www.MegaLab.it

[johncoscia]

Salve,

è da 1 mese che il mio pc è diventato particolarmente lento.Ho un antivirus PANDA 2010 aggiornato,ma nn trova niente.ho provato di alleggerirlo con l'eliminazione di file temp ecc.ecc. ma niente.Ho il sentore che sia infettato.in allegato il log di Hijackthis.Mi date un aiuto????

grazie grazie

[stevens]

ciao


segui questi passaggi attentamente

scarica questo file zip estrai sul desktop dal file zip solo il file Hosts, selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.


disattiva il tuo antivirus


scarica combofix sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

[crazy.cat]

scarica questo file zip estrai sul desktop dal file zip solo il file Hosts, selezionalo, tasto destro del mouse, copia, poi apri la cartella C:\Windows\System32\drivers\etc\ in un punto libero fai incolla, accetta la sostituzione del file hosts esistente, potrebbe darti errori non preoccuparti, riavvia il pc.

Leggendo le due righe del file hosts sembra che John si trovi in una qualche azienda con As400 e non è il caso di sostituire il suo file hosts altrimenti non gli funzionerebbe più qualcosa.

X johncoscia
La prossima volta niente file pdf per i log ma bisogna seguire queste istruzioni.
topic45943.html

Quanta ram ha il pc?

[stevens]

Leggendo le due righe del file hosts sembra che John si trovi in una qualche azienda con As400 e non è il caso di sostituire il suo file hosts altrimenti non gli funzionerebbe più qualcosa.

non avevo fatto caso a questo crazy cat

johncoscia


esegui combofix e tralascia il file hosts

[johncoscia]

Purtroppo ho già sostituito l'host...e adesso??

ComboFix 10-08-30.02 - cosgio 31/08/2010 10.46.04.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.1023.228 [GMT 2:00]
Eseguito da: c:\documents and settings\cosgio\Documenti\Downloads\ComboFix.exe
AV: Panda Antivirus Pro 2010 *On-access scanning disabled* (Updated) {EEE2D94A-D4C1-421A-AB2C-2CE8FE51747A}

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
ADS - WINDOWS1: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\qycsy.dat
c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\qycsy_nav.dat
c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\qycsy_navps.dat
C:\InfoSat.txt
c:\windows1\system32\Cache

.
((((((((((((((((((((((((( Files Creati Da 2010-07-28 al 2010-08-31 )))))))))))))))))))))))))))))))))))
.

2010-08-02 17:11 . 2010-08-02 17:11 -------- d-----w- C:\Panda Software

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-31 09:00 . 2009-12-21 12:07 12 ----a-w- c:\windows1\bthservsdp.dat
2010-08-25 08:33 . 2008-01-14 10:50 -------- d-----w- c:\programmi\File comuni\Java
2010-08-25 08:31 . 2008-01-14 10:52 -------- d-----w- c:\programmi\Java
2010-08-25 08:23 . 2010-08-25 08:23 503808 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5bce8337-n\msvcp71.dll
2010-08-25 08:23 . 2010-08-25 08:23 499712 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5bce8337-n\jmc.dll
2010-08-25 08:23 . 2010-08-25 08:23 12800 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1aeb1483-n\decora-d3d.dll
2010-08-25 08:23 . 2010-08-25 08:23 61440 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1aeb1483-n\decora-sse.dll
2010-08-25 08:23 . 2010-08-25 08:23 348160 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-5bce8337-n\msvcr71.dll
2010-08-04 15:06 . 2010-03-18 18:17 -------- d-----w- c:\programmi\ProntoQuadro5_15.01.2010
2010-08-04 07:37 . 2008-06-10 14:50 -------- d---a-w- c:\documents and settings\All Users.WINDOWS1\Dati applicazioni\TEMP
2010-08-04 07:35 . 2008-06-10 14:50 -------- d-----w- c:\programmi\SpywareBlaster
2010-08-02 17:01 . 2010-04-28 07:29 -------- d-----w- c:\programmi\Ask.com
2010-08-02 16:44 . 2010-08-02 16:44 2956168 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Mozilla\Firefox\Profiles\7od0sxzr.default\extensions\toolbar@ask.com\chrome\temp\askToolbar.exe
2010-08-02 16:25 . 2009-01-30 18:33 -------- d-----w- c:\programmi\Nokia
2010-07-28 15:40 . 2001-08-31 16:00 602068 ----a-w- c:\windows1\system32\perfh010.dat
2010-07-28 15:40 . 2001-08-31 16:00 121610 ----a-w- c:\windows1\system32\perfc010.dat
2010-07-17 03:00 . 2010-06-23 10:57 423656 ----a-w- c:\windows1\system32\deployJava1.dll
2010-06-23 10:57 . 2010-06-23 10:57 503808 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-11206b92-n\msvcp71.dll
2010-06-23 10:57 . 2010-06-23 10:57 499712 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-11206b92-n\jmc.dll
2010-06-23 10:57 . 2010-06-23 10:57 348160 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-11206b92-n\msvcr71.dll
2010-06-23 10:57 . 2010-06-23 10:57 61440 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-57eb7e88-n\decora-sse.dll
2010-06-23 10:57 . 2010-06-23 10:57 12800 ----a-w- c:\documents and settings\cosgio\Dati applicazioni\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-57eb7e88-n\decora-d3d.dll
2010-06-14 14:30 . 2008-03-10 17:23 743936 ----a-w- c:\windows1\pchealth\helpctr\binaries\helpsvc.exe
2010-06-09 07:54 . 2010-06-09 07:54 242 ----a-w- c:\windows1\system32\PavCPL.dat
2010-03-18 18:18 . 2010-03-18 18:18 3265 ----a-w- c:\programmi\File comuni\setup.log
2003-10-18 17:58 . 2003-10-18 17:58 64512 ----a-w- c:\programmi\File comuni\uninstall.exe
1765-03-27 10:36 . 1765-03-27 10:36 4263 --sh--w- c:\windows1\windllreg1c.sys
2010-02-24 15:51 . 2008-09-01 15:17 13023264 --sha-w- c:\windows1\system32\drivers\fidbox.dat
2010-02-24 15:51 . 2009-04-10 15:52 1335328 --sha-w- c:\windows1\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-06-30 20:51 1390984 ----a-w- c:\programmi\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-06-30 1390984]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programmi\Ask.com\GenericAskToolbar.dll" [2010-06-30 1390984]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-16 39408]
"Google Update"="c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" [2009-09-23 133104]
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows1\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"APVXDWIN"="c:\programmi\Panda Security\Panda Antivirus Pro 2010\APVXDWIN.EXE" [2009-09-25 906496]
"SCANINICIO"="c:\programmi\Panda Security\Panda Antivirus Pro 2010\Inicio.exe" [2009-08-12 56064]
"SunJavaUpdateSched"="c:\programmi\File comuni\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows1\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 14:58 58672 ----a-w- c:\windows1\system32\avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-06-09 08:06 976832 ----a-w- c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-02-06 16:52 3885408 ----a-w- c:\programmi\Windows Live\Messenger\msnmsgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows1\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
"swg"="c:\programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" /background
"msnmsgr"="c:\programmi\Windows Live\Messenger\msnmsgr.exe" /background
"Google Update"="c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"StartCCC"="c:\programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"Client Access Service"="c:\programmi\IBM\Client Access\cwbsvstr.exe"
"High Definition Audio Property Page Shortcut"=HDAShCut.exe
"MsmqIntCert"=regsvr32 /s mqrt.dll
"SoundMAXPnP"=c:\programmi\Analog Devices\Core\smax4pnp.exe
"SoundMAX"="c:\programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
"a-squared"="c:\programmi\a-squared Anti-Malware\a2guard.exe"
"Adobe Reader Speed Launcher"="c:\programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"InCD"=c:\programmi\Nero\Nero8\InCD\InCD.exe
"NBKeyScan"="c:\programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"SecurDisc"=c:\programmi\Nero\Nero8\InCD\NBHGui.exe
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" -atboottime
"Samsung Common SM"="c:\windows1\Samsung\ComSMMgr\ssmmgr.exe" /autorun
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"Adobe ARM"="c:\programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmi\\eMule\\emule.exe"=
"c:\\WINDOWS1\\system32\\mqsvc.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows1\system32\drivers\klbg.sys [29/01/2008 17.29.38 36880]
R0 pavboot;Panda boot driver;c:\windows1\system32\drivers\pavboot.sys [09/06/2010 9.52.27 28552]
R1 ShldDrv;Panda File Shield Driver;c:\windows1\system32\drivers\ShlDrv51.sys [09/06/2010 9.48.31 41144]
R2 a2AntiMalware;a-squared Anti-Malware Service;c:\programmi\a-squared Anti-Malware\a2service.exe [29/07/2008 11.44.00 419448]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows1\system32\svchost -k Panda c:\windows1\system32\svchost -k Panda
R2 NPF;NetGroup Packet Filter Driver;c:\windows1\system32\drivers\npf.sys [20/10/2009 20.19.44 50704]
R2 PavProc;Panda Process Protection Driver;c:\windows1\system32\drivers\PavProc.sys [09/06/2010 9.48.30 163336]
R2 PskSvcRetail;Panda PSK service;c:\programmi\Panda Security\Panda Antivirus Pro 2010\psksvc.exe [09/06/2010 9.54.39 28928]
R3 AvFlt;Antivirus Filter Driver;c:\windows1\system32\drivers\av5flt.sys c:\windows1\system32\drivers\av5flt.sys
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows1\system32\drivers\klfltdev.sys [13/03/2008 18.02.46 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows1\system32\drivers\klim5.sys [30/04/2008 17.06.48 32272]
R3 PavSRK.sys;PavSRK.sys;\??\c:\windows1\system32\PavSRK.sys c:\windows1\system32\PavSRK.sys
R3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows1\system32\drivers\usbscan.sys [17/03/2008 13.49.17 15104]
S0 hdsyibxg;hdsyibxg; [x]
S1 atitray;atitray;\??\c:\progra~1\NGOATI~1\ATT\atitray.sys c:\progra~1\NGOATI~1\ATT\atitray.sys
S2 NeroRegInCDSrv;Nero Registry InCD Service; [x]
S3 7ByteIo;7ByteIo;\??\c:\programmi\Hot CPU Tester Pro 4 LE\SysInfo.sys c:\programmi\Hot CPU Tester Pro 4 LE\SysInfo.sys
S3 ForteUSB;PERSTEL Chic USB Driver Service;c:\windows1\system32\drivers\ForteUSB.sys [19/03/2008 10.15.31 10658]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows1\system32\drivers\nmwcdnsu.sys [08/02/2009 20.42.13 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows1\system32\drivers\nmwcdnsuc.sys [08/02/2009 20.42.14 8320]
S3 PavTPK.sys;PavTPK.sys;\??\c:\windows1\system32\PavTPK.sys c:\windows1\system32\PavTPK.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda REG_MULTI_SZ Gwmsrv
.
Contenuto della cartella 'Scheduled Tasks'

2009-08-15 c:\windows1\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-08-30 c:\windows1\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1220945662-1801674531-1113Core.job
- c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-09-23 11:01]

2010-08-31 c:\windows1\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1220945662-1801674531-1113UA.job
- c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2009-09-23 11:01]

2010-08-31 c:\windows1\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programmi\Ask.com\UpdateTask.exe [2010-06-30 20:51]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/webhp?sourceid=nav ... t&ie=UTF-8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Sothink SWF Catcher - c:\programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
TCP: {D6EC8A72-C04B-4DD7-9348-5865AB8E88F7} = 192.168.4.1,151.99.125.2
FF - ProfilePath - c:\documents and settings\cosgio\Dati applicazioni\Mozilla\Firefox\Profiles\7od0sxzr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/webhp?sourceid=nav ... t&ie=UTF-8
FF - plugin: c:\documents and settings\cosgio\Impostazioni locali\Dati applicazioni\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programmi\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programmi\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programmi\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programmi\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

ShellIconOverlayIdentifiers-{8D2223A2-B3C6-4e32-B096-CDD11F628C60} - (no file)
MSConfigStartUp-CTFMON - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-31 11:05
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- CHIAVI DI REGISTRO BLOCCATE ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS1\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS1\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS1\\system32\\FM20ENU.DLL"
"0140B10900063D11C8EF10054038389C"="C?\\WINDOWS1\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•9~*]
"0140110900063D11C8EF10054038389C"="C?\\WINDOWS1\\system32\\FM20ENU.DLL"
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(1528)
c:\windows1\system32\Ati2evxx.dll
c:\windows1\system32\avldr.dll

- - - - - - - > 'explorer.exe'(912)
c:\windows1\system32\WININET.dll
c:\windows1\system32\msi.dll
c:\windows1\system32\webcheck.dll
c:\windows1\system32\WPDShServiceObj.dll
c:\windows1\system32\PortableDeviceTypes.dll
c:\windows1\system32\PortableDeviceApi.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows1\system32\Ati2evxx.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\TPSrv.exe
c:\windows1\system32\Ati2evxx.exe
c:\windows1\system32\LEXBCES.EXE
c:\windows1\system32\LEXPPS.EXE
c:\windows1\system32\msdtc.exe
c:\programmi\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows1\system32\inetsrv\inetinfo.exe
c:\programmi\Nero\Nero8\InCD\InCDsrv.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programmi\CDBurnerXP\NMSAccessU.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\PsCtrls.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\PavFnSvr.exe
c:\programmi\File comuni\Panda Security\PavShld\pavprsrv.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\PsImSvc.exe
c:\windows1\System32\snmp.exe
c:\windows1\System32\TUProgSt.exe
c:\windows1\system32\mqsvc.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\pavsrv51.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\AVENGINE.EXE
c:\windows1\system32\mqtgsvc.exe
c:\windows1\system32\wbem\wmiapsrv.exe
c:\programmi\Panda Security\Panda Antivirus Pro 2010\WebProxy.exe
.
**************************************************************************
.
Ora fine scansione: 2010-08-31 11:10:30 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2010-08-31 09:10

Pre-Run: 236.610.248.704 byte disponibili
Post-Run: 237.499.899.904 byte disponibili

- - End Of File - - 1EFA20BF73071BBA4401D7C6A6F43BCC

[johncoscia]

la ram è 1G.ho controllato l'AS400 mi funziona

[crazy.cat]

Purtroppo ho già sostituito l'host...e adesso??

Lo puoi modificare con notepad e aggiungi le due righe con l'indirizzo e il nome che avevi nel primo log di hijackthis.
Poi salvi il file, ti puoi anche tenere le altre righe tanto non fanno sicuramente del male.

Da quanto hai panda su quel pc?
Io avevo provato una vecchia versione 2009 di panda su un pc con un giga di ram ed era un vero mattone.

[johncoscia]

da giugno.Prima avevo Kaspersky 2009 che pure nn skerza.Pensi che potrebbe essere il Panda??Sai ho provato anche con il task manager ma nn okkupa niente come CPU......nn so se centra con la lentezza pero'

[stevens]

mentre controllo combofix fai questo controllo _ per scrupolo-

scarica bootkit remover sul desktop

Estrai la cartella e posiziona il file remover.exe sul desktop (è importante che il file "remover" sia sul Desktop)

Doppio click su "Remover".
Ti appare una finestra tipo Dos.
Copiami qui, quello che c'è scritto sotto: " MBR Status "

[johncoscia]

il log???il pc nn è infetto?

[stevens]

il log???il pc non è infetto?

lo sto' controllando, dammi il tempo

mi esegui quel passaggio?

[johncoscia]

si scusa nn avevo visto la tua risp.


Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 2414a5cd0e2f260404063083b1a560a9

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

[stevens]

ora da Start > Esegui > copia/incolla questo comando virgolette comprese, mi raccomando

"%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0

Clicca OK.

Chiudi la finestra.
Riavvia Windows.

Rifai la scansione con Remover.
Sotto "MBR status" dovresti trovare scritto:

OK <DOS/Win32 Boot Code Found>

[johncoscia]

ok ....poi..finito?cosa è che nn va?

[johncoscia]

Purtroppo ho già sostituito l'host...e adesso??

Lo puoi modificare con notepad e aggiungi le due righe con l'indirizzo e il nome che avevi nel primo log di hijackthis.
Poi salvi il file, ti puoi anche tenere le altre righe tanto non fanno sicuramente del male.

mi spieghi come si usa il notepad.scusa.infatti AS400 nn va piu' a causa dell'host cambiato

[crazy.cat]

mi spieghi come si usa il notepad.scusa.infatti AS400 non va piu' a causa dell'host cambiato

Notepad è un editor di testi, lo avvii e da File, apri vai a selezionare la cartella c:\windows\system32\drivers\etc nei Tipi di file selezioni Tutti i file e vedi comparire il file hosts lo apri e aggiungi quelle due righe, poi salvi il file.
Oppure se hai un pc uguale ti vai a prendere il suo file hosts e lo copi nel tuo pc nella stessa cartella.

[johncoscia]

fatto ma purtroppo L'AS400 nn si apre ...GRANDE GUAIO!!!!...mi dice "non è stato possibile l'indirizzo remoto"

[johncoscia]

nei dettagli :
CWBCO1004

Causa
iSeries Access per Windows non ha potuto determinare l'indirizzo IP per il server.

Correzione
Se si utilizza un DNS (Domain Name Server), contattare il proprio amministratore di rete per verificare il funzionamento del DNS. E' possibile determinare se il PC è in grado di determinare il DNS utilizzando il programma di utilità 'ping' incluso con il supporto per le comunicazioni TCP/IP installate sul proprio PC.

Se il file denominato 'HOSTS' sul proprio PC si ritiene affidabile per l'assegnazione degli indirizzi IP, verificare che esista una voce in quel file per il server a cui si sta tentando di collegarsi. Ad esempio, se il nome server è SYSA e il relativo indirizzo IP è 4.5.6.7, perché l'assegnazione dell'indirizzo tramite il file HOSTS funzioni, è necessario che la voce seguente sia presente nel file HOSTS:

4.5.6.7 SYSA

Se è presente una voce per il server nel file HOSTS ma il programma di utilità non riesce a contattare il server e restituisce il nome sistema immesso con un indirizzo IP non valido, la causa del problema potrebbe essere determinata da caratteri non validi nel nome sistema. I caratteri validi in un nome sistema potrebbe variare da un'implementazione TCP/IP all'altra. Provare a utilizzare un nome sistema che contenga solo lettere ('a'-'z' e 'A'-'Z'), numeri ('0'-'9'), trattini ('-') e punti ('.'). Aggiungere una nuova voce al file HOSTS utilizzando il nuovo nome sistema e se il programma ping può contattare il server utilizzando tale nome sistema, iSeries Access per Windows non dovrebbe più restituire questo messaggio.

Se non si utilizza il DNS o un file HOSTS per l'assegnazione degli indirizzi IP ma si dispone di una connessione al server configurata in iSeries Access per Windows, verificare che il campo indirizzo IP nelle Proprietà per la connessione di quel sistema sia corretto. Inoltre, verificare che la modalità di ricerca indirizzo IP sia su NEVER.

Consultare Proprietà connessione Server per informazioni sulla modifica dell'indirizzo e della modalità IP.

Per informazioni dettagliate sull'errore, utilizzare l'opzione di menu del sistema iSeries Navigator > Connessione al server > Verifica connessione.

[crazy.cat]

ero convinto di averti risposto ma non c'è il messaggio...boh...

Hai copiato il file hosts da un pc diverso?
Hai modificato il file inserendo quelle due righe?
Hai riavviato il pc dopo aver fatto una delle due operazioni precedenti?

[johncoscia]

ero convinto di averti risposto ma non c'è il messaggio...boh...

Hai copiato il file hosts da un pc diverso? SI
Hai modificato il file inserendo quelle due righe? SI
Hai riavviato il pc dopo aver fatto una delle due operazioni precedenti? SI