Pagina 1 di 1

system32\midimap.dll e' infetto

MessaggioInviato: ven gen 15, 2010 12:59 pm
da fabius147
Salve a tutti, questo e' il mio primo post nel forum, mi chiamo luca ed ho un problema con infezioni e malware che mi tartassano ormai da piu' di 2 settimane. Ho provato di tutto anche formattando l' Hd svariate volte ma niente da fare.Usando combofix mi rilevava sempre infezioni nel sistema.
Alla fine ormai stanco ho deciso di acquistare un nuovo hd.Ora la situazione sembra milgiorata, l'avvio di windows non e' piu lentissimo come prima e non appare piu all avvio di windows la schermata in cui veniva scritto "impossibile avviare windows il file system... manca o e' danneggiato" Ora a computer nuovo ripetendo la scansione con Combofix mi appare il seguente log con tanto di infezione... [acc2]
Il mio OS e' windows XP sp 3. Come dovrei agire in questo caso?? Ho paura che si rompa du nuovo tutto ..

questo il log

ComboFix 10-01-14.06 - fabio 15/01/2010 12.30.08.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.2047.1589 [GMT 1:00]
Eseguito da: c:\documents and settings\fabio\Desktop\ComboFix.exe
AV: F-PROT Antivirus for Windows *On-access scanning disabled* (Updated) {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\fabio\Menu Avvio\Programmi\Esecuzione automatica\Logitech . Registrazione prodotti.lnk
c:\windows\system32\msconfig.exe

c:\windows\system32\midimap.dll . . . è infetto!!

.
((((((((((((((((((((((((( Files Creati Da 2009-12-15 al 2010-01-15 )))))))))))))))))))))))))))))))))))
.

2010-01-15 11:21 . 2010-01-15 11:21 -------- d-----w- c:\documents and settings\fabio\Impostazioni locali\Dati applicazioni\DFX
2010-01-15 11:21 . 2010-01-15 11:21 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\DFX
2010-01-15 11:21 . 2010-01-15 11:21 -------- d-----w- c:\programmi\DFX
2010-01-15 11:21 . 2010-01-15 11:21 -------- d-----w- c:\programmi\File comuni\DFX
2010-01-15 10:47 . 2010-01-15 10:47 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\Logitech
2010-01-15 10:47 . 2010-01-15 10:47 53248 ----a-r- c:\documents and settings\fabio\Dati applicazioni\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe
2010-01-15 10:47 . 2010-01-15 10:47 -------- d-----w- c:\programmi\Common Files
2010-01-15 10:47 . 2010-01-15 10:47 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\Leadertech
2010-01-15 10:45 . 2006-10-08 20:51 23856 ----a-w- c:\windows\system32\spupdsvc.exe
2010-01-15 10:44 . 2008-05-02 01:38 301656 ----a-w- c:\windows\system32\BtCoreIf.dll
2010-01-15 10:44 . 2008-05-02 01:40 84496 ----a-w- c:\windows\system32\KemXML.dll
2010-01-15 10:44 . 2008-05-02 01:40 117264 ----a-w- c:\windows\system32\KemWnd.dll
2010-01-15 10:44 . 2008-05-02 01:39 145936 ----a-w- c:\windows\system32\KemUtil.dll
2010-01-15 10:44 . 2008-05-02 01:39 170512 ----a-w- c:\windows\system32\kemutb.dll
2010-01-15 10:44 . 2010-01-15 10:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Logitech
2010-01-15 10:44 . 2010-01-15 10:45 -------- d-----w- c:\programmi\File comuni\Logishrd
2010-01-15 10:44 . 2010-01-15 10:44 -------- d-----w- c:\programmi\Logitech
2010-01-15 10:44 . 2010-01-15 10:44 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\InstallShield
2010-01-15 10:44 . 2010-01-15 10:44 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\LogiShrd
2010-01-15 00:53 . 2006-10-26 18:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2010-01-15 00:53 . 2006-10-26 18:56 32592 ----a-w- c:\windows\system32\msonpmon.dll
2010-01-15 00:52 . 2010-01-15 00:52 -------- d-----w- c:\programmi\Microsoft Works
2010-01-15 00:52 . 2010-01-15 00:52 -------- d-----w- c:\programmi\MSBuild
2010-01-15 00:52 . 2010-01-15 00:52 -------- d-----w- c:\programmi\Microsoft.NET
2010-01-15 00:50 . 2010-01-15 00:50 -------- d-----w- c:\programmi\Microsoft Visual Studio 8
2010-01-15 00:50 . 2010-01-15 00:50 -------- d-----w- c:\windows\SHELLNEW
2010-01-15 00:49 . 2010-01-15 00:49 -------- d-----w- c:\documents and settings\fabio\Impostazioni locali\Dati applicazioni\Microsoft Help
2010-01-15 00:49 . 2010-01-15 00:53 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-01-15 00:49 . 2010-01-15 00:49 -------- d-----r- C:\MSOCache
2010-01-15 00:47 . 2010-01-15 00:47 -------- d-----w- c:\documents and settings\fabio\Impostazioni locali\Dati applicazioni\Identities
2010-01-15 00:41 . 2010-01-15 00:41 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-15 00:41 . 2010-01-15 00:42 -------- d-----w- c:\programmi\DAEMON Tools Lite
2010-01-15 00:41 . 2010-01-15 00:46 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\DAEMON Tools Lite
2010-01-15 00:41 . 2010-01-15 00:41 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\DAEMON Tools Lite
2010-01-15 00:11 . 2010-01-15 00:11 -------- d-----w- c:\programmi\COMODO
2010-01-15 00:06 . 2010-01-15 00:06 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\ComodoGroup
2010-01-15 00:06 . 2010-01-15 00:06 8 ----a-w- c:\windows\crpf.bin
2010-01-15 00:06 . 2010-01-15 00:06 4 ----a-w- c:\windows\crpf_sdum.bin
2010-01-15 00:05 . 2010-01-15 00:05 -------- d-----w- c:\documents and settings\fabio\Dati applicazioniComodoGroup
2010-01-14 23:46 . 2010-01-14 23:46 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\Canneverbe_Limited
2010-01-14 22:55 . 2010-01-14 22:55 -------- d-----w- c:\programmi\uTorrent
2010-01-14 22:53 . 2010-01-15 11:25 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\uTorrent
2010-01-14 22:47 . 2010-01-14 22:50 -------- d-----w- c:\programmi\eMule
2010-01-14 22:29 . 2010-01-14 22:29 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\vlc
2010-01-14 22:20 . 2010-01-14 22:21 1924200 ----a-w- c:\documents and settings\All Users\Dati applicazioni\NOS\Adobe_Downloads\install_flash_player.exe
2010-01-14 22:20 . 2010-01-14 22:20 836464 ----a-w- c:\documents and settings\All Users\Dati applicazioni\NOS\Adobe_Downloads\SecurityScan_Release.exe
2010-01-14 22:20 . 2010-01-15 00:42 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NOS
2010-01-14 22:11 . 2010-01-15 11:02 -------- d-----w- c:\documents and settings\fabio\Tracing
2010-01-14 22:10 . 2009-08-05 21:48 54752 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys
2010-01-14 22:10 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2010-01-14 22:10 . 2010-01-14 22:10 -------- d-----w- c:\programmi\Microsoft SQL Server Compact Edition
2010-01-14 22:09 . 2010-01-14 22:09 -------- d-----w- c:\programmi\Microsoft
2010-01-14 22:09 . 2010-01-14 22:09 -------- d-----w- c:\programmi\Windows Live SkyDrive
2010-01-14 22:05 . 2010-01-14 22:05 -------- d-----w- c:\programmi\File comuni\Windows Live
2010-01-14 22:04 . 2010-01-14 22:04 -------- d-----w- c:\documents and settings\fabio\Contacts

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-15 10:45 . 2010-01-15 10:45 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2010-01-15 10:45 . 2010-01-15 10:45 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2010-01-15 10:45 . 2010-01-15 10:45 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-01-15 10:44 . 2010-01-14 21:08 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-01-15 01:21 . 2010-01-14 21:06 65360 ----a-w- c:\documents and settings\fabio\Impostazioni locali\Dati applicazioni\GDIPFONTCACHEV1.DAT
2010-01-15 00:46 . 2001-08-31 15:00 68650 ----a-w- c:\windows\system32\perfc010.dat
2010-01-15 00:46 . 2001-08-31 15:00 435070 ----a-w- c:\windows\system32\perfh010.dat
2010-01-15 00:42 . 2010-01-14 20:32 -------- d-----w- c:\programmi\Microsoft Silverlight
2010-01-14 22:10 . 2010-01-14 20:24 -------- d-----w- c:\programmi\Windows Live
2010-01-14 21:46 . 2010-01-14 21:46 -------- d-----w- c:\programmi\File comuni\snp2std
2010-01-14 21:35 . 2010-01-14 21:35 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\FRISK Software
2010-01-14 21:22 . 2010-01-14 21:22 0 ----a-w- c:\windows\nsreg.dat
2010-01-14 21:20 . 2010-01-14 21:20 -------- d-----w- c:\programmi\Attansic
2010-01-14 21:17 . 2010-01-14 21:17 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\FRISK Software
2010-01-14 21:17 . 2010-01-14 21:17 -------- d-----w- c:\programmi\FRISK Software
2010-01-14 21:08 . 2010-01-14 21:08 -------- d-----w- c:\programmi\Realtek
2010-01-14 21:08 . 2010-01-14 21:08 315392 ----a-w- c:\windows\HideWin.exe
2010-01-14 21:08 . 2010-01-14 21:08 -------- d-----w- c:\programmi\File comuni\InstallShield
2010-01-14 21:04 . 2010-01-14 21:04 -------- d-----w- c:\programmi\NVIDIA Corporation
2010-01-14 21:04 . 2010-01-14 21:04 -------- d-----w- c:\programmi\AGEIA Technologies
2010-01-14 21:04 . 2010-01-14 21:04 -------- d-----w- c:\programmi\File comuni\Wise Installation Wizard
2010-01-14 21:04 . 2010-01-14 21:04 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\NVIDIA Corporation
2010-01-14 20:50 . 2010-01-14 20:50 -------- d-----w- c:\programmi\Intel
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\documents and settings\fabio\Dati applicazioni\Winamp
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\programmi\Winamp
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Apple Computer
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\programmi\QT Lite
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\programmi\Real Alternative
2010-01-14 20:31 . 2010-01-14 20:31 -------- d-----w- c:\programmi\K-Lite Codec Pack
2010-01-14 20:24 . 2010-01-14 20:24 -------- d-----w- c:\programmi\CDBurnerXP
2010-01-14 20:24 . 2010-01-14 20:24 -------- d-----w- c:\programmi\7-Zip
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\VisualTaskTips
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\Stardock
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\File comuni\Stardock
2010-01-14 20:23 . 2010-01-14 20:31 71680 ----a-w- c:\documents and settings\fabio\GLB762.tmp
2010-01-14 20:23 . 2010-01-14 20:27 71680 ----a-w- c:\windows\system32\config\systemprofile\GLB762.tmp
2010-01-14 20:23 . 2010-01-14 20:23 71680 ----a-w- c:\documents and settings\Default User\GLB762.tmp
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\PicPick
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\Foxit Reader
2010-01-14 20:23 . 2010-01-14 20:23 -------- d-----w- c:\programmi\VideoLAN
2010-01-14 20:21 . 2010-01-14 20:21 -------- d-----w- c:\programmi\Servizi in linea
2010-01-14 20:20 . 2010-01-14 20:20 21840 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-14 20:19 . 2010-01-14 20:19 -------- d-----w- c:\programmi\System
2010-01-14 20:19 . 2010-01-14 20:19 -------- d-----w- c:\programmi\Unlocker
2010-01-14 20:19 . 2010-01-14 20:19 -------- d-----w- c:\programmi\Windows Media Connect 2
2009-11-21 02:34 . 2010-01-14 21:03 69632 ----a-w- c:\windows\system32\OpenCL.dll
2009-11-21 02:34 . 2010-01-14 21:03 4038656 ----a-w- c:\windows\system32\nvcuda.dll
2009-11-21 02:34 . 2010-01-14 21:03 2259560 ----a-w- c:\windows\system32\nvcuvid.dll
2009-11-21 02:34 . 2010-01-14 21:03 1989224 ----a-w- c:\windows\system32\nvcuvenc.dll
2009-11-21 02:34 . 2010-01-14 21:03 182888 ----a-w- c:\windows\system32\nvcodins.dll
2009-11-21 02:34 . 2010-01-14 21:03 182888 ----a-w- c:\windows\system32\nvcod.dll
2009-11-21 02:34 . 2010-01-14 21:03 13602816 ----a-w- c:\windows\system32\nvoglnt.dll
2009-11-21 02:34 . 2010-01-14 21:03 11374592 ----a-w- c:\windows\system32\nvcompiler.dll
2009-11-21 02:34 . 2010-01-14 21:03 1056768 ----a-w- c:\windows\system32\nvapi.dll
2009-11-21 02:34 . 2010-01-14 21:03 10235968 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2009-11-21 02:34 . 2010-01-14 21:03 6282752 ----a-w- c:\windows\system32\nv4_disp.dll
2009-11-21 02:34 . 2010-01-14 21:03 2293286 ----a-w- c:\windows\system32\nvdata.bin
.

------- Sigcheck -------

[-] 2008-07-28 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

[-] 2008-07-28 . 6DC43081C760EEC1130D2C8C145DF375 . 549888 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-07-28 . 6C01B44D2A5A66137E80E8537E761914 . 111616 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe

[-] 2008-07-28 . 8B2A7229651894B07A5F750E1FEF99CC . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll

[-] 2008-07-28 . CC429B729FA7B5C39F26A0954D8BA0BB . 3803136 . . [7.00.5730.13] . . c:\windows\system32\mshtml.dll

[-] 2008-07-28 . 88348F8C92C28BA99FE49BD392100CE0 . 920064 . . [7.00.5730.13] . . c:\windows\system32\wininet.dll

[-] 2008-07-28 . 19CB8AA5B83D0017EB9A9126AA2EEB55 . 1554944 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-07-28 . 3316C8A8EC07A9D4C0BE10310809A9E5 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2008-07-28 . 91B6AAC828F8BBE1796275424E44DFB0 . 25088 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KelsPackSoft"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
"UnlockerAssistant"="c:\programmi\Unlocker\UnlockerAssistant.exe" [2008-05-01 15872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]
"F-PROT Antivirus Tray application"="c:\programmi\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2008-04-21 1597832]
"FixCamera"="c:\windows\FixCamera.exe" [2006-06-01 20480]
"tsnp2std"="c:\windows\tsnp2std.exe" [2006-05-22 262144]
"snp2std"="c:\windows\vsnp2std.exe" [2006-05-15 675840]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-07-28 25088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-07-28 123904]

c:\documents and settings\fabio\Menu Avvio\Programmi\Esecuzione automatica\
met4.lnk - c:\documents and settings\All Users\Menu Avvio\Programmi\Desktop Gadget\Meters\aeromet.exe [2010-1-14 445952]
Stardock ObjectDock.lnk - c:\programmi\Stardock\ObjectDock\ObjectDock.exe [2010-1-14 3450608]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Logitech SetPoint.lnk - c:\programmi\Logitech\SetPoint\SetPoint.exe [2010-1-15 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programmi\File comuni\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\eMule\\emule.exe"=

R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [14/01/2010 22.17.34 682840]
R1 vcdrom;Virtual CD-ROM Device Driver;c:\programmi\System\CPL Bonus\vcdrom.sys [14/01/2010 21.19.42 8576]
R2 FPAVServer;F-PROT Antivirus for Windows system;c:\programmi\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27/08/2009 16.26.02 75424]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [14/01/2010 23.10.58 54752]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [14/01/2010 22.20.54 38656]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15/01/2010 1.41.31 691696]
S3 fsssvc;Servizio Windows Live Family Safety;c:\programmi\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22.48.42 704864]

--- Altri Servizi/Drivers In Memoria ---

*NewlyCreated* - VCDROM
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.com/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\fabio\Dati applicazioni\Mozilla\Firefox\Profiles\ejbfhxmk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
FF - component: c:\programmi\Mozilla Firefox\extensions\{b77b87c9-46af-4e4e-954f-b51682b0950e}\components\FFAlert.dll
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-nwiz - nwiz.exe



**************************************************************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\sfc_os.dll
c:\programmi\file comuni\logishrd\bluetooth\LBTWlgn.dll
c:\programmi\file comuni\logishrd\bluetooth\LBTServ.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(796)
c:\windows\system32\scecli.dll
.
Ora fine scansione: 2010-01-15 12:32:04
ComboFix-quarantined-files.txt 2010-01-15 11:32

Pre-Run: 485.949.284.352 byte disponibili
Post-Run: 485.988.229.120 byte disponibili

- - End Of File - - 957D3F83E7981C18FF76649620064278


Grazie a tutti in anticipo
Luca

Re: system32\midimap.dll e' infetto

MessaggioInviato: ven gen 15, 2010 2:09 pm
da riise90
fabius147 ha scritto:Alla fine ormai stanco ho deciso di acquistare un nuovo hd.Ora la situazione sembra milgiorata, l'avvio di windows non e' piu lentissimo come prima e non appare piu all avvio di windows la schermata in cui veniva scritto "impossibile avviare windows il file system... manca o e' danneggiato" Ora a computer nuovo ripetendo la scansione con Combofix mi appare il seguente log con tanto di infezione..

Com' è possibile che con HD nuovo ci siano dei virus? Ma la copia di Windows che installi è originale oppure no? La scansione sul nuovo HD l' hai fatta dopo aver scaricato qualche programma particolare?

Re: system32\midimap.dll e' infetto

MessaggioInviato: ven gen 15, 2010 3:39 pm
da fabius147
ciao riise, innanzitutto grazie per la risposta.Il sistema operativo e' quello originale della microsoft in quanto il vecchio cd di installazione non riuscivo a trovarlo e proprio ieri ho fatto una spesa unica, Hd + sistema operativo. Ho installato i programmi per me essenziali,inserito il cd asus per i vari driver ed ho fatto partire il combofix per vedere se ero riuscito a risolvere tuttti i miei problemi.Ormai non finisco mai di stupirmi anche io trovo diabolico che il combofix trovi l'infezione, a meno che il virus non si sia propagato anche altrove tutto cio' sembra irreale.Non ho scaricato nulla dalla rete e non ho proprio idee..
Il pc funziona in modo adeguato,almeno per ora, e l'unica cosa che mi preoccupa e' per l'appunto il log di combofix.
l'antivirus che ho in utilizzo e' f-prot antivirus il quale non trova virus o infezioni.
pensavo che cambiando hd avrei risolto il problema dell'infezione.. prima di cambiare altri componenti,a questo punto penso alla scheda madre, vorrei anche il vostro contributo facendo fede all'esperienza degli utenti

Luca Saccavino

Re: system32\midimap.dll e' infetto

MessaggioInviato: ven gen 15, 2010 5:26 pm
da Fred
Se non hai scaricato nulla da internet e i file di installazione che hai usato sei certo non siano stati vettori d'ingresso di malware allora è probabile che il programma abbia sbagliato. Prova a inviare su virustotal il file in questione e vedi il responso. Inoltre, per curiosità, prova a dare, da esegui, il comando "msconfig.exe" senza virgolette e dimmi che succede.
[ciao] e benvenuto nel forum, mi auguro che ti troverai bene!
[ciao]
Edit: posta anche un log di hijackthis, così per controllare

Re: system32\midimap.dll e' infetto

MessaggioInviato: ven gen 15, 2010 8:28 pm
da fabius147
ok mi accingo a fare il tutto vi faro sapere quanto prima

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 10:46 am
da fabius147
ecco ho fatto la scansione con Hijackthis e questo e' quanto.
Non so pero interpretare il tutto

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10.55.18, on 16/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\mmm.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
C:\DOCUME~1\fabio\IMPOST~1\Temp\{7F3BF1A7-8A7C-45B4-8FA5-0FA2AE61FA32}\aeromet.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\hithis\TrendMicro\HiJackThis\HiJackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [KelsPackSoft] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programmi\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QT Lite\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: met4.lnk = C:\Documents and Settings\All Users\Menu Avvio\Programmi\Desktop Gadget\Meters\aeromet.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Programmi\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6699 bytes


p.s. come mi hai suggerito di fare scrivendo quel comando in esegui mi esce un messaggio di errore che dice:"impossibile trovare il file msconfig.exe... verificare che il percorso e il nome del file siano corretti e ritentare.. [acc2]

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 2:31 pm
da fabius147
salve, vi scrivo ancora. Poco fa ho provato a rifare una scansione con combofix e mi e' apparso un messaggio di allerta che diceva:"Cd emulation are running on this machine.Combofix needs to temporaly disable them". [uhm] Ho cliccato su ok e il pc si e' riavviato dopodiche e' partito combofix.Ha lavorato per un po si e' ri-riavviato ma non mi ha lasciato nemmeno il report.. [uhm]
c'e' qualcosa che devo cancellare con hijackthis tra tutte quelle voci ?

p.s. la libreria midimap.dll l'ho scansionata come suggeritomi su virustotal ma non ha riscontrato virus..

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 2:35 pm
da crazy.cat
fabius147 ha scritto:c'e' qualcosa che devo cancellare con hijackthis tra tutte quelle voci ?.

Conosci questo file ?
O4 - HKLM\..\Run: [KelsPackSoft] C:\WINDOWS\system32\mmm.exe

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 2:42 pm
da fabius147
Conosci questo file ?
O4 - HKLM\..\Run: [KelsPackSoft] C:\WINDOWS\system32\mmm.exe

fa riferimento a un programma che si chiama mmm+ lo elimino?

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 2:46 pm
da crazy.cat
fabius147 ha scritto:fa riferimento a un programma che si chiama mmm+ lo elimino?

Non lo conosco, prova a caricare il file su www.virustotal.com e fallo analizzare per vedere se è un virus.

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 2:50 pm
da fabius147
grazie ancora del supporto crazy
ho fatto come mi hai detto la pigina mi dice questo..
http://www.virustotal.com/it/analisis/434b91d1378cc9e5dfd76c0e6fa70a8bc4644d3530302d8520b1261f061405fd-1263057883

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 8:15 pm
da tiger
Ti consiglio di cancellare il file .exe infatti è positivo con ben 4 antivirus.

Inoltre scarica kaspersky virus removal tool (free e potente) al seguente link: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
ed effettua una in modalita PROVVISIORIA la scansione/clean totale del tuo pc.

Infine prova a considerare come alternativa al tuo antivirus l'idea di utilizzare firewall pctools 6 firewall plus (ottimo) e avira 9 (leggero ed efficente)

Re: system32\midimap.dll e' infetto

MessaggioInviato: sab gen 16, 2010 8:31 pm
da Fred
Io lascerei quel file: 4 AV su 40... il file credo sia pulito.
[ciao]

Re: system32\midimap.dll e' infetto

MessaggioInviato: dom gen 17, 2010 8:31 am
da crazy.cat
tiger ha scritto:Ti consiglio di cancellare il file .exe infatti è positivo con ben 4 antivirus.

Si, ma quali antivirus?
Tra i più sconosciuti e con nomi diversi.
Direi che sentono solo un tipo di compressione del file strana e si agitano per niente.

Re: system32\midimap.dll e' infetto

MessaggioInviato: dom gen 17, 2010 12:23 pm
da fabius147
ok grazie dei consigli ora provo il tutto ! _Un ultima cosa, per sicurezza ho disistallato quel programma "mmm" pero mi compare sempre la voce nel pannello di controllo in installazioni applicazioni e se clicco rimuovi dice che il programma e' disistallato. la voce non va via e me lo fa disistallare sempre con successo... [uhm] come posso fare a toglierlo per sempre ??

Re: system32\midimap.dll e' infetto

MessaggioInviato: dom gen 17, 2010 12:25 pm
da stevens
prova a rinominarlo in .old e vedi se hai problemi

prevx lo da' cosi'

http://spywarefiles.prevx.com/RRHHHG277282/MMM.EXE.html

Re: system32\midimap.dll e' infetto

MessaggioInviato: lun gen 18, 2010 1:56 pm
da fabius147
ok sono riuscito a togliere la voce entrando nel registro e cancellando la cartella
Grazie a tutti a presto e magari in una sezione diversa [ciao]

Re: system32\midimap.dll e' infetto

MessaggioInviato: lun gen 18, 2010 7:05 pm
da Fred
Alla prossima!
[ciao]