Pagina 1 di 2

avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: lun nov 16, 2009 9:36 pm
da victuarprincipe
ciao a tutti
mentre tento di risolvere il problema con il pc fisso vi vorrei esporre il problema che ho sul portatile della mia ragazza sperando di riuscire a risolverlo prima che si arrabbi.
purtroppo il problema si è presentato prima che conoscessi il sito e credo di essere intervenuto in modo sbagliato,ora vi spiego tutto.
giorni fà mentre ero su internet mi si è aperta una finestra di avast che diceva:trovato un file sospetto!è stato rilevato un file sospetto(usando il metodo euristico)potrebbe essere un segnale di infezione virus,si prega di inviare il file al nostro laboratorio virus per ulteriori analisi.nome del file C:\windows\system32\LSSAS.exe tipo:rootkit:processo nascosto
possibili azioni eliminare ora o ignorare,azione raccomandata ignorare
ora io non ricordo se ho sempre ignorato o a volte l'ho eliminato anche visto che come riavviavo mi dava sempre questa finestra e a volte mi sembra che l'azione raccomandata sia stata elimina ora...comunque
resta il fatto che il problema si presentava continuamente ma non è finita..dopo aver ignorato si chiudeva questa finestra e dopo poco tempo se ne apriva un'altra che diceva: avast!ha trovato un virus nella memoria operativa.vista la pericolosità di lavorare con il computer finchè il virus è attivo si raccomanda il riavvio del pc e la scansione all'avvio di tutti i dati prima che il virus si attivi.vuoi pianificare un controllo all'avvio? si no e io ho cliccato si e il pc si spegneva e partiva questo controllo.veniva la pagina blu con scritto:
.................
premi esc per evitare il controllo
file rapporto: C:\Programmi\Alwil Software\Avast4\data\report\as wboot.txt
controllo di tutti i drives locali

(poi subito sotto passavano velocemente tutti i file che scansionava e si è fermato a questo e poi ad un altro molto simile)qui sotto metto la parentesi tonda ma era la graffa che non so fare.
file C:\system volume information\_restore(8b7a22d4-a76e-4996-8147-5f0473e9ede)\rp172\a0057712.scr e infetto da win32:inject_uw[trj]

premi 1 per cancellare
2 canc tutto
3 sposta
4 sposta tutto
5 sposta nel cestino
6 sposta tutto nel cestino
7 ripara
8 ripara tutto
9 ignora
0 ignora tutto
esc esce
visto che comunque il pc questo problema ha continuato a darlo per tutto un giorno non dico di averle provate tutte le opzioni quando ripartiva la scansione ma un paio di cose si

una volta ho scelto ripara(non sapevo proprio cosa fare)e mi diceva..la parentesi è sempre graffa ma metto la tonda
ripara:errore 42060(il file non è stato riparato)
sposta nel cestino:errore 0 x c 0000034 (impossibile trovare il nome dell'oggetto)
sul foglio dove mi sono segnato tutto avevo anche questa cosa ma non ricordo a cosa si riferisse forse un'altro errore che mi dava ma non credo di averlo riscritto completamente: 9c (status_device_data_error),forse avanti c'era errore:0x00000..

comunque questi sono gli errori,mentre a volte lo riparava o lo spostava nel cestino ma quando si riaccendeva il pc avast apriva sempre la finestra trovato file sospetto mi faceva riavviare.
chiamo un mio collega che trova informazioni su internet sul file LSSAS.exe e mi dice di eliminarlo con avenger(credo si chiamasse così)comunque non ricordo nemmeno come abbia fatto(forse ho scritto delete e il nome del file).ho ricominciato a navigare senza che si riaprisse la finestra di avast ma il pc è più lento e ogni tanto mi apre una finestra che purtroppo non mi sono appuntato cosa dice,provo a darvi delle indicazione:è una finestra rettangolare lunga e stretta con all'estremità sinistra un pallino rosso con dentro una x e c'è scritto qualcosa tipo l'inizializzazione o processo inizializzazione non è eseguito correttamente errore 0x0000005 e poi chiudi.scusate la poca precisione
comunque io chiudo ma si riapre subito e la richiudo(appare sempre per due volte poi basta)
comunque adesso il problema sembra si sia accentuato perché adesso come apro una pagina di internet ci mette moltissimo a caricarla e a volte non apre nulla o al massimo arrivo alla pagina iniziale ma non navigo.cosa posso fare?
spero di avervi dato più informazioni possibili,anche se poco dettagliate.
vi ringrazio da subito per gli aiuti che mi darete e sono a disposizione per ulteriori ragguagli
p.s
ho notato che molti mandano un..log con un programma che a quanto pare sembra utilissimo(haji..qualcosa)data la mia ignoranza se potete dirmi dove trovarlo e come utilizzarlo potrei provare a fare questa cosa e inviarvela se può esservi utile per capire il problema.
grazie mille di nuovo

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: lun nov 16, 2009 9:48 pm
da gioia271965
Eccolo:
http://www.ilsoftware.it/querydl.asp?id=754
scaricalo ed esegui solo lo scan. Poi posta il risultato qui.
Se il problema viene risolto, ti esorto caldamente a cambiare antivirus [;)]

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: lun nov 16, 2009 11:56 pm
da victuarprincipe
spero sia riuscito ad usarlo correttamente,ecco:


Logfile of Trend Micro HijackThis

v2.0.2
Scan saved at 0.03.07, on 17/11/2009
Platform: Windows XP SP2 (WinNT

5.01.2600)
MSIE: Internet Explorer v6.00 SP2

(6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32

\winlogon.exe
C:\WINDOWS\system32

\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32

\svchost.exe
C:\Programmi\Alwil

Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil

Software\Avast4\ashServ.exe
C:\WINDOWS\system32

\spoolsv.exe
C:\Programmi\Analog

Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Vodafone\Vodafone

Mobile Connect\Bin\VMCService.exe
C:\Programmi\Alwil

Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil

Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HPQ\HP

ProtectTools Security

Manager\PTHOSTTR.EXE
C:\WINDOWS\system32

\dla\tfswctrl.exe
C:\Programmi\Synaptics\SynTP\Sy

nTPEnh.exe
C:\Programmi\hpq\HP Wireless

Assistant\HP Wireless Assistant.exe
C:\Programmi\HPQ\Quick Launch

Buttons\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4

\ashDisp.exe
C:\Programmi\Vodafone\Vodafone

Mobile

Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32

\photo_id.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and

Settings\utente\photo_id.exe
C:\WINDOWS\system32\algs.exe
C:\Programmi\ADSL\StarModem

ADSL USB MODEM\dslmon.exe
C:\WINDOWS\System32

\svchost.exe
C:\WINDOWS\System32

\svchost.exe
C:\WINDOWS\System32

\svchost.exe
C:\Programmi\File

comuni\PCSuite\Services\ServiceLa

yer.exe
C:\Programmi\HPQ\SHARED\HPQ

WMI.exe
C:\Programmi\Internet

Explorer\iexplore.exe
C:\Programmi\File

comuni\Microsoft Shared\Windows

Live\WLLoginProxy.exe
C:\Programmi\WinRAR\WinRAR.ex

e
C:\DOCUME~1\utente\IMPOST~1

\Temp\Rar$EX00.968\HijackThis.exe

R0 -

HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://it.yahoo.com/
R1 -

HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

http://www.hp.com
R0 -

HKLM\Software\Microsoft\Internet

Explorer\Search,SearchAssistant =
R1 -

HKCU\Software\Microsoft\Internet

Connection Wizard,ShellNext =

http://www.hp.com/
R0 -

HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName =

Collegamenti
O2 - BHO: Yahoo! Toolbar Helper -

{02478D38-C3F9-4EFB-9B51-

7695ECA05670} -

C:\Programmi\Yahoo!

\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link

Helper - {06849E9F-C8D7-4D59-B87D

-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat 7.0

\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess -

{5CA3D70E-1895-11CF-8E15-

001234567890} -

C:\WINDOWS\system32

\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-

626A-48EC-A868-BA8D5E23E045} -

(no file)
O2 - BHO: Guida per l'accesso a

Windows Live - {9030D464-4C02-

4ABF-8ECC-5164760863C6} -

C:\Programmi\File

comuni\Microsoft Shared\Windows

Live\WindowsLiveLogin.dll
O2 - BHO: Search Assistant -

{F0626A63-410B-45E2-99A1-

3F2475B2D695} - C:\Program

Files\SGPSA\BHO.dll
O3 - Toolbar: Yahoo! Toolbar -

{EF99BD32-C1FB-11D2-892F-

0090271D4F88} -

C:\Programmi\Yahoo!

\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray]

C:\WINDOWS\system32

\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds]

C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence]

C:\WINDOWS\system32

\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG]

AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP]

C:\Programmi\Analog

Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX]

C:\Programmi\Analog

Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run:

[SunJavaUpdateSched]

C:\Programmi\Java\jre1.5.0

\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR]

C:\Programmi\HPQ\HP

ProtectTools Security

Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run:

[UpdateManager]

"C:\Programmi\File

comuni\Sonic\Update

Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla]

C:\WINDOWS\system32

\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh]

C:\Programmi\Synaptics\SynTP\Sy

nTPEnh.exe
O4 - HKLM\..\Run:

[hpWirelessAssistant]

C:\Programmi\hpq\HP Wireless

Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl]

C:\Programmi\HPQ\Quick Launch

Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset]

C:\Programmi\HPQ\Default

Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog]

C:\Programmi\InterVideo\DVD

Check\DVDCheck.exe
O4 - HKLM\..\Run:

[NeroFilterCheck]

C:\WINDOWS\system32

\NeroCheck.exe
O4 - HKLM\..\Run:

[KernelFaultCheck] %systemroot%

\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!]

C:\PROGRA~1\ALWILS~1\Avast4

\ashDisp.exe
O4 - HKLM\..\Run: [adiras]

adiras.exe
O4 - HKLM\..\Run: [9xadiras]

9xadiras.exe
O4 - HKLM\..\Run:

[PCSuiteTrayApplication]

C:\PROGRA~1\Nokia\NOKIAP~1

\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SGPUpdater]

C:\Program Files\Search Guard

PlusU\sgpUpdaters.exe
O4 - HKLM\..\Run: [MobileConnect]

%programfiles%\Vodafone\Vodafone

Mobile

Connect\Bin\MobileConnect.exe

/silent
O4 - HKLM\..\Run: [photo_id]

C:\WINDOWS\system32

\photo_id.exe
O4 - HKLM\..\Run: [Application

Layer Gateway Service]

C:\WINDOWS\system32\algs.exe
O4 - HKLM\..\Run: [Microsoft Driver

Setup] C:\WINDOWS\msdrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr]

"C:\Programmi\Windows

Live\Messenger\MsnMsgr.Exe"

/background
O4 - HKCU\..\Run: [PcSync]

C:\Programmi\Nokia\Nokia PC

Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [photo_id]

C:\Documents and

Settings\utente\photo_id.exe
O4 -

HKLM\..\Policies\Explorer\Run:

[Microsoft Driver Setup]

C:\WINDOWS\msdrv32.exe
O4 - HKUS\S-1-5-19\..\Run:

[CTFMON.EXE]

C:\WINDOWS\system32

\CTFMON.EXE (User 'SERVIZIO

LOCALE')
O4 - HKUS\S-1-5-20\..\Run:

[CTFMON.EXE]

C:\WINDOWS\system32

\CTFMON.EXE (User 'SERVIZIO DI

RETE')
O4 - HKUS\S-1-5-18\..\Run:

[CTFMON.EXE]

C:\WINDOWS\system32

\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run:

[CTFMON.EXE]

C:\WINDOWS\system32

\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di

Adobe Reader.lnk =

C:\Programmi\Adobe\Acrobat 7.0

\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk =

?
O4 - Global Startup: DVD Check.lnk

= C:\Programmi\InterVideo\DVD

Check\DVDCheck.exe
O8 - Extra context menu item:

E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2

\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-

00401C608501} -

C:\Programmi\Java\jre1.5.0

\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java

Console - {08B0E5C0-4FCB-11CF-

AAA5-00401C608501} -

C:\Programmi\Java\jre1.5.0

\bin\npjpi150.dll
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-

00C04F795683} -

C:\Programmi\Messenger\msmsgs.ex

e
O9 - Extra 'Tools' menuitem:

Windows Messenger - {FB5F1910-

F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.ex

e
O14 - IERESET.INF:

START_PAGE_URL=http://www.hp.c

om
O17 -

HKLM\System\CCS\Services\Tcpip

\..\{64AC68D9-D5B9-41A0-B254-

9EA82B22A609}: NameServer =

208.67.222.222,208.67.220.220
O23 - Service: avast! iAVS4 Control

Service (aswUpdSv) - ALWIL

Software - C:\Programmi\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus -

ALWIL Software -

C:\Programmi\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner -

ALWIL Software -

C:\Programmi\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner -

ALWIL Software -

C:\Programmi\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: HP WMI Interface

(hpqwmi) - Hewlett-Packard

Development Company, L.P. -

C:\Programmi\HPQ\SHARED\HPQ

WMI.exe
O23 - Service: ServiceLayer - Nokia. -

C:\Programmi\File

comuni\PCSuite\Services\ServiceLa

yer.exe
O23 - Service: SoundMAX Agent

Service (SoundMAX Agent Service

(default)) - Analog Devices, Inc. -

C:\Programmi\Analog

Devices\SoundMAX\SMAgent.exe
O23 - Service: Vodafone Mobile

Connect Service (VMCService) -

Vodafone -

C:\Programmi\Vodafone\Vodafone

Mobile Connect\Bin\VMCService.exe
O24 - Desktop Component 0: (no

name) -

http://www.windoweb.it/desktop_tem

i/foto_mare/foto_mare_35.jpg

--
End of file - 7869 bytes

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: lun nov 16, 2009 11:58 pm
da victuarprincipe
a proposito
nel disco locale c mi si sono creati molti file sqm,posso eliminarli?

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 7:30 am
da gioia271965
victuarprincipe ha scritto:a proposito
nel disco locale c mi si sono creati molti file sqm,posso eliminarli?

Sono file nascosti che servono nel trasferimento file delle cartelle condivise in Messenger. Ovvero sono i pezzi di file che sta sincronizzando ma non ha ancora finito. Anch'io ce li ho ma, ripeto, sono file nascosti e non danno nessun problema, se vuoi continuare ad usare le cartelle condivise di MSN devi lasciarli li.

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 9:20 am
da victuarprincipe
per quanto riguarda il log che ho mandato?ci sono problemi?

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 11:23 am
da gioia271965
victuarprincipe ha scritto:per quanto riguarda il log che ho mandato?ci sono problemi?

Aspettiamo qualche parere sicuramente più esperto del mio...

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 11:49 am
da Seba:-)
[ciao]
Per favore, potresti rifare la scansione con HijackThis e postare il LOG in modo corretto, perché in quello che hai mandato ci sono dei fastidiosissimi spazi e leggerlo così mi viene male.

Copia tutto il contenuto del Blocco Note dopo la scansione con HijackThis e copiala sul forum tra i tag LOG in questo modo:
Codice: Seleziona tutto
[LOG]Qui va il LOG[/LOG]

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 2:17 pm
da victuarprincipe
adesso mi sono connesso da un'altro pc
non riesco a connettermi con l'altro
appena ci riesco lo rimando
scusa una cosa ma devo sopiare e incollare tra i due log proprio in quelli che mi hai inviato tu o devo riscriverli io?
grazie

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 2:46 pm
da victuarprincipe
spero prorio di esserci riuscito questa volta

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.40.39, on 17/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\msdrv32.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\WINDOWS\system32\photo_id.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\utente\photo_id.exe
C:\WINDOWS\system32\algs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Search Assistant - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrv32.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\utente\photo_id.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrv32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{64AC68D9-D5B9-41A0-B254-9EA82B22A609}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O24 - Desktop Component 0: (no name) - http://www.windoweb.it/desktop_temi/fot ... are_35.jpg

--
End of file - 8161 bytes

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mar nov 17, 2009 3:05 pm
da Seba:-)
Così il LOG era perfetto [^] !
Ci sono un paio di schifezze...

Scarica ComboFix , salvandolo sul desktop con un nome di fantasia, ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto inserendolo tra i tag LOG, come hai fatto con il LOG di HijackThis.
Prima di fare la scansione con ComboFix disattiva la protezione in tempo reale di Avast.

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 1:09 am
da victuarprincipe
ti chiedo scusa per il ritardo nella risposta ma non riuscivo più a connettermi
ho scaricato combofix ma la scansione ormai la faccio domani
con l'occasione però vorrei approfittare per anticiparti delle cose e chiederti dei chiarimenti
allora
oggi non potendomi connettere ho fatto delle procedure(utilizzando i tool della guida virus bagle che mi erano stati utili nel pc fisso dove avevo questo problema)sperando di non aver creato dei danni spero,confermamelo tu semmai(comunque ho tutti i log salvati e se vuoi li mando),forse ho sbagliato a far di testa mia ma la mia ragazza era arrabbiata con me perché non le funzionava più il pc e io ci metto sempre le mani,così ho provato a risolvere qualche problema.
i tool che ho utilizzato sono:prima findykill(a proposito non ha proceduto precisamente come nella guida,ad esempio non mi ha detto e non ha fatto i famosi 2 riavvii),poi ho usato kaspersky virus removal tool e infine ho fatto anche una scansione con malwarebytes anti-malware.spero di non aver fatto male ti ripeto,confermami se non ci sono comunque problemi;domani farò la scansione con combofix che ho proprio ora scaricato(naturalmente però prima aspettero di trovare una tua risposta qui in modo che mi confermi se è comunque necessaria o comunque altre tue indicazioni).
due precisazioni se dovrò fare la scansione con combofix:1.come si disattiva avast! in tempo reale?2.nella guida per l'utilizzo di combofix sull'esempio dice di digitare 1 per proseguire mentre nella spiegazione uno è evidenziato in lettere,è indifferente?digito il numero o lo scrivo a lettere?
scusami se faccio domande su cose che magari per voi sono ovvie,ma sono un'imbranato totale.
grazie di nuovo

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 5:37 pm
da Seba:-)
victuarprincipe ha scritto:i tool che ho utilizzato sono:prima findykill(a proposito non ha proceduto precisamente come nella guida,ad esempio non mi ha detto e non ha fatto i famosi 2 riavvii),poi ho usato kaspersky virus removal tool e infine ho fatto anche una scansione con malwarebytes anti-malware.spero di non aver fatto male ti ripeto,confermami se non ci sono comunque problemi

Perfetto... i programmi con cui hai effettuato le scansioni vanno bene... potresti magari postare i loro LOG per verificare quello che hanno rimosso?
victuarprincipe ha scritto:domani farò la scansione con combofix che ho proprio ora scaricato(naturalmente però prima aspettero di trovare una tua risposta qui in modo che mi confermi se è comunque necessaria o comunque altre tue indicazioni).

Sì, quando puoi posta anche il LOG di ComboFix [^] .
victuarprincipe ha scritto:due precisazioni se dovrò fare la scansione con combofix:1.come si disattiva avast! in tempo reale?2.nella guida per l'utilizzo di combofix sull'esempio dice di digitare 1 per proseguire mentre nella spiegazione uno è evidenziato in lettere,è indifferente?digito il numero o lo scrivo a lettere?

Per disattivare la protezione in tempo reale di Avast dovresti cliccare col tasto destro sull'iconcina nella System Tray (vicino all'orologio per intenderci) di Avast, quella con la a minuscola e cliccare da menu contestuale che compare un'opzione del tipo Esci dal programma o Disabilita protezione in tempo reale (non ho Avast installato nel PC quindi non mi ricordo con precisione).
In quanto a ComboFix, se non mi sbaglio nelle nuove versioni non è nemmeno necessario premere 1 (comunque se devi è il numero e non la parola [;)] ), devi solo accettare le condizioni di licenza e rifiutare la proposta di installare la console di emergenza (non ti serve...), poi dovrebbe partire la scansione.

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 9:30 pm
da victuarprincipe
spero di inviare tutto per bene per qualsiasi informazione mancante non esitare a chiedere,metto tutti i log in ordine di utilizzo dei tool,il primo utilizzato è findykill,ho due report(mi sembra che il primo sia della scansione e il secondo dopo la pulizia)

############################## | FindyKill V5.019 |

# User : utente (Administrators) # YOUR-A47779BE2C
# Update on 16/11/2009 by Chiquitine29
# Start at: 18.05.52 | 17/11/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) M processor 1.73GHz
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.8.1335 [VPS 091023-0] 4.8.1335 [ Enabled | (!) Outdated ]

# C:\ # Disco rigido locale # 55,89 Go (40,12 Go free) # NTFS
# D:\ # Disco CD-ROM

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe

################## | C: |


################## | C:\WINDOWS |

Deleted ! C:\WINDOWS\Prefetch\343.EXE-1B1257C7.pf
Deleted ! C:\WINDOWS\Prefetch\359.EXE-189EB8D9.pf
Deleted ! C:\WINDOWS\Prefetch\968.EXE-148B6C67.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\utente\Dati applicazioni |


################## | Other deleting ... |

################## | Temporary Internet Files |


################## | Registry / Infected keys |

Deleted ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Deleted ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Deleted ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Deleted ! [HKLM\software\microsoft\security center] "FirewallOverride"
Deleted ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | State / Service / Information |

# Safe boot mode : OK


# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | End of Report # FindyKill V5.019 ! |


il seguente è sempre findykill...dopo la pulizia?vero?

############################## | FindyKill V5.019 |

# User : utente (Administrators) # YOUR-A47779BE2C
# Update on 16/11/2009 by Chiquitine29
# Start at: 18.05.52 | 17/11/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) M processor 1.73GHz
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.8.1335 [VPS 091023-0] 4.8.1335 [ Enabled | (!) Outdated ]

# C:\ # Disco rigido locale # 55,89 Go (40,12 Go free) # NTFS
# D:\ # Disco CD-ROM

############################## | Active Processes |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe

################## | C: |


################## | C:\WINDOWS |

Deleted ! C:\WINDOWS\Prefetch\343.EXE-1B1257C7.pf
Deleted ! C:\WINDOWS\Prefetch\359.EXE-189EB8D9.pf
Deleted ! C:\WINDOWS\Prefetch\968.EXE-148B6C67.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\utente\Dati applicazioni |


################## | Other deleting ... |

################## | Temporary Internet Files |


################## | Registry / Infected keys |

Deleted ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Deleted ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Deleted ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Deleted ! [HKLM\software\microsoft\security center] "FirewallOverride"
Deleted ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | State / Service / Information |

# Safe boot mode : OK


# Showing of hidden files : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | End of Report # FindyKill V5.019 ! |



adesso invio questi e mando un'altro messaggio perché non mi si apre il report di kaspersky

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 9:58 pm
da Seba:-)
I due LOG erano identici [;)] .
Comunque Findikill ha rimosso qualche schifezza, aspetto i LOG degli altri programmi per vedere come procedere.

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 10:05 pm
da victuarprincipe
a questo punto ho utilizzato kaspersky ma non riesco ad incollare il log che è molto grande(56 mb)e mi si blocca il pc,come posso mandarlo?
comunque il report l'ho fatto dopo aver cancellato tutto quello che mi ha trovato(46 files infetti)alla fine della scansione ho scelto "neutralize all" e in sequenza mi apriva una finestrella per ogni file dove mi diceva di cliccare "delete" e su un file mi diceva di cliccare "disinfect".c'è un'altro modo per inviare il file txt?
successivamente ho usato malwarebytes anti malware
questo è il log



Malwarebytes' Anti-Malware 1.41
Versione del database: 2775
Windows 5.1.2600 Service Pack 2

18/11/2009 0.08.59
mbam-log-2009-11-18 (00-08-59).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 128278
Tempo trascorso: 30 minute(s), 26 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Documents and Settings\utente\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.




e quest'ultimo è il log di combofix

ComboFix 09-11-18.04 - utente 18/11/2009 21.13.00.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.39.1040.18.503.218 [GMT 1:00]
Eseguito da: c:\documents and settings\utente\Desktop\salvavita.exe
AV: avast! antivirus 4.8.1335 [VPS 091023-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\logfile32.txt
c:\program files\SGPSA\BHO.dll
c:\recycler\S-1-5-21-1547161642-963894560-1801674531-1003
c:\recycler\S-1-5-21-3258656598-53827369-633470980-1003
c:\windows\logfile32.txt
c:\windows\system32\clrviddc.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-10-18 al 2009-11-18 )))))))))))))))))))))))))))))))))))
.

2009-11-17 22:36 . 2009-11-17 22:36 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\Malwarebytes
2009-11-17 22:36 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-17 22:36 . 2009-11-17 22:36 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Malwarebytes
2009-11-17 22:36 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-17 22:36 . 2009-11-17 22:36 -------- d-----w- c:\programmi\Malwarebytes' Anti-Malware
2009-11-17 17:24 . 2009-11-18 20:19 32763936 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-17 17:24 . 2008-07-08 12:54 148496 ----a-w- c:\windows\system32\drivers\75254450.sys
2009-11-17 16:48 . 2009-11-17 17:16 -------- d-----w- C:\FindyKill
2009-11-16 14:11 . 2009-11-16 23:12 69632 --sh--r- c:\windows\msdrv32.exe
2009-11-12 15:40 . 2009-11-12 15:43 -------- d-----w- c:\programmi\fishsim2
2009-10-27 12:56 . 2001-08-30 22:07 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-10-27 12:56 . 2004-08-19 14:39 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-10-27 12:56 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-10-27 12:56 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\dllcache\usbscan.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-18 20:07 . 2009-11-17 17:24 370124 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-17 17:22 . 2004-08-30 11:20 74630 ----a-w- c:\windows\system32\perfc010.dat
2009-11-17 17:22 . 2004-08-30 11:20 448112 ----a-w- c:\windows\system32\perfh010.dat
2006-06-22 11:44 . 2008-05-05 23:12 2078344 ----a-w- c:\programmi\NPSWF32.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-25 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-25 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-25 114688]
"SoundMAXPnP"="c:\programmi\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.5.0\bin\jusched.exe" [2005-10-04 36972]
"PTHOSTTR"="c:\programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2005-04-08 73728]
"UpdateManager"="c:\programmi\File comuni\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-04-27 122941]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-05-04 794624]
"eabconfg.cpl"="c:\programmi\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"Cpqset"="c:\programmi\HPQ\Default Settings\cpqset.exe" [2004-09-07 213054]
"WatchDog"="c:\programmi\InterVideo\DVD Check\DVDCheck.exe" [2005-03-09 184320]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SGPUpdater"="c:\program files\Search Guard PlusU\sgpUpdaters.exe" [2009-05-15 67456]
"MobileConnect"="c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-07-04 2072576]
"Malwarebytes Anti-Malware (reboot)"="c:\programmi\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-08-24 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
is-G49SN.lnk - c:\documents and settings\utente\Desktop\Virus Removal Tool\is-G49SN\startup.exe [2009-11-17 65536]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
DSLMON.lnk - c:\programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe [2008-7-18 929861]
DVD Check.lnk - c:\programmi\InterVideo\DVD Check\DVDCheck.exe [2007-4-17 184320]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programmi\\Messenger\\msmsgs.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [14/06/2008 17.00.44 114768]
R1 is-G49SNdrv;is-G49SNdrv;c:\windows\system32\drivers\75254450.sys [17/11/2009 18.24.05 148496]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [14/06/2008 17.00.44 20560]
R2 VMCService;Vodafone Mobile Connect Service;c:\programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [04/07/2008 11.52.18 14336]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [03/05/2004 18.26.16 80384]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://it.yahoo.com/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {64AC68D9-D5B9-41A0-B254-9EA82B22A609} = 208.67.222.222,208.67.220.220
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-adiras - adiras.exe
HKLM-Run-9xadiras - 9xadiras.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 21:19
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\HPQ\Default Settings\cpqset.exe????????????8?4?7?9??????? ???B???????????????B????????
SGPUpdater = c:\program files\Search Guard PlusU\sgpUpdaters.exe??o?USTOM_XML id="customxml_16" name="custombtn_1

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-11-18 21:21
ComboFix-quarantined-files.txt 2009-11-18 20:21

Pre-Run: 42.733.977.600 byte disponibili
Post-Run: 42.709.528.576 byte disponibili

- - End Of File - - 42746A7A73DDD228AF2E8B27EBBA70FE


devo fare altro?

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 10:08 pm
da victuarprincipe
se può essere utile posso fare nuovamente una scansione con HijackThis e inviare il log per verificare se è tutto ok

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 10:13 pm
da Seba:-)
victuarprincipe ha scritto:a questo punto ho utilizzato kaspersky ma non riesco ad incollare il log che è molto grande(56 mb)e mi si blocca il pc,come posso mandarlo?

56 MB di file di testo [8)] ... sei sicuro... non penso che sia il LOG di Kaspersky a misurare così tanto, verifica di aver selezionato il file giusto. Comunque a questo punto dovresti essere quasi apposto, solo le ultime cose:
- Prova a vedere se riesci a mettere il LOG di Kaspersky, come ho già detto non penso possa trattarsi di 56 MB... non mi ricordo dove lo salvi al momento però... in caso lo provo un attimo se hai problemi
- Sì, rifai la scansione con HijackThis e posta il LOG, così verifichiamo che non sia rimasto nulla, grazie
- Fossi in te prenderei in seria considerazione di cambiare antivirus per evitare guai gravi in futuro, Avast! è scarsetto; il migliore gratuito è Avira Free, se vuoi puntare su una soluzione a pagamento ci sono diversi prodotti validi.

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 10:32 pm
da Seba:-)
Comunque ho verificato ed il LOG di Kaspersky è da salvare manualmente alla fine della scansione cliccando sul bottone"Reports..." alla fine della scansione...

Immagine

Lo hai salvato?

Re: avast trova file sospetto,riavvia pc ma errore si ripete

MessaggioInviato: mer nov 18, 2009 10:40 pm
da victuarprincipe
questo è il log hijackthis,ora provo a cercare se c'è un'altro log di kaspersky perché quello che vedo è grandissimo,non saprei che dire...mi interesserrebbe sapere come muovermi sulla scelta degli antivirus,casomai per cominciare inizio con quello gratuito che mi hai consigliato,sperando sia facile da utilizzare,anche perché io sinceramente non faccio mai operazioni perticolari con l'antivirus..cioè,non so mai se devo o ogni quanto devo fare una scansione o altro o se gli antivirus una volta installatti fanno tutto da solo,con l'occasione ti chiedo un'altra cosa,ma se io compro un'antivirus poi sono apposto per sempre o ogni anno devo ricomprarlo?un'altra cosa,vedo molte cartelle e file vari che sono più chiare di altre rimaste normali(tipo trasparenti)ma è successo qualcosa?poi nel disco locale c ho tantissimi file sqm che da come ho capito sono di msn,ma posso eliminarli?mi sembra che siano venuti fuori due giorni fa proprio quando ho disattivato la funzione di apri msn automaticamente quando accendi il pc.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.35.58, on 18/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\utente\IMPOST~1\Temp\Rar$EX00.359\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-G49SN.lnk = C:\Documents and Settings\utente\Desktop\Virus Removal Tool\is-G49SN\startup.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{64AC68D9-D5B9-41A0-B254-9EA82B22A609}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O24 - Desktop Component 0: (no name) - http://www.windoweb.it/desktop_temi/fot ... are_35.jpg

--
End of file - 7185 bytes