MegaLab.it

Inviato: **sab mag 21, 2011 11:12 pm**

da un po il mio pc è moooolto lento,
ho provato ad istallare OOo 3.3.0 e mi da un mess di errore con un file CAB...
Ho gia postato qualcosa nella sez software con il titolo di problemi installazione OOo 3.3.0
Ho fatto una scan con hijack e questo è il log dopo aver fixato tre righe:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63636
F3 - REG:win.ini: load=C:\DOCUME~1\MANUEL~1\IMPOST~1\Temp\csrss.exe
O4 - HKLM\..\Run: [conhost] C:\Documents and Settings\Manuel Valori\Dati applicazioni\Microsoft\conhost.exe

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.39.04, on 21/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programmi\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Manuel Valori\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO System - Cleaner Service (Cleaner_Validator) - Unknown owner - C:\Programmi\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe

--
End of file - 3967 bytes

ho fatto poi una scan da cd con gdata e questo è il log

Controllo antivirus con G DATA AntiVirus
Versione 9.0 (16.02.2009)
Database antivirus del 14.01.2009
Ora avvio: 21.05.2011 22:03
Motore(i): EngineA (AVA 19.3293) EngineB (AVKB 18.370)
Euristico: On
Archivi: On
Aree del sistema: On

Controllo aree del sistema...
Controllo delle seguenti cartelle e file:
/mnt/

Oggetto: Advanced Process Termination versione 4.2.zip
Percorso: /mnt/C:/Documents and Settings/Manuel Valori/Documenti/PROGRAMMI
Stato: Virus trovato
Virus: Win32:Trojan-gen {Other}

Analisi eseguita completamente: 21.05.2011 23:26
Controllati 57964 file
Trovati 1 file infetti
Trovati 0 file sospetti

Mi rimane un problema nelle imp avanzate di firefox nella voce rete-imposta il modo in cui firefox si connette ad internet:mi trovo la spunta su imp manuali dei proxi e nn mi si connette,spunto l'opzione imp automatiche per questa rete e tutto ok. ma al riavvio è tutto come prima.
questo problema è iniziato da un paio di giorni. prima tutto ok. [cry]

Ho fatto come mi è stato detto una scan con GMer ma ad un certo punto mi da schermo blu:windows è stato bloccato per evitare danni al sistema....
Vi chiedo aiuto!!!
GRAZIE [:)]

Inviato: **sab mag 21, 2011 11:21 pm**

NN posso istallare più avira perche dice che nn ho una connessione sicura ssl!!!!!!
Che cavolo succede????

Inviato: **dom mag 22, 2011 12:08 am**

ecco un log di Gmer

GMER 1.0.15.15627 - http://www.gmer.net
Rootkit scan 2011-05-22 01:08:35
Windows 5.1.2600 Service Pack 3
Running: tv4xprb7.exe; Driver: C:\DOCUME~1\MANUEL~1\IMPOST~1\Temp\kwldapob.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwAllocateVirtualMemory [0xA3761CB2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xA376A8BC]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xA376A774]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xA376AD7A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xA376AC90]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xA376A348]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwFreeVirtualMemory [0xA3761D62]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xA376A850]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xA376A284]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xA376A2EA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwProtectVirtualMemory [0xA3761DFA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xA376A994]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xA376AE48]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xA376A952]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xA376AAD6]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xA3777902]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xA3777726]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xA3777860]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- EOF - GMER 1.0.15 ----

Inviato: **dom mag 22, 2011 8:27 am**

prova con una scansione con malwarebytes o supeperantispyware generalmente sono efficaci per risolvere questi problemi da infezioni con modifiche ai browser.
Al termine per una scansione più approfondita ti consiglierei Kaspersky virus removal tool:
http://devbuilds.kaspersky-labs.com/dev ... _10-14.exe
A questo punto puoi allegare i log delle scansioni per ulteriori pulizia.

Inviato: **dom mag 22, 2011 1:52 pm**

questo è il log della scansione con malwarebite's

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Versione database: 5105

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/05/2011 14.48.39
mbam-log-2011-05-22 (14-48-39).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 143946
Tempo trascorso: 7 minuti, 28 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

E questo con hijack

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.54.55, on 22/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVAST Software\Avast\AvastSvc.exe
C:\Programmi\AVAST Software\Avast\avastUI.exe
C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programmi\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Manuel Valori\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: COMODO System - Cleaner Service (Cleaner_Validator) - Unknown owner - C:\Programmi\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe

--
End of file - 4620 bytes

Inviato: **dom mag 22, 2011 2:24 pm**

Per quanto riguarda Malwarebytes hai utilizzato una versione obsoleta, la più recente è questa (1.50.1.1100).
Dopo aver scaricato e installato la versione più recente aggiorna il database del prodotto ed esegui una scansione completa.

Inviato: **dom mag 22, 2011 3:44 pm**

Soprattutto per la scansione di Gdata hai utilizzato il database del 2009:

Gdata ha scritto:Database antivirus del 14.01.2009]

Aggiorna il database alla versione più recente ed esegui una scansione completa.
L'ultima versione del Bootcd di Gdata in italiano la scarichi da qui. [^]

Inviato: **dom mag 22, 2011 4:09 pm**

OK GRAZIE!!!! sto scaricando poi vi posto i log

Inviato: **dom mag 22, 2011 4:28 pm**

Come faccio ad aggiornare Gdata???

Inviato: **dom mag 22, 2011 9:28 pm**

Ecco il log di Mbam:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 6641

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/05/2011 22.26.38
mbam-log-2011-05-22 (22-26-25).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 201441
Tempo trascorso: 40 minuti, 59 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 5

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP296\A0084629.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP296\A0084630.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP297\A0084788.exe (Backdoor.Cycbot.Gen) -> No action taken.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP298\A0084988.exe (Trojan.Agent.Gen) -> No action taken.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP238\A0068513.exe (PUP.WirelessKeyView) -> No action taken.

Inviato: **dom mag 22, 2011 11:17 pm**

Ultimi log delle scansioni:
Malwerebite's:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 6641

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

23/05/2011 0.02.19
mbam-log-2011-05-23 (00-02-10).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 200760
Tempo trascorso: 18 minuti, 28 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP238\A0068513.exe (PUP.WirelessKeyView) -> No action taken.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP298\A0084988.exe (Trojan.Agent.Gen) -> No action taken.

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.03.06, on 23/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Manuel Valori\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programmi\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Programmi\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programmi\AVAST Software\Avast\AvastSvc.exe
O23 - Service: COMODO System - Cleaner Service (Cleaner_Validator) - Unknown owner - C:\Programmi\COMODO\COMODO System-Cleaner\Cleaner_Validator.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe

--
End of file - 4130 bytes

Superantispyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/22/2011 at 11:35 PM

Application Version : 4.52.1000

Core Rules Database Version : 7111
Trace Rules Database Version: 4923

Scan type : Complete Scan
Total Scan Time : 00:31:40

Memory items scanned : 220
Memory threats detected : 0
Registry items scanned : 5877
Registry threats detected : 0
File items scanned : 18207
File threats detected : 3

Trojan.Agent/Gen-Kazy
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA47B1E-AE8D-4449-81D3-DD9878F9265A}\RP296\A0084629.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA47B1E-AE8D-4449-81D3-DD9878F9265A}\RP296\A0084630.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA47B1E-AE8D-4449-81D3-DD9878F9265A}\RP297\A0084788.EXE

Qualcuno sa dirmi cosa fare???? [cry]

Inviato: **dom mag 22, 2011 11:37 pm**

Con MBAM elimina tutto quello che ha rilevato, stessa cosa per superantispyware [std]

Per quanto riguarda il boot cd di G Data, è necessaria una connessione con il cavo per aggiornarlo, poichè questi bootcd non hanno i drivers delle diverse schede wireless.

Inviato: **dom mag 22, 2011 11:47 pm**

in avvio trovo questa voce: C:/WINDOWS/system32/ctfm32.exe cos'è?
comunque ho eliminato tutto quello che mi hai detto ora? sono a posto?

Inviato: **lun mag 23, 2011 3:49 am**

ctfm32.exe niente di buono, se continuano a rispuntare virus vuol dire che la pulizia non va a buon fine.
se non riesci ad aggiornare gdata allora non riesci a rimuovere tutte le schifezze presenti.

Formattare il pc?

Inviato: **lun mag 23, 2011 10:09 am**

sembra che sia riuscito a rimuovere la voce ctfmon32.exe dall'esecuzione automatica.

Inviato: **lun mag 23, 2011 10:23 am**

col cavolo!!!!!
Nel task sono pieno di processi svchost.exe SYSTEM,SERVIZIO LOCALE,SERVIZIO DI RETE....che utilizzano la CPU un secondo a 0% subito dopo schizza al 100%
sonoalmeno 10!!!! sono legittimi???
Più un paio di spoolsv.exe(SYSTEM)............

Inviato: **lun mag 23, 2011 10:25 am**

processlibrary.com ha scritto:ctfmon32.exe è un process che appartiene ad un programma di pubblicità da CoolWebSearch. Questo process riflette le vostre abitudini di ricerca a scansione e distribuisce i dati di nuovo ai server dell'autore per l'analisi. Ciò egualmente richiede la pubblicità dei popups. Questo processo è un rischio per la sicurezza e dovrebbe essere rimosso dal vostro sistema. Vedere prego i particolari supplementari per quanto riguarda questo processo.
I processi non di sistema come ctfmon32.exe provengono da software installato sul sistema. Poiché la maggior parte delle applicazioni archivia i dati nel registro del sistema, è probabile che il registro abbia subito la frammentazione e accumulato errori nocivi.

Rimosso dell'esecuzione automatica è gia una buona cosa ma rimuoverlo del tutto sarebbe meglio.
come detto prima prova con una scansione usando tool della kaspersky:
http://devbuilds.kaspersky-labs.com/dev ... _12-12.exe
altrimenti se vuoi una pulizia più rapida puoi utilizzare hitman pro (questa scansione necessita della connessione internet attiva):
http://www.surfright.nl/en/hitmanpro

Inviato: **lun mag 23, 2011 11:36 am**

Log Kaspersky:

Scansione automatica: processo arrestato 9 ore fa (eventi: , oggetti: 126137, ora: 00.12.16)
23/05/2011 2.44.12 Attività interrotta
23/05/2011 2.31.56 Attività avviata
Scansione automatica: processo completato 23 minuti fa (eventi: , oggetti: 91868, ora: 00.27.56)
23/05/2011 11.46.30 Attività avviata
23/05/2011 11.51.35 Rilevato: HEUR:Trojan-Downloader.Win32.Generic C:\Documents and Settings\Manuel Valori\Documenti\Download\sumo.exe/data0005
23/05/2011 11.51.35 Non disinfettato: HEUR:Trojan-Downloader.Win32.Generic C:\Documents and Settings\Manuel Valori\Documenti\Download\sumo.exe/data0005 Rimandato
23/05/2011 12.12.54 Rilevato: HEUR:Trojan-Downloader.Win32.Generic C:\Documents and Settings\Manuel Valori\Documenti\Download\sumo.exe/data0005
23/05/2011 12.14.26 Attività completata

Log Mbam:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Versione database: 6641

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

23/05/2011 12.33.51
mbam-log-2011-05-23 (12-33-51).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 90153
Tempo trascorso: 16 minuti, 55 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP238\A0068513.exe (PUP.WirelessKeyView) -> Quarantined and deleted successfully.
c:\system volume information\_restore{2da47b1e-ae8d-4449-81d3-dd9878f9265a}\RP298\A0084988.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Inviato: **lun mag 23, 2011 12:00 pm**

Kaspersky niente di rilevante un file che hai scaricato da internet che si trova nella cartella download.
Malwarebytes ha rilevato le infezioni rilevate precedentemente con superantispyware ma in altre locazioni.
direi di procedere con hitman pro i link lo trovi nel posto precedente e successivamente una scansione con il tool della microsoft:
http://www.microsoft.com/security/scann ... fault.aspx

Inviato: **lun mag 23, 2011 2:08 pm**

crazy.cat ha scritto:

Formattare il pc?

Quoto.Io opterei per questa soluzione. L'ultimo computer che ho avuto per le mani aveva 68 -tra malware vari. Tutti rimossi,almeno a dire di HitmanPro.Peccato che dopo la rimozione il computer andava peggio di prima. Della serie:l'operazione è riuscita,ma l'ammalato è morto (Totò)
PS.A come la vedo io ,se il numero di malware è abbastanza consistente in un computer ,conviene sempre formattare.
I virus-malware si possono anche eliminare,ma i danni che combinano non si aggiustano:l'antivirus non può e non lo sa fare. [ciao]

MegaLab.it

Aiuto Infezione?

Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?

Re: Aiuto Infezione?