Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Controllo log

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Controllo log

Messaggioda lisa71 » lun mag 03, 2010 4:07 pm

Buongiorno. Da qualche giorno quando accedo il pc mi compare un avviso di F-Security Internet che mi informa che è stato rimosso un virus e posso continuare a usare il pc. Probabilmente però non rimuove un bel niente!
Vi allego il log, potete dare un'occhiata da esperti per favore? Grazie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.39.42, on 03/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WKICOSIMI\clientgrafico\bin\cligrafsrv.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programmi\File comuni\InstallShield Shared\Service\InstallShield Licensing Service.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\F-Secure Internet Security\Common\FSHDLL32.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\AssistOs.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Interwise\Participant\pull.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Java\jre6\bin\jucheck.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Programmi\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Programmi\F-Secure Internet Security\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [AssistOs] C:\WINDOWS\AssistOs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [syncman] c:\windows\system32\wuaucldt.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe
O4 - HKCU\..\Run: [xmlie64] rundll32.exe "C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\xmlie64\xmlie64.dll", DllInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Push Client.LNK = C:\Programmi\Interwise\Participant\pull.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://c:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 1854377031
O17 - HKLM\System\CCS\Services\Tcpip\..\{17447BCB-1A97-4C0A-80F3-53D0B51852A9}: NameServer = 151.99.0.100,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{17447BCB-1A97-4C0A-80F3-53D0B51852A9}: NameServer = 151.99.0.100,151.99.125.3
O23 - Service: cligrafsrv - Unknown owner - C:\Programmi\WKICOSIMI\clientgrafico\bin\cligrafsrv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Programmi\File comuni\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 7459 bytes
Avatar utente
lisa71
Aficionado
Aficionado
 
Messaggi: 39
Iscritto il: gio apr 26, 2007 12:10 pm

Re: Controllo log

Messaggioda x-free » lun mag 03, 2010 4:58 pm

Elimina questo file
Codice: Seleziona tutto
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe


e fixa questa voce

Codice: Seleziona tutto
O4 - HKCU\..\Run: [xmlie64] rundll32.exe "C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\xmlie64\xmlie64.dll", DllInit
"Dopo essere venuto a contatto con un uomo religioso, sento sempre il bisogno di lavarmi le mani" - Friedrich Wilhelm Nietzsche
Avatar utente
x-free
Silver Member
Silver Member
 
Messaggi: 1369
Iscritto il: dom mar 29, 2009 12:03 pm
Località: Torino

Re: Controllo log

Messaggioda stevens » lun mag 03, 2010 5:11 pm

hai un bel po' di infezioni

scarica combofix sul desktop ed eseguilo
digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm


Re: Controllo log

Messaggioda lisa71 » mar mag 04, 2010 8:03 am

stevens ha scritto:hai un bel po' di infezioni

scarica combofix sul desktop ed eseguilo
digita 1
- segui le instruzioni
- finita la scansione portati in C:\ e copia/incolla, nella tua prossima risposta, il contenuto del file di testo Combofix.txt


Grazie Stevens. Purtroppo non mi fa lanciare combofix, mi appare questa notifica " sei sicuro di voler chiudere l'applicazione assistente osra?". Osra è il programma di contabilità che ho sul pc.
Subito dovpo compare la maschera dell'antivirus con "Programma bloccato - DeepGuard ha bloccato l'avvio di un programma potenzialmente dannoso. NirCmd c:\32788r22fwjfw\nircmdc.cfxxe "
Che posso fare?
Avatar utente
lisa71
Aficionado
Aficionado
 
Messaggi: 39
Iscritto il: gio apr 26, 2007 12:10 pm

Re: Controllo log

Messaggioda Roberto88 » mar mag 04, 2010 9:33 am

lisa71 ha scritto:Purtroppo non mi fa lanciare combofix, mi appare questa notifica " sei sicuro di voler chiudere l'applicazione assistente osra?". Osra è il programma di contabilità che ho sul pc.
Subito dovpo compare la maschera dell'antivirus con "Programma bloccato - DeepGuard ha bloccato l'avvio di un programma potenzialmente dannoso. NirCmd c:\32788r22fwjfw\nircmdc.cfxxe "
Che posso fare?


per avviare ed utilizzare ComboFix al meglio è consigliabile scaricarlo dal web salvandolo con il nome più simpatico che ti viene in mente (e sono serissimo) e disabilitare la protezione in tempo reale dell'antivirus o i qualsiasi programma di sicurezza che come tu stessa hai notato va in conflitto con il suddetto strumento
within the truth of evil and good there's more than you see
....much more than you should
Avatar utente
Roberto88
Bronze Member
Bronze Member
 
Messaggi: 968
Iscritto il: mar nov 11, 2008 11:17 pm

Re: Controllo log

Messaggioda lisa71 » mar mag 04, 2010 10:10 am

OK, grazie Roberto, sono riuscita, ecco il log:

ComboFix 10-05-03.05 - utente 04/05/2010 10.54.55.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.39.1040.18.1790.1270 [GMT 2:00]
Eseguito da: c:\documents and settings\utente\Desktop\ComboFix.exe
AV: F-Secure Internet Security 2010 10.00 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: F-Secure Internet Security 2010 10.00 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\utente\Dati applicazioni\avdrn.dat
c:\programmi\WindowsUpdate
c:\recycler\S-1-5-21-3674504196-2443773786-3582170198-500
c:\windows\system32\config\systemprofile\Impostazioni locali\Dati applicazioni\xmlie64\xmlie64.dll
c:\windows\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((( Files Creati Da 2010-04-04 al 2010-05-04 )))))))))))))))))))))))))))))))))))
.

2010-05-04 08:50 . 2010-05-04 08:50 398336 ----a-w- c:\windows\system32\CF13093.exe
2010-05-03 14:30 . 2010-05-03 14:30 -------- d-----w- c:\programmi\CCleaner
2010-05-03 13:55 . 2010-05-03 13:55 -------- d-----w- c:\programmi\Trend Micro
2010-04-29 07:52 . 2008-04-13 09:40 62976 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-04-29 07:52 . 2008-04-13 09:40 62976 ----a-w- c:\windows\system32\dllcache\cdrom.sys
2010-04-29 06:56 . 2010-04-29 13:12 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\ntr
2010-04-29 06:33 . 2010-04-29 06:33 -------- d-----w- c:\documents and settings\utente\Impostazioni locali\Dati applicazioni\avG
2010-04-29 06:33 . 2010-04-29 06:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\avG
2010-04-23 08:38 . 2010-04-23 08:38 -------- d-----w- c:\programmi\DocSigner
2010-04-23 08:38 . 2010-04-23 08:38 -------- d-----w- C:\Documenti Firmati
2010-04-21 07:32 . 2010-04-21 07:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\WinZip
2010-04-21 07:26 . 2010-04-21 07:26 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\InstallShield
2010-04-21 07:26 . 2010-04-21 07:26 -------- d-----w- c:\windows\system32\VIEWERS
2010-04-21 07:26 . 2008-05-30 08:01 57344 ----a-w- c:\windows\qvphook.dll
2010-04-21 07:26 . 2010-04-21 07:26 -------- d-----w- c:\programmi\File comuni\InstallShield Shared
2010-04-21 07:26 . 2008-05-30 08:01 87376 ----a-w- c:\windows\uninsqvp.exe
2010-04-21 07:26 . 2010-05-03 14:08 -------- d-----w- c:\programmi\Quick View Plus
2010-04-20 08:43 . 2010-04-20 08:43 -------- d-----w- c:\programmi\File comuni\Adobe
2010-04-20 08:30 . 2010-04-20 08:44 -------- d-----w- c:\documents and settings\utente\Impostazioni locali\Dati applicazioni\NOS
2010-04-14 16:48 . 2010-04-14 16:48 -------- d-----w- c:\programmi\Uninstall ModuliControlloCSO
2010-04-14 15:39 . 2010-04-15 07:21 -------- d-----w- c:\programmi\Stampa 730 4 2009
2010-04-14 15:25 . 2010-04-14 15:25 -------- d-----w- C:\UnicoOnLine

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-29 06:43 . 2009-12-15 13:53 2375 ----a-w- c:\programmi\INPS uniEMens individuale.lnk
2010-04-29 06:26 . 2010-04-29 06:26 12 ----a-w- c:\documents and settings\LocalService\Dati applicazioni\kcmdte.dat
2010-04-23 08:38 . 2009-02-26 12:29 -------- d--h--w- c:\programmi\InstallShield Installation Information
2010-04-22 07:23 . 2010-04-22 07:23 12 ----a-w- c:\documents and settings\NetworkService\Dati applicazioni\kcmdte.dat
2010-04-22 07:23 . 2009-02-19 16:34 -------- d-----w- c:\documents and settings\utente\Dati applicazioni\F-Secure
2010-04-21 07:33 . 2009-02-26 13:27 -------- d-----w- c:\programmi\INPS
2010-04-14 09:08 . 2008-05-21 22:54 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2010-03-30 06:26 . 2008-05-16 22:37 85682 ----a-w- c:\windows\system32\perfc010.dat
2010-03-30 06:26 . 2008-05-16 22:37 492814 ----a-w- c:\windows\system32\perfh010.dat
2010-03-10 06:15 . 2008-05-16 22:36 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 15:02 . 2009-02-26 12:29 204800 ----a-w- c:\windows\system32\prnsrvnt.dll
2010-02-25 06:16 . 2008-05-16 22:36 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2008-05-16 22:36 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:05 . 2008-05-16 22:36 2149888 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:05 . 2008-04-13 18:55 2028032 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-04-29 06:30 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2008-05-16 22:36 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-05-16 22:36 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2009-10-27 09:43 . 2009-06-18 06:51 1918 ----a-w- c:\programmi\INPS uniEMens aggregato.lnk
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-26 8491008]
"F-Secure Manager"="c:\programmi\F-Secure Internet Security\Common\FSM32.EXE" [2009-07-09 199264]
"F-Secure TNB"="c:\programmi\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2009-07-09 2349664]
"AssistOs"="c:\windows\AssistOs.exe" [2007-05-31 65536]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2009-05-14 413696]
"SunJavaUpdateSched"="c:\programmi\Java\jre6\bin\jusched.exe" [2009-07-31 149280]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Push Client.LNK - c:\programmi\Interwise\Participant\pull.exe [2009-11-19 894192]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{0cab0400-7395-11d0-a5e5-0020afe2fdd9}"= "qvphook.dll" [2008-05-30 57344]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Office\\Office12\\OUTLOOK.EXE"=

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [19/02/2009 18.51.55 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [19/02/2009 18.32.23 80000]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programmi\F-Secure Internet Security\HIPS\drivers\fshs.sys [19/02/2009 18.32.05 68064]
R2 cligrafsrv;cligrafsrv;c:\programmi\WKICOSIMI\ClientGrafico\bin\cligrafsrv.exe [19/11/2009 17.03.50 13824]
R3 ACSET;ACS USB Smart Card Reader;c:\windows\system32\drivers\acr30up.sys [26/02/2009 14.48.39 31616]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmi\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [19/02/2009 18.31.46 111296]
R3 FSORSPClient;F-Secure ORSP Client;c:\programmi\F-Secure Internet Security\ORSP Client\fsorsp.exe [19/02/2009 18.32.06 55992]
R3 NmPar;PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [24/12/2008 6.40.12 80256]
R3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [16/12/2008 7.10.34 70016]
S2 KeyP;KeyP;c:\windows\system32\drivers\KEYP.SYS [26/02/2009 16.48.26 9423]
S4 F-Secure Filter;F-Secure File System Filter;c:\programmi\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys [19/02/2009 18.31.46 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmi\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys [19/02/2009 18.31.46 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenuto della cartella 'Scheduled Tasks'

2010-05-04 c:\windows\Tasks\User_Feed_Synchronization-{C1869126-1551-41FF-AD21-FE55A29CFDFA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\Office\Office12\EXCEL.EXE/3000
LSP: c:\programmi\F-Secure Internet Security\FSPS\program\FSLSP.DLL
TCP: {17447BCB-1A97-4C0A-80F3-53D0B51852A9} = 151.99.0.100,151.99.125.3
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-syncman - c:\windows\system32\wuaucldt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 10:58
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'lsass.exe'(584)
c:\programmi\F-Secure Internet Security\FSPS\program\FSLSP.DLL

- - - - - - - > 'explorer.exe'(1996)
c:\windows\system32\WININET.dll
c:\programmi\F-Secure Internet Security\Spam Control\fsscoepl.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
c:\programmi\F-Secure Internet Security\Common\FSMA32.EXE
c:\programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
c:\programmi\File comuni\InstallShield Shared\Service\InstallShield Licensing Service.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\F-Secure Internet Security\Common\FSHDLL32.EXE
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
c:\programmi\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
c:\programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
c:\windows\system32\wscntfy.exe
c:\programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2010-05-04 11:02:31 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-05-04 09:02

Pre-Run: 136.545.263.616 byte disponibili
Post-Run: 136.569.913.344 byte disponibili

- - End Of File - - D0291CE2A0135C865B6294D41ABA3487
Avatar utente
lisa71
Aficionado
Aficionado
 
Messaggi: 39
Iscritto il: gio apr 26, 2007 12:10 pm

Re: Controllo log

Messaggioda stevens » mar mag 04, 2010 12:15 pm

vai QUI e analizza questo file

c:\windows\system32\CF13093.exe
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Controllo log

Messaggioda lisa71 » mar mag 04, 2010 1:35 pm

stevens ha scritto:vai QUI e analizza questo file

c:\windows\system32\CF13093.exe


Ecco fatto:

CF13093.exe
Stato: Controllo terminato. 0 su 20 antivirus hanno rilevato malware.
Avatar utente
lisa71
Aficionado
Aficionado
 
Messaggi: 39
Iscritto il: gio apr 26, 2007 12:10 pm

Re: Controllo log

Messaggioda stevens » mar mag 04, 2010 6:06 pm

collegati qui e scansiona il pc usando I.E.
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising