www.MegaLab.it

da **Diego166** » dom dic 30, 2007 12:42 pm

Appena mi connetto ad internet mi cade la connessione e per poter riconnettermi devo riavviare il sistema, ho trovato la homa page di ie cambiata senza nessun preavviso e ho trovato una connessione di rete creata con nome Accesso che non rientra nella lista dellle mie connessioni create in precedenza...ora sto scansionando con Ad-aware per vedere cosa trova..vi posto il log di HijackThis per un vostro consiglio...

Logfile of HijackThis v1.99.1
Scan saved at 12.13.43, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
c:\programmi\asus\Promise\Utility\MsgAgt.exe
c:\programmi\asus\Promise\Utility\MsgSvr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Documents and Settings\Diego\mbqsiznm.exe
C:\Documents and Settings\Diego\Documenti\Utility\Taskmon\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adv-games.com/
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Promise RAID message agent (RAIDmAgt) - Promise Technology, Inc. - c:\programmi\asus\Promise\Utility\MsgAgt.exe
O23 - Service: Promise RAID message server (RAIDmSvr) - Promise Technology, Inc. - c:\programmi\asus\Promise\Utility\MsgSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

e inoltre mi appare un messaggio con scritto...vuoi connetterti ancora? quando io sono già connesso con la mia connessione...ho paura...

da **crazy.cat** » dom dic 30, 2007 12:51 pm

Diego166 ha scritto:C:\Documents and Settings\Diego\mbqsiznm.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adv-games.com/

Andando sul sito indicato nel R0 ci si becca un bel trojan dialer.
Carica il primo file exe indicato sul sito www.virustotal.com e vedi di cosa si tratta.
Poi cerca se nel tuo pc è presente un file 2026.exe che è il dialer che si trova sul quel sito.

da **Diego166** » lun dic 31, 2007 2:21 am

ora che ve ne pare?
Logfile of HijackThis v1.99.1
Scan saved at 2.20.56, on 31/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
c:\programmi\asus\Promise\Utility\MsgAgt.exe
c:\programmi\asus\Promise\Utility\MsgSvr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Diego\Documenti\Utility\Taskmon\HijackThis\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/Default.asp
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2567E185-45AB-44AA-99D5-4E6B83ABA9D6}: NameServer = 212.216.112.112 212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\Skype4COM.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Promise RAID message agent (RAIDmAgt) - Promise Technology, Inc. - c:\programmi\asus\Promise\Utility\MsgAgt.exe
O23 - Service: Promise RAID message server (RAIDmSvr) - Promise Technology, Inc. - c:\programmi\asus\Promise\Utility\MsgSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

da **Diego166** » lun dic 31, 2007 2:36 am

Ma continua ad apparirmi se voglio connettermi...il dialer è ancora in memoria...ho provato acaricare il file exe ma quando vado a cercarlo nel mio hd non lo trova più...strano questo fatto...quindi non sono riuscito a vedere niente...ma come ha fatto ad entrare quel maledetto? [}:)]

da **crazy.cat** » lun dic 31, 2007 8:05 am

scaricati superantispyware e fai un controllo generale del pc.
Cerca meglio nelle cartelle se trovi dei file exe con date recenti e nomi sospetti.
Poi li carichi su quel sito e vedi di cosa si tratta.
Nel log non si vede altro.

da **Diego166** » lun dic 31, 2007 8:50 pm

Ho scansionato il tutto con superspyware...non ha trovato nulla...solo 4 tracking cokies ma niente troian dialer...cosa posso provare ancora?

da **frehack83** » mar gen 01, 2008 8:09 pm

Prova ad andare a vedere sotto PANNELLO DI CONTROLLO-> RETE E CONNESSIONI INTERNET->CONNESSIONI DI RETE e guarda se c'è qualche connessione che non e quella predefinita o quella LAN.Nel caso ci fosse cancellala.
Poi scaricati e installati AVG Antispyware (e trial ma finiti i giorni di prova puoi ancora aggiornarlo a mano e usarlo) e Spybot Search&Destroy 1.5.
Aggiorna i programmi.
Una volta installati e aggiornati riavvia in modalità provvisoria (appena riavviato premi F8) e manda una scansione prima con uno e poi con l'altro.
ATTENZIONE:Entrambi i programmi rallentano parecchio il pc.
Facci sapere...

da **Diego166** » lun gen 14, 2008 12:46 pm

il problema è tutto li...appena vado su www.coverisland.com mi si apre la consolle java che mi dice di scaricare il ocntenuto attendibile...fa tutto lui e poi mi trovo la honepage cambiata e il bel bastardello insediato sutto impostazioni locali di windows...devo levarlo a mano...tutte le volte...ci vorrebbe una patch per quel maledetto...

da **ste_95** » lun gen 14, 2008 2:00 pm

Per esempio usare un browser alternativo...

da **crazy.cat** » lun gen 14, 2008 7:18 pm

Diego166 ha scritto:il problema è tutto li...appena vado su www.coverisland.com mi si apre la consolle java che mi dice di scaricare il ocntenuto attendibile...fa tutto lui e poi mi trovo la honepage cambiata e il bel bastardello insediato sutto impostazioni locali di windows...devo levarlo a mano...tutte le volte...ci vorrebbe una patch per quel maledetto...

A me non si apre niente e non scarica niente ne con Ie o Firefox.

da **ste_95** » lun gen 14, 2008 7:19 pm

A me con Firefox si vede benissimo [boh]

da **Diego166** » lun gen 14, 2008 8:49 pm

E allora scusate ragazzi ma se a voi non succede è perché quel dialer ha rilasciato come un indirizzo che ogni volta vado su quel sito mi si apre subito la consolle Java dove mi dice di scaricare il contenuto e se non fai nulla lui parte da solo ad installare senza il mio consenso...e mi porta su advgames dove mi appaiono le emoticons e mi si crea una connessione chiamata accesso...
Allora disconnetto e mi chiede se voglio connettermi ancora, dico di no e vado su documents and settings sotto impostazioni locali e cancello il fiel exe di connessione remota..che ogni volta si rifà...ogni volta che vado sul sito di coverisland mi devia su advgames e mi installa quel maledetto...è strano che non succede a voi...

da **Diego166** » lun gen 14, 2008 11:58 pm

http://contents.charting.ws/?p=bMRSzo11enMG3cmcK7m82PKc6BcrUTPY7PgtFtNN
Quel dialer mi porta in questa pagina...che cosa vuol dire?

da **ste_95** » mar gen 15, 2008 6:49 am

Ora io non ho cliccato da nessuna parte, ma è probabile che navigando richieda un componente aggiuntivo che potrebbe essere un trojan dropper...

Prova a usare ComboFix e fai la scansione, alla fine postane il log.

da **Diego166** » mer gen 23, 2008 1:43 am

ecco il log della scansione con ComboFix

ComboFix 08-01-16.3 - Diego 2008-01-22 23.38.26.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.791 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Diego\Documenti\ComboFix.exe
.

((((((((((((((((((((((((( Files Creati Da 2007-12-22 al 2008-01-22 )))))))))))))))))))))))))))))))))))
.

2008-01-22 23:37 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-22 23:25 . 2008-01-22 23:25 244 --ah----- C:\sqmnoopt01.sqm
2008-01-22 23:25 . 2008-01-22 23:25 232 --ah----- C:\sqmdata01.sqm
2008-01-19 12:18 . 2008-01-19 12:18 244 --ah----- C:\sqmnoopt00.sqm
2008-01-19 12:18 . 2008-01-19 12:18 232 --ah----- C:\sqmdata00.sqm
2008-01-15 00:57 . 2008-01-15 00:57 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Grisoft
2008-01-15 00:20 . 2008-01-22 23:24 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-01-08 01:27 . 2008-01-08 01:27 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-08 01:27 . 2008-01-08 01:27 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-31 20:35 . 2008-01-09 01:32 <DIR> d-------- C:\Programmi\SuperAntiSpyware
2007-12-31 20:35 . 2008-01-09 01:32 <DIR> d-------- C:\Documents and Settings\Diego\Dati applicazioni\SUPERAntiSpyware.com
2007-12-31 20:35 . 2007-12-31 20:35 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 23:47 --------- d-----w C:\Programmi\Creative
2008-01-02 23:33 --------- d-----w C:\Programmi\vDC++
2008-01-02 20:44 --------- d-----w C:\Programmi\zDC++0.668z3Ita
2008-01-01 15:52 --------- d-----w C:\Programmi\Java
2007-12-15 23:40 --------- d-----w C:\Documents and Settings\Diego\Dati applicazioni\Orbit
2007-12-15 23:37 --------- d-----w C:\Documents and Settings\Diego\Dati applicazioni\Skype
2007-12-15 23:04 --------- d-----w C:\Programmi\Skype
2007-12-15 23:04 --------- d-----w C:\Programmi\File comuni\Skype
2007-12-15 23:04 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Skype
2007-04-04 22:12 81,920 ----a-w C:\Documents and Settings\Diego\Dati applicazioni\ezpinst.exe
2007-04-04 22:12 47,360 ----a-w C:\Documents and Settings\Diego\Dati applicazioni\pcouffin.sys
2007-03-14 17:58 76,168 ----a-w C:\Documents and Settings\Diego\Dati applicazioni\GDIPFONTCACHEV1.DAT
2007-07-18 10:40 12,884 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 11:54 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2003-12-31 15:39 40960]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 08:06 118784 C:\WINDOWS\system32\ptipbmf.dll]
"nwiz"="nwiz.exe" [2002-07-30 08:50 372736 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="NvQTwk" []
"NVCLOCK"="nvclock.dll" [2002-08-29 00:37 69632 C:\WINDOWS\system32\nvclock.dll]
"avgnt"="C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 23:00 249896]
"AudioHQ"="C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE" [2001-08-17 16:01 180224]
"AHQInit"="C:\Programmi\Creative\SBLive\Program\AHQInit.exe" [2001-05-10 17:49 102400]
"DSLSTATEXE"="C:\Programmi\IPM\Adsl\DataWay\dslstat.exe" [2003-04-01 10:32 299008]
"DSLAGENTEXE"="dslagent.exe" []
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
HP Digital Imaging Monitor.lnk - C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Programmi\DVD Recorder\DVD Region+CSS Free\DVDShell.dll [2004-06-08 14:18 49152]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-20 11:28]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-20 11:28]
R2 BT848;BtCap, WDM Video Capture;C:\WINDOWS\system32\drivers\BT848.sys [2001-11-06 07:20]
R2 BTTUNER;BtTuner, WDM TvTuner;C:\WINDOWS\system32\drivers\BTTUNER.sys [2001-03-07 11:30]
R2 BTXBAR;BtXBar, WDM Crossbar;C:\WINDOWS\system32\drivers\BTXBAR.sys [1999-07-21 10:28]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2002-08-16 03:34]
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2002-08-16 03:34]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2002-08-16 03:34]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2002-08-16 03:34]
R3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);C:\WINDOWS\system32\DRIVERS\A3AB.sys [2005-06-16 05:02]
R3 axvdkbus;axvdkbus;C:\WINDOWS\system32\DRIVERS\axvdkbus.sys [2003-02-25 20:43]
R3 axvodka;axvodka;C:\WINDOWS\system32\DRIVERS\axvodka.sys [2003-02-27 17:50]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S1 tvtool;tvtool;C:\Programmi\TVTool\tvtool.sys [1996-04-03 19:33]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 23:49:36
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-01-22 23:52:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-22 22:52:40
.
2008-01-01 22:54:45 --- E O F ---

Qualcosa non va? [boh]

da **ste_95** » mer gen 23, 2008 6:57 am

Fai scansionare questi due file su www.virustotal.com e riportane i risultati:

C:\Documents and Settings\Diego\Dati applicazioni\ezpinst.exe

C:\Documents and Settings\Diego\Dati applicazioni\pcouffin.sys

www.MegaLab.it

Un vostro aiuto per il mio windows

Un vostro aiuto per il mio windows

Re: Un vostro aiuto per il mio windows

Chi c’è in linea