"= 2327:UDP:Windows Media Format SDK (wmplayer.exe)
"2326:UDP"= 2326:UDP:Windows Media Format SDK (wmplayer.exe)

S0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]
S1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2008-11-02 12106]
S2 AGWinService;AG Windows Service;c:\programmi\AGI\common\win32\pythonservice.exe [2008-11-28 10240]
S2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2008-11-02 4096]
S2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2008-11-02 78208]
S2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-01-10 55136]
S2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-11-02 7296]
S2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2008-11-02 4010]
S2 SeaPort;SeaPort;c:\programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]
S3 AVerM115;AVerM115 service;c:\windows\system32\drivers\AVerM115.sys [2005-08-24 692992]
S3 fsssvc;Windows Live Family Safety;c:\programmi\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344]
S3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [2008-11-02 1088896]
S3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\drivers\NdisFilt.sys [2008-11-02 4392]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - MDMXSDK
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-19 c:\windows\Tasks\AWC AutoSweep.job
- c:\programmi\IObit\Advanced SystemCare 3\AutoSweep.exe [2009-01-06 11:32]

2009-02-19 c:\windows\Tasks\AWC Update.job
- c:\programmi\IObit\Advanced SystemCare 3\IObitUpdate.exe [2009-01-06 11:37]

2009-02-19 c:\windows\Tasks\AWC Update.job
- c:\programmi\IObit\Advanced SystemCare 3\ [2009-01-23 16:18]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://global.acer.com
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 21:15:54
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(220)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll
.
Ora fine scansione: 2009-02-19 21:18:25
ComboFix-quarantined-files.txt 2009-02-19 20:17:10

Pre-Run: 22,744,367,104 byte disponibili
Post-Run: 22,726,901,760 byte disponibili

178 --- E O F --- 2009-02-18 18:19:41
[/color]

2009-02-19 21:09:09 A------- 54 C:\Qoobox\Quarantine\catchme.log
2009-02-19 21:15:33 A------- 10,606 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

da **Amantide** » gio feb 19, 2009 11:19 pm

francesco.com ha scritto:Salve a tutti, ho eseguito tutto come da istruzioni vi allego i due log di ComboFix.

Sembra che tutti i file infetti sono stati già rimossi da malwarebytes.

francesco.com ha scritto:Inoltre vorrei chiedervi perché mi succede questo:

"Lancia Hthis e pulisci gli ADS in questo modo:

quando ho cliccato su Open ads spy, in HijackThis, ho ricevuto questo messaggio: Alternate Data Streams (ADS) are only possible on NTFS systems. Since there are no NTFS volumes on this system, ADS Spy will not function. Ho cliccato su ok e poi non mi si permette di cliccare su SCAN

La risposta sta proprio nella domanda: Alternate Data Streams (ADS) are only possible on NTFS systems, ed invece il tuo disco è in file system FAT32... comunque è irrilevante.

Io penso che i driver video semplicemente vanno in conflitto con qualche altra applicazione oppure si sono corrotti.
Per caso ricordi che programmi hai installato prima del verificarsi di questo problema? Il programma Advanced SystemCare 3 è da tanto tempo che ce l'hai installato? Lo vedo abbastanza invasivo [uhm]

Prova a seguire anche i consigli di crazy.cat: disinstalla completamente i driver video seguendo questa guida http://www.MegaLab.it/2264/rimozione-dei-vecchi-driver , e reinstalla quelli nuovi che puoi scaricare da qui , selezionando il tuo modello.

da **francesco.com** » dom feb 22, 2009 11:08 pm

Per ora non ho riscontrato problemi come in precedenza, ma se dovesse succedere, tenendo presente:

"Io penso che i driver video semplicemente vanno in conflitto con qualche altra applicazione oppure si sono corrotti.
Per caso ricordi che programmi hai installato prima del verificarsi di questo problema? Il programma Advanced SystemCare 3 è da tanto tempo che ce l'hai installato? Lo vedo abbastanza invasivo"

penso di agire disinstallando Advanced SystemCare 3, infatti, a memoria, è da circa quel periodo che il monitor ha cominciato a fare le bizze e comunque non trascurerei il fatto che avevo dei malware. A tal proposito, chiedo a voi esperti qual è la migliore protezione antivirus, per utente che utilizza molto Emule, con una spesa non sproporzionata.
Come ho detto all'inizio per ora non ho problemi, però guardando nei processi di task manager noto due processi uguali e cioè CLI.EXE (con un diverso utilizzo di memoria), uno sotto l'altro, è normale?

p.s. Kaspersky ieri è scaduto, ora è in versione prova.

Sentitamente ringrazio voi tutti.

www.MegaLab.it

oscuramento monitor......virus???

oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Re: oscuramento monitor......virus???

Chi c’è in linea