Pagina 1 di 1

Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 11:43 am
da karpon
Buongiorno a tutti, ho fatto girare Combofix e ha trovato un certo numero di chiavi di registro bloccate.
Ho provato a cancellarle manualmente e poi con RegAssassin ma senza risultato.
Qualcuno può aiutarmi ?
grazie

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 12:15 pm
da crazy.cat
ci fai vedere il log di combofix?

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 4:27 pm
da karpon
Ecco il log di ComboFix

ComboFix 09-02-12.03 - Carlo 2009-02-16 11:11:30.3 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2047.1667 [GMT 1:00]
Eseguito da: d:\documents and settings\Carlo\Desktop\Utilità\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090215-0] *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((( Files Creati Da 2009-01-16 al 2009-02-16 )))))))))))))))))))))))))))))))))))
.

2009-02-14 14:47 . 2009-02-14 14:47 <DIR> d-------- d:\programmi\Malwarebytes' Anti-Malware
2009-02-14 14:47 . 2009-02-11 10:19 38,496 --a------ d:\windows\system32\drivers\mbamswissarmy.sys
2009-02-14 14:47 . 2009-02-11 10:19 15,504 --a------ d:\windows\system32\drivers\mbam.sys
2009-02-13 14:27 . 2009-02-13 14:27 <DIR> d-------- d:\documents and settings\Carlo\Dati applicazioni\Malwarebytes
2009-02-13 14:27 . 2009-02-13 14:27 <DIR> d-------- d:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-02-04 10:57 . 2009-02-04 10:57 <DIR> d-------- d:\programmi\Startup Manager
2009-02-04 10:57 . 2009-02-04 10:57 <DIR> d-------- d:\documents and settings\All Users\Dati applicazioni\Startup Manager
2009-01-30 19:22 . 2009-01-30 19:22 <DIR> d-------- d:\documents and settings\Carlo\Dati applicazioni\JAM Software
2009-01-30 19:21 . 2009-01-30 19:21 <DIR> d-------- d:\programmi\TreeSize
2009-01-29 22:57 . 2009-01-30 19:18 15,688 --a------ d:\windows\system32\lsdelete.exe
2009-01-28 10:08 . 2009-01-28 10:08 64,160 --a------ d:\windows\system32\drivers\Lbd.sys
2009-01-28 10:07 . 2009-01-28 10:07 <DIR> d--h----- d:\documents and settings\All Users\Dati applicazioni\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-28 10:06 . 2009-01-28 10:06 <DIR> d-------- d:\programmi\Lavasoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 20:15 3,594,752 ----a-w d:\windows\system32\dllcache\mshtml.dll
2008-12-27 16:19 --------- d-----w d:\programmi\TCPView
2008-12-20 22:30 63,488 ------w d:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w d:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ----a-w d:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ----a-w d:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w d:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ----a-w d:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w d:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ----a-w d:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ----a-w d:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ----a-w d:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ----a-w d:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ----a-w d:\windows\system32\dllcache\advpack.dll
2008-12-19 09:12 70,656 ----a-w d:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w d:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ----a-w d:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ----a-w d:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w d:\windows\system32\dllcache\srv.sys
2008-09-20 18:19 20 ---h--w d:\documents and settings\All Users\Dati applicazioni\PKP_DLdu.DAT
2008-09-10 11:46 47,360 ------w d:\documents and settings\Carlo\Dati applicazioni\pcouffin.sys
2008-02-25 10:44 513,064 ------w d:\programmi\autorunsc.exe
2008-02-01 13:45 4,580,400 ------w d:\programmi\TVUPlayer2.3.5beta4.exe
2007-12-14 09:07 48,130 ------w d:\programmi\autoruns.chm
2007-02-09 18:17 693,840 ------w d:\documents and settings\All Users\wmv9VCMsetup.exe
2006-08-13 11:14 22,556 ------w d:\documents and settings\Carlo\AGGESTRA.EXE
2006-08-06 18:17 22,556 ------w d:\programmi\AGGESTRA.EXE
2006-07-28 07:32 7,005 ------w d:\programmi\Eula.txt
2002-03-18 08:18 12,073 ------w d:\programmi\hp201ip5.cat
2002-03-01 05:51 350,480 ------w d:\programmi\hpbf201i.dll
2002-03-01 05:51 190,736 ------w d:\programmi\hpbf201j.dll
2002-03-01 05:51 109,840 ------w d:\programmi\hpbf201f.dll
2002-03-01 05:51 1,096,464 ------w d:\programmi\hpbf201h.dll
2002-03-01 05:50 8,464 ------w d:\programmi\hpbf201e.dll
2002-03-01 05:50 46,914 ------w d:\programmi\hpbf201i.pmd
2002-03-01 05:50 1,417,488 ------w d:\programmi\hpbf201g.dll
2002-03-01 03:09 460,800 ------w d:\programmi\hpbf201k.dll
2002-02-28 02:46 1,658 ------w d:\programmi\hp201ip5.inf
2001-05-04 04:31 45,056 ------w d:\programmi\hpbafd32.dll
2001-03-14 09:08 58,880 ------w d:\programmi\hpdcmon.dll
2000-11-13 06:03 50,436 ------w d:\programmi\hpbf201i.hlp
2000-03-13 02:58 99,840 ------w d:\programmi\hpbftm32.dll
1999-09-21 15:00 425,984 ------w d:\programmi\SBSETUP.EXE
1999-03-10 15:53 99,840 ----a-w d:\programmi\File comuni\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w d:\programmi\File comuni\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w d:\programmi\File comuni\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w d:\programmi\File comuni\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w d:\programmi\File comuni\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w d:\programmi\File comuni\IRASRIAL.DLL
1996-10-07 15:48 6,725 ------w d:\programmi\HPLicit.txt
1987-10-08 16:57 76,816 ------w d:\programmi\BRUN40.EXE
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"PeerGuardian"="d:\programmi\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"NBJ"="d:\programmi\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
"swg"="d:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"DSLAGENTEXE"="d:\program files\GlobespanVirata\Adsl\dslagent.exe" [2003-09-19 16384]
"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="d:\programmi\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"Ad-Watch"="d:\programmi\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-29 509784]
"Google IME Autoupdater"="d:\programmi\Google\Google Pinyin\GooglePinyinDaemon.exe" [2008-10-17 308720]
"HP Software Update"="d:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QuickTime Task"="d:\programmi\QuickTime\qttask.exe" [2006-10-25 282624]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 d:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2007-12-05 d:\windows\system32\nwiz.exe]
"GSICONEXE"="gsicon.exe" [2003-01-08 d:\windows\system32\gsicon.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

d:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinManager.lnk - d:\programmi\PC-TV\WinManager\WinManager.exe [2008-12-26 61440]

d:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\AutorunsDisabled
Porta Symantec Fax Starter Edition.lnk - d:\programmi\Microsoft Office\Office\1040\OLFSNT40.EXE [1999-03-10 45568]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio rapido HP Photosmart Premier.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BlueSoleil.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Nikon Monitor.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NkvMon.exe.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
--a------ 2009-01-29 20:33 509784 d:\programmi\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--------- 2005-07-07 18:41 57344 d:\programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--------- 2008-10-15 01:04 39792 d:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google IME Autoupdater]
--a------ 2008-10-17 09:38 308720 d:\programmi\Google\Google Pinyin\GooglePinyinDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-05-08 16:24 54840 d:\programmi\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--------- 2005-10-11 18:25 1961984 d:\programmi\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 18:58 282624 d:\programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-06-07 21:48 68856 d:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmi\\Microsoft Office\\Office\\1040\\wfxmsrvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\WINDOWS\\System32\\dpvsetup.exe"=
"d:\\WINDOWS\\System32\\mmc.exe"=
"d:\\Programmi\\Ahead\\Nero ShowTime\\ShowTime.exe"=
"d:\\Programmi\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe"=
"d:\\Programmi\\QuickTime\\QuickTimePlayer.exe"=
"d:\\Programmi\\TVAnts\\Tvants.exe"=
"d:\\Programmi\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"d:\\Programmi\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Documents and Settings\\Carlo\\Dati applicazioni\\SopCast\\adv\\SopAdver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 hotcore2;hotcore2;d:\windows\system32\drivers\hotcore2.sys [2008-07-20 30808]
R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [2009-01-28 64160]
R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [2008-05-15 114768]
R1 sp_rsdrv2;sp_rsdrv2;d:\windows\system32\drivers\sp_rsdrv2.sys [2008-04-25 141312]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [2008-05-15 20560]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programmi\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
S2 hppecp00;hppecp00;\??\d:\windows\system32\drivers\hppecp00.sys --> d:\windows\system32\drivers\hppecp00.sys [?]
S3 GRABSTER250;Grabster AV 250;d:\windows\system32\drivers\GRABSTER250.SYS [2008-02-21 114432]
S3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;d:\windows\system32\drivers\UDXTTM6000.sys [2008-06-15 236928]
S3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;d:\windows\system32\drivers\UDXTTM6000HID.sys [2008-06-15 17408]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{237b5ff7-a013-11dd-8390-00138f71842e}]
\Shell\AutoRun\command - L:\AUTORUN.EXE
.
Contenuto della cartella 'Scheduled Tasks'

2009-01-28 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programmi\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-30 19:18]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} - hxxp://visualizzamms.net.vodafone.it/mm ... tiveXs.cab
DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://www.tele2mail.com/static/apps/ut ... Helper.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-16 11:13:03
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,08,36,9d,a3,8b,
48,09,4c,e2,63,26,f1,3f,c8,ff,68,1a,d1,e5,09,d7,c1,22,59,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,7d,26,19,f1,34,
66,e4,20,6a,9c,d6,61,af,45,84,18,20,02,69,5f,98,e3,ae,37,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,90,2b,0c,d5,bc,
47,d1,92,ff,7c,85,e0,43,d4,0e,fe,0e,fc,83,8f,ea,72,ee,40,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,9c,b6,c4,05,34,
c7,97,9d,86,8c,21,01,be,91,eb,e7,4d,d7,de,9c,4b,87,77,35,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,74,27,62,3b,84,
1e,58,6e,f5,1d,4d,73,a8,13,5c,05,ee,1b,54,ea,d3,84,17,01,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,7f,e9,b0,3c,d3,
d8,39,ed,df,20,58,62,78,6b,cf,c8,ba,f8,c3,8e,7a,32,56,c6,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,19,a5,d1,a2,98,
bd,84,da,fb,a7,78,e6,12,2f,9a,ea,fb,25,f8,29,bf,0a,fe,be,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,8a,c6,f7,3a,63,
00,42,98,01,3a,48,fc,e8,04,4a,f1,37,f0,f0,14,ac,e7,ca,5e,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,5d,b7,db,c1,bc,
02,30,6c,f6,0f,4e,58,98,5b,89,c9,97,a9,c9,cd,f3,c4,ca,e4,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,bc,92,8d,2c,ac,
e6,27,8b,3d,ce,ea,26,2d,45,aa,78,5d,3b,e0,c1,d0,3b,fc,5c,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,9e,78,c0,fc,ab,
4d,3f,f8,2a,b7,cc,b5,b9,7f,41,e7,0c,f8,40,96,fc,37,97,f0,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,5c,42,8f,04,2d,
b2,62,74,6c,43,2d,1e,aa,22,2f,9c,51,53,6b,9f,b6,8c,1d,e6,6c,43,2d,1e,aa,22,\
.
Ora fine scansione: 2009-02-16 11:14:47
ComboFix-quarantined-files.txt 2009-02-16 10:14:46
ComboFix2.txt 2009-02-14 18:30:48

Pre-Run: 29,884,792,832 byte disponibili
Post-Run: 29,864,099,840 byte disponibili

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
255 --- E O F --- 2009-02-11 14:29:30

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 5:51 pm
da ste_95
karpon ha scritto:--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

Queste non sembra non pericolose. Il resto del log di ComboFix è pulito. Tu non hai problemi con il computer, vero?

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 7:02 pm
da karpon
Problemi particolari no. Anche se ultimamente mi sembra che la macchina sia sempre in funzione. la spia rossa mi sembra che si accenda continuamente più del solito, con il caratteristico rumore di fondo come se stesse elaborando qualcosa.

A proposito delle chiavi di registro bloccate che devo fare per cancellarle?

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 7:07 pm
da ste_95
Non so se cancellarle risolverà il problema, anzi, ho seri dubbi. Comunque, proviamoci.

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Registry keys to delete:
HKLM\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32
HKLM\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32
HKLM\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32
HKLM\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32
HKLM\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32
HKLM\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32
HKLM\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32
HKLM\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32
HKLM\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32
HKLM\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32
HKLM\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32
HKLM\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger riporta un errore, prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti.

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 7:32 pm
da Amantide
Scusate ma non capisco proprio perché volete rimuovere per forza queste chiavi di registro, che a quanto pare sono bloccate solo per il fatto di essere strettamente collegate al sistema, visto che il file OLE32.DLL è una libreria di sistema.
Siete proprio sicuri di non creare i problemi maggiori di quelli esistenti?

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 7:56 pm
da ste_95
Amantide ha scritto:Scusate ma non capisco proprio perché volete rimuovere per forza queste chiavi di registro, che a quanto pare sono bloccate solo per il fatto di essere strettamente collegate al sistema, visto che il file OLE32.DLL è una libreria di sistema.
Siete proprio sicuri di non creare i problemi maggiori di quelli esistenti?

Anche io ero infatti dubbioso.
ste_95 ha scritto:Non so se cancellarle risolverà il problema, anzi, ho seri dubbi.

Alla peggio comunque, basta ripristinare i backup di Avenger, ma appunto, non mi sembrano proprio correlate a malware.

Re: Chiavi di registro bloccate

MessaggioInviato: lun feb 16, 2009 10:24 pm
da karpon
Scusate ma non capisco proprio perché volete rimuovere per forza queste chiavi di registro, che a quanto pare sono bloccate solo per il fatto di essere strettamente collegate al sistema, visto che il file OLE32.DLL è una libreria di sistema.
Siete proprio sicuri di non creare i problemi maggiori di quelli esistenti?


Sono d'accordo con quanto dice Amantide. Meglio non correre rischi.
(Del resto era dubbioso anche Ste_95, che dietro mia insistenza mi ha consigliato una certa procedura).

Comunque per fugare qualsiasi altro dubbio e forse per fare un po' di chiarezza vorrei esporre l'antefatto.
Curiosando nel Task Manager ho notato un processo che mi ha insospettito: rdwafak.exe il cui percorso era d:/documents and setting/Carlo/Impostazioni locali/dati applicazione/rdwafak.exe
Ho scannerizzato il file con Virustotal che ha trovato il Trojan Downloader.Tibs.gen
Ho quindi girato Malwarebytes e ho eliminato la minaccia.
A questo punto da start/esegui ho girato ComboFix con l'opzione /killall che ha eliminato i files seguenti:
d:\documents and settings\Carlo\Dati applicazioni\inst.exe
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\oaumu.dat
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\oaumu_nav.dat
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\oaumu_navps.dat
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\rdwafak.dat
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\rdwafak.exe
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\rdwafak_nav.dat
d:\documents and settings\Carlo\Impostazioni locali\Dati applicazioni\rdwafak_navps.dat
d:\windows\emMON.exe
d:\windows\system32\mdm.exe

Forse mdm.exe non lo doveva cancellare ?

Da qui inizia la nostra discussione.

Visto che Amantide fa cenno alla libreria di sistema ole32.dll, se può essere utile posto gli ole32.dll presenti nel computer
ole32.dll d:/windows/system32 1257 KB 2008-04-14
ole32.dll d:/windows/ServicePackFiles/j386 1257 KB 2008-04-14
ole32.dll d:/windows/SoftwareDistribution/Download/fc12fb9dc078edc471023573f97c4e40 1257 KB 2008-04-14

Scusate la lungaggine, ma la macchina è in elaborazione continua (di che cosa non so)

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 12:31 am
da Amantide
d:\windows\emMON.exe
d:\windows\system32\mdm.exe

Trova questi 2 file nella cartella C:\Qoobox, riportali alla loro estensione .exe e rimettili alla loro posizione originale, si tratta di falsi positivi.

Anche i file ole32.dll che hai elencato sono tutti originali.

P.S. Dopo aver eseguito per la seconda volta il Combofix, ti ha generato il file di report? Lo puoi postare qui?

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 10:20 am
da karpon
Ho riportato (.exe) i 2 files nella loro posizione originale.
Curiosità: quando ho rinominato il file emMON.exe.vir in .exe questo ha assunto l'icona "a barre", anzichè quella classica di una applicazione.
Ecco il log richiesto.

ComboFix 09-02-12.03 - Carlo 2009-02-14 19:27:47.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2047.1600 [GMT 1:00]
Eseguito da: d:\documents and settings\Carlo\Desktop\Utilità\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090213-0] *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((((( Files Creati Da 2009-01-14 al 2009-02-14 )))))))))))))))))))))))))))))))))))
.

2009-02-14 14:47 . 2009-02-14 14:47 <DIR> d-------- d:\programmi\Malwarebytes' Anti-Malware
2009-02-14 14:47 . 2009-02-11 10:19 38,496 --a------ d:\windows\system32\drivers\mbamswissarmy.sys
2009-02-14 14:47 . 2009-02-11 10:19 15,504 --a------ d:\windows\system32\drivers\mbam.sys
2009-02-13 14:27 . 2009-02-13 14:27 <DIR> d-------- d:\documents and settings\Carlo\Dati applicazioni\Malwarebytes
2009-02-13 14:27 . 2009-02-13 14:27 <DIR> d-------- d:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-02-04 10:57 . 2009-02-04 10:57 <DIR> d-------- d:\programmi\Startup Manager
2009-02-04 10:57 . 2009-02-04 10:57 <DIR> d-------- d:\documents and settings\All Users\Dati applicazioni\Startup Manager
2009-01-30 19:22 . 2009-01-30 19:22 <DIR> d-------- d:\documents and settings\Carlo\Dati applicazioni\JAM Software
2009-01-30 19:21 . 2009-01-30 19:21 <DIR> d-------- d:\programmi\TreeSize
2009-01-29 22:57 . 2009-01-30 19:18 15,688 --a------ d:\windows\system32\lsdelete.exe
2009-01-28 10:08 . 2009-01-28 10:08 64,160 --a------ d:\windows\system32\drivers\Lbd.sys
2009-01-28 10:07 . 2009-01-28 10:07 <DIR> d--h----- d:\documents and settings\All Users\Dati applicazioni\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-28 10:06 . 2009-01-28 10:06 <DIR> d-------- d:\programmi\Lavasoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 20:15 3,594,752 ----a-w d:\windows\system32\dllcache\mshtml.dll
2008-12-27 16:19 --------- d-----w d:\programmi\TCPView
2008-12-27 15:48 --------- d-----w d:\programmi\eMule 0.49a X-Ray
2008-12-20 22:30 63,488 ------w d:\windows\system32\dllcache\icardie.dll
2008-12-20 22:30 6,066,688 ------w d:\windows\system32\dllcache\ieframe.dll
2008-12-20 22:30 44,544 ----a-w d:\windows\system32\dllcache\iernonce.dll
2008-12-20 22:30 384,512 ----a-w d:\windows\system32\dllcache\iedkcs32.dll
2008-12-20 22:30 383,488 ------w d:\windows\system32\dllcache\ieapfltr.dll
2008-12-20 22:30 347,136 ----a-w d:\windows\system32\dllcache\dxtmsft.dll
2008-12-20 22:30 267,776 ------w d:\windows\system32\dllcache\iertutil.dll
2008-12-20 22:30 230,400 ----a-w d:\windows\system32\dllcache\ieaksie.dll
2008-12-20 22:30 214,528 ----a-w d:\windows\system32\dllcache\dxtrans.dll
2008-12-20 22:30 153,088 ----a-w d:\windows\system32\dllcache\ieakeng.dll
2008-12-20 22:30 133,120 ----a-w d:\windows\system32\dllcache\extmgr.dll
2008-12-20 22:30 124,928 ----a-w d:\windows\system32\dllcache\advpack.dll
2008-12-19 09:12 70,656 ----a-w d:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w d:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ----a-w d:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ----a-w d:\windows\system32\dllcache\ieakui.dll
2008-12-11 10:57 333,952 ------w d:\windows\system32\dllcache\srv.sys
2008-09-20 18:19 20 ---h--w d:\documents and settings\All Users\Dati applicazioni\PKP_DLdu.DAT
2008-09-10 11:46 47,360 ------w d:\documents and settings\Carlo\Dati applicazioni\pcouffin.sys
2008-02-25 10:44 513,064 ------w d:\programmi\autorunsc.exe
2008-02-01 13:45 4,580,400 ------w d:\programmi\TVUPlayer2.3.5beta4.exe
2007-12-14 09:07 48,130 ------w d:\programmi\autoruns.chm
2007-02-09 18:17 693,840 ------w d:\documents and settings\All Users\wmv9VCMsetup.exe
2006-08-13 11:14 22,556 ------w d:\documents and settings\Carlo\AGGESTRA.EXE
2006-08-06 18:17 22,556 ------w d:\programmi\AGGESTRA.EXE
2006-07-28 07:32 7,005 ------w d:\programmi\Eula.txt
2002-03-18 08:18 12,073 ------w d:\programmi\hp201ip5.cat
2002-03-01 05:51 350,480 ------w d:\programmi\hpbf201i.dll
2002-03-01 05:51 190,736 ------w d:\programmi\hpbf201j.dll
2002-03-01 05:51 109,840 ------w d:\programmi\hpbf201f.dll
2002-03-01 05:51 1,096,464 ------w d:\programmi\hpbf201h.dll
2002-03-01 05:50 8,464 ------w d:\programmi\hpbf201e.dll
2002-03-01 05:50 46,914 ------w d:\programmi\hpbf201i.pmd
2002-03-01 05:50 1,417,488 ------w d:\programmi\hpbf201g.dll
2002-03-01 03:09 460,800 ------w d:\programmi\hpbf201k.dll
2002-02-28 02:46 1,658 ------w d:\programmi\hp201ip5.inf
2001-05-04 04:31 45,056 ------w d:\programmi\hpbafd32.dll
2001-03-14 09:08 58,880 ------w d:\programmi\hpdcmon.dll
2000-11-13 06:03 50,436 ------w d:\programmi\hpbf201i.hlp
2000-03-13 02:58 99,840 ------w d:\programmi\hpbftm32.dll
1999-09-21 15:00 425,984 ------w d:\programmi\SBSETUP.EXE
1999-03-10 15:53 99,840 ----a-w d:\programmi\File comuni\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w d:\programmi\File comuni\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w d:\programmi\File comuni\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w d:\programmi\File comuni\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w d:\programmi\File comuni\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w d:\programmi\File comuni\IRASRIAL.DLL
1996-10-07 15:48 6,725 ------w d:\programmi\HPLicit.txt
1987-10-08 16:57 76,816 ------w d:\programmi\BRUN40.EXE
.

((((((((((((((((((((((((((((( SnapShot@2009-02-14_16.35.53.25 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-14 15:46:34 16,384 ----a-w d:\windows\Temp\Perflib_Perfdata_2a4.dat
+ 2009-02-14 15:46:24 16,384 ----a-w d:\windows\Temp\Perflib_Perfdata_610.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"PeerGuardian"="d:\programmi\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"NBJ"="d:\programmi\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
"swg"="d:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"DSLAGENTEXE"="d:\program files\GlobespanVirata\Adsl\dslagent.exe" [2003-09-19 16384]
"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="d:\programmi\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"Ad-Watch"="d:\programmi\Lavasoft\Ad-Aware\AAWTray.exe" [2009-01-29 509784]
"Google IME Autoupdater"="d:\programmi\Google\Google Pinyin\GooglePinyinDaemon.exe" [2008-10-17 308720]
"HP Software Update"="d:\programmi\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QuickTime Task"="d:\programmi\QuickTime\qttask.exe" [2006-10-25 282624]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 d:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2007-12-05 d:\windows\system32\nwiz.exe]
"GSICONEXE"="gsicon.exe" [2003-01-08 d:\windows\system32\gsicon.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

d:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
BlueSoleil.lnk - d:\programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe [2008-05-18 1183744]
WinManager.lnk - d:\programmi\PC-TV\WinManager\WinManager.exe [2008-12-26 61440]

d:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\AutorunsDisabled
Porta Symantec Fax Starter Edition.lnk - d:\programmi\Microsoft Office\Office\1040\OLFSNT40.EXE [1999-03-10 45568]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio rapido HP Photosmart Premier.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^BlueSoleil.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Nikon Monitor.lnk]

[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NkvMon.exe.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
--a------ 2009-01-29 20:33 509784 d:\programmi\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--------- 2005-07-07 18:41 57344 d:\programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--------- 2008-10-15 01:04 39792 d:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google IME Autoupdater]
--a------ 2008-10-17 09:38 308720 d:\programmi\Google\Google Pinyin\GooglePinyinDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-05-08 16:24 54840 d:\programmi\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
--------- 2005-10-11 18:25 1961984 d:\programmi\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 18:58 282624 d:\programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-06-07 21:48 68856 d:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmi\\Microsoft Office\\Office\\1040\\wfxmsrvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\WINDOWS\\System32\\dpvsetup.exe"=
"d:\\WINDOWS\\System32\\mmc.exe"=
"d:\\Programmi\\Ahead\\Nero ShowTime\\ShowTime.exe"=
"d:\\Programmi\\Intuwave\\Shared\\mRouterRunTime\\mRouterRuntime.exe"=
"d:\\Programmi\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"d:\\Programmi\\QuickTime\\QuickTimePlayer.exe"=
"d:\\Programmi\\TVAnts\\Tvants.exe"=
"d:\\Programmi\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"d:\\Programmi\\LimeWire\\LimeWire.exe"=
"d:\\Programmi\\MUTE\\fileSharingMUTE-MFC_0.0.1.exe"=
"d:\\Programmi\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Documents and Settings\\Carlo\\Dati applicazioni\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programmi\\eMule 0.49a X-Ray\\emule.exe"=
"d:\\Programmi\\eMule 0.49a X-Ray\\eMule\\emule.exe"=
"d:\\Programmi\\eMule 0.49a X-Ray\\Xtreme\\emule0.49b-Xtreme7.0\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 hotcore2;hotcore2;d:\windows\system32\drivers\hotcore2.sys [2008-07-20 30808]
R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [2009-01-28 64160]
R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [2008-05-15 114768]
R1 sp_rsdrv2;sp_rsdrv2;d:\windows\system32\drivers\sp_rsdrv2.sys [2008-04-25 141312]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [2008-05-15 20560]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programmi\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
S2 hppecp00;hppecp00;\??\d:\windows\system32\drivers\hppecp00.sys --> d:\windows\system32\drivers\hppecp00.sys [?]
S3 GRABSTER250;Grabster AV 250;d:\windows\system32\drivers\GRABSTER250.SYS [2008-02-21 114432]
S3 UDXTTM6000;DTV-DVB UDXTTM6000 - USB 2.0 Receiver;d:\windows\system32\drivers\UDXTTM6000.sys [2008-06-15 236928]
S3 UDXTTM6000HID;UDXTTM6000HID - HID Driver;d:\windows\system32\drivers\UDXTTM6000HID.sys [2008-06-15 17408]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - PGFILTER

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{237b5ff7-a013-11dd-8390-00138f71842e}]
\Shell\AutoRun\command - L:\AUTORUN.EXE
.
Contenuto della cartella 'Scheduled Tasks'

2009-01-28 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programmi\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-30 19:18]
.
.
------- Scansione supplementare -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - d:\programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} - hxxp://visualizzamms.net.vodafone.it/mm ... tiveXs.cab
DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://www.tele2mail.com/static/apps/ut ... Helper.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 19:29:11
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,08,36,9d,a3,8b,
48,09,4c,e2,63,26,f1,3f,c8,ff,68,1a,d1,e5,09,d7,c1,22,59,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,7d,26,19,f1,34,
66,e4,20,6a,9c,d6,61,af,45,84,18,20,02,69,5f,98,e3,ae,37,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,90,2b,0c,d5,bc,
47,d1,92,ff,7c,85,e0,43,d4,0e,fe,0e,fc,83,8f,ea,72,ee,40,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,9c,b6,c4,05,34,
c7,97,9d,86,8c,21,01,be,91,eb,e7,4d,d7,de,9c,4b,87,77,35,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,74,27,62,3b,84,
1e,58,6e,f5,1d,4d,73,a8,13,5c,05,ee,1b,54,ea,d3,84,17,01,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,7f,e9,b0,3c,d3,
d8,39,ed,df,20,58,62,78,6b,cf,c8,ba,f8,c3,8e,7a,32,56,c6,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,19,a5,d1,a2,98,
bd,84,da,fb,a7,78,e6,12,2f,9a,ea,fb,25,f8,29,bf,0a,fe,be,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,8a,c6,f7,3a,63,
00,42,98,01,3a,48,fc,e8,04,4a,f1,37,f0,f0,14,ac,e7,ca,5e,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:b2,46,9a,e2,1b,fe,1b,94,5d,b7,db,c1,bc,
02,30,6c,f6,0f,4e,58,98,5b,89,c9,97,a9,c9,cd,f3,c4,ca,e4,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,bc,92,8d,2c,ac,
e6,27,8b,3d,ce,ea,26,2d,45,aa,78,5d,3b,e0,c1,d0,3b,fc,5c,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,9e,78,c0,fc,ab,
4d,3f,f8,2a,b7,cc,b5,b9,7f,41,e7,0c,f8,40,96,fc,37,97,f0,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="d:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,5c,42,8f,04,2d,
b2,62,74,6c,43,2d,1e,aa,22,2f,9c,51,53,6b,9f,b6,8c,1d,e6,6c,43,2d,1e,aa,22,\
.
Ora fine scansione: 2009-02-14 19:30:45
ComboFix-quarantined-files.txt 2009-02-14 18:30:44

Pre-Run: 29,941,563,392 byte disponibili
Post-Run: 29,921,263,616 byte disponibili

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
269 --- E O F --- 2009-02-11 14:29:30

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 1:16 pm
da Amantide
Non si vede nient'altro di sospetto [^]

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 2:29 pm
da karpon
Grazie Amantide.
Oggi SpyBot mi ha segnalato (e bloccato) la presenza del virus Win32.joel in msiexec.exe.
Ho cercato il file e ho scoperto che questo esiste nelle stesse cartelle di ole32.dll. Ricordi?

Questa era la mia segnalazione di ieri della presenza di ole32.dll
ole32.dll d:/windows/system32 1257 KB 2008-04-14
ole32.dll d:/windows/ServicePackFiles/j386 1257 KB 2008-04-14
ole32.dll d:/windows/SoftwareDistribution/Download/fc12fb9dc078edc471023573f97c4e40

Questa è la presenza del file msiexec.exe con virus di oggi
d:/windows/system32/msiexec.exe
d:/windows/ServicePackFiles/j386/msiexec.exe
d:/windows/SoftwareDistribution/Download/fc12fb9dc078edc471023573f97c4e40/msiexec.exe
d:/windows/prefetch/msiexec.exe
Coincidenza?

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 2:43 pm
da [Claudio]
Scusate se mi intrometto ..... @ Karpon:
Disattiva il Ripristino configurazione di sistema, procedendo in questa maniera:
Start
tasto destro del mouse sull'icona Risorse del Computer
seleziona la voce Proprietà
apri la scheda Ripristino configurazione di sistema
spunta la voce Disattiva Ripristino configurazione di sistema
conferma, la modifica, con Applica e, poi OK

Provvedi a svuotare del suo contenuto la cartella Prefetch:
Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno

Riesegui una scansione completa del sistema con Malwarebytes ed allega il log che verrà rilasciato

Poi (se non lo hai già) scarica ed installa Hijackthis: clicca qui per il download

lancia Hthis e pulisci gli ADS in questo modo (solo se la partizione è in NTFS):
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

rilancia Hijackthis:
clicca su Do a system scan and save a logfile
finita la scansione verrà rilasciato un il log: salvalo ed allegalo

Re: Chiavi di registro bloccate

MessaggioInviato: mar feb 17, 2009 3:29 pm
da Amantide
karpon ha scritto:Grazie Amantide.
Oggi SpyBot mi ha segnalato (e bloccato) la presenza del virus Win32.joel in msiexec.exe.
Ho cercato il file e ho scoperto che questo esiste nelle stesse cartelle di ole32.dll. Ricordi?

Questa è la presenza del file msiexec.exe con virus di oggi
d:/windows/system32/msiexec.exe
d:/windows/ServicePackFiles/j386/msiexec.exe
d:/windows/SoftwareDistribution/Download/fc12fb9dc078edc471023573f97c4e40/msiexec.exe
d:/windows/prefetch/msiexec.exe
Coincidenza?

Il file msiexec.exe è stato rilevato come il virus in tutte le posizioni da te indicate?
E' che questo file normalmente fa parte di file di sistema ed anche se venisse corrotto da un virus, sarebbe stato corrotto quello nella cartella system32 [uhm] , tutto ciò mi fa pensare che si tratta di un falso positivo.
Per scoprire se è veramente così e se sotto sotto si nasconde qualcosa, ti consiglio di eseguire la scansione con Kaspersky online e postare qui il suo report.

Re: Chiavi di registro bloccate

MessaggioInviato: mer feb 18, 2009 3:14 pm
da karpon
tutto ciò mi fa pensare che si tratta di un falso positivo

Hai ragione: si è trattato certamente di un falso positivo.
Ho scannerizzato con diversi antivirus tra cui Avast e Kaspersky ed è risultato tutto pulito.
Grazie Amantide della collaborazione.